笔记-信息系统安全管理-信息安全(混合)

1. 信息安全四个层次

  • 设备安全
  • 数据安全
  • 内容安全
  • 行为安全

2. 信息安全属性及目标

2.1. 保密性(Confidentiality)

保密性是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,只需要保护好文件,不被非授权者接触即可。而对计算机及网络环境中的信息,不仅要阻止非授权者对信息的阅读,还要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。

指“信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。”简单地说,就是确保所传输的数据只被其预定的接收者读取。保密性的破坏有多种可能,例如,信息的故意泄露或松懈的安全管理。数据的保密性可以通过下列技术来实现:

  • 最小授权原则
  • 防暴露
  • 数据加密、信息加密
  • 物理加密

注意数字签名不能提高保密性

2.2. 完整性(Integrity)

完整性是指防止信息被未经授权地篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入和删除等,形成虚假信息将带来严重的后果。

指“保护资产的正确和完整的特性。”简单地说,就是确保接收到的数据就是发送的数据。数据不应该被改变,这需要某种方法去进行验证。确保数据完整性的技术包括:

  • 安全协议
  • 校检码
  • 密码校检
  • CA认证
  • 数字签名
  • 防火墙系统
  • 传输安全(通信安全)
  • 入侵检测系统

2.3. 可用性(Availability)

可用性是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。

指“需要时,授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。尽管传统上认为可用性并不属于信息安全的范畴,但随着拒绝服务攻击的逐渐盛行,要求数据总能保持可用性就显得十分关键了。一些确保可用性的技术如以下几个方面:

  • 综合保障
  • 磁盘和系统的容错
  • 可接受的登录及进程性能
  • 可靠的功能性的安全进程和机制
  • 数据冗余及备份

保密性、完整性和可用性是信息安全最为关注的三个属性,因此这三个特性也经常被称为信息安全三元组这也是信息安全通常所强调的目标

2.4. 其他属性及目标

另外,信息安全也关注一些其他特性:

可控性是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。

真实性一般是指对信息的来源进行判断,能对伪造来源的信息予以鉴别。

可核查性是指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违规事件提供了可能性;

不可抵赖性是指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的;

  • 数字签名

不可否认性是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。

可靠性是指系统在规定的时间和给定的条件下,无故障地完成规定功能的概率,通常用平均故障间隔时阆(MeanTime Between Faihrce。MTBF)来度量。

信息安全已经成为一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。从广义上来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可核查性的相关技术和理论都属于信息安全的研究领域。

3. 信息安全管理体系

信息安全管理体系(Information Security Management System)是组织在整体或特定范围内建立信息安全方针和目标以及完成这些目标所用方法的体系,它由建立信息安全的方针、原则、目标、方法、过程、核查表等要素组成。建立起信息安全管理体系后,具体的信息安全管理活动以信息安全管理体系为根据来开展。

信息安全管理体系的建立是一个目标叠加的过程,是在不断发展变化的技术环境中进行的,是一个动态的、闭环的风险管理过程;要想获得有效的成果,需要从评估、响应、防护,到再评估。这些都需要企业从高层到具体工作人员的参与和重视,否则只能是流于形式与过程,起不到真正有效的安全控制的目的和作用。

  • 配备安全管理人员
  • 建立安全职能部门
  • 成立安全领导小组
  • 主要责任人出任领导
  • 建立信息安全保密管理部门

在构建信息安全管理体系中,应建立起一套动态闭环的管理流程,这套流程指的是( )
答案:评估—响应—防护—评估

4. 信息安全技术体系

  • 硬件系统安全和物理安全
  • 数据网络传输/交换安全、网络安全
  • 操作系统、数据库管理系统安全
  • 应用软件安全运行

转载/整理:
希赛教育的试题解释:https://www.educity.cn/
信管网:https://www.cnitpm.com/pm1/46124.html

--------------本文结束 感谢您的阅读--------------