信息安全基础01信息安全基础知识
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统软件
从补丁安装、物理保护、用户账号、 口令策略、资源共享、事件审计、访 问控制、新系统配置、注册表加固、 网络安全、系统管理等方面进行识别。
网络结构
从网络结构设计、边界保护、外部访问 控制策略、内部访问控制策略、网络设 备安全配置等方面进行识别。
应用中间件
从协议安全、交易完整性、数据完整性 等方面进行识别。
5 恶意代码
故意在计算机系统上执行恶意任务的程序代码。
6 越权或滥用
通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的职 权,做出破坏信息系统的行为。
7 网络攻击
利用工具和技术通过 网络对信息系统进行 攻击和入侵。
8 物理攻击
通过物理的接触造成 对软件、硬件、数据 的破坏。
9 泄密
03.
信息安全为文化安全 保驾护航
信息安全 的作用
02.
信息安全是国家经济 安全的重要依赖
04.
信息安全是国防安全 的重要保障
03
信息安全管理
必要性
信息安全单纯依靠技术手 段来防护是远远不够的。 要让安全技术发挥应有的 作用,必然要有适当的管 理程序的支撑。
概念
信息安全管理作为一个组 织完整的管理体系中的一 个重要环节,它构成了信 息安全具有能动性的部分, 是指导和控制组织关于信 息安全风险的相互协调的 活动,其针对对象就是组 织的信息资产。
案例2 2021年11月,国家安全机关公布了一起非传统安全案件。自2020年以来,国 家安全机关接连发现,多个境外机构在我国境内开设网站,并在微博、贴吧、论 坛、QQ群、视频网站等多个平台推送广告,利用我国国内航空和无线电爱好者 群体,以免费提供设备、共享航空信息数据等为诱饵,广泛招募志愿者,协助其 搜集我国各类飞行器航空数据等信息,并非法向境外传输。
习近平总书记指出,贯彻落实总体国家安全观,必须既重视外部安全,又重 视内部安全……既重视传统安全,又重视非传统安全,要构建集政治安全、国 土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、 生态安全、资源安全、核安全等于一体的国家安全体系。
01.
信息安全已成为影响 国家政治安全的重要 因素
关于“信息安全问题根源”内容,请观看动画《第1章第2节信息安全问题根源.mp4》。
计算机
已存在的安全风险(脆 弱性)被威胁利用,从 而产生了信息安全问题。
黑客 断电
威胁总是要利用资产的脆弱性才可能造成危害。 安全风险如果没有被相应的威胁利用,也不会造成损害。
两者同时存在才会引发问题
02
信息安全之威胁
保密性
保证信息为授权者享用而 不泄漏给未经授权者。
真实性
对信息的来源进行判断, 能对伪造来源的信息予以 鉴别。
完整性
保证信息从真实的发送者 传送到真实的收信者手中, 传送过程中没有被非法用 户添加、删除、替换等。
可用性
保证信息和信息系统随时 为授权者提供服务,保证 合法用户对信息和资源的 使用不会被拒绝。
01 信息安全管理是组织整体管理的重要组成部分,是组织实现其业务目标的重要保障 02 信息安全管理是信息安全技术的粘合剂,保障各项技术措施能够发挥作用 03 信息安全管理能预防、阻止或减少信息安全事件的发生
信息安全管理体系基本概念
一个组织在整体或特定范围内建立 的信息安全方针和目标,以及完成这些 目标所用的方法和体系。它是信息安全 管理活动的结果,表示为方针、原则、 目标、方法、计划、活动、程序、过程 和资源的集合
信息安全管理体系建设过程
01
规划与建立
确立总体战略和 业务目标,规模 和地域分布范围。 对信息资产及其 价值的确定。
02
实施与运行
实施风险评估, 确定所识别信息 资产的信息安全 风险以及处理信 息安全风险的决 策,形成信息安 全要求。
03
监视和评审
根据组织政策和 目标,监控和评 估绩效来维护和 改进ISMS,并将结 果报告给管理层 进行审核。
1. 你觉得应如何避免“案例一”当中类似的事件发生? 2. 请谈谈你从“案例二”事件中获得启示?
