2011 年 10 月

1. 2011年10月 增强信息安全意识、提高防护能力 四川省卫生行业信息安全培训

2. 目录 一、信息安全基本常识 二、信息安全形势和任务 三、信息安全防护基本技能

3. 一、信息安全基本常识

4. 为什么会有信息安全问题？ 因为有病毒吗？ • 因为有漏洞吗？ 这些都是原因， 但没有说到根源 • 因为有黑客吗？

5. 安全问题根源—内因系统越来越复杂 工作计算机 员工在使用 移动介质 内网中的其它系统 单位连接因特网 电话拨号上网 连接其它单位网络 无线网络

6. 安全问题根源—内因,人是复杂的

7. 安全问题根源—外因,来自对手的威胁

8. 安全问题根源—外因,来自自然的破坏

9. 信息安全问题的诞生 • 人类开始信息的通信，信息安全的历史就开始了 • 公元前500年，斯巴达人用于加解密的一种军事设备。发送者把一条羊皮螺旋形地缠在一个圆柱形棒上。

10. 通信安全 20世纪，40年代-70年代 通过密码技术解决通信保密，内容篡改 以二战时期真实历史为背景的，关于电报密文窃听和密码破解的故事 转轮密码机ENIGMA，1944年装备德国海军

11. 信息系统安全 20世纪，70-90年代后，计算机和网络改变了一切 确保信息在网络信息系统中的存储、处理和传输过程中免受非授权的访问，防止授权用户的拒绝服务

12. 信息安全保障 技术系统安全问题 信息系统安全问题 “组织内部环境” 通信安全 网络安全 数据安全 现在人们意识到：技术很重要，但技术不是一切；信息系统很重要，只有服务于组织业务使命才有意义

13. 什么是信息？ 信息的属性： 基本元素是数据，每个数据代表某个意义； 以各种形式存在：纸、电子、影片、交谈等； 数据具有一定的逻辑关系； 具有一定的时效性； 对组织具有价值 ，是一种资产； 需要适当的保护。 知识 指导 意义 抽象 程度 信息 数据

14. 什么是安全？ 安全 Security：事物保持不受损害

15. 什么是信息安全？ 保密！ 不该知道的人，不让他知道！

16. 什么是信息安全？ 完整！ 信息不能追求残缺美！

17. 什么是信息安全？ 可用！ 信息要方便、快捷！ 不能像某国首都二环早高峰，也不能像春运的火车站

18. 什么是信息安全 信息本身的机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）的保持，即防止防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。 保密性：确保信息没有非授权的泄漏，不被非授权的个人、组织和计算机程序使用 完整性：确保信息没有遭到篡改和破坏 可用性：确保拥有授权的用户或程序可以及时、正常使用信息

19. 什么是信息安全风险 信息和其它资产一样 是具有价值的

20. 什么是信息安全风险 信息面临着外在的威胁

21. 什么是信息安全风险 信息系统存在着脆弱性

22. 什么是信息安全风险 外在威胁利用信息系统存在的脆弱性，致其损失或破坏对系统价值造成损害的可能性 资产 作用于 风险 导致 减少 增加 利用 对抗 威胁 脆弱性 防护措施

23. 为什么需要信息安全保障 • 组织机构的使命/业务目标实现越来越依赖于信息系统 • 信息系统成为组织机构生存和发展的关键因素 • 信息系统的安全风险也成为组织风险的一部分 • 为了保障组织机构完成其使命，必须加强信息安全保障，抵抗这些风险。

24. 如何保障信息安全？ 信息是依赖与承载它的信息技术系统存在的 需要在技术层面部署完善的控制措施 信息系统是由人来建设使用和维护的 需要通过有效的管理手段约束人 今天系统安全了明天未必安全 需要贯穿系统生命周期的工程过程 信息安全的对抗，归根结底是人员知识、技能和素质的对抗 需要建设高素质的人才队伍

25. 一个单位如何考虑安全技术体系？ DMZ ? E-Mail? File Transfer ? HTTP 机关行政部门 Internet 中继 机关业务部门 路由 对外服务厅 Intranet 技术部门 企业网络

