信息安全管理教程课件

信息安全管理教程课件第1页，课件共27页，创作于2023年2月第1章信息安全概述

重点内容：

信息安全的含义及特性信息安全政策和法律体系第2页，课件共27页，创作于2023年2月一、信息安全的含义及特性

1、信息安全定义信息安全是指：信息安全是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据因偶然、恶意的原因遭到破坏、更改和泄露。

2、特性为保证网络信息的安全，安全系统要满足以下需求：保密性、完整性、可用性和不可否认性。

第3页，课件共27页，创作于2023年2月2、特性保密性：表示对信息开放范围的控制，指把信息按指定要求不泄露给非授权的个人、实体或过程，或提供其利用的特性，即杜绝有用信息泄露给非授权个人或实体，强调有用信息只为授权对象使用的特征。完整性：要保证信息处于一种未受损的状态，指信息在传输、交换、存储和处理过程中保持非修改、非破坏和非丢失的特性，即保持信息原样性，使信息能正确生成、存储和传输。第4页，课件共27页，创作于2023年2月可用性：是指网络信息可被授权实体正确访问，并按要求能正常使用或在非正常情况下能恢复使用的特征，即在系统运行时能正确存取所需信息，当系统遭受攻击或破坏时，能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。不可否认性：指通信双方在信息交互过程中，确信参与者本身，及参与者所提供的信息的真实同一性，即所有参与者都不可能否认或抵赖本人的真实身份，以及提供信息的原样性和完成的操作与承诺。第5页，课件共27页，创作于2023年2月二、信息安全政策和法律体系1、信息安全政策我国的信息化发展战略与安全保障工作美国的信息安全国家战略

2、信息安全法律体系法律体系结构

(1)法律体系

(2)政策体系

(3)强制性技术标准相关法律、法规简介

第6页，课件共27页，创作于2023年2月习题1、信息安全经历了三个发展阶段，以下__B__不属于这三个发展段。

A.通信保密阶段

B.加密机阶段

C.信息安全阶段

D.安全保障阶段2、信息系统常见的危险有___ABCD_____。

A.软硬件设计故障导致网络瘫痪 B.黑客入侵

C.敏感信息泄露 D.信息删除 E.电子邮件发送3、数据在存储过程中发生了非法访问行为,这破坏了信息安全的_安全性_属性。4、2000年1月，美国政府发布了《保卫美国的计算机空间——保护信息系统》的国家计划。5、2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过了《关于维护互联网安全的决定》第7页，课件共27页，创作于2023年2月第2章信息安全管理基础重点内容：

信息安全管理体系信息安全管理标准信息安全策略信息安全技术第8页，课件共27页，创作于2023年2月一、信息安全管理体系

1、信息安全管理体系定义（P26第3段）2、信息安全管理的基本原则

（1）总体原则

主要领导负责原则规范定级原则以人为本原则适度安全原则全面防范原则系统、动态原则控制社会影响原则

（2）安全管理策略分权制衡最小特权选用成熟技术普遍参与

第9页，课件共27页，创作于2023年2月二、信息安全管理标准1、BS7799

（1）BS7799标准概述（P33）

（2） BS7799标准主要内容2、其他标准

如：PD3000标准、CC标准和ISO/IECTR13335标准。第10页，课件共27页，创作于2023年2月三、信息安全策略

主要的信息安全策略

（1）口令策略 （如：系统密码、网络入口密码等）（2）计算机病毒和恶意代码防治策略 （如：拒绝访问、病毒检测等）（3）安全教育和培训策略（4）可接受使用策略AUP

第11页，课件共27页，创作于2023年2月四、信息安全技术

（1）物理环境安全技术

包括三方面：环境安全、设备安全和媒体安全。（2）通信链路安全技术

1、链路加密技术 2、远程拨号安全协议（3）网络安全技术

1、防火墙 2、网络入侵 3、网络脆弱性分析（4）系统安全技术

1、主机入侵检测 2、计算机病毒防治（5）身份认证安全技术

1、动态口令认证 2、PKI证书认证技术第12页，课件共27页，创作于2023年2月习题1、BS7799是英国标准协会针对信息安全管理而指定的标准，最初发布于_B_

A.1993

B.1995

C.1996

D.19982、信息安全评测标准CC标准是_A_标准

A.国际 B.美国

C.中国 D.英国3、按照BS7799标准,信息安全管理应当是一个持续改进的周期性过程。正确4、信息安全策略主要包含口令策略、计算机病毒和恶意代码防治策略、安全教育和培训策略、可接受使用策略AUP。5、用户身份鉴别是通过__A__完成的。

A.口令验证 B.审计策略

C.存取控制 D.查询功能第13页，课件共27页，创作于2023年2月第3章信息安全等级保护与风险评估

重点内容：

信息系统安全等级划分风险评估的方法与流程第14页，课件共27页，创作于2023年2月一、信息安全等级保护制度

1、信息系统安全等级划分

（1）第一级为自主保护级

（2） 第二级为指导保护级 （3） 第三级为监督保护级

（4）第四级为强制保护级 （5）第五级为专控保护级2、信息系统安全等级保护相关标准（P77）

（1）GB17859-1999《计算机信息系统安全保护等级划分准则》。 （2）《信息系统安全等级保护实施指南》。第15页，课件共27页，创作于2023年2月安全服务与安全机制之间的关系

