2第二章信息安全基础

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,‹#›,信息安全基,础,础,1,2,1,什么是信息,2,信息安全的,CIA,3,信息安全目标,4,信息安全环节,目录,3,5,信息安全实质,6,信息安全事件案例,7,信息安全概述,8,信息安全管理,目录,什么是信息,4,信息简介,信息的概念,,1928,年，哈特,莱,莱,(L.V.R.Hartley),在,《,贝尔系统,技,技术杂志,》,（,BSTJ,）上发表,了,了一篇题,为,为“信息,传,传输”的,论,论文，把,信,信息理解,为,为选择通,信,信符号的,方,方式，且,用,用选择的,自,自由度来,计,计量信息,的,的大小1948,年，美国,数,数学家仙,农,农,(C.E.Shannon),在,《,贝尔系统,技,技术杂志,》,上发表了,一,一篇题为,“,“通信的,数,数学理论,”,”的论文,，,，以概率,论,论为基础,，,，在对信,息,息的认识,方,方面取得,了,了很大的,突,突破与此同时,，,，维纳,(N.Wiener),出版了专,著,著,《,控制论：,动,动物和机,器,器中的,通,通信与控,制,制问题,》,，创建了,控,控制论。

5,信息简介,信息的概,念,念,,,1975,年，意大,利,利学者朗,高,高,(G.Longo),在,《,信息论：,新,新的趋势,与,与未决问,题,题,》,提出“信,息,息就是差,异,异”1988,年，我国,信,信息论专,家,家钟义信,教,教授在,《,信息科学,原,原理,》,一书中提,出,出了信息,的,的定义，,并,并引入约,束,束条件推,导,导了信息,的,的概念体,系,系信息的定,义,义：事物,运,运动的状,态,态和状态,变,变化的方,式,式6,信息简介,信息的概,念,念,,举例加深,对,对信息概,念,念的理解,,,,,,,,,,,,,7,信息简介,信息的概,念,念,,举例加深,对,对信息概,念,念的理解,,,,,,,,,,,,,8,信息简介,信息的概,念,念,,举例加深,对,对信息概,念,念的理解,,,,,,,,,,,,,9,结论：信,息,息不同于消,息,息，消息,是,是信息的,外壳，信,息,息则是消,息,息的内核,信息简介,信息的概,念,念,,举例加深,对,对信息概,念,念的理解,,,,,,,,,,,,,10,信息简介,信息的概,念,念,,举例加深,对,对信息概,念,念的理解,,,,,,,,,,,,,11,结,论,论,：,：,信,信,息,息不,同,同于信,号,号，,信,信,号,号,是,是,信,信,息,息,的,的,载,载,体,体,，,，,信,信,息,息,则,则,是,是,信,信,号,号,所,所,载,载,荷,荷,的,的,内,内,容,容,信,息,息,简,简,介,介,信,息,息,的,的,概,概,念,念,,举,例,例,加,加,深,深,对,对,信,信,息,息,概,概,念,念,的,的,理,理,解,解,,,,,,,,,,,,,12,结,论,论,：,：,信,信,息,息不,同,同于,数,数,据,据,，,，,文,文,字,字,或,或,图,图,像,像,等,等,，,，,那,那,是,是,记,记,录,录,信,信,息,息,的,的,形,形,式,式,。

当,然,然,，,，,在,在,计,计,算,算,机,机,里,里,，,，,文,文,件,件,及,及,信,信,息,息,的,的,传,传,递,递,等,等,都,都,是,是,数,数,据,据,的,的,形,形,式,式,，,，,此,此,时,时,信,信,息,息,等,等,同,同,于,于,数,数,据,据,信,息,息,简,简,介,介,信,息,息,的,的,概,概,念,念,,举,例,例,加,加,深,深,对,对,信,信,息,息,概,概,念,念,的,的,理,理,解,解,,,,,,,,,,,,,13,结,论,论,：,：,信,信,息,息不,同,同于,情,情,报,报,，,，,所,所,有,有,的,的,情,情,报,报,都,都,是,是,信,信,息,息,，,，,但,但,不,不,能,能,说,说,所,所,有,有,的,的,信,信,息,息,都,都,是,是,情,情,报,报,信,息,息,简,简,介,介,信,息,息,的,的,特,特,征,征,,,信,息,息,来,来,源,源,于,于,物,物,质,质,，,，,又,又,不,不,是,是,物,物,质,质,本,本,身,身,,信,息,息,也,也,来,来,源,源,于,于,精,精,神,神,世,世,界,界,,信,息,息,和,和,能,能,量,量,息,息,息,息,相,相,关,关,,信,息,息,是,是,具,具,体,体,的,的,，,，,并,并,可,可,以,以,被,被,人,人,(,生,物,物,、,、,机,机,器,器,等,等,),所,感,感,知,知,、,、,提,提,取,取,、,、,识,识,别,别,，,，,可,可,以,以,被,被,传,传,递,递,、,、,储,储,存,存,、,、,变,变,换,换,、,、,处,处,理,理,、,、,显,显,示,示,、,、,检,检,索,索,、,、,复,复,制,制,和,和,共,共,享,享,。

14,信,息,息,简,简,介,介,信,息,息,的,的,性,性,质,质,,普,遍,遍,性,性,,无,限,限,性,性,,相,对,对,性,性,,传,递,递,性,性,,变,换,换,性,性,,有,序,序,性,性,,动,态,态,性,性,,转,化,化,性,性,,15,信,息,息,简,简,介,介,信,息,息,的,的,功,功,能,能,,信,息,息,的,的,功,功,能,能,在,在,于,于,维,维,持,持,和,和,强,强,化,化,世,世,界,界,的,的,有,有,序,序,性,性,,,主,要,要,的,的,几,几,个,个,方,方,面,面,：,：,信,息,息,是,是,一,一,切,切,生,生,物,物,进,进,化,化,的,的,导,导,向,向,资,资,源,源,信,息,息,是,是,知,知,识,识,的,的,来,来,源,源,信,息,息,是,是,控,控,制,制,的,的,灵,灵,魂,魂,信,息,息,是,是,思,思,维,维,的,的,材,材,料,料,信,息,息,是,是,管,管,理,理,的,的,基,基,础,础,，,，,是,是,一,一,切,切,实,实,现,现,自,自,组,组,织,织,的,的,保,保,证,证,信,息,息,是,是,一,一,种,种,重,重,要,要,的,的,社,社,会,会,资,资,源,源,。

