第二章信息安全基礎(chǔ)2023/12/28第二章信息安全基礎(chǔ)目錄第二章信息安全基礎(chǔ)目錄第二章信息安全基礎(chǔ)什么是信息第二章信息安全基礎(chǔ)信息簡介信息的概念1928年，哈特萊(L.V.R.Hartley)在《貝爾系統(tǒng)技術(shù)雜志》（BSTJ）上發(fā)表了一篇題為“信息傳輸”的論文，把信息理解為選擇通信符號的方式，且用選擇的自由度來計量信息的大小。1948年，美國數(shù)學(xué)家仙農(nóng)(C.E.Shannon)在《貝爾系統(tǒng)技術(shù)雜志》上發(fā)表了一篇題為“通信的數(shù)學(xué)理論”的論文，以概率論為基礎(chǔ)，在對信息的認(rèn)識方面取得了很大的突破。與此同時，維納(N.Wiener)出版了專著《控制論：動物和機(jī)器中的通信與控制問題》，創(chuàng)建了控制論。

第二章信息安全基礎(chǔ)信息簡介信息的概念1975年，意大利學(xué)者朗高(G.Longo)在《信息論：新的趨勢與未決問題》提出“信息就是差異”。1988年，我國信息論專家鐘義信教授在《信息科學(xué)原理》一書中提出了信息的定義，并引入約束條件推導(dǎo)了信息的概念體系。信息的定義：事物運(yùn)動的狀態(tài)和狀態(tài)變化的方式。第二章信息安全基礎(chǔ)信息簡介信息的概念舉例加深對信息概念的理解第二章信息安全基礎(chǔ)信息簡介信息的概念舉例加深對信息概念的理解第二章信息安全基礎(chǔ)信息簡介信息的概念舉例加深對信息概念的理解結(jié)論：信息不同于消息，消息是信息的外殼，信息則是消息的內(nèi)核第二章信息安全基礎(chǔ)信息簡介信息的概念舉例加深對信息概念的理解第二章信息安全基礎(chǔ)信息簡介信息的概念舉例加深對信息概念的理解結(jié)論：信息不同于信號，信號是信息的載體，信息則是信號所載荷的內(nèi)容第二章信息安全基礎(chǔ)信息簡介信息的概念舉例加深對信息概念的理解結(jié)論：信息不同于數(shù)據(jù)，文字或圖像等，那是記錄信息的形式。當(dāng)然，在計算機(jī)里，文件及信息的傳遞等都是數(shù)據(jù)的形式，此時信息等同于數(shù)據(jù)。第二章信息安全基礎(chǔ)信息簡介信息的概念舉例加深對信息概念的理解結(jié)論：信息不同于情報，所有的情報都是信息，但不能說所有的信息都是情報第二章信息安全基礎(chǔ)信息簡介信息的特征信息來源于物質(zhì)，又不是物質(zhì)本身信息也來源于精神世界信息和能量息息相關(guān)信息是具體的，并可以被人(生物、機(jī)器等)所感知、提取、識別，可以被傳遞、儲存、變換、處理、顯示、檢索、復(fù)制和共享。、第二章信息安全基礎(chǔ)信息簡介信息的性質(zhì)普遍性無限性相對性傳遞性變換性有序性動態(tài)性轉(zhuǎn)化性第二章信息安全基礎(chǔ)信息簡介信息的功能信息的功能在于維持和強(qiáng)化世界的有序性主要的幾個方面：信息是一切生物進(jìn)化的導(dǎo)向資源。信息是知識的來源。信息是控制的靈魂。信息是思維的材料。信息是管理的基礎(chǔ)，是一切實現(xiàn)自組織的保證。信息是一種重要的社會資源。第二章信息安全基礎(chǔ)信息簡介信息的類型信息的類型由于目的和出發(fā)點的不同，分類也不同，常見的以下幾類：從信息的性質(zhì)出發(fā)：語法信息、語義信息、語用信息從信息的過程出發(fā)：實在信息、先驗信息、實得信息從信息的地位出發(fā)：客觀信息、主觀信息從信息的作用出發(fā)：有用信息、無用信息、干擾信息從信息的邏輯意義出發(fā)：真實信息、虛假信息、不定信息第二章信息安全基礎(chǔ)信息簡介信息的類型從信息的傳遞方向出發(fā)：前饋信息、反饋信息從信息的生成領(lǐng)域出發(fā)：宇宙信息、自然信息、社會信息、思維信息從信息的應(yīng)用部門出發(fā)：工業(yè)信息、農(nóng)業(yè)信息、軍事信息、政治信息、科技信息、經(jīng)濟(jì)信息、管理信息從信息源的性質(zhì)出發(fā)：語音信息、圖像信息、文字信息、數(shù)據(jù)信息、計算信息從信息的載體性質(zhì)出發(fā)：電子信息、光學(xué)信息、生物信息從攜帶信息的信號的形式出發(fā)：連續(xù)信息、離散信息、半連續(xù)信息第二章信息安全基礎(chǔ)謝謝收看第二章信息安全基礎(chǔ)信息安全的CIA第二章信息安全基礎(chǔ)信息安全概述信息安全的CIACIA在信息安全領(lǐng)域并不是CentralIntelligenceAgency（美國中央情報局）第二章信息安全基礎(chǔ)信息安全概述信息安全的CIACIA是信息安全的基本目標(biāo)，也是其三個原則Confidenciality

隱私性：指只有授權(quán)用戶可以獲取信息。Integrity

完整性：指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。Availability

可用性：指保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^。第二章信息安全基礎(chǔ)信息安全的基本目標(biāo)保密性，完整性，可用性CIAonfidentialityntegrityvailabilityCIA第二章信息安全基礎(chǔ)CIA互聯(lián)網(wǎng)就像一個虛擬的社會。在它誕生的初期，互聯(lián)網(wǎng)的應(yīng)用相對簡單，使用互聯(lián)網(wǎng)的人數(shù)較少，人們對安全的設(shè)計與考慮都比較少。經(jīng)過幾十年的發(fā)展和普及，現(xiàn)在互聯(lián)網(wǎng)已經(jīng)深入到我們生活的每個方面。從電子郵件，信息搜索，到IP電話，網(wǎng)上購物，訂機(jī)票車票，買賣股票，銀行和退休賬號管理，個人信息管理，博客與社交網(wǎng)。。。互聯(lián)網(wǎng)已經(jīng)同現(xiàn)代的社會生活緊密交織在一起，使人們更容易地獲得各種信息，跨越地域局限同世界上的人們交往，改變了不少企業(yè)的工作方式，創(chuàng)造出無數(shù)新的職業(yè)，同時也結(jié)束了一些傳統(tǒng)職業(yè)。第二章信息安全基礎(chǔ)CIA與此同時，社會的復(fù)雜性也反映到了互聯(lián)網(wǎng)上。從最初的以惡作劇為動機(jī)的無害病毒，到現(xiàn)在的以謀取金錢為目的的跨國黑客網(wǎng)，就像人類社會的安全問題一樣，信息安全的問題已經(jīng)成為伴隨著互聯(lián)網(wǎng)發(fā)展的一個越來越復(fù)雜的問題。

