第07讲-人与信息的保护：威胁与安全措施ppt课件.ppt

《第07讲-人与信息的保护：威胁与安全措施ppt课件.ppt》由会员分享，可在线阅读，更多相关《第07讲-人与信息的保护：威胁与安全措施ppt课件.ppt（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。学习目标 解释信息系统脆弱、易破坏、被滥用的原因。 评价安全控制的商业价值。 确定安全和控制的组织架构组成部分。 评估保护信息资源的重要工具和技术。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视

2、频监控联网应用为重点的“群众性治安防控工程”。他们掌握96%美国家庭的信息 客户：10大信用卡发行商中9个是其客户 Acxiom 有20 billion记录 110 million 美国人 96% 美国家庭 70种类型 33% 从一种状态到另一种状态 制作名单，并定向发送邮件；销售名单 合成和保护数据库“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。在线游戏也需要安全 问题： 来自希望窃取资料或博彩资产的黑客的威胁。 解决方案： 部署先进的安全系统，识别威胁和减少黑客攻击。“雪

3、亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。信息系统是脆弱的 硬件问题 故障，配置错误，以及使用不当或犯罪带来的损害 软件问题 程序错误、安装错误、未授权的擅自变更 灾害 电源故障、洪水、火灾 网络的计算机的使用超出了公司的控制范围 如国内或国外的公司间合作“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。资料 专门针对小型企业的网络攻击数量在2013年初窜升了6

4、00%. 有7.4%的小型企业老板都曾经遇到网络诈骗。 2013年，中国有450多万台主机遭来自境外IP地址的木马控制，比2012年增加了1620%. 境外约有22万个IP地址操纵木马病毒，较2009年增长34.1%.“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。资料 95.3%的受访员工曾经将自己的个人信息发布在网上; 针对日常办公的应用，仅有14.5%的员工设置的密码都不一样，还有14.8%的人所有密码完全一样; 对于银行卡账户、邮箱、QQ等涉及个人信息安全的服务的密码设

5、置，43%的受访员工选择的是大部分相同或相似; 仅有26.4%的人会定期给电脑做备份，不做备份和不定期做备份的比例共为73.6%; 面对内容吸引人的不明邮件，42.5%的受访者会看邮件内容; 确定电脑从来没遇到过恶意插件、病毒的攻击的人数比例仅占19.6%,58.8%的受访者遇到过1、2次或者经常遇到并遭受损失。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 讨论：怎样保障信息系统安全？“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以

6、网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。网络控制软件 对P2P行为的全面管控 网络控制软件内置的应用协议库中下载软件类内置了主流的P2P各种软件，像BT、eMule、迅雷、百度下吧、PP点点通等；P2P流媒体类包括了QQLive、PPLive、MySee、沸点电视、蚂蚁电视等。网络控制软件除了能够对已知的、常见的P2P行为进行识别外，根据网络控制软件基于统计学的智能检测技术，也能够准确识别未知的、不常见的P2P行为，对各种P2P行为进行全面的识别。网络控制软件除了能够对识别出的各种P2P行为进行完全的封堵外，还可以根据需求对各种应用进行细致的流量控制。“雪亮

7、工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 流量控制功能 基于应用类型（如：BT、eMule、PPLive等）的流量控制；基于网站类型（如：新闻类、娱乐类、体育类）的流量控制；基于文件类型（如：电影类、图片类、音乐类）的流量控制；基于用户组/用户的流量控制；带宽资源分配支持动态保证、预留保证、最高限制、平均分配、自由竞争等。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防

8、控工程”。封堵和全面监控1 URL的识别与控制：内置千万级URL库，更细粒度的分类，包括娱乐、色情、反动、赌博等40余大类；支持手工添加URL并分类，支持个性化需求的URL控制管理；能够识别非标准端口和动态端口的URL;支持对SSL加密网站的识别和过滤。2 关键字网页过滤：支持搜索引擎指定关键字过滤，防止用户通过Google/百度等搜索关键字查找网页。支持根据指定网页正文关键字过滤网页。3 HTTP/FTP上传下载识别控制：能够对用户向BBS、博客等发帖的内容进行识别监控并过滤；能够识别控制用户通过HTTP/FTP方式上传下载的文件类型。4 邮件访问控制：根据发件人、发送邮件标题和内容关键字、