16,信,息,息,简,简,介,介,信,息,息,的,的,类,类,型,型,,信,息,息,的,的,类,类,型,型,由,由,于,于,目,目,的,的,和,和,出,出,发,发,点,点,的,的,不,不,同,同,，,，,分,分,类,类,也,也,不,不,同,同,，,，,常,常,见,见,的,的,以,以,下,下,几,几,类,类,：,：,,从,信,信,息,息,的,的,性,性,质,质,出,出,发,发,：,：,语,语,法,法,信,信,息,息,、,、,语,语,义,义,信,信,息,息,、,、,语,语,用,用,信,信,息,息,,从,信,信,息,息,的,的,过,过,程,程,出,出,发,发,：,：,实,实,在,在,信,信,息,息,、,、,先,先,验,验,信,信,息,息,、,、,实,实,得,得,信,信,息,息,,从,信,信,息,息,的,的,地,地,位,位,出,出,发,发,：,：,客,客,观,观,信,信,息,息,、,、,主,主,观,观,信,信,息,息,,从,信,信,息,息,的,的,作,作,用,用,出,出,发,发,：,：,有,有,用,用,信,信,息,息,、,、,无,无,用,用,信,信,息,息,、,、,干,干,扰,扰,信,信,息,息,,从,信,信,息,息,的,的,逻,逻,辑,辑,意,意,义,义,出,出,发,发,：,：,真,真,实,实,信,信,息,息,、,、,虚,虚,假,假,信,信,息,息,、,、,不,不,定,定,信,信,息,息,,17,信,息,息,简,简,介,介,信,息,息,的,的,类,类,型,型,,从,信,信,息,息,的,的,传,传,递,递,方,方,向,向,出,出,发,发,：,：,前,前,馈,馈,信,信,息,息,、,、,反,反,馈,馈,信,信,息,息,,从信,息,息,的,的,生,生,成,成,领,领,域,域,出,出,发,发,：,：,宇,宇,宙,宙,信,信,息,息,、,、,自,自,然,然,信,信,息,息,、,、,社,社,会,会,信,信,息,息,、,、,思,思,维,维,信,信,息,息,,从,信,信,息,息,的,的,应,应,用,用,部,部,门,门,出,出,发,发,：,：,工,工,业,业,信,信,息,息,、,、,农,农,业,业,信,信,息,息,、,、,军,军,事,事,信,信,息,息,、,、,政,政,治,治,信,信,息,息,、,、,科,科,技,技,信,信,息,息,、,、,经,经,济,济,信,信,息,息,、,、,管,管,理,理,信,信,息,息,,从,信,信,息,息,源,源,的,的,性,性,质,质,出,出,发,发,：,：,语,语,音,音,信,信,息,息,、,、,图,图,像,像,信,信,息,息,、,、,文,文,字,字,信,信,息,息,、,、,数,数,据,据,信,信,息,息,、,、,计,计,算,算,信,信,息,息,,从,信,信,息,息,的,的,载,载,体,体,性,性,质,质,出,出,发,发,：,：,电,电,子,子,信,信,息,息,、,、,光,光,学,学,信,信,息,息,、,、,生,生,物,物,信,信,息,息,,从,携,携,带,带,信,信,息,息,的,的,信,信,号,号,的,的,形,形,式,式,出,出,发,发,：,：,连,连,续,续,信,信,息,息,、,、,离,离,散,散,信,信,息,息,、,、,半,半,连,连,续,续,信,信,息,息,,18,谢,谢,谢,收,收,看,看,19,信息,安,安全,的,的,CIA,20,信息,安,安全,概,概述,信息,安,安全,的,的,CIA,,CIA,在信,息,息安,全,全领,域,域并,不,不是,CentralIntelligenceAgency,（美,国,国中,央,央情,报,报局,）,）,,,,21,信息,安,安全,概,概述,信息,安,安全,的,的,CIA,,CIA,是信,息,息安,全,全的,基,基本,目,目标,，,，也,是,是其,三,三个,原,原则,,Confidenciality,隐私,性,性,：,指只,有,有授,权,权用,户,户可,以,以获,取,取信,息,息。

Integrity,完整,性,性,：,指信,息,息在输入,和传输,的,的过,程,程中,，,，不,被,被非,法,法授,权,权修,改和破,坏,坏，,保,保证,数,数据,的,的一,致,致性Availability,可用,性,性,：,指保证,合,合法用,户对信,息,息和,资,资源,的,的使,用,用不,会,会被,不,不正,当地拒绝22,信息,安,安全,的,的基,本,本目,标,标,23,保密,性,性，,完,完整,性,性，,可,可用,性,性,C,I,A,onfidentiality,ntegrity,vailability,,CIA,CIA,互联,网,网就,像,像一,个,个虚,拟,拟的,社,社会,在,它,它诞,生,生的,初,初期,，,，互,联,联网,的,的应,用,用相,对,对简,单,单，,使,使用,互,互联,网,网的,人,人数,较,较少,，,，,人,人们,对,对安,全,全的,设,设计,与,与考,虑,虑都,比,比较,少,少经,经过,几,几十,年,年的,发,发展,和,和普,及,及，,现,现在,互,互联,网,网已,经,经深,入,入到,我,我们,生,生活,的,的每,个,个方,面,面从,从电,子,子邮,件,件，,信,信息,搜,搜索,，,，到,IP,电话,，,，网,上,上购,物,物，,订,订机,票,票,车,车票,，,，买,卖,卖股,票,票，,银,银行,和,和退,休,休账,号,号管,理,理，,个,个人,信,信息,管,管理,，,，博,客,客与,社,社交,网,网。

