信息技术-陶成兵-信息技术项目七.pptxVIP

信息技术 0102信息安全基础信息安全概述信息安全策略 01信息安全概述信息安全的含义及我们面临的挑战1 信息安全是指为防止意外事故和恶意攻击而对信息基础设施、应用服务和信息内容的保密性、完整性、可用性、可控性和不可否认性进行的安全保护。信息安全的含义互联网体系结构的开放性带来的问题网络基础设置和通信协议的缺陷，网络应用高速发展黑客及恶意软件操作系统漏洞公司内部安全问题12345信息安全的现状及面临的挑战 01信息安全概述信息安全的特性及风险评估2（1）保密性。当数据离开一个特定系统，例如网络中的服务器，就会暴露在不可信的环境中。保密性服务就是通过加密算法对数据进行加密，以确保其即使处于不可信环境中也不会泄露。（2）完整性。完整性服务用于保护数据免受非授权的修改。数据在传输过程中会处于很多不可信的环境，其中一些攻击者会试图对数据进行恶意修改。（3）可用性。可用性服务用于保证合法用户对信息和资源的使用不会被不正当地拒绝，即当需要时能够正常存取和访问信息。各种对网络的破坏、身份否认、拒绝以及延迟使用都会破坏信息的可用性。（4）可控性。可控性的关键是对网络中的资源进行标识，通过身份标识达到对用户进行认证的目的。一般系统会通过使用“用户所知”或“用户所有”来对用户进行标识，从而验证用户是否是其声称的身份。（5）不可否认性。不可否认性服务用于追溯信息或服务的源头，这里有个重要的概念：数字签名。数字签名技术可以使其信息具有不可替代性，而信息的不可替代性可以导致两种结果：在认证过程中，双方通信的数据可以不被恶意的第三方肆意更改；信息具有高认证性，并且不会被发送方否认。信息安全的特性 01信息安全概述信息安全的特性及风险评估2（1）信息资产确定。信息资产大致分为物理资产、知识资产、时间资产和名誉资产四类。1）物理资产：是指具有物理形态的资产。例如：服务器、网络连接设备、工作站等。2）知识资产：其可以以任意的信息形式存在。例如：一些系统软件、数据库或者组织内部的电子邮件等。3）时间资产：对于组织与企业来说，时间也属于一种宝贵的财产。4）名誉资产：公众对于一个企业的看法与意见也可以直接影响其业绩，所以名誉也属于一种重要的资产，需要被保护。（2）信息安全评估。信息安全要根据安全漏洞、安全威胁和安全风险三者的关系进行评估。 安全威胁是一系列可能被利用的隐患，安全漏洞存在于系统之中，可以用于越过系统的安全防护，当安全漏洞与安全威胁同时存在时就会存在安全风险。信息安全风险评估 保证信息安全的法律法规102信息安全策略我国信息安全法律法规的发展和完善自1994 年我国颁布第一部有关信息安全的行政法规——《计算机信息系统安全保护条例》以来，伴随着信息技术特别是互联网技术的飞速发展，我国在信息安全领域的法制建设工作取得了令人瞩目的成绩，涉及信息安全的法律法规体系已经基本形成，主要包括以下几个层面：（1）信息安全相关法律。最主要的就是《宪法》《刑法》，此外还有《保守国家秘密法》《专利法》《著作权法》《电子签名法》《电子商务法》等。（2）信息安全相关行政法规。行政法规是指国务院为执行宪法和法律而制定的法律规范。信息安全相关行政法规主要有《计算机信息系统安全保护条例》《计算机信息网络国际联网管理暂行规定》《商用密码管理条例》《电信条例》《互联网信息服务管理办法》《计算机软件保护条例》《互联网上网服务营业场所管理条例》，等等。（3）信息安全方面的相关部门章程。如公安部出台的《计算机信息系统安全专用产品检测和销售许可证管理办法》《计算机信息网络国际联网安全保护管理办法》、文化部出台的《互联网文化管理暂行规定》等。（4）信息安全地方相关法规。如《北京市政务与公共服务信息化工程建设管理办法》《辽宁省计算机信息系统安全管理条例》等。法律法规的约束 信息安全相关法律法规不仅仅是打击信息违法犯罪的有力武器，它对我们每一名公民也同样有着相关行为的约束力。正如“任务引入”中介绍的案例，我们每个人都有可能接触到相关情况，我们要学法、懂法，既要自由遨游在信息的海洋中，也要学会用法律武器保护自己的合法权益。 近几年出台的《网络安全法》《通信短信服务管理规定》《互联网用户账号名称管理规定》《App 违法违规收集使用个人信息行为认定方法》等法律法规，和我们每个人都是息息相关的。 保证信息安全的法律法规102信息安全策略信息安全等级保护机制 信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统的安全保护等级分为以下五级（一至五级等级逐级增高）： 第一级，信息系统受到破坏后，会对自然人、法人和非法人组织的