一、信息安全保障目标最终目标：业务使命要求

二、信息安全问题的根源

1.内因：系统太复杂，网络太复杂，应用复杂

2.外因：环境（地震，洪水，龙卷风等），人（恶意，误操作）

三、信息安全的特性

系统性，动态性，无边界，非传统 

信息安全：静态。防护

信息安全保障：动态，检测，响应恢复

五、安全属性:

1.机密性：http：明文----https：加密

2.完整性：防篡改， 

hash算法：MD5 SHA256

3.可用性：防破坏

设备冗余:hsrp

链路冗余、灾备

4.真实性：鉴别：登录：user and pass多因素

5.可问责性：审计：日志记录，保留不少于6个月

6.不可否认性：数字签名，ukey：私钥

５：４３，日志目录错误，应为 C:\inetpub\logs\LogFiles

23:17秒，应勾选下面的“加密内容“。老师说的这个，勾成上面的了

郝永清

hyqkx1977@263.net

18610677915

八、制定风险处置计划

在Do里做，

九、文档化

一级：方针

二级：程序

三级：指南

四级：日志，记录

个人视角：

隐私保护：数据泄漏

社会工程学：

个人资产安全：

信息安全发展阶段：

1.通信安全：搭线窃听，密码学分析，（加密）

2.计算机安全：恶意代码，弱口令，非授权访问

3.信息系统安全：网络入侵，信息对抗，

4.信息安全保障：检测，恢复：动态

27号文：关于加强信息安全保障工作的意见：总体纲领：坚持积极防御，综合防范

基本原则：坚持以我为主，技术与管理并重，正确处理安全与发展的关系，企业及个人责任和义务

5.网络空间战略安全：

威慑：攻击

情报获取：

防护：

工业控制系统安全威胁：

缺乏足够安全防护

安全可控性不高

缺乏安全管理标准和技术

云计算的安全风险

数据管理和访问失控的风险

1.数据存储位置对用户失控

2.云计算服务商对数据权限高于用户

3.用户不能有效监管云计算厂商内部人员对数据的非授权访问

数据管理责任风险

1.不适用“谁主管谁负责，谁运营谁负责”

数据保护的风险

1.缺乏统一标准，数据存储格式不同

2.存储介质由云服务商控制，用户对数据的操作需要通过云服务商执行，用户无法有效掌控自己的数据。

虚拟化：共享问题：内存，显卡，容易发生侧道攻击，逃逸。

机密性：防泄漏

完整性：防篡改

可用性：防破坏，设备冗余，链路冗余，灾备：测试备份数据的有效性

真实性：鉴别，登录：userid and pwd，多因素认证：

可问责：审计：日志记录，保留不少于6个月

不可否认性：数字签名，ukey：私钥

可靠性：TCP/IP

企业视角：

业务连续性：业务数据对组织的重要性使得组织必须关注业务连续性

资产保护：

有什么

用来做什么

需要保护他们吗？

合规性：

法律法规的合规

标准的合规性