互,互联,网,网已,经,经同,现,现代,的,的社,会,会生,活,活紧,密,密交,织,织在,一,一起,，,，使,人,人们,更,更容,易,易地,获,获得,各,各种,信,信息,，,，跨,越,越,地,地域,局,局限,同,同世,界,界上,的,的人,们,们交,往,往，,改,改变,了,了不,少,少企,业,业的,工,工作,方,方式,，,，创,造,造出,无,无数,新,新的,职,职业,，,，同,时,时也,结,结束,了,了一,些,些传,统,统职,业,业24,25,CIA,与此,同,同时,，,，社,会,会的,复,复杂,性,性也,反,反映,到,到了,互,互联,网,网上,从,最,最初,的,的以,恶,恶作,剧,剧为,动,动机,的,的无,害,害病,毒,毒，,到,到现,在,在的,以,以谋,取,取金,钱,钱为,目,目的,的,的跨,国,国黑,客,客网,，,，就,像,像人,类,类社,会,会的,安,安全,问,问题,一,一样,，,，信,息,息安,全,全的,问,问题,已,已经,成,成为,伴,伴随,着,着互,联,联网,发,发展,的,的一,个,个越,来,来越,复,复杂,的,的问,题,题那么,，,，信,息,息安,全,全都,包,包括,什,什么,呢,呢？,,提起信息,安,安全,，,，人,们,们最,容,容易,想,想到,的,的就,是,是计,算,算机,的,的病,毒,毒问,题,题。

不,不错,，,，如,今,今互,联,联网,成,成了,感,感染,病,病毒,和,和间,谍,谍软,件,件的,最,最主,要,要的,媒,媒介,单,单,单是,防,防毒,问,问题,，,，就,足,足以,让,让一,个,个企,业,业的,IT,部门,忙,忙个,不,不停,了,了对,对一,般,般的,家,家庭,用,用户,，,，如,何,何查,毒,毒防,毒,毒更,是,是他,们,们最,经,经常,问,问的,问,问题,26,CIA,但是，信,息,息安,全,全不,单,单是,防,防毒,查,查毒,的,的问,题,题信,信息,安,安全,的,的中,心,心问,题,题是,要,要能,够,够保,障,障信,息,息的,合,合法,持,持有,和,和使,用,用者,能,能够,在,在任,何,何需,要,要该,信,信息,时,时获,得,得保,密,密的,，,，没,有,有被,非,非法,更,更改,过,过的,“,“原,装,装,的,的”,信,信息,在,英,英文,的,的文,献,献中,，,，信,息,息安,全,全的,目,目的,常,常常,用,用,Confidentiality(,保密,性,性,),Integrity,（完,整,整性,）,）,,,和,Availability,（可,获,获得,性,性）,,,三个,词,词概,括,括。

简,简而,言,言之,，,，叫,CIA-Triad,哈,哈哈,，,，跟,美,美国,中,中央,情,情报,局,局是,一,一样,的,的缩,写,写，,可,可是,用,用不,着,着那,么,么紧,张,张啦,27,CIA,关于信息,的,的保,密,密性,，,，比,较,较容,易,易理,解,解，,就,就是,具,具有,一,一定,保,保密,程,程度,的,的信,息,息只,能,能让,有,有权,读,读到,或,或更,改,改的,人,人读,到,到,和,和更,改,改不,不过,，,，这,里,里提,到,到的,保,保密,信,信息,，,，有,比,比较,广,广泛,的,的外,延,延：,它,它可,以,以是,国,国家,机,机密,，,，是,一,一个,企,企业,或,或研,究,究机,构,构的,核,核心,知,知识,产,产权,，,，是,一,一个,银,银行,个,个人,账,账号,的,的用,户,户信,息,息，,或,或简,单,单到,你,你,建,建立,这,这个,博,博客,时,时输,入,入的,个,个人,信,信息,因,此,此，,信,信息,保,保密,的,的问,题,题是,每,每一,个,个能,上,上网,的,的人,都,都要,面,面对,的,的28,CIA,信息的完,整,整性,是,是指,在,在存,储,储或,传,传输,信,信息,的,的过,程,程中,，,，原,始,始的,信,信息,不,不能,允,允许,被,被随,意,意更,改,改。

这,这种,更,更改,有,有可,能,能是,无,无意,的,的错,误,误，,如,如输,入,入错,误,误，,软,软件,瑕,瑕疵,，,，到,有,有意,的,的人,为,为更,改,改和,破,破坏,在,设,设计,数,数据,库,库以,及,及其,他,他信,息,息存,储,储和,传,传输,应,应用,软,软件,时,时，,要,要考,虑,虑对,信,信息,完,完整,性,性的,校,校验,和,和保,障,障29,CIA,信息,的,的可,获,获得,性,性是,指,指，,对,对于,信,信息,的,的合,法,法拥,有,有和,使,使用,者,者，,在,在他,们,们需,要,要这,些,些信,息,息的,任,任何,时,时候,，,，都,应,应该,保,保,障,障他,们,们能,够,够及,时,时得,到,到所,需,需要,的,的信,息,息比,比如,，,，对,重,重要,的,的数,据,据或,服,服务,器,器在,不,不同,地,地点,作,作多,处,处备,份,份，,一,一旦,A,处有故,障,障或灾,难,难发生,，,，,B,处的备,用,用服务,器,器能够,马,马上上,线,线，保,证,证信息,服,服务,没,没有中,断,断一,个,个很好,的,的例子,是,是：,2001,年的,911,摧毁了,数,数家金,融,融机构,在,在世贸,中,中心的,办,办公室,，,，可是,多,多数银,行,行在事,件,件发生,后,后的很,短,短的时,间,间内就,能,能够恢,复,复正常,运,运 行,。

这些,应,应归功,于,于它们,的,的备份,，,，修复,，,，灾难,后,后的恢,复,复工作,做,做得好,30,CIA,信息安,全,全的核,心,心就是,data,：要保,障,障没有,被,被破坏,过,过的，,原,原始的,data,能够及,时,时地，,安,安全地,在,在它,的,的合法,拥,拥有者,和,和使用,者,者之间,传,传递或,存,存储，,而,而不能,被,被不该,获,获得它,们,们的人,得,得到或,更,更改信,信息安,全,全的工,作,作就是,要,要保障,这,这些数,据,据不被,合,合法拥,有,有和使,用,用者以,外,外的人,窃,窃取，,篡,篡改或,破,破坏,，,，同时,保,保障这,些,些数据,不,不会由,于,于操作,失,失误，,机,机器故,障,障，天,灾,灾人祸,等,等被破,坏,坏31,CIA,谢谢收,看,看,32,信息安,全,全目标,33,某公司信,息,息安全,方,方针和,目,目标,34,信息安,全,全方针,35,信息安,全,全管理,机,机制,1,．公司,采,采用系,统,统的方,法,法，按,照,照,ISO/IEC 27001:2005,建立信,息,息安全,管,管理体,系,系，全,面,面保护,本,本公司,的,的信息,安,安全。

