笔记-信息系统安全管理-信息安全(混合)
1. 信息安全四個(gè)層次
- 設(shè)備安全
- 數(shù)據(jù)安全
- 內(nèi)容安全
- 行為安全
2. 信息安全屬性及目標(biāo)
2.1. 保密性(Confidentiality)
保密性是指阻止非授權(quán)的主體閱讀信息。它是信息安全一誕生就具有的特性,也是信息安全主要的研究內(nèi)容之一。更通俗地講,就是說未授權(quán)的用戶不能夠獲取敏感信息。對紙質(zhì)文檔信息,只需要保護(hù)好文件,不被非授權(quán)者接觸即可。而對計(jì)算機(jī)及網(wǎng)絡(luò)環(huán)境中的信息,不僅要阻止非授權(quán)者對信息的閱讀,還要阻止授權(quán)者將其訪問的信息傳遞給非授權(quán)者,以致信息被泄漏。
指“信息不被泄露給未授權(quán)的個(gè)人、實(shí)體和過程或不被其使用的特性。”簡單地說,就是確保所傳輸?shù)臄?shù)據(jù)只被其預(yù)定的接收者讀取。保密性的破壞有多種可能,例如,信息的故意泄露或松懈的安全管理。數(shù)據(jù)的保密性可以通過下列技術(shù)來實(shí)現(xiàn):
- 最小授權(quán)原則
- 防暴露
- 數(shù)據(jù)加密、信息加密
- 物理加密
注意數(shù)字簽名不能提高保密性
2.2. 完整性(Integrity)
完整性是指防止信息被未經(jīng)授權(quán)地篡改。它是保護(hù)信息保持原始的狀態(tài),使信息保持其真實(shí)性。如果這些信息被蓄意地修改、插入和刪除等,形成虛假信息將帶來嚴(yán)重的后果。
指“保護(hù)資產(chǎn)的正確和完整的特性。”簡單地說,就是確保接收到的數(shù)據(jù)就是發(fā)送的數(shù)據(jù)。數(shù)據(jù)不應(yīng)該被改變,這需要某種方法去進(jìn)行驗(yàn)證。確保數(shù)據(jù)完整性的技術(shù)包括:
- 安全協(xié)議
- 校檢碼
- 密碼校檢
- CA認(rèn)證
- 數(shù)字簽名
- 防火墻系統(tǒng)
- 傳輸安全(通信安全)
- 入侵檢測系統(tǒng)
2.3. 可用性(Availability)
可用性是指授權(quán)主體在需要信息時(shí)能及時(shí)得到服務(wù)的能力。可用性是在信息安全保護(hù)階段對信息安全提出的新要求,也是在網(wǎng)絡(luò)化空間中必須滿足的一項(xiàng)信息安全要求。
指“需要時(shí),授權(quán)實(shí)體可以訪問和使用的特性。”可用性確保數(shù)據(jù)在需要時(shí)可以使用。盡管傳統(tǒng)上認(rèn)為可用性并不屬于信息安全的范疇,但隨著拒絕服務(wù)攻擊的逐漸盛行,要求數(shù)據(jù)總能保持可用性就顯得十分關(guān)鍵了。一些確保可用性的技術(shù)如以下幾個(gè)方面:
- 綜合保障
- 磁盤和系統(tǒng)的容錯(cuò)
- 可接受的登錄及進(jìn)程性能
- 可靠的功能性的安全進(jìn)程和機(jī)制
- 數(shù)據(jù)冗余及備份
保密性、完整性和可用性是信息安全最為關(guān)注的三個(gè)屬性,因此這三個(gè)特性也經(jīng)常被稱為信息安全三元組,這也是信息安全通常所強(qiáng)調(diào)的目標(biāo)。
2.4. 其他屬性及目標(biāo)
另外,信息安全也關(guān)注一些其他特性:
可控性是指對信息和信息系統(tǒng)實(shí)施安全監(jiān)控管理,防止非法利用信息和信息系統(tǒng)。
真實(shí)性一般是指對信息的來源進(jìn)行判斷,能對偽造來源的信息予以鑒別。
可核查性是指系統(tǒng)實(shí)體的行為可以被獨(dú)一無二地追溯到該實(shí)體的特性,這個(gè)特性就是要求該實(shí)體對其行為負(fù)責(zé),可核查性也為探測和調(diào)查安全違規(guī)事件提供了可能性;
不可抵賴性是指建立有效的責(zé)任機(jī)制,防止用戶否認(rèn)其行為,這一點(diǎn)在電子商務(wù)中是極其重要的;
- 數(shù)字簽名
不可否認(rèn)性是指在網(wǎng)絡(luò)環(huán)境中,信息交換的雙方不能否認(rèn)其在交換過程中發(fā)送信息或接收信息的行為。
可靠性是指系統(tǒng)在規(guī)定的時(shí)間和給定的條件下,無故障地完成規(guī)定功能的概率,通常用平均故障間隔時(shí)閬(MeanTime Between Faihrce。MTBF)來度量。
信息安全已經(jīng)成為一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科的綜合性學(xué)科。從廣義上來說,凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可核查性的相關(guān)技術(shù)和理論都屬于信息安全的研究領(lǐng)域。
3. 信息安全管理體系
信息安全管理體系(Information Security Management System)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)以及完成這些目標(biāo)所用方法的體系,它由建立信息安全的方針、原則、目標(biāo)、方法、過程、核查表等要素組成。建立起信息安全管理體系后,具體的信息安全管理活動(dòng)以信息安全管理體系為根據(jù)來開展。
信息安全管理體系的建立是一個(gè)目標(biāo)疊加的過程,是在不斷發(fā)展變化的技術(shù)環(huán)境中進(jìn)行的,是一個(gè)動(dòng)態(tài)的、閉環(huán)的風(fēng)險(xiǎn)管理過程;要想獲得有效的成果,需要從評估、響應(yīng)、防護(hù),到再評估。這些都需要企業(yè)從高層到具體工作人員的參與和重視,否則只能是流于形式與過程,起不到真正有效的安全控制的目的和作用。
- 配備安全管理人員
- 建立安全職能部門
- 成立安全領(lǐng)導(dǎo)小組
- 主要責(zé)任人出任領(lǐng)導(dǎo)
- 建立信息安全保密管理部門
在構(gòu)建信息安全管理體系中,應(yīng)建立起一套動(dòng)態(tài)閉環(huán)的管理流程,這套流程指的是( )
答案:評估—響應(yīng)—防護(hù)—評估
4. 信息安全技術(shù)體系
- 硬件系統(tǒng)安全和物理安全
- 數(shù)據(jù)網(wǎng)絡(luò)傳輸/交換安全、網(wǎng)絡(luò)安全
- 操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)安全
- 應(yīng)用軟件安全運(yùn)行
轉(zhuǎn)載/整理:
希賽教育的試題解釋:https://www.educity.cn/
信管網(wǎng):https://www.cnitpm.com/pm1/46124.html
總結(jié)
以上是生活随笔為你收集整理的笔记-信息系统安全管理-信息安全(混合)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 笔记-计算机网络基础-无线局域网标准IE
- 下一篇: 笔记-信息系统安全管理-数字证书