信息安全管理概述第一頁，共二十二頁，2022年，8月28日第一章信息安全管理概述1.1基本概念1.2信息安全的隱患1.3信息系統(tǒng)面臨的威脅1.4信息安全管理涵蓋的內(nèi)容1.5信息安全管理架構(gòu)1.6信息系統(tǒng)安全等級(jí)保護(hù)第二頁，共二十二頁，2022年，8月28日案例1假銀行網(wǎng)站，2004年12月中國銀行

工商銀行

差之毫厘、失之千里第三頁，共二十二頁，2022年，8月28日案例2股票竊密者：TrojanSpy.Stock專門針對(duì)證券網(wǎng)上交易系統(tǒng)的一種木馬用Delphi語言編寫，用UPX壓縮替換Windows/SYSTEM32.EXE記錄用戶的鍵盤操作竊取用戶股票交易賬號(hào)和密碼每隔三分鐘將屏幕截圖保存把竊取的信息發(fā)送到指定郵箱第四頁，共二十二頁，2022年，8月28日案例3俄羅斯黑客弗拉基米爾·利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向美國CITYBANK銀行發(fā)動(dòng)了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取1100萬美元。第五頁，共二十二頁，2022年，8月28日案例42003年2月17日發(fā)現(xiàn)一名電腦“黑客”最近“攻入”美國一個(gè)專門為商店和銀行處理信用卡交易的服務(wù)器系統(tǒng)，竊取了萬事達(dá)、維薩、美國運(yùn)通、發(fā)現(xiàn)4家大型信用卡組織的約800萬張信用卡資料。中美黑客網(wǎng)上大戰(zhàn)時(shí)，國內(nèi)外的上千個(gè)門戶網(wǎng)站遭到破壞。第六頁，共二十二頁，2022年，8月28日案例52003年1月25日，互聯(lián)網(wǎng)上出現(xiàn)一種新型高危蠕蟲病毒——“2003蠕蟲王”。全球25萬臺(tái)計(jì)算機(jī)遭襲擊，全世界范圍內(nèi)損失額最高可達(dá)12億美元。美欲用電腦贏戰(zhàn)爭，網(wǎng)絡(luò)特種兵走入無硝煙戰(zhàn)場。過去幾天來，數(shù)千名伊拉克人在他們的電子信箱里發(fā)現(xiàn)了這封發(fā)件人被掩蓋的郵件。正當(dāng)美國士兵被大量派往海灣之時(shí)，美軍對(duì)伊拉克的第一輪網(wǎng)絡(luò)攻擊也隨之悄然拉開了帷幕。第七頁，共二十二頁，2022年，8月28日案例6：“史上最黑黑客”加里·麥金農(nóng)案例7：美國電力系統(tǒng)被入侵案例8：第八頁，共二十二頁，2022年，8月28日安全問題

1）沒有統(tǒng)一定義什么是安全？

2）沒有絕對(duì)標(biāo)準(zhǔn)安全的判別程度不同安全都是相對(duì)的沒有最好的安全，最佳的機(jī)制適合自己的是最好的第九頁，共二十二頁，2022年，8月28日安全問題3）沒有絕對(duì)保證

時(shí)間與空間復(fù)雜性不是無懈可擊的任何系統(tǒng)都有漏洞和弱點(diǎn)安全是有生存周期的第十頁，共二十二頁，2022年，8月28日4）沒有完美系統(tǒng)對(duì)可靠性的理解對(duì)可信性的理解對(duì)可行性的理解對(duì)可用性的理解任何人創(chuàng)造的所謂無懈可擊的安全系統(tǒng)，都會(huì)被最終攻克。第十一頁，共二十二頁，2022年，8月28日5）沒有真正專家人類的追求是無止境的人的認(rèn)識(shí)也是無止境的不懂是永恒的，懂是暫時(shí)的所謂“懂”是指對(duì)該學(xué)科的某一階段或某一層面的正確認(rèn)識(shí)。第十二頁，共二十二頁，2022年，8月28日本課的研究領(lǐng)域計(jì)算機(jī)系統(tǒng)安全Compsec網(wǎng)絡(luò)安全Netsec信息安全I(xiàn)nfosec第十三頁，共二十二頁，2022年，8月28日過去現(xiàn)在將來系統(tǒng)可靠性實(shí)體安全系統(tǒng)安全密碼技術(shù)計(jì)算機(jī)病毒計(jì)算機(jī)安全信息安全的進(jìn)展第十四頁，共二十二頁，2022年，8月28日過去現(xiàn)在將來系統(tǒng)可靠性實(shí)體安全系統(tǒng)安全密碼技術(shù)計(jì)算機(jī)病毒計(jì)算機(jī)安全多機(jī)系統(tǒng)互連安全遠(yuǎn)程訪問安全數(shù)據(jù)完整、可用網(wǎng)絡(luò)安全防御網(wǎng)絡(luò)攻擊與反攻擊網(wǎng)絡(luò)安全+信息安全的進(jìn)展（續(xù)）第十五頁，共二十二頁，2022年，8月28日過去現(xiàn)在將來系統(tǒng)可靠性實(shí)體安全系統(tǒng)安全密碼技術(shù)計(jì)算機(jī)病毒計(jì)算機(jī)安全多機(jī)系統(tǒng)互連安全遠(yuǎn)程訪問安全數(shù)據(jù)完整、可用網(wǎng)絡(luò)安全防御網(wǎng)絡(luò)攻擊與反攻擊網(wǎng)絡(luò)安全+信息可信可控信息保障信息對(duì)抗可信賴計(jì)算環(huán)境社會(huì)心理安全信息安全+信息安全的進(jìn)展（續(xù)）第十六頁，共二十二頁，2022年，8月28日信息安全領(lǐng)域計(jì)算機(jī)安全計(jì)算機(jī)安全計(jì)算機(jī)安全計(jì)算機(jī)安全計(jì)算機(jī)安全I(xiàn)nternet計(jì)算機(jī)安全網(wǎng)絡(luò)安全領(lǐng)域行業(yè)通信社會(huì)行業(yè)法律心理第十七頁，共二十二頁，2022年，8月28日1.1基本概念1.1.1數(shù)據(jù)的保密性：防止信息被未授權(quán)者訪問和防止信息在傳遞過程中被截獲或解密的性能。靜態(tài)信息保密性：動(dòng)態(tài)信息保密性：常用的數(shù)據(jù)保密技術(shù)有：防幀收：防輻射：信息加密：物理保密：第十八頁，共二十二頁，2022年，8月28日1.1.2數(shù)據(jù)的完整性信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即信息在存儲(chǔ)或傳輸中保持不被刪除、修改、插入、偽造、重新排序等破壞和丟失的特性。1.1.3數(shù)據(jù)的可用性保證經(jīng)授權(quán)的用戶可以訪問到所需要的信息第十九頁，共二十二頁，2022年，8月28日1.1.4信息安全保密性：完整性：可用性：第二十頁，共二十二頁，2022年，8月28日1.1.5信息安全風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)的威脅、影響、脆弱性三者發(fā)生的可能性進(jìn)行評(píng)估。評(píng)估方法。