36,信息安全管,理,理组织,2,．公司,总,总经理,对,对信息,安,安全工,作,作全面,负,负责，,负,负责批,准,准信息,安,安全方,针,针，确,定,定信息,安,安全要,求,求，提,供,供信息,安,安全资,源,源3,．公司,总,总经理,任,任命管,理,理者代,表,表负责,建,建立、,实,实施、,检,检查、,改,改进信,息,息安全,管,管理体,系,系，保,证,证信息,安,安全管,理,理体系,的,的持续,适,适宜性,和,和有效,性,性37,信息安,全,全管理,组,组织,4,．在公,司,司内部,建,建立信,息,息安全,组,组织机,构,构，信,息,息安全,管,管理委,员,员会和,信,信息安,全,全协调,机,机构，,保,保证信,息,息安全,管,管理体,系,系的有,效,效运行,5,．与上,级,级部门,、,、地方,政,政府、,相,相关专,业,业部门,建,建立定,期,期经常,性,性的联,系,系，了,解,解安全,要,要求和,发,发展动,态,态，获,得,得对信,息,息安全,管,管理的,支,支持38,人员安,全,全,6,．信息,安,安全需,要,要全体,员,员工的,参,参与和,支,支持，,全,全体员,工,工都有,保,保护信,息,息安全,的,的职责,，,，在劳,动,动合同,、,、岗位,职,职责中,应,应包含,对,对信息,安,安全的,要,要求。

特,特殊岗,位,位的人,员,员应规,定,定特别,的,的安全,责,责任对,对岗位,调,调动或,离,离职人,员,员，应,及,及时调,整,整安全,职,职责和,权,权限7,．对本,公,公司的,相,相关方,，,，要明,确,确安全,要,要求和,安,安全职,责,责39,人员安,全,全,8,．定期,对,对全体,员,员工进,行,行信息,安,安全相,关,关教育,，,，包括,：,：技能,、,、职责,和,和意识,以提,高,高安全,意,意识9,．全体,员,员工及,相,相关方,人,人员必,须,须履行,安,安全职,责,责，执,行,行安全,方,方针、,程,程序和,安,安全措,施,施40,识别法,律,律、法,规,规、合,同,同中的,安,安全,10,．及时,识,识别顾,客,客、合,作,作方、,相,相关方,、,、法律,法,法规对,信,信息安,全,全的要,求,求，采,取,取措施,，,，保证,满,满足安,全,全要求,41,风险评,估,估,11,．根据,本,本公司,业,业务信,息,息安全,的,的特点,、,、法律,法,法规要,求,求，建,立,立风险,评,评估程,序,序，确,定,定风险,接,接受准,则,则12,．采用,先,先进的,风,风险评,估,估技术,和,和软件,，,，定期,进,进行风,险,险评估,，,，以识,别,别本公,司,司风险,的,的变化,。

本公,司,司或环,境,境发生,重,重大变,化,化时，,随,随时评,估,估13,．应根,据,据风险,评,评估的,结,结果，,采,采取相,应,应措施,，,，降低,风,风险42,报告安,全,全事件,14,．公司,建,建立报,告,告信息,安,安全事,件,件的渠,道,道和相,应,应的主,管,管部门,15,．全体,员,员工有,报,报告信,息,息安全,隐,隐患、,威,威胁、,薄,薄弱点,、,、事故,的,的责任,，,，一旦,发,发现信,息,息安全,事,事件，,应,应立即,按,按照规,定,定的途,径,径进行,报,报告16,．接受,信,信息安,全,全事件,报,报告的,主,主管部,门,门应记,录,录所有,报,报告，,及,及时做,出,出相应,的,的处理,，,，并向,报,报告人,员,员反馈,处,处理结,果,果,43,监督检,查,查,17,．定期,对,对信息,安,安全进,行,行监督,检,检查，,包,包括：,日,日常检,查,查、专,项,项检查,、,、技术,性,性检查,、,、内部,审,审核等,44,业务持,续,续性,18,．公司,根,根据风,险,险评估,的,的结果,，,，建立,业,业务持,续,续性计,划,划，抵,消,消信息,系,系统的,中,中断造,成,成的影,响,响，防,止,止关键,业,业务过,程,程受严,重,重的信,息,息系统,故,故障或,者,者灾难,的,的影响,，,，并确,保,保能够,及,及时恢,复,复。

19,．定期,对,对业务,持,持续性,计,计划进,行,行测试,和,和更新,45,违反信,息,息安全,要,要求的,惩,惩罚,20,．对违,反,反信息,安,安全方,针,针、职,责,责、程,序,序和措,施,施的人,员,员，按,规,规定进,行,行处理,46,信息安,全,全目标,：,：,1.,不可接,受,受风险,处,处理率,：,：,100%,（所有,不,不可接,受,受风险,应,应降低,到,到可接,受,受的程,度,度）2.,重大顾,客,客因信,息,息安全,事,事件投,诉,诉为,0,次,47,信息安,全,全的目,标,标,所有的,信,信息安,全,全技术,都,都是为,了,了达到,一,一定的,安,安全目,标,标，其,核,核心包,括,括保密,性,性、完,整,整性、,可,可用性,、,、可控,性,性和不,可,可否认,性,性五个,安,安全目,标,标保密性,(Confidentiality),是指阻,止,止非授,权,权的主,体,体阅读,信,信息它,它是信,息,息安全,一,一诞生,就,就具有,的,的 特,性,性，也,是,是信息,安,安全主,要,要的研,究,究内容,之,之一更,更通俗,地,地讲，,就,就是说,未,未授权,的,的用户,不,不能够,获,获取敏,感,感信息,。

