企业信息安全建设之道
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全战
企业信息安全建设之道
提纲
信息安全的涵义和事实 当前安全现状分析 信息系统的安全风险 常见黑客攻击方法
信息安全的涵义和事实
信息系统的广泛应用
社会发展的必然 业务的发展和扩张 网络信息的共享
Internet上网 生产、销售、管理、办公自动化
可信网络系统的基本要求
信息安全定义
经典定义
Confidentiality-保密性:阻止未经授权的用户读取数据 Integrity-完整性:阻止未经授权的用户修改或删除数据 Availability-可用性:保证授权实体在需要时可以正常地访问
和使用系统
多样化定义
Accountability-负责性:确保一个实体的访问动作可以被惟一 的区别、跟踪和记录
安全现状总结(3)
员工缺乏基本的安全意识,特别是下级组织的员 工等,没有进行统一的、系统的安全培训和学习 的机会。由于员工对发生安全问题后造成的后果 不负任何责任,从而也就不能有效的督促员工提 高自己的安全意识,最终形成恶性循环,导致员 工不能严格遵循公司的安全管理制度,个人电脑 的密码设置非常脆弱甚至是空口令,经常上一些 危险的网站,接收危险的电子邮件,不能定期升 级系统安全补丁,更缺乏一些基本的安全防护意 识和发现解决某些常见安全问题的能力。
带来影响 威胁和薄弱点的增加导
致资产安全风险的增加
信息系统的风险管理
资产
资产Biblioteka Baidu
RISK
威胁
脆弱性
RISK
RISK
RiRsIkSK
威胁 脆弱性
风险的构成
风险的降低
信息安全管理
由于许多信息系统并非在设计时就考虑了 安全,依靠技术手段实现安全很有限,则 应该由适当的管理来支持。
信息安全管理是通过保证维护信息的机密 性、完整性和可用性来管理和保护组织的 所有信息资产的一项体制。
安全现状总结(4)
缺乏一套有效的安全预警体系。虽然公司在信息 系统内安装了防火墙、防病毒系统等安全产品, 用于监控和防护内部和外部的不安全活动,但由 于最新漏洞被利用的快速性、安全问题出现的偶 然性、安全事件处理的复杂性以及产品规则库升 级的滞后性,使得安全管理员不可能及时的发现 网络系统存在的最新漏洞,也就不可能有效的实 现全网的安全预防工作,相反只能事事被动,等 问题发生了再去找解决问题的方法,从而给公司 带来很多不必要的损失。
安全现状
针对互联网的应用目前还缺乏有效的安全措施 和手段,影响了信息系统通过互联网对外提供 服务的范围和种类。 只重视单一或几个安全产品的部署,而忽视 整体安全系统建设; 部分企业信息系统的安全防范只能防范外部 的非法入侵者,不能监控内部的破坏者; 只能消极地发现黑客攻击的后果,而不能主 动、智能地对黑客进行反攻击; 只能采用分散的、不可集中管理的安全产品, 而不能采用全面的、集中的安全管理平台。
业务、应用功能的实现 安全、可靠、稳定
信息安全三要素
机密性
客户和业务信息的保护
可用性
员工和客户访问资源
完整性
客户和业务信息的可信赖性
Confidentiality:阻止未经授权的用户读取数据 Integrity:阻止未经授权的用户修改或删除数据 Availability:保证授权实体在需要时可以正常地使用系统
信息安全的事实
绝对的信息安全是不存在的,每个网络环境都 有一定程度的漏洞和风险。这种程度是可以接 受的。信息安全问题的解决只能通过一系列的 规划和措施,把风险降低到可被接受的程度, 同时采取适当的机制使风险保持在此程度之内。 当信息系统发生变化时应当重新规划和实施来 适应新的安全需求。
信息系统的安全往往取决于系统中最薄弱的环 节-人。人是信息安全中最关键的因素,同时也 应该清醒的认识到人也是信息安全中最薄弱的 环节。
统计数据
