信息安全管理概述精.ppt

《信息安全管理概述精.ppt》由会员分享，可在线阅读，更多相关《信息安全管理概述精.ppt（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理概述第1页，本讲稿共22页 第一章第一章 信息安全管理概述信息安全管理概述1.1 基本概念1.2 信息安全的隐患1.3 信息系统面临的威胁1.4 信息安全管理涵盖的内容1.5 信息安全管理架构1.6 信息系统安全等级保护第2页，本讲稿共22页案例案例1l假银行网站，2004年12月l中国银行l http:/l http:/l工商银行l http:/l http:/l 差之毫厘、失之千里第3页，本讲稿共22页案例案例2l股票窃密者：TrojanSpy.Stockl专门针对证券网上交易系统的一种木马l用Delphi语言编写，用UPX压缩l替换 Windows/SYSTEM32.EXEl

2、记录用户的键盘操作l窃取用户股票交易账号和密码l每隔三分钟将屏幕截图保存l把窃取的信息发送到指定邮箱第4页，本讲稿共22页案例案例3l俄罗斯黑客弗拉基米尔俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国小软件公司的联网计算机上，向美国CITYBANKCITYBANK银行发动了银行发动了一连串攻击，通过电子转帐方式，从一连串攻击，通过电子转帐方式，从CITYBANKCITYBANK银行在纽约银行在纽约的计算机主机里窃取的计算机主机里窃取11001100万美元。万美元。第5页，本讲稿共22页案例案例4l2003年2月17日发现一名电脑“黑

3、客”最近“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统，窃取了万事达、维萨、美国运通、发现4家大型信用卡组织的约800万张信用卡资料。l中美黑客网上大战时，国内外的上千个门户网站遭到破坏。第6页，本讲稿共22页案例案例5l2003年1月25日，互联网上出现一种新型高危蠕虫病毒“2003蠕虫王”。全球25万台计算机遭袭击，全世界范围内损失额最高可达12亿美元。l美欲用电脑赢战争，网络特种兵走入无硝烟战场。过去几天来，数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件。正当美国士兵被大量派往海湾之时，美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕。第7页，本讲稿共22页案例

4、 6：“史上最黑黑客”加里麦金农案例 7：美国电力系统被入侵案例 8：第8页，本讲稿共22页安全问题安全问题 1）没有统一定义 什么是安全？2）没有绝对标准 安全的判别程度不同 安全都是相对的 没有最好的安全，最佳的机制 适合自己的是最好的第9页，本讲稿共22页安全问题安全问题3）没有绝对保证 时间与空间复杂性 不是无懈可击的 任何系统都有漏洞和弱点 安全是有生存周期的第10页，本讲稿共22页l4）没有完美系统 对可靠性的理解 对可信性的理解 对可行性的理解 对可用性的理解 任何人创造的所谓无懈可击的安全系统，都会被最终攻克。第11页，本讲稿共22页5）没有真正专家 人类的追求是无止境的 人的

5、认识也是无止境的 不懂是永恒的，懂是暂时的 所谓“懂”是指对该学科的某一阶段或某一层面的正确认识。第12页，本讲稿共22页本课的研究领域本课的研究领域计算机系统安全计算机系统安全Compsec网络安全网络安全Netsec信息安全信息安全Infosec第13页，本讲稿共22页过去过去现在现在将来将来系统可靠性系统可靠性实体安全实体安全系统安全系统安全密码技术密码技术计算机病毒计算机病毒计算机安全计算机安全信息安全的进展信息安全的进展第14页，本讲稿共22页过去过去现在现在将来将来系统可靠性系统可靠性实体安全实体安全系统安全系统安全密码技术密码技术计算机病毒计算机病毒计算机安全计算机安全多机系统互

6、连安全多机系统互连安全远程访问安全远程访问安全数据完整、可用数据完整、可用网络安全防御网络安全防御网络攻击与反攻击网络攻击与反攻击网络安全网络安全+信息安全的进展（续）信息安全的进展（续）第15页，本讲稿共22页过去过去现在现在将来将来系统可靠性系统可靠性实体安全实体安全系统安全系统安全密码技术密码技术计算机病毒计算机病毒计算机安全计算机安全多机系统互连安全多机系统互连安全远程访问安全远程访问安全数据完整、可用数据完整、可用网络安全防御网络安全防御网络攻击与反攻击网络攻击与反攻击网络安全网络安全+信息可信可控信息可信可控信息保障信息保障信息对抗信息对抗可信赖计算环境可信赖计算环境社会心理安全社

7、会心理安全信息安全信息安全+信息安全的进展（续）信息安全的进展（续）第16页，本讲稿共22页信息安全领域信息安全领域计算机计算机安全安全计算机计算机安全安全计算机计算机安全安全计算机计算机安全安全计算机计算机安全安全Internet计算机计算机安全安全网络安全领域网络安全领域行业行业通信通信社会社会行业行业法律法律心理心理第17页，本讲稿共22页1.1 基本概念基本概念1.1.1 数据的保密性：数据的保密性：防止信息被未授权者访问和防止信息在传递过程中被防止信息被未授权者访问和防止信息在传递过程中被截获或解密的性能。截获或解密的性能。静态信息保密性：静态信息保密性：动态信息保密性：动态信息保密

8、性：常用的数据保密技术有：常用的数据保密技术有：防帧收：防帧收：防辐射：防辐射：信息加密：信息加密：物理保密：物理保密：第18页，本讲稿共22页1.1.2 数据的完整性数据的完整性 信息未经授权不能进行改变的特性，即信息在存储或传输信息未经授权不能进行改变的特性，即信息在存储或传输中保持不被删除、修改、插入、伪造、重新排序等破坏和中保持不被删除、修改、插入、伪造、重新排序等破坏和丢失的特性。丢失的特性。1.1.3 数据的可用性数据的可用性 保证经授权的用户可以访问到所需要的信息保证经授权的用户可以访问到所需要的信息第19页，本讲稿共22页1.1.4 信息安全信息安全保密性：保密性：完整性：完整性：可用性：可用性：第20页，本讲稿共22页l1.1.5 信息安全风险评估信息安全风险评估 对信息系统的威胁、影响、脆弱性三者发生对信息系统的威胁、影响、脆弱性三者发生的可能性进行评估。的可能性进行评估。评估方法。评估方法。自评估自评估 其他评服务其他评服务第21页，本讲稿共22页1.1.6 信息安全策略信息安全策略 信息安全策略是一种处理信息安全问题的管信息安全策略是一种处理信息安全问题的管理策略，它为信息安全提供安全管理和支持。理策略，它为信息安全提供安全管理和支持。第22页，本讲稿共22页