搜索
信息安全形势与责任时间:2010年11月26日信息安全意识教育培训三、信息安全要求与责任二、信息安全形势与任务一、信息安全的基本概念教学目录一、信息安全的基本概念•概述:本章节除介绍信息安全的基本概念外,还从税务系统角度阐述信息安全现状,以及所面临的形势和任务。教学目的在于帮助学员树立信息安全意识,提高信息安全认知水平。一、信息安全的基本概念1、信息安全相关概念2、信息安全问题产生的根源3、如何保障信息系统安全首先让我们先来了解三个概念1)什么是信息?2)什么是安全?3)什么是信息安全?一、信息安全的基本概念1、什么是信息?信息是信息论中的一个术语,常常把消息中有意义的内容称为信息。1948年,美国数学家、信息论的创始人仙农在题为“通讯的数学理论”的论文中指出:“信息是用来消除随机不定性的东西”。现代科学指事物发出的消息、指令、数据、符号等所包含的内容,就是信息。人通过获得、识别自然界和社会的不同信息来区别不同事物,得以认识和改造世界。在一切通讯和控制系统中,信息是一种普遍联系的形式。信息一般有4种形态:数据、文本、声音、图像。一、信息安全的基本概念1、什么是信息?——我们平常接触到的信息一、信息安全的基本概念一、信息安全的基本概念•信息具有以下属性:基本元素是数据,每个数据代表某个意义;数据具有一定的逻辑关系;对组织具有价值,是一种资产;需要适当的保护。以各种形式存在:纸、电子形式、影片、交谈等;具有一定的时效性;知识信息数据指导意义抽象程度一、信息安全的基本概念一、信息安全的基本概念1、什么是信息?——信息的构成1信息来源2具体内容3传播载体4传输过程5接受者2、什么是安全?一、信息安全的基本概念安全就是没有危险;不受威胁;不出事故。举例说明安全的概念:截至2009年12月31日,中国民航连续安全飞行61个月、1825万小时,创造了我国民航史上最好的安全纪录。安全与我们的工作生活,甚至于生命息息相关:安全驾驶、安全用电、交通安全、消防安全等。2、什么是安全?一、信息安全的基本概念思考题:在我们工作和的生活中,你遇到过哪些不安全的现象,有过哪些不安全的做法?一、信息安全的基本概念一、信息安全的基本概念•上网正在兴头上时,突然IE窗口不停地打开,最后直到资源耗尽死机;•身边朋友的QQ号被盗,虽然最后费尽周折,利用密码保护找回了自己心爱的QQ号,但是里面的好友和群全部被删除;•想通过优盘把连夜加班的资料拷贝到单位电脑上,可插入u盘后里面空空如也,一晚上的工作付之东流;•某一天下着大雨,突然“霹雳”一声,电脑突然断线了,经查是上网用的adslmodem被击坏了。3、什么是信息安全?一、信息安全的基本概念信息本身的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,即防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。秘密保密性(Confidentiality)完整性(Integrity)可用性(Availability)请看案例一、信息安全的基本概念案例1传统工艺品景泰蓝的生产技术一直是我国独有的,多少年来畅销世界各国为国家赚了很多外汇。有一家日本企业看着眼红,想着心动,摸着手痒,使了不少明招暗招阴招狠招,都没管用,于是找来素有爱国华侨称号的一个人,请他到中国以参观为名把景泰蓝生产技术偷出来,事前先给了他一大笔钱,事成之后再给一大笔钱。一、信息安全的基本概念案例1这个华侨,面对大笔金钱的诱惑,经过一番思想斗争后,最终还是答应了。华侨到了景泰蓝厂,受到热情欢迎,厂长亲自陪同,破例让他参观了景泰蓝的全部生产过程。