在信息业高达发达的美国,在最近一次对600名 CIO的调查表明: 将近三分之二(66%)没有完整的安全政策; 只有不到三分之一(32%)要求员工熟悉安 全政策与指南; 只有23%公司的员工得到过信息安全的培训。
在国内,50%企业对信息安全的理解还只停留 在技术层面上,以为企业外部网建立了防火墙 能防黑客,内部网能杀病毒就达到安全要求了。
安全现状总结(5)
缺乏一套完善的监控体系。网络系统与Internet 相连处虽然部署了防火墙等访问控制产品,但对 于透过防火墙渗透进来的入侵行为,或者公司内 部的恶意入侵行为并没有很好的监控手段,从而 使得当有安全事件发生时,不能及时的进行防护。
安全现状总结(6)
缺乏一套充分、完善的应急体系和快速的响应流 程。公司并没有建立自己的应急体系,对于各种 可能发生的安全事故,没有定义负责处理的人员、 相应的最佳解决处理方案、可能造成的风险等。 另外,公司也缺乏一套有效、快速地安全问题响 应流程,特别是对于托管机房、下级组织业务系 统等远程网络的故障,总部不能快速进行本地支 持,更缺乏有一个有效的安全事件上报、传递、 沟通、响应的通道。历来的各种安全事件发生后, 公司都由于缺乏处理某些经常发生事件的能力事 事被动,从而延误了事件处理的时间,造成很多 不必要的损失。
信息安全的事实
安全是一个广泛的主题,它涉及到许多不同的区 域(物理设备、网络、系统平台、应用程序等), 每个区域都有其相关的风险、威胁及解决方法。
对于连网的企业组织来说风险与威胁是没有终止 的。信息安全是一个动态发展的过程,不仅仅是 纯粹的技术,仅仅依赖于安全产品的堆积来应对 迅速发展变化的各种攻击手段是不能持续有效的。 信息安全建设是一项复杂的系统工程,要从观念 上进行转变,规划、管理、技术等多种因素相结 合使之成为一个可持续的动态发展的过程。
对于连网的企业组织来说风险与威胁是没有终止 的。信息安全是一个动态发展的过程,不仅仅是 纯粹的技术,仅仅依赖于安全产品的堆积来应对 迅速发展变化的各种攻击手段是不能持续有效的。 信息安全建设是一项复杂的系统工程,要从观念 上进行转变,规划、管理、技术等多种因素相结 合使之成为一个可持续的动态发展的过程。
护措施失效产生新的威胁
搜索引擎Google查找 “黑客工具”有 3,260,000 条记录
漏洞/薄弱点客观存在
不可避免的因素
技术发展的局限,系统在设计之初不能认识到所有问题
Tcp/ip协议在开发过程中并未主要考虑安全问题
人类的能力有限,失误和考虑不周在所难免
操作系统和应用程序在编码过程中难免引入Bug
保护和管理的对象
人
内部员工、外部客户、服务供应商、产品供 应商等。
物
网络设备、系统主机、工作站、PC机等; 业务系统、应用系统等; 商业涉密数据、个人隐私数据、文档数据等。
信息安全的事实
安全是一个广泛的主题,它涉及到许多不同的区 域(物理设备、网络、系统平台、应用程序等), 每个区域都有其相关的风险、威胁及解决方法。
物理环境的威胁:是指由于环境因素造成系统破坏 的可能性。 电源中断 灾难
安全事件一:数据资产的窃取
2019年12月,烟台市人民检察院依法对涉嫌伪造有价票 证的犯罪嫌疑人乔XX批准逮捕,乔XX利用到某电信公司 维护通信设施之机,通过修改数据库伪造200电话卡 10000张,给电信公司造成20余万元的经济损失。
没有避免的因素
系统实施过程中采用了默认配置而未针对实际情况进行定制 和安全优化
新的漏洞补丁跟踪、使用不及时 拥有者的组织结构,管理和技术体系不够完善
技术发展和环境变化使网络安全处于动态之中
资产面临风险成为必然
资产是有价的 资产被薄弱点暴露给威
胁 威胁针对薄弱点给资产
安全现状
管理部门众多,没有统一的标准,人才不够等 情况也是整个信息安全产业健康发展的制约因 素。建立完善的信息安全体系,既要有适应社 会信息化安全管理的配套政策、法律、法规和 技术标准,又要有先进实用的技术手段,还要 有大量的专门人才。