9、发送邮件附件类型等条件过滤外发邮件；根据邮件发送目标地址、发送邮件标题和内容关键字、邮件大小、附件个数等条件执行邮件延迟审计功能，符合指定条件的邮件，先拦截审计，审计通过后发送，审计不通过则过滤掉。5 代理识别：网络控制软件的代理识别技术能够有效的防止内部网络用户通过组织外部的代理服务器访问不量信息，做到全面的识别控制。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。防范机密信息外泄 网络控制软件内置应用识别规则中IM软件类内置主流的IM软件，像QQ、MSN、ICQ、Skype

10、、Yahoo通、网易POPO等。网络控制软件能够完全封堵各种IM聊天软件，能够控制使用IM软件传文件。不仅能够记录审计非加密聊天软件的聊天内容，像MSN;也能够记录审计加密聊天软件的聊天内容，像QQ.外发邮件过滤：网络控制软件可以根据外发邮件的发件人、邮件的主题和内容关键字、外发邮件的附件类型等条件过滤邮件。外发邮件延迟审计：网络控制软件可以根据外发邮件的目的地址、邮件的主题和内容关键字、外发邮件的大小、附件个数等条件延迟审计邮件，审计通过后发送，审计不通过则过滤掉。网络控制软件能够根据关键字过滤BBS发帖内容、博客发帖内容等。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台

11、、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。 保护内网安全 网络控制软件作为专业的网络控制软件设备，内置了防火墙功能，能够实现NAT功能，防DOS攻击功能，防ARP欺骗功能，网关杀毒功能，网络准入规则功能。有效的防止来自内网、外网的DOS攻击，防止ARP欺骗内网泛滥，抵御外网病毒入侵内网，统一部署杀毒软件等。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。目前的安全挑战与漏洞未授权访问错误配置硬件操作系统软件偷盗数据复制数

12、据更改数据硬件崩溃软件崩溃黑客病毒和蠕虫欺骗与嗅探故意毁坏拒绝服务攻击窃听 阻塞信息变更欺骗和嗅探辐射客户机(用户)通信线路公司服务器公司系统“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。系统漏洞和滥用 互联网漏洞 向所有人开放 互联网的开放意味着滥用可能很广泛 使用永久连接到互联网的固定IP地址，容易被黑客锁定 E-mail的附件 用于传输商业机密的E-mail 即时消息缺少安全，可以很容易的被截获 笔记本维修也存在问题“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中

13、心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。系统漏洞和滥用 无线的安全挑战 无线电频段很容易被扫描 SSIDs(service set identifiers) 确定接入点 多次广播：容易被入侵者截获 驾驶攻击War driving 窃听者可以在建筑附近尝试拦截网络流量黑客获得SSID，就能够访问网络资源 WEP (Wired Equivalent Privacy) 802.11安全标准 基本的规则是：用户和接入点使用同样的密码 用户经常不使用安全功能“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信

14、息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。隐私权PRIVACY 隐私权 是保证当事人按照个人意愿不受别人干扰，或者独立控制个人财产而不受他们随意查看的权利 隐私权的维度 心理：有一种控制感法律：能够保护自己“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。隐私权和员工 现状 公司需要了解员工以有效地开展业务 60的雇主监视员工的电子邮件 网站流量的70发生在工作时间 78的雇主反应员工滥用网络 60的雇员承认滥用网络 Cyber s

15、talking网络跟踪滥用公司资源 访问不适当的网站 Gaming, chatting, stock trading, social networking, etc.“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。监视的原因 希望雇用最好的人，防止的员工的背景卷入官司 确保在工作中良好表现，不滥用资源 避免员工不当行为的引起的诉讼 涉及公司秘密的员工应该被监控“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视

16、频监控联网应用为重点的“群众性治安防控工程”。对员工行为进行控制 信息安全制度 岗前培训：明确应该做什么和不应该做什么 使用公司资源监控：软件，电子邮件，数据，（键盘记录器） 离职时及时注销账号“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。隐私权与顾客 客户希望知道 希望了解自己，但不打扰自己 提供需要的产品，但对他们的习惯和偏好不了解太多 希望提供他们喜欢的产品或服务，但讨厌广告 但计算机提供了很多的信息“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以

17、综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。隐私权与其它人 按键记录软件Key logger (key trapper) 记录每一次按键和鼠标行为 屏幕捕获程序Screen capture 从显卡捕捉屏幕 E-mail 被保存在多台电脑上 硬件的按键记录器 在键盘和主板之间的记录器“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。恶意软件 恶意软件Malware 病毒Viruses 流氓软件程序，将自身附加到其他软件程序或数据文

