信息安全管理前言.pptx
《信息安全管理前言.pptx》由会员分享,可在线阅读,更多相关《信息安全管理前言.pptx(20页珍藏版)》请在冰豆网上搜索。
前言主要内容:
1、什么是信息安全?
2、信息安全与我们的关系?
3、如何实现信息安全?
4、信息安全管理制度和法律法规!
信息安全主要内容,信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。
信息安全管理关键,网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全管理内涵,信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。
本专业培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。
什么是信息?
有意义的内容对企业具有价值的信息,称为信息资产;对企业正常发展具有影响作用,敏感信息,不论是否属于有用信息。
制度:
对于规避问题出现、防范风险非常重要,采取合适的信息安全措施,使安全事件对业务造成的影响降低最小,保障组织内业务运行的连续性。
什么是信息安全?
信息安全的3要素:
CIAConfidentiality,Integrity,Availability保密性、完整性、可用性,信息安全与我们的关系?
威胁来源:
自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;网络协议自身缺陷缺陷,例如TCP/IP协议的安全问题等等。
常见威胁:
窃取、截取、伪造、篡改、拒绝服务攻击、行为否认、非授权访问、传播病毒等。
某防病毒厂商2010年第一季度信息安全威胁报告:
在全球不同国家,共计发生327,598,028次恶意程序试图感染用户计算机的行为,同上一季度相比,总体增长26.8%;网络罪犯所采取的攻击策略有所改变;互联网上占统治的地位的恶意软件家族主要针对HTML代码或脚本,网络罪犯主要用此类家族的恶意软件感染合法网站;共发现119,674,973个包含恶意程序的主机服务器。
同上季度相比,新发现和确认的漏洞数量增长了6.9%;漏洞利用程序增长了21.3%。
几乎任何能够同计算机进行同步的设备都会被网络罪犯用来充当恶意软件的载体。
以企业为目标的攻击威胁数字上升;攻击工具的普及使网路罪行较以往变得更轻易;基于网站的攻击有增无减;针对个人身份资讯的安全威胁持续增长。
垃圾邮件持续泛滥;信息安全就在我们身边!
信息安全需要我们每个人的参与!
你该怎么办?
信息安全与我们的关系?
如何实现信息安全?
如何实现信息安全?
互联网企业被入侵案例:
案例1、Google,2009-12案例2、百度,2010-01案例3、网易,2010-07,物理安全计算机使用的安全网络访问的安全社会工程学病毒和恶意代码账号安全电子邮件安全重要信息的保密应急响应,文件分类分级使用过的重要文件及时销毁,不要扔在废纸篓里,也不要重复利用不在电话中说工作敏感信息,电话回叫要确认身份不随意下载安装软件,防止恶意程序、病毒及后门等黑客程序前来拜访的外来人员应做身份验证(登记),见到未佩戴身份识别卡的人应主动询问加强对移动计算机的安全保护,防止丢失;重要文件做好备份,如何实现信息安全?
防范社会工程学攻击社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段,取得自身利益的手法.步骤:
信息收集信任建立反追查典型攻击方式:
环境渗透、身份伪造、冒名电话、信件伪造等如何防范?
如何实现信息安全?
如何防范?
仔细身份审核;(多重身份认证、来电显示确认、电话回拨、EMAIL签名、动态密码验证、身份ID卡、上级领导担保等)严格执行操作流程审核;完善日志审计记录;完善应对措施,及时上报;注重保护个人隐私;不要把任何个人和公司内部信息或是识别标识告诉他人,除非你听出她或他的声音是熟人,并确认对方有这些信息的知情权。
无论什么时候在接受一个陌生人询问时,首先要礼貌的拒绝,直到确认对方身份。
如何实现信息安全?
Thinkbeforeyousharesensitiveinformation.Thinkbeforeyouclick.,如何实现信息安全?
信息安全管理制度和法律法规,原则上外来设备不允许接入公司内部网络,如有业务需要,需申请审批通过后方可使用。
外来设备包括外部人员带到公司的笔记本电脑、演示机、测试机等。
公司内计算机严格限制使用包括移动硬盘、U盘、MP3、带存储卡的设备等的移动存储设备,除工作必须要长期使用移动存储的可申请开通外,公司内的计算机禁止使用移动存储设备。
公司内严禁使用盗版软件和破解工具,如有工作需要,应通过公司采购正版软件或使用免费软件。
信息安全管理制度和法律法规(续),不经批准,严禁在公司内部架设FTP,DHCP,DNS等服务器研发用机未经批准,严禁转移到公司办公网络、或将办公电脑转移到研发内网使用。
研发规定如下:
任何部门和个人不得私自将包括HUB、交换机、路由器等的网络设备接入公司网络中。
原则上不得使用网络共享,因工作原因需要使用的,必须遵循最小化授权原则,删除给所有人(everyone)的共享权限,只共享给需要访问的人员,并且在使用后立即关闭。
发现中毒后要断开网络,并及时报告IT服务热线,等待IT工程师来处理。
严禁使用扫描工具对网络进行扫描和在网络使用黑客工具不得以任何方式将公司信息(包括网络拓扑、IP地址、安全策略、帐号,口令等)告知不相关的人员内部计算机的操作系统、IIS,数据库、FTP以及所有企业应用(如电子邮件系统、即时通讯工具等)中,必须设置用户口令,严禁使用空口令、弱口令或缺省口令。
一经发现将被行政处罚。
信息安全管理制度和法律法规(续),口令长度应在8个字符以上,还应包括大小写字母,特殊符号和数字。
口令应该在三个月内更换,重要的和使用频繁的口令视情况缩短更改周期。
不允许使用前3次用过的口令。
严禁卸载或关闭安全防护软件和防病毒软件,如有系统补丁必须及时安装。
离开电脑要锁屏。
信息安全管理制度和法律法规(续),系统保护中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理办法安全产品商用密码管理条例国家秘密中华人民共和国保守国家秘密法计算机信息系统国际联网保密管理规定知识产权中华人民共和国著作权法最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释计算机软件保护条例中华人民共和国专利法计算机犯罪中华人民共和国刑法(摘录)网络犯罪的法律问题研究电子证据中华人民共和国电子签名法电子认证服务管理办法,信息安全管理制度和法律法规,提高信息安全意识,人人防范,
升级会员 