二、信息系统安全风险评估

1、风险评估模型

（1）风险评估要素关系模型

（2）安全风险计算模型计算过程是：

1、对信息资产进行识别，对资产赋值；

2、对威胁进行分析，并对威胁发生的可能性赋值；

3、识别信息资产的脆弱性，并对脆弱性的严重程度赋值；

4、根据威胁和脆弱性计算安全事件发生的可能性；

5、结合信息资产的重要性和该资产发生安全事件的可能性计算信息资产的风险值。2、风险评估的方法

（1）自评估与他评估。 （2）基线评估与详细评估。

（3）定量评估与定性评估。第16页，课件共27页，创作于2023年2月二、信息系统安全风险评估

3、风险评估流程

（1）资产识别

（2）威胁识别

（3）脆弱性识别

（4）安全措施识别

（5）风险识别4、风险评估的工具

（1）安全管理评价系统。 （2）信息基础设施风险评估工具。

（3）风险评估辅助工具。第17页，课件共27页，创作于2023年2月习题1、1999年，我国发布的第一个信息安全等级保护的国家标准GB17859—1999,提出将信息系统的安全等级划分为__D__个等级，并提出每个级别的安全功能标准。

A.7 B.8 C.6 D.5

2、下列关于风险的说法，___C__是错误的。

A.风险是客观存在的

B.导致风险的外因是普遍存在的安全威胁

C.导致风险的外因是普遍存在的安全脆弱性

D.风险是指一种可能性

3、风险管理的首要任务是__A___.

A.风险识别和评估

B.风险转嫁

C.风险控制

D.接受风险

4、如果一个信息系统，其业务信息安全或业务服务保证性受到破坏后，会对社会秩序和公共利益造成一定损害，但不损害国家安全；本级系统依照国家管理规范和技术标准进行自主保护，必要时，信息安全监督职能部门对其进行指导，那么该信息系统属于等级保护中的__C__.

A.强制保护级 B.监督保护级 C、指导保护级 D.自主保护级第18页，课件共27页，创作于2023年2月第4章信息安全管理

重点内容：

信息安全人员管理信息安全制度管理互联网安全管理计算机病毒防治管理第19页，课件共27页，创作于2023年2月一、信息安全人员管理

按照BS7799安全管理标准，人员安全管理包括以下主要内容：

（1）安全审查

（2）安全保密管理

（3）安全教育与培训

（4）岗位安全考核

（5）离岗人员安全管理第20页，课件共27页，创作于2023年2月二、信息安全制度管理

信息安全制度管理应该在以下方面具体体现

（1）安全策略与制度 （2）安全风险管理

（3）人员和组织安全管理 （4）环境和设备安全管理

（5）网络和通信安全管理 （6）主机和系统安全管理

（7）数据安全和加密管理 （8）应用和业务安全管理

（9）项目工程安全管理 （10）运行和维护安全管理（11）业务连续性管理 （12）符合性管理第21页，课件共27页，创作于2023年2月三、互联网安全管理互联网安全管理主要从一些法律和法规上来规范：

（1）、1996年2月1日，国务院发布了《计算机信息网络国际联网管理暂行规定》。 （2）、1997年12月11日，公安部发布了《计算机信息网络国际联网安全保护管理办法》。 （3）、2005年12月13日，公安部发布了《互联网安全保护技术措施规定》，2006年3月1日起实施。第22页，课件共27页，创作于2023年2月四、计算机病毒防治管理

1、计算机病毒的概念

计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并自我复制的一组计算机指令或程序代码。

2、计算机病毒的特点

（1）内在特点

1、传染性 2、隐蔽性

3、潜伏性 4、破坏性

（2）新生特点

1、感染速度快 2、扩散面广3、传播形式复杂

4、难于彻底清除5、破坏性大3、计算机病毒的防治管理 公安部依据《计算机信息系统安全保护条例》，于2004年4月制定并公布了《计算机病毒防治管理办法》。第23页，课件共27页，创作于2023年2月习题1、在互联网上的计算机病毒呈现出的特点是_ABCD__。

A.与互联网更加紧密地结合，利用一切可以利用的方式进行传播

B.具有多种特征，破坏性大大增强

C.扩散性极强，也更注重隐蔽性和欺骗性

D.针对系统漏洞进行传播和破坏2、在信息安全管理中进行安全教育培训，应当区分培训对象的层次和培训内容，主要包括_ABE__。

A.高级管理层 B.关键技术岗位人员

C.第三方人员 D.外部人员

E.普通计算机用户3、对于人员管理的描述错误的是___B___.

A.人员管理是安全管理的重要环节

B.安全授权不是人员管理的手段

C.安全教育是人员管理的有力手段

D.人员管理时，安全审查是必要的4、信息安全管理中___B___负责保证安全管理策略与制度符合更高层法律，法规的要求，不发生矛盾和冲突。

A.组织管理 B.合规性管理

C.人员管理 D.制度管理第24页，课件共27页，创作于2023年2月第5章信息安全监管

根据计算机违法案件的性质界定，计算机案件包括：

1、刑事违法案件

依据《计算机信息系统安全保护条例》追究刑事责任。

2、行政违法案件

依据《计算机信息网络国际联网安全保护管理办法》，由 公安机关给予行政处罚。第25页，课件共27页，创作于2023年2月习题1、我国计算机信息系统实行__C_保护。

A.责任制

B.主任值班制

C.安全等级

D.专职人员资格2、信息安全方针和策略包括_D_。

A.安全方针资金投入管理网络安全规划

B.安全方针资金信息管理信息安全规划

C.安全方针资金信息管理网络安全规划

D.安全方针资金投入管理信息安