01
02
03
安全事件发生会对国家 政治安全、经济发展、 军事安全造成巨大影响。 严重时会导致政府公信 力下降,金融秩序混乱, 国家军事领域安全受到 威胁。
安全事件发生会引起社 会的恐慌。企业,医疗、 交通、电力等机构会遭 受到一定程度上的破坏, 社会发展停滞不前。
03.
推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和 风险评估等安全服务。
04.
鼓励开发网络数据安全保护和利用技 术,促进公共数据资源开放,推动技 术创新和经济社会发展。
05.
支持创新网络安全管理方式,运用网 络新技术,提升网络安全保护水平。
06.
重视网络安全宣传教育。
中
高
低
中
01. 本节主要介绍了信息安全之问题的产生、 信息安全之威胁、信息安全之风险;
02. 讲解了信息安全问题是如何产生的; 03. 介绍了信息安全威胁的主要存在形式; 04. 介绍了信息安全的风险的常见类型。
思考题
1 结合威胁和安全风险,探讨如何避免信息安全
问题的产生?
2 信息安全问题可以完全解决吗?
07.
支持企业和高等学校、职业学校等教 育培训机构开展网络安全相关教育与 培训,采取多种方式培养网络安全人 才,促进网络安全人才交流。
1 越来越多的企业开始数字化转型,信息安全问题需要去重视;
2 信息安全相关法律法规不断完善,企业需要去履行相关的责任和义务;
3 企业数据涉及敏感信息,需要加强防护;
01 什么是信息安全? 02 信息安全无小事 03 信息安全管理
01
什么是信息安全?
国际标准化组织(ISO)对信息安全的定义为:
为数据处理系统建立和采 取技术、管理的安全保护, 保护计算机硬件、软件、 数据不因偶然的或恶意的 原因而受到破坏、更改、 泄露。
关于“信息安全的定义”详细内容,请观看动画《第1章第1节信息安全的定义.mp4》。
侵犯个人隐私,遭受不 明骚扰;个人信息被非 法利用,成为商家分析 研究的商业信息,甚至 冒用个人信息从银行办 理信用卡,并进行恶意 消费。
信息安全的地位
2014年2月27日,中央网络安全和信息化领导小组成立,习近平总书记担任 组长。
第一次中央网络安全和信息化领导小组会议提出:“没有信息安全就没有国 家安全,没有信息化就没有现代化”。从此信息安全提升为国家战略层面。
04. 介绍信息安全管理体系建设。
思考题
1 结合近期发生的信息安全事件,探讨信息安全
事件的危害性?
2 在日常生活中,如何树立信息安全意识?
01 信息安全之问题的产生? 02 信息安全之威胁 03 信息安全之风险
01
信息安全之问题的产生
房子
小偷
已存在的安全风险(脆
火
弱性)被威胁利用,从
而产生了安全问题。
➢ 发现安全漏洞越来越快 新发现的安全漏洞每年都要增加一倍,管理 人员不断用最新的补丁修补这些漏洞,而且 每年都会发现安全漏洞的新类型。入侵者经 常能够在厂商修补这些漏洞前发现攻击目标。
02. 对基础设施威胁增大
工控系统、能源、金融、电信、交通和供水 设施等关键基础设施近年来被攻击者视为攻 击的主要目标,通过对基础设施的攻击,达 到攻击者政治、经济方面的目的。
01 信息安全的现状 02 信息安全攻防发展状况 03 新技术应用领域安全
01
信息安全的现状
国家层面
企业层面
个人层面
01.
建立和完善网络安全标准体系。支持企业、研究机构、高等学校、网络相关行业组织 参与网络安全国家标准、行业标准的制定。
02.
扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全 可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等 参与国家网络安全技术创新项目。
不可否认性
不可否认性也称抗抵赖性, 人们要为自己的信息行为 负责,提供保证社会依法 管理需要的公证、仲裁信 息证据。
可靠性
可靠性是信息系统能够在 规定条件下、规定时间内 完成相关功能的特性。
系统性
信息安全问题是复杂的问题。 具有系统性。
无边界
信息安全是无边界的安全,具 有开放性和互通性。
动态性
信息安全是动态的安全,具有 动态性。
1 软硬件故障
对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺 陷造等问题。
2 物理环境影响
对信息系统正常运行造成影响的物理环境问题和自然灾害。
3 无作为或操作失误
应该执行而没有执行相应的操作,或无意地执行了错误的操作。
4 管理不到位
安全管理无法落实或不到位,从而破坏信息系统正常有序运行。
4 企业员工信息安全意识普遍较低;
5 信息安全管理制度有待落实;
6 信息安全产业逐渐形成;
7 越来越多的公司将信息安全作为产品的一部分进行研发。
开始重视个人敏感信 息的保护;
增强对网络攻击的辨 别能力;
迅速适应飞速发展的 信息技术产品;
获取信息途径增加, 学习有效辨识真伪;
增强法律法规意识。
02
信息泄露给不应了解 的他人。
10 篡改
非法修改信息,破坏信息的 完整性使系统的安全性降低 或信息不可用。
11 抵赖Βιβλιοθήκη 不承认收到的信息和所作的 操作和交易。
03
信息安全之风险
技术本身存 在的风险。
技术使用和组织管理 过程中存在的风险。
物理环境
从机房场地、机房防火、机房供配电、 机房防静电、机房接地与防雷、电磁 防护、通信线路的保护、机房区域防 护、机房设备管理等方面进行识别。
应用系统
从审计机制、审计存储、访问控制策略、 数据完整性、通信、鉴别机制、密码保 护等方面进行识别。
技术管理风险
包括物理和环境安全、通信与操作 管理、访问控制、系统开发与维护、 业务连续性等方面的风险
组织管理风险
包括安全策略、组织安全、资产分 类与控制、人员安全、符合性等方 面风险。
某个威胁因素的安全风险 = 受影响的资产价值 × 威胁发生的可能性
信息安全攻防发展状况
网络攻击变得越来越复杂和危险。
复杂
工具 组织 类型
危险
强度 危害
工具的复杂 国家开发的专业攻击工具 个人制作的简单流式脚本
组织的复杂
国家
个人
犯罪组织
安全企业
研究团队
类型的复杂 主动攻击 被动攻击
拒绝访问 网络扫描
漏洞利用 监听
社会工程学 后门
…… ……
01. 网络攻击越发危险
➢ 自动化和攻击速度提高 攻击工具的自动化水平不断提高。随着分布 式攻击工具的出现,攻击者可以管理和协调 分布在许多Internet系统上的大量已部署的攻 击工具。分布式攻击工具能够更有效地发动 拒绝服务攻击,扫描潜在的受害者,危害存 在安全隐患的系统。
03. 攻击蔓延至现实世界
新型攻击已经出现在现实世界当中。
人为因素
环境因素
不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾 结的方式盗窃机密信息或进行篡改,获取利益。
外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用 性进行破坏,以获取利益或炫耀能力。
内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章 制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不 足、不具备岗位技能要求而导致信息系统故障或被攻击。
04
维护与改进
组织应该分析和 评估现有情况, 找出需要改进的 地方。在建立纠 正措施之后,需 要对改进的地方 进行评审。
本节主要介绍信息安全的定义、信息安全
01. 属性、信息安全的特征、信息安全的范畴、
信息安全发展历程;
02. 讲解信息安全事件的危害性、信息安全的
地位与作用;
03. 介绍信息安全管理必要性、概念、意义;
案例解读
技术
产品成熟 信创
覆盖面广 服务专业
管理
国际接轨 形成体系
逐渐重视 结合实践
意识
日常培训 融入生活
重视宣传 全民意识
法律及标准
网络安全法 个人信息保护法 数据安全法 等级保护制度
非传统
信息安全是非传统的安全,与 传统的安全相比显著不同。
总体上分为安全技术和安全管理两大领域。
安全技术
网络安全 应用安全 病毒与木马
数据安全与隐私保护
新技术安全
人工智能 工控安全 大数据安全 大云安全
安全管理 信息安全管理 信息安全法律法规、 政策与标准
02
信息安全无小事
案例1 2021年1月8日23时55分,有人在某国外论坛中发帖售卖某银行1679万笔数据, 并公开部分数据样本,数据包括名字、性别、卡号、身份证号、手机号码 、所在 城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等个 人隐私。
从补丁安装、物理保护、用户账号、 口令策略、资源共享、事件审计、访 问控制、新系统配置、注册表加固、 网络安全、系统管理等方面进行识别。
网络结构
从网络结构设计、边界保护、外部访问 控制策略、内部访问控制策略、网络设 备安全配置等方面进行识别。
应用中间件
从协议安全、交易完整性、数据完整性 等方面进行识别。
5 恶意代码
故意在计算机系统上执行恶意任务的程序代码。
6 越权或滥用
通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的职 权,做出破坏信息系统的行为。
7 网络攻击
利用工具和技术通过 网络对信息系统进行 攻击和入侵。
8 物理攻击
通过物理的接触造成 对软件、硬件、数据 的破坏。
9 泄密
03.