那么，信息安全都包括什么呢？第二章信息安全基礎(chǔ)提起信息安全，人們最容易想到的就是計算機(jī)的病毒問題。不錯，如今互聯(lián)網(wǎng)成了感染病毒和間諜軟件的最主要的媒介。單單是防毒問題，就足以讓一個企業(yè)的IT部門忙個不停了。對一般的家庭用戶，如何查毒防毒更是他們最經(jīng)常問的問題。CIA第二章信息安全基礎(chǔ)但是，信息安全不單是防毒查毒的問題。信息安全的中心問題是要能夠保障信息的合法持有和使用者能夠在任何需要該信息時獲得保密的，沒有被非法更改過的“原裝的”信息。在英文的文獻(xiàn)中，信息安全的目的常常用Confidentiality(保密性),Integrity（完整性）,和Availability（可獲得性）,三個詞概括。簡而言之，叫CIA-Triad。（哈哈，跟美國中央情報局是一樣的縮寫，可是用不著那么緊張啦。）CIA第二章信息安全基礎(chǔ)關(guān)于信息的保密性，比較容易理解，就是具有一定保密程度的信息只能讓有權(quán)讀到或更改的人讀到和更改。不過，這里提到的保密信息，有比較廣泛的外延：它可以是國家機(jī)密，是一個企業(yè)或研究機(jī)構(gòu)的核心知識產(chǎn)權(quán)，是一個銀行個人賬號的用戶信息，或簡單到你建立這個博客時輸入的個人信息。因此，信息保密的問題是每一個能上網(wǎng)的人都要面對的。CIA第二章信息安全基礎(chǔ)信息的完整性是指在存儲或傳輸信息的過程中，原始的信息不能允許被隨意更改。這種更改有可能是無意的錯誤，如輸入錯誤，軟件瑕疵，到有意的人為更改和破壞。在設(shè)計數(shù)據(jù)庫以及其他信息存儲和傳輸應(yīng)用軟件時，要考慮對信息完整性的校驗和保障。CIA第二章信息安全基礎(chǔ)信息的可獲得性是指，對于信息的合法擁有和使用者，在他們需要這些信息的任何時候，都應(yīng)該保障他們能夠及時得到所需要的信息。比如，對重要的數(shù)據(jù)或服務(wù)器在不同地點作多處備份，一旦A處有故障或災(zāi)難發(fā)生，B處的備用服務(wù)器能夠馬上上線，保證信息服務(wù)沒有中斷。一個很好的例子是：2001年的911摧毀了數(shù)家金融機(jī)構(gòu)在世貿(mào)中心的辦公室，可是多數(shù)銀行在事件發(fā)生后的很短的時間內(nèi)就能夠恢復(fù)正常運(yùn)行。這些應(yīng)歸功于它們的備份，修復(fù)，災(zāi)難后的恢復(fù)工作做得好。CIA第二章信息安全基礎(chǔ)信息安全的核心就是data：要保障沒有被破壞過的，原始的data能夠及時地，安全地在它的合法擁有者和使用者之間傳遞或存儲，而不能被不該獲得它們的人得到或更改。信息安全的工作就是要保障這些數(shù)據(jù)不被合法擁有和使用者以外的人竊取，篡改或破壞，同時保障這些數(shù)據(jù)不會由于操作失誤，機(jī)器故障，天災(zāi)人禍等被破壞。CIA第二章信息安全基礎(chǔ)謝謝收看第二章信息安全基礎(chǔ)信息安全目標(biāo)第二章信息安全基礎(chǔ)某公司信息安全方針和目標(biāo)第二章信息安全基礎(chǔ)信息安全方針第二章信息安全基礎(chǔ)信息安全管理機(jī)制1．公司采用系統(tǒng)的方法，按照ISO/IEC27001:2005建立信息安全管理體系，全面保護(hù)本公司的信息安全。第二章信息安全基礎(chǔ)信息安全管理組織2．公司總經(jīng)理對信息安全工作全面負(fù)責(zé)，負(fù)責(zé)批準(zhǔn)信息安全方針，確定信息安全要求，提供信息安全資源。3．公司總經(jīng)理任命管理者代表負(fù)責(zé)建立、實施、檢查、改進(jìn)信息安全管理體系，保證信息安全管理體系的持續(xù)適宜性和有效性。第二章信息安全基礎(chǔ)信息安全管理組織4．在公司內(nèi)部建立信息安全組織機(jī)構(gòu)，信息安全管理委員會和信息安全協(xié)調(diào)機(jī)構(gòu)，保證信息安全管理體系的有效運(yùn)行。5．與上級部門、地方政府、相關(guān)專業(yè)部門建立定期經(jīng)常性的聯(lián)系，了解安全要求和發(fā)展動態(tài)，獲得對信息安全管理的支持。第二章信息安全基礎(chǔ)人員安全6．信息安全需要全體員工的參與和支持，全體員工都有保護(hù)信息安全的職責(zé)，在勞動合同、崗位職責(zé)中應(yīng)包含對信息安全的要求。特殊崗位的人員應(yīng)規(guī)定特別的安全責(zé)任。對崗位調(diào)動或離職人員，應(yīng)及時調(diào)整安全職責(zé)和權(quán)限。7．對本公司的相關(guān)方，要明確安全要求和安全職責(zé)。第二章信息安全基礎(chǔ)人員安全8．定期對全體員工進(jìn)行信息安全相關(guān)教育，包括：技能、職責(zé)和意識。以提高安全意識。9．全體員工及相關(guān)方人員必須履行安全職責(zé)，執(zhí)行安全方針、程序和安全措施。第二章信息安全基礎(chǔ)識別法律、法規(guī)、合同中的安全10．及時識別顧客、合作方、相關(guān)方、法律法規(guī)對信息安全的要求，采取措施，保證滿足安全要求。第二章信息安全基礎(chǔ)風(fēng)險評估11．根據(jù)本公司業(yè)務(wù)信息安全的特點、法律法規(guī)要求，建立風(fēng)險評估程序，確定風(fēng)險接受準(zhǔn)則。12．采用先進(jìn)的風(fēng)險評估技術(shù)和軟件，定期進(jìn)行風(fēng)險評估，以識別本公司風(fēng)險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。13．應(yīng)根據(jù)風(fēng)險評估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險。第二章信息安全基礎(chǔ)報告安全事件14．公司建立報告信息安全事件的渠道和相應(yīng)的主管部門。15．全體員工有報告信息安全隱患、威脅、薄弱點、事故的責(zé)任，一旦發(fā)現(xiàn)信息安全事件，應(yīng)立即按照規(guī)定的途徑進(jìn)行報告。16．接受信息安全事件報告的主管部門應(yīng)記錄所有報告，及時做出相應(yīng)的處理，并向報告人員反饋處理結(jié)果第二章信息安全基礎(chǔ)監(jiān)督檢查17．定期對信息安全進(jìn)行監(jiān)督檢查，包括：日常檢查、專項檢查、技術(shù)性檢查、內(nèi)部審核等。第二章信息安全基礎(chǔ)業(yè)務(wù)持續(xù)性18．公司根據(jù)風(fēng)險評估的結(jié)果，建立業(yè)務(wù)持續(xù)性計劃，抵消信息系統(tǒng)的中斷造成的影響，防止關(guān)鍵業(yè)務(wù)過程受嚴(yán)重的信息系統(tǒng)故障或者災(zāi)難的影響，并確保能夠及時恢復(fù)。19．定期對業(yè)務(wù)持續(xù)性計劃進(jìn)行測試和更新。第二章信息安全基礎(chǔ)違反信息安全要求的懲罰20．對違反信息安全方針、職責(zé)、程序和措施的人員，按規(guī)定進(jìn)行處理。第二章信息安全基礎(chǔ)信息安全目標(biāo)：1.不可接受風(fēng)險處理率：100%（所有不可接受風(fēng)險應(yīng)降低到可接受的程度）。2.重大顧客因信息安全事件投訴為0次第二章信息安全基礎(chǔ)信息安全的目標(biāo)所有的信息安全技術(shù)都是為了達(dá)到一定的安全目標(biāo)，其核心包括保密性、完整性、可用性、可控性和不可否認(rèn)性五個安全目標(biāo)。保密性(Confidentiality)是指阻止非授權(quán)的主體閱讀信息。它是信息安全一誕生就具有的特性，也是信息安全主要的研究內(nèi)容之一。更通俗地講，就是說未授權(quán)的用戶不能夠獲取敏感信息。對紙質(zhì)文檔信息，我們只需要保護(hù)好文件，不被非授權(quán)者接觸即可。而對計算機(jī)及網(wǎng)絡(luò)環(huán)境中的信息，不僅要制止非授權(quán)者對信息的閱讀。也要阻止授權(quán)者將其訪問的信息傳遞給非授權(quán)者，以致信息被泄漏。第二章信息安全基礎(chǔ)完整性(Integrity)是指防止信息被未經(jīng)授權(quán)的篡改。它是保護(hù)信息保持原始的狀態(tài)，使信息保持其真實性。如果這些信息被蓄意地修改、插入、刪除等，形成虛假信息將帶來嚴(yán)重的后果?？捎眯?Usability)是指授權(quán)主體在需要信息時能及時得到服務(wù)的能力?？捎眯允窃谛畔踩Ｗo(hù)階段對信息安全提出的新要求，也是在網(wǎng)絡(luò)化空間中必須滿足的一項信息安全要求。可控性(Controlability)是指對信息和信息系統(tǒng)實施安全監(jiān)控管理，防止非法利用信息和信息系統(tǒng)。第二章信息安全基礎(chǔ)不可否認(rèn)性(Non-repudiation)是指在網(wǎng)絡(luò)環(huán)境中，信息交換的雙方不能否認(rèn)其在交換過程中發(fā)送信息或接收信息的行為。信息安全的保密性、完整性和可用性主要強(qiáng)調(diào)對非授權(quán)主體的控制。而對授權(quán)主體的不正當(dāng)行為如何控制呢?信息安全的可控性和不可否認(rèn)性恰恰是通過對授權(quán)主體的控制，實現(xiàn)對保密性、完整性和可用性的有效補(bǔ)充，主要強(qiáng)調(diào)授權(quán)用戶只能在授權(quán)范圍內(nèi)進(jìn)行合法的訪問，并對其行為進(jìn)行監(jiān)督和審查。第二章信息安全基礎(chǔ)除了上述的信息安全五性外，還有信息安全的可審計性(Audiability)、可鑒別性(Authenticity)等。信息安全的可審計性是指信息系統(tǒng)的行為人不能否認(rèn)自己的信息處理行為。與不可否認(rèn)性的信息交換過程中行為可認(rèn)定性相比，可審計性的含義更寬泛一些。信息安全的可見鑒別性是指信息的接收者能對信息的發(fā)送者的身份進(jìn)行判定。它也是一個與不可否認(rèn)性相關(guān)的概念。第二章信息安全基礎(chǔ)信息安全主要目標(biāo)之一是保護(hù)用戶數(shù)據(jù)和信息安全云計算數(shù)據(jù)的處理和存儲都在云平臺上進(jìn)行，計算資源的擁有者與使用者相分離已成為云計算模式的固有特點，由此而產(chǎn)生的用戶對自己數(shù)據(jù)的安全存儲和隱私性的擔(dān)憂是不可避免的。

