信息安全管理基础 ppt
私密性(Privacy)—— 个人和组织控制私用信息采集、存储和分发的权利。 身份识别(Identification)—— 用户向系统声称其真实身份的方式。 身份认证(Authentication)—— 测试并认证用户的身份。 授权(Authorization)—— 为用户分配并校验资源访问权限的过程。 可追溯性(Accountability)—— 确认系统中个人行为和活动的能力。 抗抵赖性(Non-repudiation)—— 确保信息创建者就是真正的发送者的能力。 审计(Audit)—— 对系统记录和活动进行独立复查和审核,确保遵守性
动
-
3
信息安全概述 风险评估与风险管理 ISO27001简介 信息安全管理实施细则 信息安全管理体系规范 信息安全管理体系认证 总结和展望
-
4
信息安全概述
什么是信息?
-
5
信息安全概述
什么是信息?
有价值的内容
—— ISO9000
消息、信号、数据、情报和知识 信息本身是无形的,借助于信息媒体以多种形式存在或传播:
-
19
信息安全概述
从什么方面考虑信息安全?
法律法规与 合同要求
组织原则目标 和业务需要
风险评估 的结果
-
20
信息安全概述
常规的技术措施
物理安全技术:环境安全、设备安全、媒体安全 系统安全技术:操作系统及数据库系统的安全性 网络安全技术:网络隔离、访问控制、VPN、入侵检测、扫描评估 应用安全技术:Email安全、Web访问安全、内容过滤、应用系统安全 数据加密技术:硬件和软件加密,实现身份认证和数据信息的CIA特性 认证授权技术:口令认证、SSO认证(例如Kerberos)、证书认证等 访问控制技术:防火墙、访问控制列表等 审计跟踪技术:入侵检测、日志审计、辨析取证 防病毒技术:单机防病毒技术逐渐发展成整体防病毒体系 灾难恢复和备份技术:业务连续性技术,前提就是对数据的备份
-
18
信息安全概述
信息安全的重要性
信息作为资产,就像其他重要的商务资产那样,有价值,因而要妥善保护 信息安全是国家安全的需要 信息安全是维持组织竞争优势、赢利能力、守法性和企业形象的保障之一 信息安全是保护个人隐私与财产的需要 许多组织都曾面临过严重的威胁,包括基于计算机的欺诈和蓄意破坏 现在,组织又面临更复杂的威胁,例如计算机病毒、黑客和拒绝服务攻击 网络技术的高速发展增加了对计算机系统未授权访问的机会 组织跨地区分布,集中式的、专家控制为主的信息安全管理系统比较困难 许多信息系统的设计本身就不安全 通过技术手段获得的安全是有限的,还应该通过恰当的管理和程序来支持
• 互联网技术飞速发展,信 息无论是对内还是对外都 得到极大开放
• 信息安全从CIA中又衍生 出可控性、抗抵赖性、真 实性等特性,并且从单一 的被动防护向全面而动态 的防护、检测、响应、恢 复发展
• 信息保障(Information Assurance),从整体角度 考虑安全体系建设
• 美国的IATF规范
ISO27001标准探悉
—— 信息安全管理体系基础知识培训
-
1
内容目录
信息安全概述 风险评估与管理 ISO27001简介 信息安全管理实施细则 信息安全管理体系规范 信息安全管理体系认证 总结和展望
-
2
我们的目标
理解信息、信息安全和信息安全管理 理解信息安全风险评估与风险管理 理解ISO27001标准本身的条款内容 掌握一种实施ISMS的方法和途径 了解ISO27001认证的完整过程 用ISO27001指导企业进行信息安全的各项活
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D A D 漏 泄
isclosure 改 篡
lteration 坏 破
estruction
-
16
信息安全概述
Confidentiality 机密性
Integrity 完整性
Availability 可用性
-
17
信息安全概述
其他概念和原则
-
10
信息安全概述
信息安全0世纪60年代前
• 电话、电报、传真 • 强调的是信息的保密性 • 对安全理论和技术的研究 只侧重于密码学 • 通信安全,即COMSEC
60年代到80年代
• 计算机软硬件极大发展 • 关注保密性、完整性和可 用性目标 • 信息安全,即INFOSEC • 代表性成果是美国的 TCSEC和欧洲的ITSEC测 评标准
-
6
信息安全概述
企业信息安全管理关注的信息类型
内部信息
组织不想让其竞争 对手知道的信息
客户信息
顾客/客户不想让组 织泄漏的信息
-
共享信息
需要与其他业务伙 伴分享的信息
7
信息安全概述
信息的处理方式
创建
使用
传递
更改
-
存储
销毁
8
信息安全概述
什么是信息安全?
-
9
信息安全概述
什么是信息安全?
采取措施保护信息资产,使之 不因偶然或者恶意侵犯而遭受破坏、 更改及泄露,保证信息系统能够连 续、可靠、正常地运行,使安全事 件对业务造成的影响减到最小,确 保组织业务运行的连续性。
• 存储在计算机、磁带、纸张等介质中 • 记忆在人的大脑里 • 通过网络、打印机、传真机等方式进行传播 信息借助媒体而存在,对现代企业来说具有价值,就成为信息资产: • 计算机和网络中的数据 • 硬件、软件、文档资料 • 关键人员 • 组织提供的服务 具有价值的信息资产面临诸多威胁,需要妥善保护
-
11
信息安全概述
信息安全基本目标
C onfidentiality I ntegrity A vailability
-
12
信息安全概述
企业重大泄密事件屡屡发生
-
13
信息安全概述
敏感信息遭受篡改也会导致恶劣后果
-
14
信息安全概述
破坏导致系统瘫痪后果非常严重
-
15
信息安全概述
C.I.A.和D.A.D.
C
保密性(Confidentiality)—— 确保信息在存储、使用、传输过程 中不会泄漏给非授权用户或实体。
完整性(Integrity)—— 确保信息在存储、使用、传输过程中不会
I
被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息
内部和外部的一致性。
A
可用性(Availability)—— 确保授权用户或实体对信息及资源的正 常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