18、件，伺机执行 蠕虫Worms 独立的计算机程序，从一台计算机把自己复制到网络上的其他计算机。 特洛伊木马Trojan horses 软件程序，它似乎是良性的，什么坏事都可以干。 间谍软件Spyware 将自己安装在用户的计算机上，监视用户上网冲浪了广告活动和服务 键盘记录器Key loggers 记录在电脑的每个按键，窃取序列号，密码，发动网络攻击“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。黑客和计算机犯罪 黑客与骇客（破解者）Hackers vs. crackers 活动

19、包括 系统入侵 系统的损害 网络破坏主义者 故意破坏，污损，破坏的网站或企业信息系统 电子欺骗Spoofing 使用虚假的邮件地址或者伪装成别人进行欺骗 重定向到一个不同的地址 嗅探器Sniffer 监控网络传输信息的监听程序 使黑客通过邮件、公司文件等窃取专利信息“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。黑客和计算机犯罪 拒绝服务攻击（DoS） 利用成千上万的虚假请求访问网络服务器，导致崩溃。 分布式拒绝服务攻击（DDOS） 利用众多电脑发动DoS 僵尸网络 被渗透的恶

20、意僵尸侵占的计算组成了“僵尸网络”(botnet)“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。黑客和计算机犯罪 计算机犯罪Computer crime 任何违反刑事法律的行为，涉及计算机技术知识的犯罪、调查或起诉 计算机作为犯罪的目标 破坏受保护的计算机数据的机密性 非法进入计算机系统 有意进入受保护的计算机来实施欺诈 有意进入受保护的计算机，并无意或有意地造成破坏 威胁要对受保护的计算机造成破坏 计算机作为犯罪的工具 窃取商业秘密 非法复制软件或者 受版权保护的知识产权，

21、如文章、书籍、音乐和视频 计划诈骗 利用电子邮件进行威胁或骚扰 有意试图拦截电子通信 非法丰取已存储的电子通信，包括电子邮件和语音邮件 利用电脑发送或处理儿童色情制品“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。黑客和计算机犯罪 身份盗用Identity theft 盗用者窃取诸如社会保险号、驾照号或者信用卡号之类的个人关键信息来假冒他人。 网络钓鱼Phishing 通过建立虚假网站或发送看似来自合法企业的电子邮件，来获取用户个人的机密资料 PayPal、AOL、花旗、富利银

22、行、美国运通、英格兰银行 双子星病毒Evil twins 网络钓鱼的一种 一种无线网络，假装提供值得依赖的上互联网的Wi-Fi链接 域欺骗Pharming 将用户诈骗至一个虚假的网页（即使是用户输入了一个合法的网址） 美国1986年的计算机诈骗和滥用法案 示经制空权而访问计算机系统是非法的 1996年的国家信息基础设施保护法案 传播病毒与黑客攻击网站，使其瘫痪，都列为联邦刑事案件。 计算机滥用 不违法的，但不道德的。 如垃圾邮件“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。邮

23、件E-Mail存储于多台电脑上“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。身份盗用Identity TheftWhy make calls when a computer can do it?“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。身份盗用 身份盗用 为了欺诈目的盗用他人身份“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信

24、息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。身份盗用 网络钓鱼（梳理，品牌欺骗） 一种以身份盗用为目的获取个人信息的技术 从不 毫无疑问的回复要求提供个人信息的邮件 点击一个网站直接提供这样的电子邮件 甚至不要说Leave me alone. “雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。域欺骗/网址嫁接Pharming Pharming 将用户的合法网址请求，路由、或重定向到一个稍微不同的网址 reroutingredirect

25、ing 在庞大的路由网络上获得 细微的差别，用户无法分辨“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。Cookies Cookie 由WEB站点在个人电脑上记录的关于个人信息和网上活动信息的小文件 防止Cookie 设定选项，拒绝Cookie 使用Cookie管理软件“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。垃圾邮件Spam Spam 来自企业的不请自来

26、的e-mail，推销产品和服务 如果躲过邮件过滤器 插入额外的字符 插入HTML标记，什么也不做 如果回复，会导致更多的Spam 过滤器 可以在服务器端过滤掉垃圾邮件“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。广告软件和间谍软件 Adware 随其它软件自动安装，并且自动产生软件 Trojan horse Spyware (sneakware, stealthware) 收集有关你和计算机的信息，并在未经你允许的情况下报告给其他人 “雪亮工程是以区（县）、乡（镇）、村（社区

