信息系统的弱点
漏洞的危害等级 A级：允许恶意入侵者访问并可能破坏整个目标系统。 B级：允许本地用户提高访问权限，并可能使其获得系统控制 的漏洞。 C级：允许用户中断或阻断漏洞。 漏洞产生的原因 1.系统或软件设计中存在缺陷。 2.技术实现不充分。 3.配置管理或使用不当。
ISO对具体的威胁定义
什么是信息安全
信息安全InfoSec:
信息安全InfoSec(Information Security)的任务，就是要 采取措施(技术手段及有效管理)让这些信息资产免遭威胁，或 者将威胁带来的后果降到最低程度，以此维护组织的正常运作。
信息安全CIA模型
信息安全体系结构
建立安全体系的过程
Action
哪些是信息
网络上的数据 纸质文件 软件 物理环境 人员 设备 公司形象和声誉
……
信息的分类
按照人、组织结构划分 按照信息媒体划分 按照信息内容划分 按照直接处理系统划分
……
ห้องสมุดไป่ตู้
信息的处理方式
信息系统的弱点
信息存储的弱点
磁盘意外损坏
光盘意外损坏
磁带被意外盗走
• 导致数据丢失 • 导致数据无法访问
信息系统的弱点
信息传输的弱点
Internet
下属机构
• 信息泄密
• 信息被篡改
黑客 总部
信息系统的弱点
非法登录
非法用户
计算机网络
企业网络
越权访问
• 信息被越权访问 • 信息被非授权访问
合法用户
信息系统的弱点
信息安全漏洞体现在以下几个方面： a.系统存在安全方面的问题。 b.非法用户得以获得访问权。 c.合法用户越级访问。 d.系统受到攻击。 信息安全漏洞体现在以下几个方面： a.网络协议的安全漏洞。 b.操作系统的安全漏洞。 c.应用程序的安全漏洞。
plan
check
do
信息安全设计基本原则
木桶原则 也称“短板效应”，只重技术，轻管理也不能实现信息 安全。 多重保护原则 注重安全层次和安全级别 动态化原则 预防为主的原则
企业安全防护体系
人 制度
安全防护体系
技术
人 制度 技术
伪装(pseudonym)： 非法连接(illegal association)： 非授权访问(no-authorized access)： 拒绝服务(denial of service)： 信息泄露(leakage of information)： 改变信息流(invalid message sequencing) 篡改或破坏数据(data modification or destruction) 非法篡改(illegal modification of programs)：
信息安全概述
课程导论
什么是信息
通过在数据上施加某些约定而赋予这些数据的特殊 含义 （GMITS） 通常我们把信息理解为消息、信号、数据、情报和 知识等 信息是无形的，可借助多种介质存储和传递 对现代企业而言，信息是宝贵的资源和资产 信息是一种资产，像其他的业务资产一样对企业具 有价值，因此要妥善加以保护 （BS7799）