具體來說，用戶數(shù)據(jù)甚至包括涉及隱私的內(nèi)容在遠(yuǎn)程計算、存儲、通信過程中都有被故意或非故意泄露的可能，亦存在由斷電或宕機(jī)等故障引發(fā)的數(shù)據(jù)丟失問題，甚至對于不可靠的云基礎(chǔ)設(shè)施和服務(wù)提供商，還可能通過對用戶行為的分析推測，獲知用戶的隱私信息。這些問題將直接引發(fā)用戶與云提供者間的矛盾和摩擦，降低用戶對云計算環(huán)境的信任度，并影響云計算應(yīng)用的進(jìn)一步推廣。第二章信息安全基礎(chǔ)信息安全的主要目標(biāo)之一是保護(hù)用戶數(shù)據(jù)和信息安全。當(dāng)向云計算過渡時，傳統(tǒng)的數(shù)據(jù)安全方法將遭到云模式架構(gòu)的挑戰(zhàn)。彈性、多租戶、新的物理和邏輯架構(gòu)，以及抽象的控制需要新的數(shù)據(jù)安全策略。第二章信息安全基礎(chǔ)云計算數(shù)據(jù)生命周期安全的關(guān)鍵挑戰(zhàn)數(shù)據(jù)安全：保密性、完整性、可用性、真實性、授權(quán)、認(rèn)證和不可抵賴性。數(shù)據(jù)存放位置：必須保證所有的數(shù)據(jù)包括所有副本和備份，存儲在合同、服務(wù)水平協(xié)議和法規(guī)允許的地理位置。例如，使用由歐盟的“法規(guī)遵從存儲條例”管理的電子健康記錄，可能對數(shù)據(jù)擁有者和云服務(wù)提供商都是一種挑戰(zhàn)。第二章信息安全基礎(chǔ)數(shù)據(jù)刪除或持久性：數(shù)據(jù)必須徹底有效地去除才被視為銷毀。因此，必須具備一種可用的技術(shù)，能保證全面和有效地定位云計算數(shù)據(jù)、擦除/銷毀數(shù)據(jù)，并保證數(shù)據(jù)已被完全消除或使其無法恢復(fù)。第二章信息安全基礎(chǔ)第二章信息安全基礎(chǔ)不同客戶數(shù)據(jù)的混合：數(shù)據(jù)尤其是保密/敏感數(shù)據(jù)，不能在使用、儲存或傳輸過程中，在沒有任何補(bǔ)償控制的情況下與其他客戶數(shù)據(jù)混合。數(shù)據(jù)的混合將在數(shù)據(jù)安全和地緣位置等方面增加安全挑戰(zhàn)。數(shù)據(jù)備份和恢復(fù)重建（RecoveryandRestoration）計劃：必須保證數(shù)據(jù)可用，云數(shù)據(jù)備份和云恢復(fù)計劃必須到位和有效，以防止數(shù)據(jù)丟失、意外的數(shù)據(jù)覆蓋和破壞。不要隨便假定云模式的數(shù)據(jù)肯定有備份并可恢復(fù)。第二章信息安全基礎(chǔ)數(shù)據(jù)發(fā)現(xiàn)（discovery）：由于法律系統(tǒng)持續(xù)關(guān)注電子證據(jù)發(fā)現(xiàn)，云服務(wù)提供商和數(shù)據(jù)擁有者將需要把重點放在發(fā)現(xiàn)數(shù)據(jù)并確保法律和監(jiān)管部門要求的所有數(shù)據(jù)可被找回。這些問題在云環(huán)境中是極難回答的，將需要管理、技術(shù)和必要的法律控制互相配合。第二章信息安全基礎(chǔ)第二章信息安全基礎(chǔ)數(shù)據(jù)安全隔離

為實現(xiàn)不同用戶間數(shù)據(jù)信息的隔離，可根據(jù)應(yīng)用具體需求，采用物理隔離、虛擬化和Multi-tenancy等方案實現(xiàn)不同租戶之間數(shù)據(jù)和配置信息的安全隔離，以保護(hù)每個租戶數(shù)據(jù)的安全與隱私。。數(shù)據(jù)與信息安全的具體防護(hù)

第二章信息安全基礎(chǔ)數(shù)據(jù)訪問控制

在數(shù)據(jù)的訪問控制方面，可通過采用基于身份認(rèn)證的權(quán)限控制方式，進(jìn)行實時的身份監(jiān)控、權(quán)限認(rèn)證和證書檢查，防止用戶間的非法越權(quán)訪問。如可采用默認(rèn)“denyall”的訪問控制策略，僅在有數(shù)據(jù)訪問需求時才顯性打開對應(yīng)的端口或開啟相關(guān)訪問策略。在虛擬應(yīng)用環(huán)境下，可設(shè)置虛擬環(huán)境下的邏輯邊界安全訪問控制策略，如通過加載虛擬防火墻等方式實現(xiàn)虛擬機(jī)間、虛擬機(jī)組內(nèi)部精細(xì)化的數(shù)據(jù)訪問控制策略。第二章信息安全基礎(chǔ)數(shù)據(jù)加密存儲

對數(shù)據(jù)進(jìn)行加密是實現(xiàn)數(shù)據(jù)保護(hù)的一個重要方法，即使該數(shù)據(jù)被人非法竊取，對他們來說也只是一堆亂碼，而無法知道具體的信息內(nèi)容。在加密算法選擇方面，應(yīng)選擇加密性能較高的對稱加密算法，如AES、3DES等國際通用算法，或我國國有商密算法SCB2等。在加密密鑰管理方面，應(yīng)采用集中化的用戶密鑰管理與分發(fā)機(jī)制，實現(xiàn)對用戶信息存儲的高效安全管理與維護(hù)。對云存儲類服務(wù)，云計算系統(tǒng)應(yīng)支持提供加密服務(wù)，對數(shù)據(jù)進(jìn)行加密存儲，防止數(shù)據(jù)被他人非法窺探；對于虛擬機(jī)等服務(wù)，則建議用戶對重要的用戶數(shù)據(jù)在上傳、存儲前自行進(jìn)行加密。第二章信息安全基礎(chǔ)第二章信息安全基礎(chǔ)數(shù)據(jù)加密傳輸

在云計算應(yīng)用環(huán)境下，數(shù)據(jù)的網(wǎng)絡(luò)傳輸不可避免，因此保障數(shù)據(jù)傳輸?shù)陌踩砸埠苤匾?。?shù)據(jù)傳輸加密可以選擇在鏈路層、網(wǎng)絡(luò)層、傳輸層等層面實現(xiàn)，采用網(wǎng)絡(luò)傳輸加密技術(shù)保證網(wǎng)絡(luò)傳輸數(shù)據(jù)信息的機(jī)密性、完整性、可用性。對于管理信息加密傳輸，可采用SSH、SSL等方式為云計算系統(tǒng)內(nèi)部的維護(hù)管理提供數(shù)據(jù)加密通道，保障維護(hù)管理信息安全。對于用戶數(shù)據(jù)加密傳輸，可采用IPSecVPN、SSL等VPN技術(shù)提高用戶數(shù)據(jù)的網(wǎng)絡(luò)傳輸安全性。第二章信息安全基礎(chǔ)數(shù)據(jù)備份與恢復(fù)

不論數(shù)據(jù)存放在何處，用戶都應(yīng)該慎重考慮數(shù)據(jù)丟失風(fēng)險，為應(yīng)對突發(fā)的云計算平臺的系統(tǒng)性故障或災(zāi)難事件，對數(shù)據(jù)進(jìn)行備份及進(jìn)行快速恢復(fù)十分重要。如在虛擬化環(huán)境下，應(yīng)能支持基于磁盤的備份與恢復(fù)，實現(xiàn)快速的虛擬機(jī)恢復(fù)，應(yīng)支持文件級完整與增量備份，保存增量更改以提高備份效率。第二章信息安全基礎(chǔ)剩余信息保護(hù)

由于用戶數(shù)據(jù)在云計算平臺中是共享存儲的，今天分配給某一用戶的存儲空間，明天可能分配給另外一個用戶，因此需要做好剩余信息的保護(hù)措施。所以要求云計算系統(tǒng)在將存儲資源重分配給新的用戶之前，必須進(jìn)行完整的數(shù)據(jù)擦除，在對存儲的用戶文件/對象刪除后，對對應(yīng)的存儲區(qū)進(jìn)行完整的數(shù)據(jù)擦除或標(biāo)識為只寫（只能被新的數(shù)據(jù)覆寫），防止被非法惡意恢復(fù)。第二章信息安全基礎(chǔ)第二章信息安全基礎(chǔ)絕對的安全是不存在的絕對的零風(fēng)險是不存在的，要想實現(xiàn)零風(fēng)險，也是不現(xiàn)實的；計算機(jī)系統(tǒng)的安全性越高，其可用性越低，需要付出的成本也就越大，一般來說，需要在安全性和可用性，以及安全性和成本投入之間做一種平衡。

在計算機(jī)安全領(lǐng)域有一句格言：“真正安全的計算機(jī)是拔下網(wǎng)線，斷掉電源，放置在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！憋@然，這樣的計算機(jī)是無法使用的。第二章信息安全基礎(chǔ)安全VS可用在可用性（Usability）和安全性（Security）之間是一種相反的關(guān)系提高了安全性，相應(yīng)地就降低了易用性而要提高安全性，又勢必增大成本管理者應(yīng)在二者之間達(dá)成一種可接受的平衡第二章信息安全基礎(chǔ)保密重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)重要信息的保密第二章信息安全基礎(chǔ)謝謝收看第二章信息安全基礎(chǔ)信息安全環(huán)節(jié)第二章信息安全基礎(chǔ)內(nèi)部威脅員工誤操作蓄意破壞職責(zé)權(quán)限混淆第二章信息安全基礎(chǔ)自身弱點

技術(shù)弱點

操作弱點

管理弱點系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計或備份過程的不當(dāng)?shù)炔呗?、程序、?guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足第二章信息安全基礎(chǔ)內(nèi)因外因之間的關(guān)系一個巴掌拍不響！外因是條件

內(nèi)因才是根本！第二章信息安全基礎(chǔ)最常犯的一些錯誤

將口令寫在便簽上，貼在電腦監(jiān)視器旁開著電腦離開，就像離開家卻忘記關(guān)燈那樣輕易相信來自陌生人的郵件，好奇打開郵件附件使用容易猜測的口令，或者根本不設(shè)口令丟失筆記本電腦不能保守秘密，口無遮攔，上當(dāng)受騙，泄漏敏感信息隨便撥號上網(wǎng)，或者隨意將無關(guān)設(shè)備連入公司網(wǎng)絡(luò)事不關(guān)己，高高掛起，不報告安全事件在系統(tǒng)更新和安裝補(bǔ)丁上總是行動遲緩只關(guān)注外來的威脅，忽視企業(yè)內(nèi)部人員的問題第二章信息安全基礎(chǔ)思考想想你是否也犯過這些錯誤？第二章信息安全基礎(chǔ)安全意識信息安全意識的提高刻不容緩！第二章信息安全基礎(chǔ)人是關(guān)鍵因素