安全现状
兼职的安全管理员 物理安全保护 基本的安全产品 简单的系统升级 机房安全管理制度 资产管理制度 ……
当前安全现状分析
安全现状
随着金融电子化和网络化的巨大发展,传统的 封闭性的业务网络将逐渐与公开网络相融合或 连接,在这种情况下,如何保障业务网络的安 全性成为信息安全的重要问题。
计算机产业的发展,网络知识的普及特别是 Internet的广泛应用,为计算机网络和金融犯 罪创造了更先进的技术条件,因此原有的安全 设计已不能完全满足现有的安全需求,信息安 全的风险增高了。
复杂性
信息安全是一项系统工程,需要技术的和非技术 的手段,涉及到安全管理、教育、培训、立法、 国际合作与互不侵犯协定、应急恢复等
威胁永远不会消失
国家间的竞争永远不会消失 敌对势力永远不会消失 企业间谍、恶意攻击者、纯
粹的偷窃者永远不会消失 内部系统的误用、滥用问题
长期存在 新的威胁不断出现使原有防
安全现状总结(2)
缺乏一套完善、统一的安全策略和安全管理制度, 更缺乏对安全制度执行情况的严格管理。公司总 部虽然有了一套管理制度,但涉及全部内部员工 的条款很少,更不能形成对下级组织的有力约束, 安全管理的内容也很少,大部分员工甚至不知道 具体内容是什么,也没有对其遵守和执行的情况 进行监督的任何措施,因此公司在制度约束方面 是安全管理中欠缺比较严重的部分。
面临的威胁
非法用户的威胁:是指非授权用户或低权限用户越 权对系统造成破坏的可能性。 内部员工的越权访问 外部攻击者的恶意入侵 数据的窃听和破坏 恶意代码的破坏 物理破坏
面临的威胁
系统组件的威胁:是指信息系统的硬件或软件发生 意外故障的可能性。 系统设备意外故障 通讯中断 软件意外失效
统计数据
57%疏忽造成的事故 24%外部的恶意攻击 11%设备故障 3% 软件错误 5% 其他
不容争辩的事实
超过70%的信息安全事件,如果事先加强 管理,都可以得到避免;
“三分技术,七分管理”。
管理 70%
技术 30%
信息系统的安全风险
面临的威胁
合法用户的威胁:是指拥有合法授权的用户因在系 统管理方面的错误或疏忽造成系统破坏的可能性。 滥用授权 错误操作 操作行为抵赖
安全现状
空口令、简单口令、默认口令设置、长期不 更换;
点击进入危险的网站或链接; 接收查看危险的电子邮件附件; 系统默认安装,从不进行补丁升级; 拨号上网,给个人以及整个公司建立了后门; 启动了众多的不用的服务; 个人重要数据没有备份; ……
安全现状总结(1)
没有有效、独立的安全管理组织,安全管理人 员不足,岗位权责不明确,不能有效实施和执 行某些安全措施。总部信息技术中心虽专设负 责公司的信息安全工作的岗位,但由于公司组 织结构和信息网络的庞大性特点,使得安全管 理员不能全权、有效地形成对整个组织自上到 下的全面安全管理。
时效性
新的漏洞与攻击方法不断发现(NT4.0已 从SP1发展到SP6)
配置相关性
日常管理中的不同配置会引入新的问题 (安全测评只证明特定环境与特定配置下 的安全)
新的系统组件会引入新的问题
信息安全的基本特征
攻击的不确定性
攻击发起的时间、攻击者、攻击目标和攻击发起 的地点都具有不确定性
安全现状总结(7)
缺乏安全产品的集中统一管理。由于网络系统的 扩大化,对安全产品的需求也越来越多,但是安 全管理岗位数量的有限性,必然导致放松对安全 产品的管理,安全管理员不可能实时登录查看各 种安全产品的应用状况和报警信息,某些安全产 品由于不能与互联网通信、甚至使用周期太长导 致不能定期在线更新,使其不能监控和查找最新 的安全问题,实现其最佳的安全功效。
Authenticity-确实性:确认和识别一个实体就是其所声称的, 被认证的可以是用户、进程、系统和信息等
Reliability-可靠性:保证预期的行为和结果的一致性
信息安全实际上是……
保护信息资产,防止不被窃取和破坏 资产
物理资产 软件资产 数据资产