对纸,质,质文档,信,信息，,我,我们只,需,需要保,护,护好文,件,件，不,被,被非授,权,权者接,触,触即,可,可而,对,对计算,机,机及网,络,络环境,中,中的信,息,息，不,仅,仅要制,止,止非授,权,权者对,信,信息的,阅,阅读也,也要阻,止,止授权,者,者将其,访,访问的,信,信息传,递,递给非,授,授权者,，,，以致,信,信息被,泄,泄漏48,完整性,(Integrity),是指防,止,止信息,被,被未经,授,授权的,篡,篡改它,它是保,护,护信息,保,保持原,始,始的状,态,态，使,信,信息保,持,持其真,实,实性如,如果这,些,些信息,被,被蓄意,地,地修改,、,、插入,、,、删除,等,等，形,成,成虚假,信,信息将,带,带来严,重,重的后,果,果可用性,(Usability),是指授,权,权主体,在,在需要,信,信息时,能,能及时,得,得到服,务,务的能,力,力可,用,用性是,在,在信息,安,安全保,护,护阶段,对,对信息,安,安全提,出,出的新,要,要求，,也,也是在,网,网络化,空,空间中,必,必须满,足,足的一,项,项信息,安,安全要,求,求可控性,(Controlability),是指对,信,信息和,信,信息系,统,统实施,安,安全监,控,控管理,，,，防止,非,非法利,用,用信息,和,和信息,系,系统。

49,不可否,认,认性,(Non-repudiation),是指在,网,网络环,境,境中，,信,信息交,换,换的双,方,方不能,否,否认其,在,在交换,过,过程中,发,发送信,息,息或接,收,收信息,的,的行为,信息安,全,全的保,密,密性、,完,完整性,和,和可用,性,性主要,强,强调对,非,非授权,主,主体的,控,控制而,而对授,权,权主体,的,的不正,当,当行为,如,如何控,制,制呢,?,信息安,全,全的可,控,控性和,不,不可否,认,认性恰,恰,恰是通,过,过对授,权,权主体,的,的控制,，,，实现,对,对保密,性,性、完,整,整性和,可,可用性,的,的有效,补,补充，,主,主要强,调,调授权,用,用户只,能,能在授,权,权范围,内,内进行,合,合法的,访,访问，,并,并对,其,其行为,进,进行监,督,督和审,查,查50,除了上,述,述的信,息,息安全,五,五性外,，,，还有,信,信息安,全,全的可,审,审计性,(Audiability),、可鉴,别,别性,(Authenticity),等信,息,息安全,的,的可审,计,计性是,指,指信息,系,系统的,行,行为人,不,不能否,认,认自己,的,的信息,处,处理行,为,为。

与,不,不可否,认,认性的,信,信息交,换,换过程,中,中行为,可,可认定,性,性相比,，,， 可,审,审计性,的,的含义,更,更宽泛,一,一些信,信息安,全,全的可,见,见鉴别,性,性是指,信,信息的,接,接收者,能,能对信,息,息的发,送,送者的,身,身份进,行,行判定,它也,是,是一个,与,与不可,否,否认性,相,相关的,概,概念51,信息安,全,全主要,目,目标之,一,一是保,护,护用户,数,数据和,信,信息安,全,全,云计算,数,数据的,处,处理和,存,存储都,在,在云平,台,台上进,行,行，计,算,算资源,的,的拥有,者,者与使,用,用者相,分,分离已,成,成为云,计,计算模,式,式的固,有,有特点,，,，由此,而,而产生,的,的用户,对,对自己,数,数据的,安,安全存,储,储和隐,私,私性的,担,担忧是,不,不可避,免,免的具,具,体,体来说,，,，用户,数,数据甚,至,至包括,涉,涉及隐,私,私的内,容,容在远,程,程计算,、,、存储,、,、通信,过,过程中,都,都有被,故,故意或,非,非故意,泄,泄露的,可,可能，,亦,亦存在,由,由断电,或,或宕机,等,等故障,引,引发的,数,数据丢,失,失问题,，,，甚至,对,对于,不,不可靠,的,的云基,础,础设施,和,和服务,提,提供商,，,，还可,能,能通过,对,对用户,行,行为的,分,分析推,测,测，获,知,知用户,的,的隐私,信,信息。

这,这些问,题,题将直,接,接引发,用,用户与,云,云提供,者,者间的,矛,矛盾和,摩,摩擦，,降,降低用,户,户 对,云,云计算,环,环境的,信,信任度,，,，并影,响,响云计,算,算应用,的,的进一,步,步推广,52,信息安,全,全的主,要,要目标,之,之一是,保,保护用,户,户数据,和,和信息,安,安全当,当向云,计,计算过,渡,渡时，,传,传统的,数,数据安,全,全方法,将,将遭到,云,云模式,架,架构的,挑,挑战弹,弹性、,多,多租户,、,、新的,物,物理和,逻,逻辑架,构,构，以,及,及抽象,的,的控制,需,需要新,的,的数据,安,安全策,略,略53,云计算,数,数据生,命,命周期,安,安全的,关,关键挑,战,战,数据安,全,全：保,密,密性、,完,完整性,、,、可用,性,性、真,实,实性、,授,授权、,认,认证和,不,不可抵,赖,赖性数据存,放,放位置,：,：必须,保,保证所,有,有的数,据,据包括,所,所有副,本,本和备,份,份，存,储,储在合,同,同、服,务,务水平,协,协议和,法,法规允,许,许的地,理,理位置,例如,，,，使用,由,由欧盟,的,的“法,规,规遵从,存,存储条,例,例”管,理,理的电,子,子健康,记,记录，,可,可能对,数,数据拥,有,有者和,云,云服务,提,提供商,都,都是一,种,种挑战,。