手里拿把獵槍再踏出帳篷吾自三省吾身提高人員信息安全意識和素質(zhì)勢在必行！第二章信息安全基礎(chǔ)保持清醒認(rèn)識

信息資產(chǎn)對我們很重要，是要保護(hù)的對象

威脅就像蒼蠅一樣，揮之不去，無所不在資產(chǎn)自身又有各種弱點，給威脅帶來可乘之機(jī)面臨各種風(fēng)險，一旦發(fā)生就成為安全事件、事故第二章信息安全基礎(chǔ)我們應(yīng)該……嚴(yán)防威脅消減弱點應(yīng)急響應(yīng)保護(hù)資產(chǎn)熟悉潛在的安全問題知道怎樣防止其發(fā)生明確發(fā)生后如何應(yīng)對第二章信息安全基礎(chǔ)信息安全意識方針隱患險于明火！預(yù)防重于救災(zāi)！安全貴在未雨綢繆！第二章信息安全基礎(chǔ)資產(chǎn)劃分Owner數(shù)據(jù)的屬主（OM/PM）決定所屬數(shù)據(jù)的敏感級別確定必要的保護(hù)措施最終批準(zhǔn)并Review用戶訪問權(quán)限Custodian受Owner委托管理數(shù)據(jù)通常是IT人員或部門系統(tǒng)（數(shù)據(jù)）管理員向Owner提交訪問申請并按Owner授意為用戶授權(quán)執(zhí)行數(shù)據(jù)保護(hù)措施，實施日常維護(hù)和管理User公司或第三方職員因工作需要而請求訪問數(shù)據(jù)遵守安全規(guī)定和控制報告安全事件和隱患第二章信息安全基礎(chǔ)保密重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)重要信息的保密第二章信息安全基礎(chǔ)信息處理與保護(hù)

各類信息，無論電子還是紙質(zhì)，在標(biāo)注、授權(quán)、訪問、存儲、拷貝、傳真、內(nèi)部和外部分發(fā)（包括第三方轉(zhuǎn)交）、傳輸、處理等各個環(huán)節(jié)，都應(yīng)該遵守既定策略信息分類管理程序只約定要求和原則，具體控制和實現(xiàn)方式，由信息屬主或相關(guān)部門確定，以遵守最佳實踐和法律法規(guī)為參照凡違反程序規(guī)定的行為，酌情予以紀(jì)律處分第二章信息安全基礎(chǔ)數(shù)據(jù)保護(hù)安全

根據(jù)需要，在個人協(xié)議/合同中明確安全方面的承諾和要求；明確與客戶進(jìn)行數(shù)據(jù)交接的人員責(zé)任，控制客戶數(shù)據(jù)使用及分發(fā)；明確非業(yè)務(wù)部門在授權(quán)使用客戶數(shù)據(jù)時的保護(hù)責(zé)任；基于業(yè)務(wù)需要，主管決定是否對重要數(shù)據(jù)進(jìn)行加密保護(hù)；禁止將客戶數(shù)據(jù)或客戶標(biāo)識用于非項目相關(guān)的場合如培訓(xùn)材料；客戶現(xiàn)場的工作人員，嚴(yán)格遵守客戶Policy，妥善保護(hù)客戶數(shù)據(jù)；打印件應(yīng)設(shè)置標(biāo)識，及時取回，并妥善保存或處理。第二章信息安全基礎(chǔ)信息交換與備份重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)信息交換與備份第二章信息安全基礎(chǔ)信息交換安全信息交換原則：明確要交換信息的敏感級別，除了顯著標(biāo)注外，根據(jù)其敏感級別采取合適的保護(hù)措施信息發(fā)送者和接收者有責(zé)任遵守信息交換要求物理介質(zhì)傳輸：與快遞公司簽署不擴(kuò)散協(xié)議，識別丟失風(fēng)險，采取必要的控制措施電子郵件和互聯(lián)網(wǎng)信息交換明確不可涉及敏感數(shù)據(jù)，如客戶信息、訂單合同等信息如必須交換此類信息，需申請主管批準(zhǔn)并采取加密傳輸措施或DRM保護(hù)機(jī)制文件共享：包括Confidential在內(nèi)的高級別的信息不能被發(fā)布于公共區(qū)域

所有共享文件應(yīng)按照規(guī)則放置在相應(yīng)的文件服務(wù)器目錄中，任何人不得在其個人電腦中開設(shè)共享。共享文件夾應(yīng)該設(shè)置恰當(dāng)?shù)脑L問控制，禁止向所有用戶賦予完全訪問權(quán)限臨時共享的文件事后應(yīng)予以刪除第二章信息安全基礎(chǔ)信息備份安全重要信息系統(tǒng)應(yīng)支持全備份、差量備份和增量備份備份介質(zhì)的存儲異地存放屬主應(yīng)該確保備份成功并定期檢查日志，根據(jù)需要，定期檢查和實施測試以驗證備份效率和效力第二章信息安全基礎(chǔ)軟件應(yīng)用安全重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)軟件應(yīng)用安全第二章信息安全基礎(chǔ)應(yīng)用安全盡量不要同時打開多個鏈接窗口當(dāng)某個網(wǎng)站提出要將本網(wǎng)站設(shè)置為主頁時，要取消操作當(dāng)網(wǎng)頁中彈出安裝某個插件的對話框時，要取消安裝，的確需要安裝的，請與管理人員聯(lián)系。定期清楚歷史訪問信息、cookies以及Internet臨時文件禁止利用單位信息系統(tǒng)從事與工作無關(guān)的活動，如網(wǎng)上聊天、打游戲等禁止下載、上傳、傳播與工作無關(guān)的文件禁止在網(wǎng)絡(luò)上運(yùn)行任何黑客軟件第二章信息安全基礎(chǔ)計算機(jī)網(wǎng)絡(luò)訪問重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)計算機(jī)網(wǎng)絡(luò)訪問第二章信息安全基礎(chǔ)計算機(jī)網(wǎng)絡(luò)訪問安全

訪問控制基本原則：未經(jīng)明確允許即為禁止訪問必須通過唯一注冊的用戶ID來控制用戶對網(wǎng)絡(luò)的訪問系統(tǒng)管理員必須確保用戶訪問基于最小特權(quán)原則而授權(quán)用戶必須根據(jù)要求使用口令并保守秘密系統(tǒng)管理員必須對用戶訪問權(quán)限進(jìn)行檢查，防止濫用系統(tǒng)管理員必須根據(jù)安全制度要求定義訪問控制規(guī)則，用戶必須遵守規(guī)則各部門應(yīng)按照管理規(guī)定制定并實施對業(yè)務(wù)應(yīng)用系統(tǒng)、開發(fā)和測試系統(tǒng)的訪問規(guī)則第二章信息安全基礎(chǔ)人員安全管理重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)人員安全管理第二章信息安全基礎(chǔ)人員安全背景檢查簽署保密協(xié)議安全職責(zé)說明技能意識培訓(xùn)績效考核和獎懲內(nèi)部職位調(diào)整及離職檢查流程第二章信息安全基礎(chǔ)第三方人員安全

應(yīng)該識別來自第三方的風(fēng)險：保安、清潔、基礎(chǔ)設(shè)施維護(hù)、供應(yīng)商或外包人員，低質(zhì)量的外包服務(wù)也被視作一種安全風(fēng)險簽署第三方協(xié)議時應(yīng)包含安全要求，必要時需簽署不擴(kuò)散協(xié)議第三方若需訪問敏感信息，需經(jīng)檢查和批準(zhǔn)，其訪問將受限制任何第三方禁止無人陪同訪問生產(chǎn)網(wǎng)絡(luò)環(huán)境第三方訪問所用工具應(yīng)經(jīng)過相關(guān)部門檢查，確認(rèn)安全可靠，其訪問應(yīng)經(jīng)過認(rèn)證負(fù)責(zé)第三方訪問的人員需對三方人員進(jìn)行必要的安全培訓(xùn)第二章信息安全基礎(chǔ)移動計算與遠(yuǎn)程辦公重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)移動計算與遠(yuǎn)程辦公第二章信息安全基礎(chǔ)筆記本電腦與遠(yuǎn)程辦公安全

所有連接辦公生產(chǎn)網(wǎng)絡(luò)的筆記本電腦或其他移動計算機(jī)，必須按照指定PC安全標(biāo)準(zhǔn)來配置，必須符合補(bǔ)丁和防病毒管理規(guī)定

相關(guān)管理部門必須協(xié)助部署必要的筆記本電腦防信息泄漏措施用戶不能將口令、ID或其他賬戶信息以明文保存在移動介質(zhì)上筆記本電腦遺失應(yīng)按照相應(yīng)管理制度執(zhí)行安全響應(yīng)措施敏感信息應(yīng)加密保護(hù)禁止在公共區(qū)域討論敏感信息，或通過筆記本電腦泄漏信息第二章信息安全基礎(chǔ)工作環(huán)境及物理安全重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)工作環(huán)境及物理安全第二章信息安全基礎(chǔ)工作安全環(huán)境安全

關(guān)鍵安全區(qū)域包括機(jī)房、財務(wù)部門、人力資源部門及其他處理重要數(shù)據(jù)的辦公區(qū)域，類似區(qū)域應(yīng)具備門禁設(shè)施前臺接待負(fù)責(zé)檢查外來訪客證件并進(jìn)行登記，訪客進(jìn)入內(nèi)部需持臨時卡并由相關(guān)人員陪同實施7×24小時保安服務(wù)，檢查保安記錄所有入口和內(nèi)部安全區(qū)都需部署有攝像頭，大門及各樓層入口都被實時監(jiān)控禁止隨意放置或丟棄含有敏感信息的紙質(zhì)文件，廢棄文件需用碎紙機(jī)粉碎廢棄或待修磁介質(zhì)轉(zhuǎn)交他人時應(yīng)經(jīng)IT專業(yè)管理部門消磁處理

第二章信息安全基礎(chǔ)細(xì)節(jié)注意你的身邊！注意最細(xì)微的地方！第二章信息安全基礎(chǔ)病毒與惡意代碼重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)病毒與惡意代碼第二章信息安全基礎(chǔ)惡意代碼防范策略

