信息安全标准及法规.ppt

信息安全标准与法规 樊山 大纲 第一单元 信息安全标准与法规的重要性（2学时） 第二单元 信息系统安全保护法规（12学时） 第三单元 信息安全系统管理评估标准（10学时） 第四单元 信息安全法规在实践中的应用（4学时） 第五单元 综合练习与复习（2学时） 第一单元 信息安全标准与法规的重要性（2学时） 介绍信息安全的现状、存在的问题及可能的解决方案，介绍信息安全法规、标准等在实际的信息安全应用中的重要性。 了解信息安全现状、信息安全标准与法规的重要性。 第一单元 信息安全标准与法规的重要性 信息安全标准与法规 什么是信息安全 信息安全的意义与现状 信息安全的意义与现状 信息安全的意义与现状 信息安全涉及的内容及简介 访问控制 远程通信和网络安全 信息安全和风险管理 应用安全 密码学 安全体系结构和模型 操作安全 业务连续性计划（BCP）和灾难恢复计划（DRP） 法律、调查和道德规范 物理安全 信息安全涉及的内容及简介（1） 访问控制 这个域研究审查机制和所使用的方法，使系统管理员和管理员控制什么对象可以存取的程度的能力后、授权和认证以及审计和监测这些活动的情况。 某些主题涵盖的范围包括： ?访问控制安全模型 ?身份识别和认证的技术与技巧 ?访问控制管理 ?单点登录技术 ?攻击方法 信息安全涉及的内容及简介（2） 远程通信和网络安全 这一领域研究内部、外部、公共和私人通信系统、网络结构、设备、协议及远端访问和管理。 一些主题涵盖的范围包括： ? OSI模型和分层 ?局域网（LAN），城域网（MAN），广域网（WAN）技术 ?互联网、企业内联网、外部网问题 ?虚拟专用网络（VPN）、防火墙、路由器、桥接器和中继器 ?网络拓扑和布线 ?攻击方法 远程通信和网络安全 这一领域研究内部、外部、公共和私人通信系统、网络结构、设备、协议及远端访问和管理。 一些主题涵盖的范围包括： ? OSI模型和分层 ?局域网（LAN），城域网（MAN），广域网（WAN）技术 ?互联网、企业内联网、外部网问题 ?虚拟专用网络（VPN）、防火墙、路由器、桥接器和中继器 ?网络拓扑和布线 ?攻击方法 信息安全涉及的内容及简介（3） 信息安全和风险管理 这一领域是审查利用正确的方法识别公司资产，以确定必要的保护水平，需要什么类型的财政预算案，以实施安发展全，其目标是减少威胁和利益上的损失。 一些主题涵盖的范围包括： ?数据分类 ?策略、程序、标准和指引 ?风险评估和风险管理 ?人员的安全，培训和意识 信息安全涉及的内容及简介（4） 应用安全 这一领域的研究是内部的操作系统和应用程序和如何以最佳方式制定和衡量其成效的安全元素。它注重软件的生命周期、变更控制及应用的安全。 一些主题涵盖的范围包括： ?数据库和数据挖掘 ?不同的开发方法和他们的风险 ?软件构成和脆弱性 ?恶意代码 信息安全涉及的内容及简介（5） 密码学 这一领域的研究出于保护数据目的的伪装方法和技术。这涉及到加密技术、方法和途径。 一些主题涵盖的范围包括： ?对称与非对称算法和使用 ?公钥加密体系（ PKI ）和哈希函数 ?加密协议和实现 ?攻击方法 信息安全涉及的内容及简介（6） 安全体系结构和模型 这个领域研究制定和实施安全应用的原则和标准，审查的概念，操作系统和系统。它包括国际安全衡量标准和这些标准对于不同类型的平台。 一些主题涵盖的范围包括： ?操作状态、内核功能，存储器映射 ?企业架构 ?安全模型、结构和评价 ?评价标准：受信任的计算机安全评价标准（TESEC），信息技术安全评估标准（ITSEC），和CC ?应用程序及系统的常见缺陷 ?国家认证和监督 信息安全涉及的内容及简介（7） 操作安全 这个领域研究对人员、硬件、系统和审计监测技术的控制。它也包括可能被滥用的途径和如何认识和解决这些问题。 部分议题涵盖的范围包括： ?有关人员和工作职能的管理责任 ?防毒、培训、审计和资源保护活动中维修的概念 ?预防、检测、纠正和恢复控制 ?标准、遵守和应有的注意的概念 ?安全性和容错技术 信息安全涉及的内容及简介（8） 业务连续性计划（BCP）和灾难恢复计划（DRP） 这一领域研究，商业活动时面临中断或灾难时的保存。它涉及到确定真正的风险，适当的风险评估及对策的执行情况。 某些议题涵盖的范围包括： ?企业资源鉴定和价值分配 ?业务影响分析和预测可能的损失 ?部门优先次序和危机管理 ?起草计划，实施和维护。 信息安全涉及的内容及简介（9） 法律、调查和道德规范 这一领域研究计算机犯罪、法律、法规。它包括为调查犯罪、搜集证据、及处理程序的技术。它也包括如何制定和执行意外事件的处理程序。 某些议题涵盖的范围包括： ?法律、法规和罪行 ?授权和软件盗版 ?进出口的法律和问题 ?证据的种类