信息安全为文化安全 保驾护航
信息安全 的作用
02.
信息安全是国家经济 安全的重要依赖
04.
信息安全是国防安全 的重要保障
03
信息安全管理
必要性
信息安全单纯依靠技术手 段来防护是远远不够的。 要让安全技术发挥应有的 作用,必然要有适当的管 理程序的支撑。
概念
信息安全管理作为一个组 织完整的管理体系中的一 个重要环节,它构成了信 息安全具有能动性的部分, 是指导和控制组织关于信 息安全风险的相互协调的 活动,其针对对象就是组 织的信息资产。
案例2 2021年11月,国家安全机关公布了一起非传统安全案件。自2020年以来,国 家安全机关接连发现,多个境外机构在我国境内开设网站,并在微博、贴吧、论 坛、QQ群、视频网站等多个平台推送广告,利用我国国内航空和无线电爱好者 群体,以免费提供设备、共享航空信息数据等为诱饵,广泛招募志愿者,协助其 搜集我国各类飞行器航空数据等信息,并非法向境外传输。
习近平总书记指出,贯彻落实总体国家安全观,必须既重视外部安全,又重 视内部安全……既重视传统安全,又重视非传统安全,要构建集政治安全、国 土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、 生态安全、资源安全、核安全等于一体的国家安全体系。
01.
信息安全已成为影响 国家政治安全的重要 因素
关于“信息安全问题根源”内容,请观看动画《第1章第2节信息安全问题根源.mp4》。
计算机
已存在的安全风险(脆 弱性)被威胁利用,从 而产生了信息安全问题。
黑客 断电
威胁总是要利用资产的脆弱性才可能造成危害。 安全风险如果没有被相应的威胁利用,也不会造成损害。
两者同时存在才会引发问题
02
信息安全之威胁
保密性
保证信息为授权者享用而 不泄漏给未经授权者。
真实性
对信息的来源进行判断, 能对伪造来源的信息予以 鉴别。
完整性
保证信息从真实的发送者 传送到真实的收信者手中, 传送过程中没有被非法用 户添加、删除、替换等。
可用性
保证信息和信息系统随时 为授权者提供服务,保证 合法用户对信息和资源的 使用不会被拒绝。
01 信息安全管理是组织整体管理的重要组成部分,是组织实现其业务目标的重要保障 02 信息安全管理是信息安全技术的粘合剂,保障各项技术措施能够发挥作用 03 信息安全管理能预防、阻止或减少信息安全事件的发生
信息安全管理体系基本概念
一个组织在整体或特定范围内建立 的信息安全方针和目标,以及完成这些 目标所用的方法和体系。它是信息安全 管理活动的结果,表示为方针、原则、 目标、方法、计划、活动、程序、过程 和资源的集合
信息安全管理体系建设过程
01
规划与建立
确立总体战略和 业务目标,规模 和地域分布范围。 对信息资产及其 价值的确定。
02
实施与运行
实施风险评估, 确定所识别信息 资产的信息安全 风险以及处理信 息安全风险的决 策,形成信息安 全要求。
03
监视和评审
根据组织政策和 目标,监控和评 估绩效来维护和 改进ISMS,并将结 果报告给管理层 进行审核。
1. 你觉得应如何避免“案例一”当中类似的事件发生? 2. 请谈谈你从“案例二”事件中获得启示?