所有計算機(jī)必須部署指定的防病毒軟件防病毒軟件必須持續(xù)更新感染病毒的計算機(jī)必須從網(wǎng)絡(luò)中隔離直至清除病毒任何意圖在內(nèi)部網(wǎng)絡(luò)創(chuàng)建或分發(fā)惡意代碼的行為都被視為違反管理制度發(fā)生任何病毒傳播事件，相關(guān)人員應(yīng)及時向IT管理部門匯報

……僅此就夠了么第二章信息安全基礎(chǔ)口令安全重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)口令安全第二章信息安全基礎(chǔ)什么口令很重要

用戶名+口令是最簡單也最常用的身份認(rèn)證方式口令是抵御攻擊的第一道防線，防止冒名頂替口令也是抵御網(wǎng)絡(luò)攻擊的最后一道防線

針對口令的攻擊簡便易行，口令破解快速有效由于使用不當(dāng)，往往使口令成為最薄弱的安全環(huán)節(jié)口令與個人隱私息息相關(guān)，必須慎重保護(hù)第二章信息安全基礎(chǔ)數(shù)字……

如果你以請一頓工作餐來作為交換，有70％的人樂意告訴你他（她）的機(jī)器口令有34％的人，甚至不需要賄賂，就可奉獻(xiàn)自己的口令另據(jù)調(diào)查，有79％的人，在被提問時，會無意間泄漏足以被用來竊取其身份的信息平均每人要記住四個口令，95％都習(xí)慣使用相同的口令（在很多需要口令的地方）

33％的人選擇將口令寫下來，然后放到抽屜或夾到文件里第二章信息安全基礎(chǔ)脆弱的口令

少于8個字符單一的字符類型，例如只用小寫字母，或只用數(shù)字用戶名與口令相同最常被人使用的弱口令：自己、家人、朋友、親戚、寵物的名字生日、結(jié)婚紀(jì)念日、電話號碼等個人信息工作中用到的專業(yè)術(shù)語，職業(yè)特征字典中包含的單詞，或者只在單詞后加簡單的后綴所有系統(tǒng)都使用相同的口令口令一直不變第二章信息安全基礎(chǔ)值得注意的……

口令是越長越好但“選用20個隨機(jī)字符作為口令”的建議也不可取人們總習(xí)慣選擇容易記憶的口令如果口令難記，可能會被寫下來，這樣反倒更不安全第二章信息安全基礎(chǔ)建議……

口令至少應(yīng)該由8個字符組成口令應(yīng)該是大小寫字母、數(shù)字、特殊字符的混合體不要使用名字、生日等個人信息和字典單詞選擇易記強(qiáng)口令的幾個竅門：口令短語字符替換單詞誤拼鍵盤模式第二章信息安全基礎(chǔ)口令設(shè)置

找到一個生僻但易記的短語或句子（可以摘自歌曲、書本或電影），然后創(chuàng)建它的縮寫形式，其中包括大寫字母和標(biāo)點符號等。IlikethisPiaoLiangMeiMei!iLtPPMM!MysonTomwasbornat8:05MsTwb@8:05第二章信息安全基礎(chǔ)口令設(shè)置------鍵盤模式

試著使用數(shù)字和特殊字符的組合避免“qwerty”這樣的直線，而使用Z字型或者多條短線這種方法很容易被人看出來鍵盤輸入時不要讓人看見第二章信息安全基礎(chǔ)口令管理

員工有責(zé)任記住自己的口令

賬號在獨立審計的前提下進(jìn)行口令鎖定、解鎖和重置操作初始口令設(shè)置不得為空口令設(shè)置不得少于8個字符口令應(yīng)該包含特殊字符、數(shù)字和大小寫字母口令應(yīng)該經(jīng)常更改，設(shè)定口令最長有效期為不超出3個月口令輸入錯誤限定5次第二章信息安全基礎(chǔ)電子郵件安全重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)電子郵件安全第二章信息安全基礎(chǔ)Email安全不當(dāng)使用Email可能導(dǎo)致法律風(fēng)險禁止發(fā)送或轉(zhuǎn)發(fā)反動或非法的郵件內(nèi)容不得偽造虛假郵件，不得使用他人賬號發(fā)送郵件未經(jīng)許可，不得將屬于他人郵件的消息內(nèi)容拷貝轉(zhuǎn)發(fā)與業(yè)務(wù)相關(guān)的Email應(yīng)在文件服務(wù)器上做妥善備份，專人負(fù)責(zé)檢查包含客戶信息的Email應(yīng)轉(zhuǎn)發(fā)主管做備份個人用途的Email不應(yīng)干擾工作，并且遵守本策略避免通過Email發(fā)送機(jī)密信息，如果需要，應(yīng)采取必要的加密保護(hù)措施第二章信息安全基礎(chǔ)接收郵件注意……不安全的文件類型：絕對不要打開任何以下文件類型的郵件附件：.bat,.com,.exe,.vbs未知的文件類型：絕對不要打開任何未知文件類型的郵件附件，包括郵件內(nèi)容中到未知文件類型的鏈接微軟文件類型：如果要打開微軟文件類型（例如.doc,.xls,.ppt等）的郵件附件或者內(nèi)部鏈接，務(wù)必先進(jìn)行病毒掃描要求發(fā)送普通的文本：盡量要求對方發(fā)送普通的文本內(nèi)容郵件，而不要發(fā)送HTML格式郵件，不要攜帶不安全類型的附件禁止郵件執(zhí)行Html代碼：禁止執(zhí)行HTML內(nèi)容中的代碼防止垃圾郵件：通過設(shè)置郵件服務(wù)器的過濾，防止接受垃圾郵件盡早安裝系統(tǒng)補(bǔ)?。憾沤^惡意代碼利用系統(tǒng)漏洞而實施攻擊第二章信息安全基礎(chǔ)發(fā)送郵件注意如果同樣的內(nèi)容可以用普通文本正文，就不要用附件盡量不要發(fā)送.doc,.xls等可能帶有宏病毒的文件發(fā)送不安全的文件之前，先進(jìn)行病毒掃描不要參與所謂的郵件接龍盡早安裝系統(tǒng)補(bǔ)丁，防止自己的系統(tǒng)成為惡意者的跳板可以使用PGP等安全的郵件機(jī)制第二章信息安全基礎(chǔ)介質(zhì)安全管理重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)介質(zhì)安全管理第二章信息安全基礎(chǔ)介質(zhì)安全管理創(chuàng)建使用存儲傳遞更改銷毀第二章信息安全基礎(chǔ)警惕社會工程學(xué)重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)警惕社會工程學(xué)第二章信息安全基礎(chǔ)

SocialEngneering

利用社會交往（通常是在偽裝之下）從目標(biāo)對象那里獲取信息例如：電話呼叫服務(wù)中心在走廊里的聊天冒充服務(wù)技術(shù)人員著名黑客KevinMitnick更多是通過社會工程來滲透網(wǎng)絡(luò)的，而不是高超的黑客技術(shù)第二章信息安全基礎(chǔ)

不要輕易泄漏敏感信息，例如口令和賬號在相信任何人之前，先校驗其真實的身份不要違背公司的安全策略，哪怕是你的上司向你索取個人敏感信息（KevinMitnick最擅長的就是冒充一個很焦急的老板，利用一般人好心以及害怕上司的心理，向系統(tǒng)管理員索取口令）不要忘了，所謂的黑客，更多時候并不是技術(shù)多么出眾，而是社會工程的能力比較強(qiáng)第二章信息安全基礎(chǔ)應(yīng)急響應(yīng)和BCP重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)應(yīng)急響應(yīng)和BCP第二章信息安全基礎(chǔ)重大災(zāi)害發(fā)生的應(yīng)急考慮斷電斷水恐怖襲擊人員傷亡設(shè)施毀壞火災(zāi)水災(zāi)第一時間可以找誰？具體聯(lián)絡(luò)方式？災(zāi)難發(fā)生時合理的應(yīng)對關(guān)鍵是確保人員安全第二章信息安全基礎(chǔ)重大災(zāi)害發(fā)生后應(yīng)啟用BCP進(jìn)行恢復(fù)網(wǎng)絡(luò)通信中斷服務(wù)器崩潰嚴(yán)重的數(shù)據(jù)泄漏或丟失計算機(jī)網(wǎng)絡(luò)安全事件斷電斷水恐怖襲擊人員傷亡設(shè)施毀壞火災(zāi)水災(zāi)人員與環(huán)境災(zāi)難事故事先做好備份等準(zhǔn)備工作災(zāi)難發(fā)生后妥善處理以降低損失在確定時限內(nèi)恢復(fù)分析原因，做好記錄BCP應(yīng)定期測試和維護(hù)應(yīng)該明確責(zé)任人第二章信息安全基礎(chǔ)數(shù)據(jù)備份要點

數(shù)據(jù)備份是制定BCP時必須考慮的一種恢復(fù)準(zhǔn)備措施現(xiàn)在，數(shù)據(jù)備份的途徑有多種：軟盤，CD和DVD，Zip盤，磁帶，移動硬盤，優(yōu)盤養(yǎng)成對您的數(shù)據(jù)進(jìn)行備份的好習(xí)慣備份磁盤不要放在工作場所對重要的硬盤做好鏡像定期檢查業(yè)務(wù)備份系統(tǒng)運(yùn)行對重要的軟件進(jìn)行更新第二章信息安全基礎(chǔ)法律法規(guī)重要信息的保密信息交換及備份軟件應(yīng)用安全計算機(jī)及網(wǎng)絡(luò)訪問安全人員及第三方安全管理移動計算與遠(yuǎn)程辦公工作環(huán)境及物理安全要求防范病毒和惡意代碼口令安全電子郵件安全介質(zhì)安全管理警惕社會工程學(xué)應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性計劃法律法規(guī)法律法規(guī)第二章信息安全基礎(chǔ)中國信息立法中國陸續(xù)制定了多部與信息活動密切相關(guān)的法律，雖然大多不專門針對網(wǎng)絡(luò)環(huán)境，甚至有些也不針對電子信息，但它們的基本精神對網(wǎng)絡(luò)的建設(shè)、管理以及網(wǎng)絡(luò)中的信息活動都有不同程度的指導(dǎo)作用。