54,数据删,除,除或持,久,久性：,数,数据必,须,须彻底,有,有效地,去,去除才,被,被视为,销,销毁因,因此，,必,必须具,备,备一种,可,可用的,技,技术，,能,能保证,全,全面和,有,有效地,定,定位云,计,计算数,据,据、擦,除,除,/,销毁数,据,据，并,保,保证数,据,据已被,完,完全消,除,除或使,其,其无法,恢,恢复55,,56,不,同,同,客,客,户,户,数,数,据,据,的,的,混,混,合,合,：,：,数,数,据,据,尤,尤,其,其,是,是,保,保,密,密,/,敏,感,感,数,数,据,据,，,，,不,不,能,能,在,在,使,使,用,用,、,、,储,储,存,存,或,或,传,传,输,输,过,过,程,程,中,中,，,，,在,在,没,没,有,有,任,任,何,何,补,补,偿,偿,控,控,制,制,的,的,情,情,况,况,下,下,与,与,其,其,他,他,客,客,户,户,数,数,据,据,混,混,合,合,数,数,据,据,的,的,混,混,合,合,将,将,在,在,数,数,据,据,安,安,全,全,和,和,地,地,缘,缘,位,位,置,置,等,等,方,方,面,面,增,增,加,加,安,安,全,全,挑,挑,战,战。

数,据,据,备,备,份,份,和,和,恢,恢,复,复,重,重,建,建,（,（,RecoveryandRestoration,）,计,计,划,划,：,：,必,必,须,须,保,保,证,证,数,数,据,据,可,可,用,用,，,，,云,云,数,数,据,据,备,备,份,份,和,和,云,云,恢,恢,复,复,计,计,划,划,必,必,须,须,到,到,位,位,和,和,有,有,效,效,，,，,以,以,防,防,止,止,数,数,据,据,丢,丢,失,失,、,、,意,意,外,外,的,的,数,数,据,据,覆,覆,盖,盖,和,和,破,破,坏,坏,不,不,要,要,随,随,便,便,假,假,定,定,云,云,模,模,式,式,的,的,数,数,据,据,肯,肯,定,定,有,有,备,备,份,份,并,并,可,可,恢,恢,复,复,57,数,据,据,发,发,现,现,（,（,discovery,）,：,：,由,由,于,于,法,法,律,律,系,系,统,统,持,持,续,续,关,关,注,注,电,电,子,子,证,证,据,据,发,发,现,现,，,，,云,云,服,服,务,务,提,提,供,供,商,商,和,和,数,数,据,据,拥,拥,有,有,者,者,将,将,需,需,要,要,把,把,重,重,点,点,放,放,在,在,发,发,现,现,数,数,据,据,并,并,确,确,保,保,法,法,律,律,和,和,监,监,管,管,部,部,门,门,要,要,求,求,的,的,所,所,有,有,数,数,据,据,可,可,被,被,找,找,回,回,。

这,这,些,些,问,问,题,题,在,在,云,云,环,环,境,境,中,中,是,是,极,极,难,难,回,回,答,答,的,的,，,，,将,将,需,需,要,要,管,管,理,理,、,、,技,技,术,术,和,和,必,必,要,要,的,的,法,法,律,律,控,控,制,制,互,互,相,相,配,配,合,合58,,59,,数,据,据,安,安,全,全,隔,隔,离,离,为,为,实,实,现,现,不,不,同,同,用,用,户,户,间,间,数,数,据,据,信,信,息,息,的,的,隔,隔,离,离,，,，,可,可,根,根,据,据,应,应,用,用,具,具,体,体,需,需,求,求,，,，,采,采,用,用,物,物,理,理,隔,隔,离,离,、,、,虚,虚,拟,拟,化,化,和,和,Multi-tenancy,等,方,方,案,案,实,实,现,现,不,不,同,同,租,租,户,户,之,之,间,间,数,数,据,据,和,和,配,配,置,置,信,信,息,息,的,的,安,安,全,全,隔,隔,离,离,，,，,以,以,保,保,护,护,每,每,个,个,租,租,户,户,数,数,据,据,的,的,安,安,全,全,与,与,隐,隐,私,私,60,数,据,据,与,与,信,信,息,息,安,安,全,全,的,的,具,具,体,体,防,防,护,护,数,据,据,访,访,问,问,控,控,制,制,在,在,数,数,据,据,的,的,访,访,问,问,控,控,制,制,方,方,面,面,，,，,可,可,通,通,过,过,采,采,用,用,基,基,于,于,身,身,份,份,认,认,证,证,的,的,权,权,限,限,控,控,制,制,方,方,式,式,，,，,进,进,行,行,实,实,时,时,的,的,身,身,份,份,监,监,控,控,、,、,权,权,限,限,认,认,证,证,和,和,证,证,书,书,检,检,查,查,，,，,防,防,止,止,用,用,户,户,间,间,的,的,非,非,法,法,越,越,权,权,访,访,问,问,。

如,如,可,可,采,采,用,用,默,默,认,认,“,“,denyall,”,”,的,访,访,问,问,控,控,制,制,策,策,略,略,，,，,仅,仅,在,在,有,有,数,数,据,据,访,访,问,问,需,需,求,求,时,时,才,才,显,显,性,性,打,打,开,开,对,对,应,应,的,的,端,端,口,口,或,或,开,开,启,启,相,相,关,关,访,访,问,问,策,策,略,略,在,在,虚,虚,拟,拟,应,应,用,用,环,环,境,境,下,下,，,，,可,可,设,设,置,置,虚,虚,拟,拟,环,环,境,境,下,下,的,的,逻,逻,辑,辑,边,边,界,界,安,安,全,全,访,访,问,问,控,控,制,制,策,策,略,略,，,，,如,如,通,通,过,过,加,加,载,载,虚,虚,拟,拟,防,防,火,火,墙,墙,等,等,方,方,式,式,实,实,现,现,虚,虚,拟,拟,机,机,间,间,、,、,虚,虚,拟,拟,机,机,组,组,内,内,部,部,精,精,细,细,化,化,的,的,数,数,据,据,访,访,问,问,控,控,制,制,策,策,略,略,61,,数,据,据,加,加,密,密,存,存,储,储,对,对,数,数,据,据,进,进,行,行,加,加,密,密,是,是,实,实,现,现,数,数,据,据,保,保,护,护,的,的,一,一,个,个,重,重,要,要,方,方,法,法,，,，,即,即,使,使,该,该,数,数,据,据,被,被,人,人,非,非,法,法,窃,窃,取,取,，,，,对,对,他,他,们,们,来,来,说,说,也,也,只,只,是,是,一,一,堆,堆,乱,乱,码,码,，,，,而,而,无,无,法,法,知,知,道,道,具,具,体,体,的,的,信,信,息,息,内,内,容,容,。