26. 完善的信息安全技术体系考虑过程 操作系统补丁 DMZ ? E-Mail? File Transfer ? HTTP 关闭安全维护 “后门” 病毒防护 更改缺省的 系统口令 机关行政部门 Internet 中继 入侵检测 实时监控 机关业务部门 路由 数据文件加密 对外服务厅 Intranet 技术部门 授权复查 外部/个体 内部/个体 内部/组织 外部/组织 企业网络 安装认证 & 授权 安 全 隐 患 Modem

27. 有效的信息安全管理体系 覆盖范围全面 切实可行 有关部门协调配合 高层领导参与 奖惩措施 提高人员意识和技能 规章制度 风险管理 组织体系 有效落实

28. 科学的信息安全工程过程 发掘需求 评估有效性 DISCOVER NEEDS 定义系统要求 DEFINE SYSTEM REQUIREMENTS 定义系统体系结构 DESIGN SYSTEM ARCHITECTURE 开发详细设计 DEVELOP DETAILED DESIGN 用户/用户代表 实现系统 IMPLEMENT SYSTEM 开发采购 实施交付 运行维护 废弃 计划组织 将安全措施融入信息系统生命周期

29. 高素质的人员队伍

30. 信息系统安全保障模型

31. 安全保障的目标是支持业务 信息安全保障是为了 支撑业务高效稳定运行

32. 信息安全保障需要持续进行 如钻石历久弥新 时时刻刻不放松

33. 安全保障要适度 过度的保障本身就是灾难 • 追求高技术？ • 与我们的业务有关？ • 我们的目标方向有否偏差？ • 安全设施影响业务系统性能？ • 增加多少额外操作？ • 国家秘密吗？工作秘密吗？ • 代价多大？ • 风险可以忍受吗？

34. 二、信息安全形势和任务

35. 我国信息化迅猛发展 我国信息化建设起步于20世纪80年代 20世纪90年代取得长足进步 • 现在信息技术已经广泛应用于促进 • 国民经济发展 • 政府管理和服务水平提高 • 企业竞争力增强 • 人民生活水平该改善 我国正在步入信息化时代

36. 信息安全受到高度重视 党中央、国务院对信息安全提出明确要求 2003年9月，中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》，第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度。 2004年秋，党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素。非传统安全问题日益得到重视。

37. 新应用导致新的安全问题 数据大集中——风险也更集中了； 系统复杂了——安全问题解决难度加大； 云计算——安全已经不再是自己可以控制的 3G 、物联网、三网合一——IP网络中安全问题引入到了电话、手机、广播电视中 web2.0 、微博、人肉搜索——网络安全与日常生活越来越贴近

38. 网络群体性事件影响政治、社会稳定 云南晋宁看守所“躲猫猫” 浙江杭州“飙车事件” 湖北巴东县“邓玉娇事件” 河南农民工“开胸验肺事件” 上海“钓鱼执法事件” 南京“周久耕房管局长天价烟”

39. 信息安全问题 就像植入广告 长期存在 无处不在 影响愈发深远

40. 信息安全责任划分原则 谁主管谁负责，谁运营谁负责！ 讨论交流：您所处的工作单位谁是信息安全主管？谁负责信息安全运营？

41. 信息安全管理部门的责任 各级单位网络与信息安全管理应该在信息安全领导小组的基础上，由本机构信息安全相关的若干管理部门共同完成，例如有信息技术部门、业务应用部门、安全保卫部门、人事行政部门等等。 信息安全领导小组 信息技术部门 业务应用部门 安全保卫部门 人事行政部门 其他有关部门

42. 三、信息安全防护基本技能

43. 日常生活中的习惯——酒驾

44. 遵章守纪？

45. 日常工作中的习惯——口令

46. 日常工作中的习惯（续）——系统漏洞

47. 制度执行

48. 为什么总是出现信息安全事件？ 外因是条件，内因是关键。 外因是危险的网络环境，病毒、木马，钓鱼，欺诈等。 内因是自己对信息安全的意识和重视。

49. 计算机信息安全防护 防病毒软件 口令 帐户管理 移动存储设备管理 补丁管理 共享、网络安全 软件更新、配置 日志、审核 服务管理