刑法計算機(jī)信息系統(tǒng)安全保護(hù)條例計算機(jī)病毒防治管理辦法計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法

保守國家秘密法著作權(quán)法

國家安全法反不正當(dāng)競爭法電子簽名法第二章信息安全基礎(chǔ)重要的法律法規(guī)刑法第２８５條規(guī)定

“違反國家規(guī)定，侵入前款規(guī)定以外的計算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機(jī)信息系統(tǒng)實施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金?！?/p>

“提供專門用于侵入、非法控制計算機(jī)信息系統(tǒng)的程序、工具，或者明知他人實施侵入、非法控制計算機(jī)信息系統(tǒng)的違法犯罪行為而為其提供程序、工具，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。”第二章信息安全基礎(chǔ)要點總結(jié)！第二章信息安全基礎(chǔ)回顧加強(qiáng)敏感信息的保密留意物理安全遵守法律法規(guī)和安全策略公司資源只供公司所用保守口令秘密謹(jǐn)慎使用Internet、EMAIL、QQ加強(qiáng)人員安全管理識別并控制第三方風(fēng)險加強(qiáng)防病毒措施有問題及時報告第二章信息安全基礎(chǔ)謹(jǐn)記您的安全責(zé)任確保敏感信息免遭竊取、丟失、非授權(quán)訪問、非授權(quán)泄漏、非授權(quán)拷貝，這些信息既包括紙質(zhì)文件，又包括計算機(jī)和存儲設(shè)備中的信息。第二章信息安全基礎(chǔ)從一點一滴做起！你盡力了么？你做好了么？從自身做起！第二章信息安全基礎(chǔ)什么事信息我們確實存在問題，只要我們不斷改進(jìn)！但是……第二章信息安全基礎(chǔ)謝謝收看第二章信息安全基礎(chǔ)信息安全實質(zhì)第二章信息安全基礎(chǔ)信息安全概述信息安全實質(zhì)信息安全的實質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。第二章信息安全基礎(chǔ)什么是信息安全采取措施保護(hù)信息資產(chǎn)，使之不因偶然或者惡意侵犯而遭受破壞、更改及泄露，保證信息系統(tǒng)能夠連續(xù)、可靠、正常地運(yùn)行，使安全事件對業(yè)務(wù)造成的影響減到最小，確保組織業(yè)務(wù)運(yùn)行的連續(xù)性。第二章信息安全基礎(chǔ)信息安全本身包括的范圍很大，大到國家軍事政治等機(jī)密安全，小范圍的當(dāng)然還包括如防范商業(yè)企業(yè)機(jī)密泄露，防范青少年對不良信息的瀏覽，個人信息的泄露等。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵，包括計算機(jī)安全操作系統(tǒng)、各種安全協(xié)議、安全機(jī)制（數(shù)字簽名，信息認(rèn)證，數(shù)據(jù)加密等），直至安全系統(tǒng)，其中任何一個安全漏洞便可以威脅全局安全。信息安全服務(wù)至少應(yīng)該包括支持信息網(wǎng)絡(luò)安全服務(wù)的基本理論，以及基于新一代信息網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)安全服務(wù)體系結(jié)構(gòu)。第二章信息安全基礎(chǔ)信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。

信息安全是一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。第二章信息安全基礎(chǔ)信息安全的重要性

信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。信息安全的實質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。根據(jù)國際標(biāo)準(zhǔn)化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。

信息安全是任何國家、政府、部門、行業(yè)都必須十分重視的問題，是一個不容忽視的國家安全戰(zhàn)略。但是，對于不同的部門和行業(yè)來說，其對信息安全的要求和重點卻是有區(qū)別的。第二章信息安全基礎(chǔ)我國的改革開放帶來了各方面信息量的急劇增加，并要求大容量、高效率地傳輸這些信息。為了適應(yīng)這一形勢，通信技術(shù)發(fā)生了前所未有的爆炸性發(fā)展。目前，除有線通信外，短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應(yīng)用。與此同時，國外敵對勢力為了竊取我國的政治、軍事、經(jīng)濟(jì)、科學(xué)技術(shù)等方面的秘密信息，運(yùn)用偵察臺、偵察船、衛(wèi)星等手段，形成固定與移動、遠(yuǎn)距離與近距離、空中與地面相結(jié)合的立體偵察網(wǎng)，截取我通信傳輸中的信息。第二章信息安全基礎(chǔ)從文獻(xiàn)中了解一個社會的內(nèi)幕，早已是司空見慣的事情。在２０世紀(jì)后５０年中，從社會所屬計算機(jī)中了解一個社會的內(nèi)幕，正變得越來越容易。不管是機(jī)構(gòu)還是個人，正把日益繁多的事情托付給計算機(jī)來完成，敏感信息正經(jīng)過脆弱的通信線路在計算機(jī)系統(tǒng)之間傳送，專用信息在計算機(jī)內(nèi)存儲或在計算機(jī)之間傳送，電子銀行業(yè)務(wù)使財務(wù)賬目可通過通信線路查閱，執(zhí)法部門從計算機(jī)中了解罪犯的前科，醫(yī)生們用計算機(jī)管理病歷，((所有這一切，最重要的問題是不能在對非法（非授權(quán)）獲取（訪問）不加防范的條件下傳輸信息。第二章信息安全基礎(chǔ)傳輸信息的方式很多，有局域計算機(jī)網(wǎng)、互聯(lián)網(wǎng)和分布式數(shù)據(jù)庫，有蜂窩式無線、分組交換式無線、衛(wèi)星電視會議、電子郵件及其它各種傳輸技術(shù)。信息在存儲、處理和交換過程中，都存在泄密或被截收、竊聽、竄改和偽造的可能性。不難看出，單一的保密措施已很難保證通信和信息的安全，必須綜合應(yīng)用各種保密措施，即通過技術(shù)的、管理的、行政的手段，實現(xiàn)信源、信號、信息三個環(huán)節(jié)的保護(hù)，藉以達(dá)到秘密信息安全的目的。

[編輯本段]信息安全的實現(xiàn)目標(biāo)第二章信息安全基礎(chǔ)◆真實性：對信息的來源進(jìn)行判斷，能對偽造來源的信息予以鑒別。

◆保密性：保證機(jī)密信息不被竊聽，或竊聽者不能了解信息的真實含義。

◆完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改。

◆可用性：保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^。第二章信息安全基礎(chǔ)◆不可抵賴性：建立有效的責(zé)任機(jī)制，防止用戶否認(rèn)其行為，這一點在電子商務(wù)中是極其重要的。

◆可控制性：對信息的傳播及內(nèi)容具有控制能力。

◆可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段第二章信息安全基礎(chǔ)主要的信息安全威脅(1)信息泄露：信息被泄露或透露給某個非授權(quán)的實體。

(2)破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。

(3)拒絕服務(wù)：對信息或其他資源的合法訪問被無條件地阻止。

(4)非法使用(非授權(quán)訪問)：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。第二章信息安全基礎(chǔ)(5)竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對通信線路中傳輸?shù)男盘柎罹€監(jiān)聽，或者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄露截取有用信息等。

(6)業(yè)務(wù)流分析：通過對系統(tǒng)進(jìn)行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行研究，從中發(fā)現(xiàn)有價值的信息和規(guī)律。第二章信息安全基礎(chǔ)(7)假冒：通過欺騙通信系統(tǒng)（或用戶）達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客大多是采用假冒攻擊。

(8)旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應(yīng)保密，但是卻又暴露出來的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。第二章信息安全基礎(chǔ)(9)授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作“內(nèi)部攻擊”。

(10)特洛伊木馬：軟件中含有一個覺察不出的或者無害的程序段，當(dāng)它被執(zhí)行時，會破壞用戶的安全。這種應(yīng)用程序稱為特洛伊木馬(TrojanHorse)。

(11)陷阱門：在某個系統(tǒng)或某個部件中設(shè)置的“機(jī)關(guān)”，使得在特定的數(shù)據(jù)輸入時，允許違反安全策略。第二章信息安全基礎(chǔ)(12)抵賴：這是一種來自用戶的攻擊，比如：否認(rèn)自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等。

(13)重放：出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行拷貝，而重新發(fā)送。

(14)計算機(jī)病毒：一種在計算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序。

(15)人員不慎：一個授權(quán)的人為了某種利益，或由于粗心，將信息泄露給一個非授權(quán)的人。第二章信息安全基礎(chǔ)(16)媒體廢棄：信息被從廢棄的磁的或打印過的存儲介質(zhì)中獲得。