信息安全的基本特征
相对性
只有相对的安全,没有绝对的安全系统
企业信息安全建设之道
提纲
信息安全的涵义和事实 当前安全现状分析 信息系统的安全风险 常见黑客攻击方法
信息安全的涵义和事实
信息系统的广泛应用
社会发展的必然 业务的发展和扩张 网络信息的共享
Internet上网 生产、销售、管理、办公自动化
可信网络系统的基本要求
信息安全定义
经典定义
Confidentiality-保密性:阻止未经授权的用户读取数据 Integrity-完整性:阻止未经授权的用户修改或删除数据 Availability-可用性:保证授权实体在需要时可以正常地访问
和使用系统
多样化定义
Accountability-负责性:确保一个实体的访问动作可以被惟一 的区别、跟踪和记录
安全现状总结(3)
员工缺乏基本的安全意识,特别是下级组织的员 工等,没有进行统一的、系统的安全培训和学习 的机会。由于员工对发生安全问题后造成的后果 不负任何责任,从而也就不能有效的督促员工提 高自己的安全意识,最终形成恶性循环,导致员 工不能严格遵循公司的安全管理制度,个人电脑 的密码设置非常脆弱甚至是空口令,经常上一些 危险的网站,接收危险的电子邮件,不能定期升 级系统安全补丁,更缺乏一些基本的安全防护意 识和发现解决某些常见安全问题的能力。
带来影响 威胁和薄弱点的增加导
致资产安全风险的增加
信息系统的风险管理
资产
资产Biblioteka Baidu
RISK
威胁
脆弱性
RISK
RISK
RiRsIkSK
威胁 脆弱性
风险的构成
风险的降低
信息安全管理
由于许多信息系统并非在设计时就考虑了 安全,依靠技术手段实现安全很有限,则 应该由适当的管理来支持。
信息安全管理是通过保证维护信息的机密 性、完整性和可用性来管理和保护组织的 所有信息资产的一项体制。
安全现状总结(4)
缺乏一套有效的安全预警体系。虽然公司在信息 系统内安装了防火墙、防病毒系统等安全产品, 用于监控和防护内部和外部的不安全活动,但由 于最新漏洞被利用的快速性、安全问题出现的偶 然性、安全事件处理的复杂性以及产品规则库升 级的滞后性,使得安全管理员不可能及时的发现 网络系统存在的最新漏洞,也就不可能有效的实 现全网的安全预防工作,相反只能事事被动,等 问题发生了再去找解决问题的方法,从而给公司 带来很多不必要的损失。
安全现状
针对互联网的应用目前还缺乏有效的安全措施 和手段,影响了信息系统通过互联网对外提供 服务的范围和种类。 只重视单一或几个安全产品的部署,而忽视 整体安全系统建设; 部分企业信息系统的安全防范只能防范外部 的非法入侵者,不能监控内部的破坏者; 只能消极地发现黑客攻击的后果,而不能主 动、智能地对黑客进行反攻击; 只能采用分散的、不可集中管理的安全产品, 而不能采用全面的、集中的安全管理平台。
业务、应用功能的实现 安全、可靠、稳定
信息安全三要素
机密性
客户和业务信息的保护
可用性
员工和客户访问资源
完整性
客户和业务信息的可信赖性
Confidentiality:阻止未经授权的用户读取数据 Integrity:阻止未经授权的用户修改或删除数据 Availability:保证授权实体在需要时可以正常地使用系统
信息安全的事实
绝对的信息安全是不存在的,每个网络环境都 有一定程度的漏洞和风险。这种程度是可以接 受的。信息安全问题的解决只能通过一系列的 规划和措施,把风险降低到可被接受的程度, 同时采取适当的机制使风险保持在此程度之内。 当信息系统发生变化时应当重新规划和实施来 适应新的安全需求。
信息系统的安全往往取决于系统中最薄弱的环 节-人。人是信息安全中最关键的因素,同时也 应该清醒的认识到人也是信息安全中最薄弱的 环节。
统计数据
在信息业高达发达的美国,在最近一次对600名 CIO的调查表明: 将近三分之二(66%)没有完整的安全政策; 只有不到三分之一(32%)要求员工熟悉安 全政策与指南; 只有23%公司的员工得到过信息安全的培训。