在,在,加,加,密,密,算,算,法,法,选,选,择,择,方,方,面,面,，,，,应,应,选,选,择,择,加,加,密,密,性,性,能,能,较,较,高,高,的,的,对,对,称,称,加,加,密,密,算,算,法,法,，,，,如,如,AES,、,3DES,等,国,国,际,际,通,通,用,用,算,算,法,法,，,，,或,或,我,我,国,国,国,国,有,有,商,商,密,密,算,算,法,法,SCB2,等,在,在,加,加,密,密,密,密,钥,钥,管,管,理,理,方,方,面,面,，,，,应,应,采,采,用,用,集,集,中,中,化,化,的,的,用,用,户,户,密,密,钥,钥,管,管,理,理,与,与,分,分,发,发,机,机,制,制,，,，,实,实,现,现,对,对,用,用,户,户,信,信,息,息,存,存,储,储,的,的,高,高,效,效,安,安,全,全,管,管,理,理,与,与,维,维,护,护,对,对,云,云,存,存,储,储,类,类,服,服,务,务,，,，,云,云,计,计,算,算,系,系,统,统,应,应,支,支,持,持,提,提,供,供,加,加,密,密,服,服,务,务,，,，,对,对,数,数,据,据,进,进,行,行,加,加,密,密,存,存,储,储,，,，,防,防,止,止,数,数,据,据,被,被,他,他,人,人,非,非,法,法,窥,窥,探,探,；,；,对,对,于,于,虚,虚,拟,拟,机,机,等,等,服,服,务,务,，,，,则,则,建,建,议,议,用,用,户,户,对,对,重,重,要,要,的,的,用,用,户,户,数,数,据,据,在,在,上,上,传,传,、,、,存,存,储,储,前,前,自,自,行,行,进,进,行,行,加,加,密,密,。

62,,63,,数,据,据,加,加,密,密,传,传,输,输,在,在,云,云,计,计,算,算,应,应,用,用,环,环,境,境,下,下,，,，,数,数,据,据,的,的,网,网,络,络,传,传,输,输,不,不,可,可,避,避,免,免,，,，,因,因,此,此,保,保,障,障,数,数,据,据,传,传,输,输,的,的,安,安,全,全,性,性,也,也,很,很,重,重,要,要,数,数,据,据,传,传,输,输,加,加,密,密,可,可,以,以,选,选,择,择,在,在,链,链,路,路,层,层,、,、,网,网,络,络,层,层,、,、,传,传,输,输,层,层,等,等,层,层,面,面,实,实,现,现,，,，,采,采,用,用,网,网,络,络,传,传,输,输,加,加,密,密,技,技,术,术,保,保,证,证,网,网,络,络,传,传,输,输,数,数,据,据,信,信,息,息,的,的,机,机,密,密,性,性,、,、,完,完,整,整,性,性,、,、,可,可,用,用,性,性,对,对,于,于,管,管,理,理,信,信,息,息,加,加,密,密,传,传,输,输,，,，,可,可,采,采,用,用,SSH,、,SSL,等方式为云,计,计算系统内,部,部的维护管,理,理提供数据,加,加密通 道,，,，保障维护,管,管理信息安,全,全。

对于用,户,户数据加密,传,传输，可采,用,用,IPSecVPN,、,SSL,等,VPN,技术提高用,户,户数据的网,络,络传输安全,性,性64,,数据备份与,恢,恢复不论,数,数据存放在,何,何处，用户,都,都应该慎重,考,考虑数据丢,失,失风险，为,应,应对突发的,云,云计算平台,的,的系统性故,障,障或灾难事,件,件，对数据,进,进行备份及,进,进行快速恢,复,复十分重要,如在虚拟,化,化环境下,，,，应能支持,基,基于磁盘的,备,备份与恢复,，,，实现快速,的,的虚拟机恢,复,复，应支持,文,文件级完整,与,与增量备份,，,，保存增量,更,更改以提高,备,备份效率65,,剩余信息保,护,护由于用,户,户数据在云,计,计算平台中,是,是共享存储,的,的，今天分,配,配给某一用,户,户的存储空,间,间，明天可,能,能分配给另,外,外一个用户,，,，因此需要,做,做好剩余信,息,息的保护措,施,施所以要,求,求云计算,系,系统在将存,储,储资源重分,配,配给新的用,户,户之前，必,须,须进行完整,的,的数据擦除,，,，在对存储,的,的用户文件,/,对象删除后,，,，对对应的,存,存储区进行,完,完整的数据,擦,擦除或标识,为,为只写（只,能,能 被新的,数,数据覆写）,，,，防止被非,法,法恶意恢复,。