(17)物理侵入：侵入者繞過物理控制而獲得對系統(tǒng)的訪問。

(18)竊?。褐匾陌踩锲?，如令牌或身份卡被盜。

業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等等第二章信息安全基礎(chǔ)產(chǎn)業(yè)發(fā)展信息安全的概念在本世紀(jì)經(jīng)歷了一個漫長的歷史階段，90年代以來得到了深化。進(jìn)入21世紀(jì)，隨著信息技術(shù)的不斷發(fā)展，信息安全問題也日顯突出。如何確保信息系統(tǒng)的安全已成為全社會關(guān)注的問題。國際上對于信息安全的研究起步較早，投入力度大，已取得了許多成果，并得以推廣應(yīng)用。中國已有一批專門從事信息安全基礎(chǔ)研究、技術(shù)開發(fā)與技術(shù)服務(wù)工作的研究機(jī)構(gòu)與高科技企業(yè)，形成了中國信息安全產(chǎn)業(yè)的雛形，但由于中國專門從事信息安全工作技術(shù)人才嚴(yán)重短缺，阻礙了中國信息安全事業(yè)的發(fā)展。信息安全專業(yè)是十分具有發(fā)展前途的專業(yè)。第二章信息安全基礎(chǔ)信息安全的重要性信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特別重要的意義。信息安全的實質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。根據(jù)國際標(biāo)準(zhǔn)化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何國家、政府、部門、行業(yè)都必須十分重視的問題，是一個不容忽視的國家安全戰(zhàn)略。但是，對于不同的部門和行業(yè)來說，其對信息安全的要求和重點卻是有區(qū)別的。第二章信息安全基礎(chǔ)中國的改革開放帶來了各方面信息量的急劇增加，并要求大容量、高效率地傳輸這些信息。為了適應(yīng)這一形勢，通信技術(shù)發(fā)生了前所未有的爆炸性發(fā)展。除有線通信外，短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應(yīng)用。與此同時，國外敵對勢力為了竊取中國的政治、軍事、經(jīng)濟(jì)、科學(xué)技術(shù)等方面的秘密信息，運(yùn)用偵察臺、偵察船、偵察機(jī)、衛(wèi)星等手段，形成固定與移動、遠(yuǎn)距離與近距離、空中與地面相結(jié)合的立體偵察網(wǎng)，截取中國通信傳輸中的信息。第二章信息安全基礎(chǔ)從文獻(xiàn)中了解一個社會的內(nèi)幕，早已是司空見慣的事情。在20世紀(jì)后50年中，從社會所屬計算機(jī)中了解一個社會的內(nèi)幕，正變得越來越容易。不管是機(jī)構(gòu)還是個人，正把日益繁多的事情托付給計算機(jī)來完成，敏感信息正經(jīng)過脆弱的通信線路在計算機(jī)系統(tǒng)之間傳送，專用信息在計算機(jī)內(nèi)存儲或在計算機(jī)之間傳送，電子銀行業(yè)務(wù)使財務(wù)賬目可通過通信線路查閱，執(zhí)法部門從計算機(jī)中了解罪犯的前科，醫(yī)生們用計算機(jī)管理病歷，最重要的問題是不能在對非法（非授權(quán)）獲?。ㄔL問）不加防范的條件下傳輸信息。第二章信息安全基礎(chǔ)傳輸信息的方式很多，有局域計算機(jī)網(wǎng)、互聯(lián)網(wǎng)和分布式數(shù)據(jù)庫，有蜂窩式無線、分組交換式無線、衛(wèi)星電視會議、電子郵件及其它各種傳輸技術(shù)。信息在存儲、處理和交換過程中，都存在泄密或被截收、竊聽、竄改和偽造的可能性。不難看出，單一的保密措施已很難保證通信和信息的安全，必須綜合應(yīng)用各種保密措施，即通過技術(shù)的、管理的、行政的手段，實現(xiàn)信源、信號、信息三個環(huán)節(jié)的保護(hù)，藉以達(dá)到秘密信息安全的目的。第二章信息安全基礎(chǔ)信息安全檢測網(wǎng)站：1)注入攻擊。2)XSS跨站腳本。3)網(wǎng)頁掛馬。4)緩沖區(qū)溢出。5)上傳漏洞。6)源代碼泄露。7)隱藏目錄泄露。8)數(shù)據(jù)庫泄露。9)弱口令。10)管理地址泄露。第二章信息安全基礎(chǔ)網(wǎng)絡(luò)

1、結(jié)構(gòu)安全與網(wǎng)段劃分2、網(wǎng)絡(luò)訪問控制3、撥號訪問控制4、網(wǎng)絡(luò)安全審計5、邊界完整性檢查6、網(wǎng)絡(luò)入侵防范7、惡意代碼防范8、網(wǎng)絡(luò)設(shè)備防護(hù)第二章信息安全基礎(chǔ)主機(jī)1、身份鑒別2、自主訪問控制3、強(qiáng)制訪問控制4、可信路徑5、安全審計6、剩余信息保護(hù)8、惡意代碼防范9、資源控制第二章信息安全基礎(chǔ)主要來源◆自然災(zāi)害、意外事故；◆計算機(jī)犯罪；◆人為錯誤，比如使用不當(dāng)，安全意識差等；◆"黑客"行為；◆內(nèi)部泄密；◆外部泄密；◆信息丟失；◆電子諜報，比如信息流量分析、信息竊取等；◆信息戰(zhàn)；◆網(wǎng)絡(luò)協(xié)議自身缺陷，例如TCP/IP協(xié)議的安全問題等等；◆嗅探,sniff。嗅探器可以竊聽網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包。第二章信息安全基礎(chǔ)主要問題◆網(wǎng)絡(luò)攻擊與攻擊檢測、防范問題◆安全漏洞與安全對策問題◆信息安全保密問題◆系統(tǒng)內(nèi)部安全防范問題◆防病毒問題◆數(shù)據(jù)備份與恢復(fù)問題、災(zāi)難恢復(fù)問題第二章信息安全基礎(chǔ)相關(guān)技術(shù)◆用戶身份認(rèn)證◆防火墻◆網(wǎng)絡(luò)安全隔離◆安全路由器◆虛擬專用網(wǎng)(VPN)◆安全服務(wù)器◆電子簽證機(jī)構(gòu)--CA和PKI產(chǎn)品◆安全管理中心◆入侵檢測系統(tǒng)（IDS）◆入侵防御系統(tǒng)（IPS）◆安全數(shù)據(jù)庫◆安全操作系統(tǒng)◆DG圖文檔加密第二章信息安全基礎(chǔ)信息安全主流技術(shù)1、病毒檢測與清除技術(shù)2、安全防護(hù)技術(shù)3、安全審計技術(shù)4、安全檢測與監(jiān)控技術(shù)5、解密、加密技術(shù)6、身份認(rèn)證技術(shù)第二章信息安全基礎(chǔ)安全問題計算機(jī)網(wǎng)絡(luò)安全商務(wù)交易安全第二章信息安全基礎(chǔ)計算機(jī)網(wǎng)絡(luò)安全（1）未進(jìn)行操作系統(tǒng)相關(guān)安全配置（2）未進(jìn)行CGI程序代碼審計（3）拒絕服務(wù)（DoS，DenialofService）攻擊（4）安全產(chǎn)品使用不當(dāng)（5）缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度第二章信息安全基礎(chǔ)計算機(jī)商務(wù)交易安全（1）竊取信息（2）篡改信息（3）假冒（4）惡意破壞第二章信息安全基礎(chǔ)安全VS可用在可用性（Usability）和安全性（Security）之間是一種相反的關(guān)系提高了安全性，相應(yīng)地就降低了易用性而要提高安全性，又勢必增大成本管理者應(yīng)在二者之間達(dá)成一種可接受的平衡第二章信息安全基礎(chǔ)

計算機(jī)安全領(lǐng)域一句格言：

“真正安全的計算機(jī)是拔下網(wǎng)線，斷掉電源，放在地下掩體的保險柜中，并在掩體內(nèi)充滿毒氣，在掩體外安排士兵守衛(wèi)?！苯^對的安全是不存在的！第二章信息安全基礎(chǔ)信息安全意識意識決定行為模式第二章信息安全基礎(chǔ)關(guān)于信息安全管理的建議根據(jù)不同崗位的需求，在職位描述書中加入安全方面的責(zé)任要求，特別是敏感崗位在招聘環(huán)節(jié)做好人員篩選和背景調(diào)查工作，并且簽訂適當(dāng)?shù)谋Ｃ軈f(xié)議在新員工培訓(xùn)中專門加入信息安全內(nèi)容工作期間，根據(jù)崗位需要，持續(xù)進(jìn)行專項培訓(xùn)通過多種途徑，全面提升員工信息安全意識落實檢查監(jiān)督和獎懲機(jī)制員工內(nèi)部轉(zhuǎn)崗應(yīng)做好訪問控制變更控制員工離職，應(yīng)做好交接和權(quán)限撤銷第二章信息安全基礎(chǔ)謝謝收看第二章信息安全基礎(chǔ)信息安全事件案例第二章信息安全基礎(chǔ)信息安全事件案例個人信息安全之前網(wǎng)上熱炒一個帖子，一名清華理科生根據(jù)影星王珞丹的微博，推理出王珞丹的住址。主要過程包括，根據(jù)王珞丹微博提到的她當(dāng)演員這么多年，還沒在四環(huán)以里買房子，并且在其他微博中提到她在四環(huán)堵車的情況，可以知道王珞丹住四環(huán)外，然后再根據(jù)她發(fā)的兩張從家里拍小區(qū)的照片，大致知道小區(qū)中有一個大的四方形花壇。然后在Googleearth上找北京，找到有方形花壇的小區(qū)，然后再根據(jù)照片拍攝的位置和角度，就找到了王珞丹住住址。第二章信息安全基礎(chǔ)信息安全事件案例我們可能遇到這樣的情況……QQ被盜，偷號者發(fā)表虛假消息或者違禁信息。第二章信息安全基礎(chǔ)信息安全事件案例春運(yùn)是游子心頭的痛，but……12306信息泄露事件，泄露了身份證，明文密碼等第二章信息安全基礎(chǔ)信息安全事件案例獲取某人信息后，發(fā)布虛假信息進(jìn)行詐騙第二章信息安全基礎(chǔ)信息安全事件案例犯罪分子修改ATM機(jī)程序或進(jìn)行簡單的物理操作，非法獲取取款人錢財及信息等第二章信息安全基礎(chǔ)信息安全事件案例破解企業(yè)郵箱，非法獲取或者截獲重要信息等第二章信息安全基礎(chǔ)謝謝收看第二章信息安全基礎(chǔ)信息安全概述第二章信息安全基礎(chǔ)信息安全概述什么是信息安全信息安全發(fā)展歷史信息安全發(fā)展現(xiàn)狀信息安全的CIA信息安全屬性信息安全實質(zhì)信息安全威脅信息安全的實現(xiàn)信息的安全防范第二章信息安全基礎(chǔ)信息安全概述什么是信息安全“安全”一詞的基本含義為：“遠(yuǎn)離危險的狀態(tài)或特性”，或“主觀上不存在威脅，主觀上不存在恐懼”。信息安全的概念：