在国内,50%企业对信息安全的理解还只停留 在技术层面上,以为企业外部网建立了防火墙 能防黑客,内部网能杀病毒就达到安全要求了。
安全现状总结(5)
缺乏一套完善的监控体系。网络系统与Internet 相连处虽然部署了防火墙等访问控制产品,但对 于透过防火墙渗透进来的入侵行为,或者公司内 部的恶意入侵行为并没有很好的监控手段,从而 使得当有安全事件发生时,不能及时的进行防护。
安全现状总结(6)
缺乏一套充分、完善的应急体系和快速的响应流 程。公司并没有建立自己的应急体系,对于各种 可能发生的安全事故,没有定义负责处理的人员、 相应的最佳解决处理方案、可能造成的风险等。 另外,公司也缺乏一套有效、快速地安全问题响 应流程,特别是对于托管机房、下级组织业务系 统等远程网络的故障,总部不能快速进行本地支 持,更缺乏有一个有效的安全事件上报、传递、 沟通、响应的通道。历来的各种安全事件发生后, 公司都由于缺乏处理某些经常发生事件的能力事 事被动,从而延误了事件处理的时间,造成很多 不必要的损失。
信息安全的事实
安全是一个广泛的主题,它涉及到许多不同的区 域(物理设备、网络、系统平台、应用程序等), 每个区域都有其相关的风险、威胁及解决方法。
对于连网的企业组织来说风险与威胁是没有终止 的。信息安全是一个动态发展的过程,不仅仅是 纯粹的技术,仅仅依赖于安全产品的堆积来应对 迅速发展变化的各种攻击手段是不能持续有效的。 信息安全建设是一项复杂的系统工程,要从观念 上进行转变,规划、管理、技术等多种因素相结 合使之成为一个可持续的动态发展的过程。
对于连网的企业组织来说风险与威胁是没有终止 的。信息安全是一个动态发展的过程,不仅仅是 纯粹的技术,仅仅依赖于安全产品的堆积来应对 迅速发展变化的各种攻击手段是不能持续有效的。 信息安全建设是一项复杂的系统工程,要从观念 上进行转变,规划、管理、技术等多种因素相结 合使之成为一个可持续的动态发展的过程。
护措施失效产生新的威胁
搜索引擎Google查找 “黑客工具”有 3,260,000 条记录
漏洞/薄弱点客观存在
不可避免的因素
技术发展的局限,系统在设计之初不能认识到所有问题
Tcp/ip协议在开发过程中并未主要考虑安全问题
人类的能力有限,失误和考虑不周在所难免
操作系统和应用程序在编码过程中难免引入Bug
保护和管理的对象
人
内部员工、外部客户、服务供应商、产品供 应商等。
物
网络设备、系统主机、工作站、PC机等; 业务系统、应用系统等; 商业涉密数据、个人隐私数据、文档数据等。
信息安全的事实
安全是一个广泛的主题,它涉及到许多不同的区 域(物理设备、网络、系统平台、应用程序等), 每个区域都有其相关的风险、威胁及解决方法。
物理环境的威胁:是指由于环境因素造成系统破坏 的可能性。 电源中断 灾难
安全事件一:数据资产的窃取
2019年12月,烟台市人民检察院依法对涉嫌伪造有价票 证的犯罪嫌疑人乔XX批准逮捕,乔XX利用到某电信公司 维护通信设施之机,通过修改数据库伪造200电话卡 10000张,给电信公司造成20余万元的经济损失。
没有避免的因素
系统实施过程中采用了默认配置而未针对实际情况进行定制 和安全优化
新的漏洞补丁跟踪、使用不及时 拥有者的组织结构,管理和技术体系不够完善
技术发展和环境变化使网络安全处于动态之中
资产面临风险成为必然
资产是有价的 资产被薄弱点暴露给威
胁 威胁针对薄弱点给资产
安全现状
管理部门众多,没有统一的标准,人才不够等 情况也是整个信息安全产业健康发展的制约因 素。建立完善的信息安全体系,既要有适应社 会信息化安全管理的配套政策、法律、法规和 技术标准,又要有先进实用的技术手段,还要 有大量的专门人才。
安全现状
兼职的安全管理员 物理安全保护 基本的安全产品 简单的系统升级 机房安全管理制度 资产管理制度 ……
