信息安全管理概述

第一章信息安全管理概述1.1基本概念1.2信息安全的隐患1.3信息系统面临的威胁1.4信息安全管理涵盖的内容1.5信息安全管理架构1.6信息系统安全等级保护案例1假银行网站，2004年12月中国银行工商银行差之毫厘、失之千里案例2股票窃密者：TrojanSpy.Stock专门针对证券网上交易系统的一种木马用Delphi语言编写，用UPX压缩替换Windows/SYSTEM32.EXE记录用户的键盘操作窃取用户股票交易账号和密码每隔三分钟将屏幕截图保存把窃取的信息发送到指定邮箱案例3俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元。案例42003年2月17日发现一名电脑“黑客”最近“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统，窃取了万事达、维萨、美国运通、发现4家大型信用卡组织的约800万张信用卡资料。中美黑客网上大战时，国内外的上千个门户网站遭到破坏。案例52003年1月25日，互联网上出现一种新型高危蠕虫病毒——“2003蠕虫王”。全球25万台计算机遭袭击，全世界范围内损失额最高可达12亿美元。美欲用电脑赢战争，网络特种兵走入无硝烟战场。过去几天来，数千名伊拉克人在他们的电子信箱里发现了这封发件人被掩盖的邮件。正当美国士兵被大量派往海湾之时，美军对伊拉克的第一轮网络攻击也随之悄然拉开了帷幕。案例6：“史上最黑黑客”加里·麦金农案例7：美国电力系统被入侵案例8：安全问题1）没有统一定义什么是安全？2）没有绝对标准安全的判别程度不同安全都是相对的没有最好的安全，最佳的机制适合自己的是最好的安全问题3）没有绝对保证时间与空间复杂性不是无懈可击的任何系统都有漏洞和弱点安全是有生存周期的4）没有完美系统对可靠性的理解对可信性的理解对可行性的理解对可用性的理解任何人创造的所谓无懈可击的安全系统，都会被最终攻克。5）没有真正专家人类的追求是无止境的人的认识也是无止境的不懂是永恒的，懂是暂时的所谓“懂”是指对该学科的某一阶段或某一层面的正确认识。本课的研究领域计算机系统安全Compsec网络安全Netsec信息安全Infosec过去现在将来系统可靠性实体安全系统安全密码技术计算机病毒计算机安全信息安全的进展过去现在将来系统可靠性实体安全系统安全密码技术计算机病毒计算机安全多机系统互连安全远程访问安全数据完整、可用网络安全防御网络攻击与反攻击网络安全+信息安全的进展（续）过去现在将来系统可靠性实体安全系统安全密码技术计算机病毒计算机安全多机系统互连安全远程访问安全数据完整、可用网络安全防御网络攻击与反攻击网络安全+信息可信可控信息保障信息对抗可信赖计算环境社会心理安全信息安全+信息安全的进展（续）信息安全领域计算机安全计算机安全计算机安全计算机安全计算机安全Internet计算机安全网络安全领域行业通信社会行业法律心理1.1基本概念1.1.1数据的保密性：防止信息被未授权者访问和防止信息在传递过程中被截获或解密的性能。静态信息保密性：动态信息保密性：常用的数据保密技术有：防帧收：防辐射：信息加密：物理保密：1.1.2数据的完整性信息未经授权不能进行改变的特性，即信息在存储或传输中保持不被删除、修改、插入、伪造、重新排序等破坏和丢失的特性。1.1.3数据的可用性保证经授权的用户可以访问到所需要的信息1.1.4信息安全保密性：完整性：可用性：1.1.5信息安全风险评估对信息系统的威胁、影响、脆弱性三者发生的可能性进行评估。评估方法。自评估其他评服务1.1.6信息安全策略信息安全策略是一种处理信息安全问题的管理策略，它为信息安全提供安全管理和支持。