01
02
03
安全事件发生会对国家 政治安全、经济发展、 军事安全造成巨大影响。 严重时会导致政府公信 力下降,金融秩序混乱, 国家军事领域安全受到 威胁。
安全事件发生会引起社 会的恐慌。企业,医疗、 交通、电力等机构会遭 受到一定程度上的破坏, 社会发展停滞不前。
03.
推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和 风险评估等安全服务。
04.
鼓励开发网络数据安全保护和利用技 术,促进公共数据资源开放,推动技 术创新和经济社会发展。
05.
支持创新网络安全管理方式,运用网 络新技术,提升网络安全保护水平。
06.
重视网络安全宣传教育。
中
高
低
中
01. 本节主要介绍了信息安全之问题的产生、 信息安全之威胁、信息安全之风险;
02. 讲解了信息安全问题是如何产生的; 03. 介绍了信息安全威胁的主要存在形式; 04. 介绍了信息安全的风险的常见类型。
思考题
1 结合威胁和安全风险,探讨如何避免信息安全
问题的产生?
2 信息安全问题可以完全解决吗?
07.
支持企业和高等学校、职业学校等教 育培训机构开展网络安全相关教育与 培训,采取多种方式培养网络安全人 才,促进网络安全人才交流。
1 越来越多的企业开始数字化转型,信息安全问题需要去重视;
2 信息安全相关法律法规不断完善,企业需要去履行相关的责任和义务;
3 企业数据涉及敏感信息,需要加强防护;
01 什么是信息安全? 02 信息安全无小事 03 信息安全管理
01
什么是信息安全?
国际标准化组织(ISO)对信息安全的定义为:
为数据处理系统建立和采 取技术、管理的安全保护, 保护计算机硬件、软件、 数据不因偶然的或恶意的 原因而受到破坏、更改、 泄露。
关于“信息安全的定义”详细内容,请观看动画《第1章第1节信息安全的定义.mp4》。
侵犯个人隐私,遭受不 明骚扰;个人信息被非 法利用,成为商家分析 研究的商业信息,甚至 冒用个人信息从银行办 理信用卡,并进行恶意 消费。
信息安全的地位
2014年2月27日,中央网络安全和信息化领导小组成立,习近平总书记担任 组长。
第一次中央网络安全和信息化领导小组会议提出:“没有信息安全就没有国 家安全,没有信息化就没有现代化”。从此信息安全提升为国家战略层面。
04. 介绍信息安全管理体系建设。
思考题
1 结合近期发生的信息安全事件,探讨信息安全
事件的危害性?
2 在日常生活中,如何树立信息安全意识?
01 信息安全之问题的产生? 02 信息安全之威胁 03 信息安全之风险
01
信息安全之问题的产生
房子
小偷
已存在的安全风险(脆
火
弱性)被威胁利用,从
而产生了安全问题。
➢ 发现安全漏洞越来越快 新发现的安全漏洞每年都要增加一倍,管理 人员不断用最新的补丁修补这些漏洞,而且 每年都会发现安全漏洞的新类型。入侵者经 常能够在厂商修补这些漏洞前发现攻击目标。
02. 对基础设施威胁增大
工控系统、能源、金融、电信、交通和供水 设施等关键基础设施近年来被攻击者视为攻 击的主要目标,通过对基础设施的攻击,达 到攻击者政治、经济方面的目的。
01 信息安全的现状 02 信息安全攻防发展状况 03 新技术应用领域安全
01
信息安全的现状
国家层面
企业层面
个人层面
01.
建立和完善网络安全标准体系。支持企业、研究机构、高等学校、网络相关行业组织 参与网络安全国家标准、行业标准的制定。
02.
扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全 可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等 参与国家网络安全技术创新项目。
不可否认性
不可否认性也称抗抵赖性, 人们要为自己的信息行为 负责,提供保证社会依法 管理需要的公证、仲裁信 息证据。
可靠性
可靠性是信息系统能够在 规定条件下、规定时间内 完成相关功能的特性。
系统性
信息安全问题是复杂的问题。 具有系统性。
无边界
信息安全是无边界的安全,具 有开放性和互通性。
动态性
信息安全是动态的安全,具有 动态性。
1 软硬件故障
对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺 陷造等问题。
2 物理环境影响
对信息系统正常运行造成影响的物理环境问题和自然灾害。
3 无作为或操作失误
应该执行而没有执行相应的操作,或无意地执行了错误的操作。
4 管理不到位
安全管理无法落实或不到位,从而破坏信息系统正常有序运行。
4 企业员工信息安全意识普遍较低;
5 信息安全管理制度有待落实;
6 信息安全产业逐渐形成;
7 越来越多的公司将信息安全作为产品的一部分进行研发。
开始重视个人敏感信 息的保护;
增强对网络攻击的辨 别能力;
迅速适应飞速发展的 信息技术产品;
获取信息途径增加, 学习有效辨识真伪;
增强法律法规意识。
02
信息泄露给不应了解 的他人。
10 篡改
非法修改信息,破坏信息的 完整性使系统的安全性降低 或信息不可用。
11 抵赖Βιβλιοθήκη 不承认收到的信息和所作的 操作和交易。
03
信息安全之风险
技术本身存 在的风险。
技术使用和组织管理 过程中存在的风险。
物理环境
从机房场地、机房防火、机房供配电、 机房防静电、机房接地与防雷、电磁 防护、通信线路的保护、机房区域防 护、机房设备管理等方面进行识别。
应用系统
从审计机制、审计存储、访问控制策略、 数据完整性、通信、鉴别机制、密码保 护等方面进行识别。
技术管理风险
包括物理和环境安全、通信与操作 管理、访问控制、系统开发与维护、 业务连续性等方面的风险
组织管理风险
包括安全策略、组织安全、资产分 类与控制、人员安全、符合性等方 面风险。
某个威胁因素的安全风险 = 受影响的资产价值 × 威胁发生的可能性
信息安全攻防发展状况
网络攻击变得越来越复杂和危险。
复杂
工具 组织 类型
危险
强度 危害
工具的复杂 国家开发的专业攻击工具 个人制作的简单流式脚本
组织的复杂
国家
个人
犯罪组织
安全企业
研究团队
类型的复杂 主动攻击 被动攻击
拒绝访问 网络扫描
漏洞利用 监听
社会工程学 后门
…… ……
01. 网络攻击越发危险
➢ 自动化和攻击速度提高 攻击工具的自动化水平不断提高。随着分布 式攻击工具的出现,攻击者可以管理和协调 分布在许多Internet系统上的大量已部署的攻 击工具。分布式攻击工具能够更有效地发动 拒绝服务攻击,扫描潜在的受害者,危害存 在安全隐患的系统。
03. 攻击蔓延至现实世界
新型攻击已经出现在现实世界当中。
人为因素
环境因素
不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾 结的方式盗窃机密信息或进行篡改,获取利益。
外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用 性进行破坏,以获取利益或炫耀能力。
内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章 制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不 足、不具备岗位技能要求而导致信息系统故障或被攻击。
04
维护与改进
组织应该分析和 评估现有情况, 找出需要改进的 地方。在建立纠 正措施之后,需 要对改进的地方 进行评审。
本节主要介绍信息安全的定义、信息安全
01. 属性、信息安全的特征、信息安全的范畴、
信息安全发展历程;
02. 讲解信息安全事件的危害性、信息安全的
地位与作用;
03. 介绍信息安全管理必要性、概念、意义;
案例解读
技术
产品成熟 信创
覆盖面广 服务专业
管理
国际接轨 形成体系
逐渐重视 结合实践
意识
日常培训 融入生活
重视宣传 全民意识
法律及标准
网络安全法 个人信息保护法 数据安全法 等级保护制度
非传统
信息安全是非传统的安全,与 传统的安全相比显著不同。
总体上分为安全技术和安全管理两大领域。
安全技术
网络安全 应用安全 病毒与木马
数据安全与隐私保护
新技术安全
人工智能 工控安全 大数据安全 大云安全
安全管理 信息安全管理 信息安全法律法规、 政策与标准
02
信息安全无小事
案例1 2021年1月8日23时55分,有人在某国外论坛中发帖售卖某银行1679万笔数据, 并公开部分数据样本,数据包括名字、性别、卡号、身份证号、手机号码 、所在 城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等个 人隐私。