当前安全现状分析
安全现状
随着金融电子化和网络化的巨大发展,传统的 封闭性的业务网络将逐渐与公开网络相融合或 连接,在这种情况下,如何保障业务网络的安 全性成为信息安全的重要问题。
计算机产业的发展,网络知识的普及特别是 Internet的广泛应用,为计算机网络和金融犯 罪创造了更先进的技术条件,因此原有的安全 设计已不能完全满足现有的安全需求,信息安 全的风险增高了。
复杂性
信息安全是一项系统工程,需要技术的和非技术 的手段,涉及到安全管理、教育、培训、立法、 国际合作与互不侵犯协定、应急恢复等
威胁永远不会消失
国家间的竞争永远不会消失 敌对势力永远不会消失 企业间谍、恶意攻击者、纯
粹的偷窃者永远不会消失 内部系统的误用、滥用问题
长期存在 新的威胁不断出现使原有防
安全现状总结(2)
缺乏一套完善、统一的安全策略和安全管理制度, 更缺乏对安全制度执行情况的严格管理。公司总 部虽然有了一套管理制度,但涉及全部内部员工 的条款很少,更不能形成对下级组织的有力约束, 安全管理的内容也很少,大部分员工甚至不知道 具体内容是什么,也没有对其遵守和执行的情况 进行监督的任何措施,因此公司在制度约束方面 是安全管理中欠缺比较严重的部分。
面临的威胁
非法用户的威胁:是指非授权用户或低权限用户越 权对系统造成破坏的可能性。 内部员工的越权访问 外部攻击者的恶意入侵 数据的窃听和破坏 恶意代码的破坏 物理破坏
面临的威胁
系统组件的威胁:是指信息系统的硬件或软件发生 意外故障的可能性。 系统设备意外故障 通讯中断 软件意外失效
统计数据
57%疏忽造成的事故 24%外部的恶意攻击 11%设备故障 3% 软件错误 5% 其他
不容争辩的事实
超过70%的信息安全事件,如果事先加强 管理,都可以得到避免;
“三分技术,七分管理”。
管理 70%
技术 30%
信息系统的安全风险
面临的威胁
合法用户的威胁:是指拥有合法授权的用户因在系 统管理方面的错误或疏忽造成系统破坏的可能性。 滥用授权 错误操作 操作行为抵赖
安全现状
空口令、简单口令、默认口令设置、长期不 更换;
点击进入危险的网站或链接; 接收查看危险的电子邮件附件; 系统默认安装,从不进行补丁升级; 拨号上网,给个人以及整个公司建立了后门; 启动了众多的不用的服务; 个人重要数据没有备份; ……
安全现状总结(1)
没有有效、独立的安全管理组织,安全管理人 员不足,岗位权责不明确,不能有效实施和执 行某些安全措施。总部信息技术中心虽专设负 责公司的信息安全工作的岗位,但由于公司组 织结构和信息网络的庞大性特点,使得安全管 理员不能全权、有效地形成对整个组织自上到 下的全面安全管理。
时效性
新的漏洞与攻击方法不断发现(NT4.0已 从SP1发展到SP6)
配置相关性
日常管理中的不同配置会引入新的问题 (安全测评只证明特定环境与特定配置下 的安全)
新的系统组件会引入新的问题
信息安全的基本特征
攻击的不确定性
攻击发起的时间、攻击者、攻击目标和攻击发起 的地点都具有不确定性
安全现状总结(7)
缺乏安全产品的集中统一管理。由于网络系统的 扩大化,对安全产品的需求也越来越多,但是安 全管理岗位数量的有限性,必然导致放松对安全 产品的管理,安全管理员不可能实时登录查看各 种安全产品的应用状况和报警信息,某些安全产 品由于不能与互联网通信、甚至使用周期太长导 致不能定期在线更新,使其不能监控和查找最新 的安全问题,实现其最佳的安全功效。
Authenticity-确实性:确认和识别一个实体就是其所声称的, 被认证的可以是用户、进程、系统和信息等
Reliability-可靠性:保证预期的行为和结果的一致性
信息安全实际上是……
保护信息资产,防止不被窃取和破坏 资产
物理资产 软件资产 数据资产
信息安全的基本特征
相对性
只有相对的安全,没有绝对的安全系统