27、）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。“The Sapphire worm”蓝宝石蠕虫“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。30分钟传播至74855处“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。病毒做不到 破坏硬件 显示器、打印机、处理器 破坏其目标文件之外的文件

28、 Outlook，no other 感染被写保护的磁盘上的文件“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。来自内部的威胁 来自内部的威胁：员工 熟悉秘密资料，了解内部安全 网络安全受到破坏的唯一重要原因 用户缺少安全知识 社会工程 伪装成公司成员，欺骗员工，声称自己需要信息，诈骗员工泄露自己的密码“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。软件漏洞 商业

29、软件包含漏洞 隐藏的BUG 在软件上，零缺陷是不存在的 恶意软件能够摆脱反病毒软件的防御 补丁Patches 修正软件缺陷的软件包 恶意软件的速度可能大于漏洞和补丁被发布的速度“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全和控制的商业价值 如此多的企业都依赖于互联网和网络，因此比以往任何时候都更容易受到破坏 计算机系统的崩溃，可以造成明显的、或完全的丧失商业功能 机密资料、运营信息、政府的武器、情报和军事目标等，损失将是毁灭性的 缺乏安全和控制可能会导致严重的法律问题 如

30、保护不了客户、员工和合作伙伴的信息资产“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。电子证据和计算机取证 白领犯罪的证据常常是数字形式 数据存储在计算机设备、电子邮件、即时信息、电子交易中 保存证据 一个有效的电子文件保留政策能够确保电子文件、电子邮件等能够被很好的组织、获取 计算机取证Computer forensics： 科学的搜集、审查、鉴定、保存和分析取自计算机存储媒介中的数据 恢复数据、保存证据的完整性 安全存储和处理已恢复的电子数据 从大量的数据中找到重要的信息

31、向法庭提交信息 包括恢复已经删除或隐藏的数据“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。建立安全和控制框架 一般控制 在计算机程序的设计、安全和使用方面，以及数据文件的安全方面，都要进行管理，贯穿于组织信息技术基础设施的各个方面。 应用于全部的计算机化应用 综合硬件、软件和手工过程，建立全面的控制环境 一般控制的类型 软件控制 硬件控制 计算机操作控制 数据安全控制 实施环节的控制 管理环节的控制 应用控制Application controls 具体到每一个独特的电脑控制

32、程序，如工资单或订单处理 包括自动和手动过程 确保只有授权的数据，是被该应用程序完整和精确的处理 包括： 输入控制 处理过程控制 输出控制“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。风险评估Risk assessment风险评估 如果某一活动或流程没有得到适当的控制，风险评估用于确定公司面临的风险程度思考维度 资产的价值 威胁的类型 问题发生的频率 潜在的损失 潜在的危害性 下表：每天3万份订单的在线订单处理系统的风险评估EXPOSURE风险PROBABILITY发生率LO

33、SS RANGE损失范围EXPECTED ANNUAL LOSS预计每年损失停电Power failure30%$5K - $200K平均$102.5K$30,750盗用Embezzlement5%$1K - $50K平均$25.5K$1,275用户错误User error98%$200 - $40K平均$20.1K$19,698“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全策略Security policy 安全策略 信息风险分级、确定可接受的安全目标、实现这些目标的机

34、制 Drives other policies 可接受使用策略Acceptable use policy (AUP) 定义公司的信息资源和计算机设备的可接受使用情况 授权策略Authorization policies 不同级别的用户访问信息资产的不同级别的权限“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。授权管理系统 授权管理系统 规定用户在何进何地可以访问一个网站或公司数据库的某个特定部分 只允许每个用户进入系统允许访问的部分“雪亮工程是以区（县）、乡（镇）、村（社区）三

35、级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。灾难恢复计划和业务持续计划 灾难恢复计划 为地震、洪水、或恐怖袭击之类的事件破坏后，为其恢复制定计划 业务持续计划 集中于灾难后恢复运营的计划 综述 两种计划都用于对于公司最重要的系统 业务影响分析 管理层要确定灾难时哪些系统最优先恢复“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。信息系统安全的要素 系统安全必须支持组织的任务 系统安全是良好管理的一个构成要素 系统安全应当注重成本效益 系统安全的责任和职责应当规定明确 系统所有者在他们自己的组织之外也负有计算机安全责任 系统安全要求有一个广泛的综合性的方法 系统安全应当定期评估 系统安全受社会因素的制约