國際標(biāo)準(zhǔn)化組織（ISO）的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件和數(shù)據(jù)不因偶然或惡意的原因遭到破壞、更改和泄露。我國公安部的定義：計算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、泄露，保證系統(tǒng)能正常運(yùn)行。第二章信息安全基礎(chǔ)信息安全概述信息安全發(fā)展歷史信息安全發(fā)展大致經(jīng)歷了4個時期第一個時期是通信保密時期，主要標(biāo)志是1949年香農(nóng)發(fā)表的《保密通信的信息理論》。第二個時期為信息安全時期，二十世紀(jì)70-80年代為標(biāo)志《可信計算機(jī)評估準(zhǔn)則》（TCSEC）第三個時期是在二十世紀(jì)90年代興起的網(wǎng)絡(luò)時代。保密性、完整性和可用性三個原則衍生為諸如可控性、抗抵賴性、真實性等其他的原則和目標(biāo)第四個時代是進(jìn)入二十一世紀(jì)的信息安全保障時代，主要標(biāo)志是《信息保障技術(shù)框架》（IATF）。

第二章信息安全基礎(chǔ)信息安全概述用戶規(guī)模主要應(yīng)用成熟期大型機(jī)小科學(xué)計算1960年代10年小型機(jī)/WAN1970年代小7年部門內(nèi)部PC/LAN1980年代中5年企業(yè)之間Client/Server1990年代大4年商家之間IntranetInternet2000年代商家與消費者之間服務(wù)為本

全球無所不在3年ExtranetInternet信息安全發(fā)展現(xiàn)狀第二章信息安全基礎(chǔ)信息安全概述信息安全現(xiàn)狀2009年互聯(lián)網(wǎng)發(fā)展分析第二章信息安全基礎(chǔ)信息安全概述信息安全現(xiàn)狀2014年網(wǎng)民與網(wǎng)絡(luò)規(guī)模第二章信息安全基礎(chǔ)信息安全概述信息安全現(xiàn)狀信息安全問題嚴(yán)重混合型威脅(RedCode,Nimda)拒絕服務(wù)攻擊(Yahoo!,eBay)發(fā)送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量第二章信息安全基礎(chǔ)信息安全概述信息安全現(xiàn)狀病毒呈指數(shù)級增長第二章信息安全基礎(chǔ)信息安全概述信息安全現(xiàn)狀病毒全球擴(kuò)散第二章信息安全基礎(chǔ)信息安全概述信息安全現(xiàn)狀攻擊者需要的技能下降第二章信息安全基礎(chǔ)信息安全概述信息安全的CIACIA在信息安全領(lǐng)域并不是CentralIntelligenceAgency（美國中央情報局）第二章信息安全基礎(chǔ)信息安全概述信息安全的CIACIA是信息安全的基本目標(biāo)，也是其三個原則Confidenciality

隱私性：指只有授權(quán)用戶可以獲取信息。Integrity

完整性：指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性。Availability

可用性：指保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^。第二章信息安全基礎(chǔ)信息安全概述信息安全屬性信息安全的基本屬性主要表現(xiàn)在以下5個方面：完整性：是指信息在存儲或傳輸?shù)倪^程中保持未經(jīng)授權(quán)不能改變的特性保密性：是指信息不被泄露給未經(jīng)授權(quán)者的特性可用性：是指信息可被授權(quán)者訪問并按需求使用的特性不可否認(rèn)性：也稱為不可抵賴性，即所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾可控性：是指對信息的傳播及內(nèi)容具有控制能力的特性第二章信息安全基礎(chǔ)信息安全概述信息安全實質(zhì)信息安全的實質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。第二章信息安全基礎(chǔ)信息安全概述信息安全威脅什么是信息安全威脅所謂的信息安全威脅就是指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用所造成的危險。第二章信息安全基礎(chǔ)信息安全概述信息安全威脅常見的信息安全威脅

第二章信息安全基礎(chǔ)信息安全概述信息安全威脅常見的信息安全威脅：物理威脅信息泄露：信息被泄露或透露給某個非授權(quán)的實體破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。拒絕服務(wù)：對信息或其他資源的合法訪問被無條件地阻止。非法使用（非授權(quán)訪問）：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。

第二章信息安全基礎(chǔ)信息安全概述信息安全威脅常見的信息安全威脅：竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。業(yè)務(wù)流分析：通過對系統(tǒng)進(jìn)行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行研究，從而發(fā)現(xiàn)有價值的信息和規(guī)律。假冒：通過欺騙通信系統(tǒng)(或用戶）達(dá)到使非法用戶冒充成為合法用戶，或者使特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。

第二章信息安全基礎(chǔ)信息安全概述信息安全威脅常見的信息安全威脅：旁路控制：攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)授權(quán)侵犯：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱做“內(nèi)部攻擊”特洛伊木馬：軟件中含有一個察覺不出的或者無害的程序段，當(dāng)它被執(zhí)行時，會破壞用戶的安全。這種應(yīng)用程序稱為特洛伊木馬陷阱門：在某個系統(tǒng)或某個部件中設(shè)置的“機(jī)關(guān)”，使得在特定的數(shù)據(jù)輸入時，允許違反安全策略。

第二章信息安全基礎(chǔ)信息安全概述信息安全威脅常見的信息安全威脅：抵賴：這是一種來自用戶的攻擊重放:出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行復(fù)制，而重新發(fā)送人員不慎：一個授權(quán)的人為了錢或利益，或由于粗心，將信息泄露給一個非授權(quán)的人媒體廢棄:信息被從廢棄的磁盤或打印過的存儲介質(zhì)中獲得

第二章信息安全基礎(chǔ)信息安全概述信息安全威脅常見的信息安全威脅：物理侵入：侵人者通過繞過物理控制而獲得對系統(tǒng)的訪問竊?。褐匾陌踩锲罚ㄈ缌钆苹蛏矸菘ǎ┍槐I業(yè)務(wù)欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等計算機(jī)病毒

第二章信息安全基礎(chǔ)信息安全概述信息安全威脅計算機(jī)病毒概念：計算機(jī)病毒，是一種在計算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害的功能程序。一種病毒通常含有兩個功能：一種功能是對其他程序產(chǎn)生“感染”；另外一種或者是引發(fā)損壞功能，或者是一種植入攻擊的能力。第二章信息安全基礎(chǔ)信息安全概述信息安全威脅計算機(jī)病毒計算機(jī)病毒造成的危害格式化磁盤，致使信息丟失刪除可執(zhí)行文件或者數(shù)據(jù)文件破壞文件分配表，使得無法讀取磁盤上的信息修改或破壞文件中的數(shù)據(jù)改變磁盤分配，造成數(shù)據(jù)寫入錯誤病毒本身迅速復(fù)制或磁盤出現(xiàn)假“壞”扇區(qū)，使磁盤可用空間減少影響內(nèi)存常駐程序的正常運(yùn)行在系統(tǒng)中產(chǎn)生新的文件更改或重寫磁盤的卷標(biāo)第二章信息安全基礎(chǔ)信息安全概述信息安全威脅計算機(jī)病毒蠕蟲具有病毒和人侵者雙重特點：像病毒那樣，它可以進(jìn)行自我復(fù)制，并可能被當(dāng)成假指令去執(zhí)行像入侵者那樣，它以穿透網(wǎng)絡(luò)系統(tǒng)為目標(biāo)。木馬并不被當(dāng)成病毒，因為它們通常不包括感染程序，因而并不自我復(fù)制，只是靠欺騙獲得傳播。第二章信息安全基礎(chǔ)信息安全概述信息安全威脅對于信息系統(tǒng)來說威脅可以是針對物理環(huán)境、通信鏈路、網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)以及管理系統(tǒng)等方面。物理安全威脅是指對系統(tǒng)所用設(shè)備的威脅。物理安全是信息系統(tǒng)安全的最重要方面。通信鏈路安全威脅。網(wǎng)絡(luò)人侵者可能在傳輸線路上安裝竊聽裝置，竊取網(wǎng)上傳輸?shù)男盘?，再通過一些技術(shù)手段讀出數(shù)據(jù)信息，造成信息泄露；或?qū)νㄐ沛溌愤M(jìn)行干擾，破壞數(shù)據(jù)的完整性。第二章信息安全基礎(chǔ)信息安全概述信息安全威脅網(wǎng)絡(luò)安全威脅。內(nèi)部網(wǎng)絡(luò)容易受到來自外部網(wǎng)絡(luò)人侵者的攻擊。操作系統(tǒng)安全威脅。由于系統(tǒng)的復(fù)雜性，不存在絕對安全的系統(tǒng)平臺。對系統(tǒng)平臺最危險的威脅是在系統(tǒng)軟件或硬件芯片中的植入威脅。應(yīng)用系統(tǒng)安全威脅是指對于網(wǎng)絡(luò)服務(wù)或用戶業(yè)務(wù)系統(tǒng)安全的威脅。管理系統(tǒng)安全威脅。再先進(jìn)的安全技術(shù)也不可能完全防范由于人員不慎造成的信息泄露，管理安全是信息安全有效的前提。第二章信息安全基礎(chǔ)信息安全概述信息安全威脅網(wǎng)絡(luò)攻擊由于系統(tǒng)脆弱性的客觀存在，操作系統(tǒng)、應(yīng)用軟件、硬件設(shè)備不可避免地存在一些安全漏洞，網(wǎng)絡(luò)協(xié)議本身的設(shè)計也存在一些安全隱患，這些都為攻擊者采用非正常手段入侵系統(tǒng)提供了可乘之機(jī)。破解口令、利用操作系統(tǒng)已知漏洞等攻擊目標(biāo)系統(tǒng)信息收集、弱點信息挖掘分析、目標(biāo)使用權(quán)限獲取、攻擊行為隱蔽、攻擊實施、開辟后門、攻擊痕跡清除等第二章信息安全基礎(chǔ)信息安全概述信息安全的實現(xiàn)保護(hù)信息安全所采用的手段