66,,,67,,绝对的安全,是,是不存在的,68,绝对的零风,险,险是不存在,的,的，要想实,现,现零风险，,也,也是不现实,的,的；,计算机系统,的,的安全性越,高,高，其可用,性,性越低，需,要,要付出的成,本,本也就越大,，,，一般来说,，,，需要在安,全,全性和可用,性,性，以及安,全,全性和成本,投,投入之间做,一,一种平衡在计算机安,全,全领域有一,句,句格言：,“,真正安全的,计,计算机是拔,下,下网线，断,掉,掉电源，放,置,置在地下掩,体,体的保险柜,中,中，并在掩,体,体内充满毒,气,气，在掩体,外,外安排士兵,守,守卫显然，这样,的,的计算机是,无,无法使用的,安全,VS,可用,69,在可用性（,Usability,）和安全性,（,（,Security,）之间是一,种,种相反的关,系,系,提高了安全,性,性，相应地,就,就降低了易,用,用性,而要提高安,全,全性，又势,必,必增大成本,管理者应在,二,二者之间达,成,成一种可接,受,受的平衡,保密,70,重要信息的,保,保密,信息交换及,备,备份,软件应用安,全,全,计算机及网,络,络访问安全,人员及第三,方,方安全管理,移动计算与,远,远程办公,工作环境及,物,物理安全要,求,求,防范病毒和,恶,恶意代码,口令安全,电子邮件安,全,全,介质安全管,理,理,警惕社会工,程,程学,应急响应和,业,业务连续性,计,计划,法律法规,重要信息的,保,保密,谢谢收看,71,信息安全环,节,节,72,内部威胁,73,员工误操作,蓄意破坏,职责权限混,淆,淆,自身弱点,74,,技术弱点,,操作弱点,,管理弱点,系统、 程,序,序、设备中,存,存在的漏洞,或,或缺陷,配置、操作,和,和使用中的,缺,缺陷，包括,人,人员的不良,习,习惯、审计,或,或备份过程,的,的不当等,策略、程序,、,、规章制度,、,、人员意识,、,、组织结构,等,等方面的不,足,足,内因外因之,间,间的关系,75,一个巴掌拍,不,不响！,外因是条件,内因才是根本！,最常犯的一,些,些错误,76,将口令写在,便,便签上，贴,在,在电脑监视,器,器旁,开着电脑离,开,开，就像离,开,开家却忘记,关,关灯那样,轻易相信来,自,自陌生人的,邮,邮件，好奇,打,打开邮件附,件,件,使用容易猜,测,测的口令，,或,或者根本不,设,设口令,丢失笔记本,电,电脑,不能保守秘,密,密，口无遮,拦,拦，上当受,骗,骗，泄漏敏,感,感信息,随便拨号上,网,网，或者随,意,意将无关设,备,备连入公司,网,网络,事不关己，,高,高高挂起，,不,不报告安全,事,事件,在系统更新,和,和安装补丁,上,上总是行动,迟,迟缓,只关注外来,的,的威胁，忽,视,视企业内部,人,人员的问题,思考,77,想想你是否,也,也犯过这些,错,错误？,安全意识,78,信息安全意,识,识的提高刻不容缓！,人是关键因,素,素,79,手里拿把猎,枪,枪再踏出帐,篷,篷,吾自三省吾,身,身,提,高,高人,员,员,信,信,息,息,安,安,全,全意,识,识和素,质,质势,在,在,必,必,行,行,！,！,保,持,持,清,清,醒,醒,认,认,识,识,80,信,息,息,资,资,产,产对,我,我,们,们,很,很,重,重,要,要,，,，,是,是,要,要,保,保,护,护,的,的对,象,象,威,胁,胁就,像,像,苍,苍,蝇,蝇,一,一,样,样,，,，,挥,挥,之,之,不,不,去,去,，,，无,所,所,不,不,在,在,资,产,产,自,自,身,身,又,又,有,有,各,各,种,种弱,点,点，,给,给威,胁,胁带,来,来可,乘,乘,之,之,机,机,面,临,临,各,各,种,种风,险,险，,一,一,旦,旦,发,发,生,生,就,就,成,成,为,为安,全,全,事,事,件,件,、,、,事,事,故,故,我,们,们,应,应,该,该,…,…,…,81,,严防威胁,消减弱点,应急响应,保护资产,熟,悉,悉潜,在,在,的,的安,全,全,问,问,题,题,知,道,道怎,样,样防,止,止其,发,发,生,生,明,确,确发,生,生,后,后,如,如,何,何应,对,对,信,息,息,安,安,全,全,意,意,识,识,方,方,针,针,82,,隐患险于明火！,预防重于救灾！,安,全,全,贵,贵,在,在,未,未,雨,雨,绸,绸,缪,缪,！,资,产,产,划,划,分,分,83,Owner,数据的属主（,OM/PM,）,决定所属数据的敏感级别,确定必要的保护措施,最终批准并,Review,用户访问权限,,Custodian,受,Owner,委托管理数据,通常是,IT,人员或部门系统（数据）管理员,向,Owner,提交访问申请并按,Owner,授意为用户授权,执行数据保护措施，实施日常维护和管理,,User,公司或第三方职员,因工作需要而请求访问数据,遵守安全规定和控制,报告安全事件和隐患,,保,密,密,84,重,要,要,信,信,息,息,的,的,保,保,密,密,信,息,息,交,交,换,换,及,及,备,备,份,份,软,件,件,应,应,用,用,安,安,全,全,计,算,算,机,机,及,及,网,网,络,络,访,访,问,问,安,安,全,全,人,员,员,及,及,第,第,三,三,方,方,安,安,全,全,管,管,理,理,移,动,动,计,计,算,算,与,与,远,远,程,程,办,办,公,公,工,作,作,环,环,境,境,及,及,物,物,理,理,安,安,全,全,要,要,求,求,防,范,范,病,病,毒,毒,和,和,恶,恶,意,意,代,代,码,码,口,令,令,安,安,全,全,电,子,子,邮,邮,件,件,安,安,全,全,介,质,质,安,安,全,全,管,管,理,理,警,惕,惕,社,社,会,会,工,工,程,程,学,学,应,急,急,响,响,应,应,和,和,业,业,务,务,连,连,续,续,性,性,计,计,划,划,法,律,律,法,法,规,规,重,要,要,信,信,息,息,的,的,保,保,密,密,信,息,息,处,处,理,理,与,与,保,保,护,护,85,各,类,类,信,信,息,息,，,，,无,无,论,论,电,电,子,子,还,还,是,是,纸,纸,质,质,，,，,在,在,标,标,注,注,、,、,授,授,权,权,、,、,访,访,问,问,、,、,存,存,储,储,、,、,拷,拷,贝,贝,、,、,传,传,真,真,、,、,内,内,部,部,和,和,外,外,部,部,分,分,发,发,（,（,包,包,括,括,第,第,三,三,方,方,转,转,交,交,）,）,、,、,传,传,输,输,、,、,处,处,理,理,等,等,各,各,个,个,环,环,节,节,，,，,都,都,应,应,该,该,遵,遵,守,守,既,既,定,定,策,策,略,略,信,息,息,分,分,类,类,管,管,理,理,程,程,序,序,只,只,约,约,定,定,要,要,求,求,和,和,原,原,则,则,，,，,具,具,体,体,控,控,制,制,和,和,实,实,现,现,方,方,式,式,，,，,由,由,信,信,息,息,属,属,主,主,或,或,相,相,关,关,部,部,门,门,确,确,定,定,，,，,以,以,遵,遵,守,守,最,最,佳,佳,实。