华侨又是记录又是拍照,把景泰蓝生产技术弄了个一清二楚。厂里的人看到华侨这样做也有些怀疑,向厂长提出来是不是注意一下。厂长说人家是著名爱国华侨,要是有个三差两错,可是破坏统一战线的大事,别瞎怀疑了。一、信息安全的基本概念案例1大家伙做梦也不会想到,这么个一本正经满脸堆笑的贵客,却是个地地道道的工业间谍,是外国第一个窃取景泰蓝生产技术的人。从此,景泰蓝的生产就在日本开始了。这个案例给了我们怎样的启示?一、信息安全的基本概念不该知道的人,不要让他知道!保证信息的机密性是很重要的:确保重要信息没有非授权的泄漏,不被非授权的个人、组织和计算机程序使用。案例1有十个人,两两传递一句话,“我告诉你一句话!”传到第十个人那里的时候,可能听到的是这样的,“火车什么时候出发?”这说明什么问题呢?耳提面命,两两传递,语言会失真!一句同样的话,经过十个人,九次传递,面目全非。为什么谣言是最不可信的?因为它经过了很多人的传递后,融入了很多个人的理解和感情因素,改变了事情的本来面目。一、信息安全的基本概念一、信息安全的基本概念案例2别人告诉你个事,说:1、“前面有个人!”——非常含糊!2、“前面有个男人!”——更具体!3、“前面有个老人,是个男的!”——更具体!4、“前面有个老头,是个盲人!”——更具体!5、“前面有个老头,是个盲人!迷路了!”——更具体!6、“前面有个老头,是个盲人!迷路了!需要帮助!”——更具体!7、“前面有个老头,是个盲人!迷路了!有个警察把他送回家了!”——非常具体!在大多数情况下,我们听到的和事情的本质,是存在非常大的差异的!完整的表述,可以再现事物的原貌。一、信息安全的基本概念以上两个案例给了我们怎样的启示?一、信息安全的基本概念信息不能追求残缺美!完整性:确保信息没有遭到篡改和破坏案例1一、信息安全的基本概念背景介绍:它是20世纪最大的登陆战役,也是战争史上最有影响的登陆战役之一。盟军先后调集了36个师,总兵力达288万人,其中陆军有153万人,相当于20世纪末美国的全部军队。从1944年6月6日至7月初,美国、英国、加拿大的百万军队,17万辆车辆,60万吨各类补给品,成功地渡过了英吉利海峡。到7月24日,战争双方约有24万人被歼灭,其中盟军伤亡12.2万人,德军伤亡和被俘11.4万人。至8月底,盟军一共消灭或重创德军40个师,德军的3名元帅和1名集团军司令先后被撤职或离职,击毙和俘虏德军集团军司令、军长、师长等高级将领20人,缴获和摧毁德军的各种火炮3000多门,摧毁战车1000多辆。德军损失飞机3500架,坦克1.3万辆,各种车辆2万辆,人员40万。这次登陆战役的成功,使美英军队得以重返欧洲大陆,第二次世界大战的战略态势发生了根本性变化。录象视频案例1一、信息安全的基本概念案例1——诺曼底登陆为什么能够取得成功?它又带给我们怎样的思考?一、信息安全的基本概念战略欺骗盟军用错误的信息,使得德军统帅部判断错误,不仅保障了登陆作战的突然性,还保证了战役顺利进行,对整个战役具有重大影响。盟军通过海空军的卓有成效的佯动,成功运用了双重特工、电子干扰,以及在英国东南部地区伪装部队及船只的集结等一系列措施,还让巴顿将军在英国进行战前演说,再加上严格的保密措施,使德军统帅部在很长时间里对盟军登陆地点、时间都作出了错误判断,以为盟军将在诺曼底东北方的加莱海滩登陆,甚至在盟军诺曼底登陆后仍认为是牵制性的佯攻,这就导致了德军在西线的大部分兵力、武器被浪费在加莱地区,而在诺曼底则因兵力单薄无法抵御盟军的登陆。同时,还找到一个和蒙哥马利长得极像的叫詹姆斯的人在北非冒充蒙哥马利,使得隆美尔以为蒙哥马利一直在北非。一、信息安全的基本概念可用性:确保拥有授权的用户或程序可以及时、正常使用信息。一、信息安全的基本概念1、信息安全相关概念2、信息安全问题产生的根源3、如何保障信息系统安全一、信息安全的基本概念信息安全的主要威胁1:(病毒、木马)信息安全的主要威胁2:(黑客行为)当前黑客的特点:•目前黑客袭击不再是一种个人兴趣,而是越来越多的变成一种有组织的、利益驱使的职业犯罪;•主要针对的是高价值的目标;•黑客控制病毒不再安于破坏系统,销毁数据,而是更关注财产和隐私。信息安全的主要威胁3:(恶意软件、垃圾邮件)强制安装难以卸载浏览器劫持广告弹出恶意收集用户信息恶意卸载恶意捆绑其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。恶意软件8大特征信息安全的主要威胁4:(人为因素)人为错误,比如使用不当,安全意识差等,操作不当或安全意识差将引起如下一些错误:安装或使用不明来源的软件;随意开启来历不明的电子邮件;向他人披露个人密码;不注意保密单位或者个人文件;计算机旁边放置危险物品;信息安全的主要威胁5:(自然因素)火山爆发、地震洪水雷击一、信息安全的基本概念思考:信息系统安全问题能否避免?一、信息安全的基本概念1、信息安全相关概念2、信息安全问题产生的根源3、如何保障信息系统安全如何保障信息系统安全1.杀(防)毒软件不可少•首先要做的就是安装一套正版的杀毒软件。•对待电脑病毒的关键应当以“防”为主。开启杀毒软件的实时监控程序,并定期升级杀毒软件2.分类设置密码并使密码尽可能复杂计算机帐号、办公应用账户、网上银行、E-Mail等,应尽可能使用不同的密码,以免因一个密码泄露导致所有资料外泄。对于重要的密码(如网上银行的密码)一定要单独设置,并且不要与其他密码相同。定期地修改自己的密码如何保障信息系统安全•3.不下载来路不明的软件•从网上下载软件,应选择信誉较好的下载网站,在使用前最好先查杀病毒。•不要打开来历不明的电子邮件•病毒邮件通常都会以诱人的标题来吸引你打开,如果一旦打开,计算机会受到感染;所以在打开邮件前仔细核实发件人信息。如何保障信息系统安全•4.不要随意浏览非法网站•许多病毒、木马和间谍软件都来自于非法网站,如果你上了这些网站,而你的电脑恰巧又没有防范措施,那么你十有八九会中招。如何保障信息系统安全•5.定期备份重要数据•如果计算机遭到致命的破坏,软件或者硬件是可以更换,但数据就再也找不会来了。•所以,无论采取了多么严密的防范措施,也不要忘了随时备份的重要数据,做到有备无患!如何保障信息系统安全接下来,了解一下税务系统的信息安全保障措施一、信息安全的基本概念信息安全风险和安全事件是不可能完全避免的,为了控制和规避风险,税务部门针对不同时期所面临的安全风险采取了不同的应对措施。通过两期税务系统网络与信息安全防护体系建设,已在全国范围内初步建立起一套较稳定的信息系统安全体系。完善的信息安全技术体系1.总局《信息安全技术体系》——指导性规范性文件;2.总局安全一期、二期、三期防护体系——已经实施的措施;3.“金税三期”安全体系(基础、管理、防护、支撑)——根据《体系》的设计。税务系统的信息安全体系一、信息安全的基本概念物理安全:应用安全:网络安全:数据安全:安全意识环境安全、设备安全、存储介质安全网络可靠性保障、局域网安全保障、网络边界安全保障用户身份认证和审计、建立信息安全等级保护制度、建立基于PKI的拥护身份安全认证制度数据库的安全:身份认证、访问控制、数据库审计、安全域划分数据的安全备份:全量、增量、差量备份三、信息安全要求与责任二、信息安全形势与任务一、信息安全的基本概念教学目录三、信息安全要求与责任二、信息安全形势与任务一、信息安全的基本概念教学目录