首页 思维导图 详情

第17章 信息系统安全管理

2022-02-21 12:04:23 0 举报
AI智能生成
系统集成项目管理工程师
系统集成项目管理工程师(第2版)
系统集成项目管理工程师
作者其他创作
大纲/内容
信息安全的定义:“保护信息的保密性、完整性、可用性”;
另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性
信息安全属性及目标
保密性:是指信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。
技术:网络安全协议、网络认证服务、数据加密服务
完整性:是指保护资产的正确和完整的特性,确保接收到的数据就是发送数据
技术:消息源的不可抵赖、防火墙系统、通信安全、入侵检查系统
可用性:需要时,授权实体可以访问和使用的特性,可永兴确保数据在需要时可以使用
技术:磁盘和系统的容错及备份、可接受的登录及进城性能、可靠的功能性的安全进城和机制
信息系统安全
信息系统是指由计算机及其相关和配套的设备、设施构成的,
按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络
  • 保密性
  • 完整性
  • 可用性
  • 不可抵赖性
应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。
  1. 最小授权原则:对信息的访问权限仅授权给需要从事业务的用户使用。
  2. 防暴露:防止有用信息以各种途径暴露或传播出去
  3. 信息加密:用加密算法对信息进行加密处理,非法用户无妨对信息进行解密从而无法读懂有效信息。
  4. 物理:利用各种物理方法,如限制、隔离、延毕和控制等措施,保护信息不给泄露
信息未经授权不能进行改变的特性。即应用系统的信息在存储或传输过程中
保持不被偶然或蓄意的删除、修改、伪造、乱序、重放或插入等破坏和丢失的特性。
保障应用系统完整性的主要方法:
  1. 协议:通过各种安全协议可以有效的检测出被复制的信息、被删除的字段、失效的字段和被修改的字段
  2. 纠错编码方法:由此完成检错和纠错功能,最简单和常用的纠错编码方法是奇偶校验法。
  3. 密码校验和方法:它是抗篡改和传输失败的重要手段
  4. 数字签名:保障信息的真实性
  5. 公证:请求系统管理或中介机构证明信息的真实性
是应用系统信息可被授权实体访问并按需求使用的特性。
也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真是同一性。
即所有参与者都不可能否认或抵赖曾经完成的操纵和承诺
信息系统安全管理是对一个组织机构中信息系统的生命周期全过程实施符合安全等级责任要求的管理
管理体系:配备安全管理人员、建立安全只能部门、成立安全领导小组、主要负责人出任领导、建立信息安全保密管理部门
技术体系:物理安全、运行安全、数据安全
物理安全管理
计算机机房与设施安全
  • 计算机机房
  • 电源
  • 计算机设备
  • 通信线路
    • 技术控制
    • 检测监控系统
    • 人员进出机房和操作权限范围控制
    环境与人身安全
    • 防火
    • 防漏水和火灾
    • 防静电
    • 防自然灾害
    • 防物理安全威胁
    电磁兼容
    • 计算机设备防泄露
    • 计算机设备的电磁辐射标准和电磁兼容标准
    人员安全管理
    安全组织
    安全组织的目的在于通过简历管理框架,以启动和控制组织范围内的信息安全的实施。
    安全管理的领导只能、保密监督管理只能
    岗位安全考核与培训
    • 对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发恩怨、
      系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理;
    • 允许一人多岗,但业务应用操作人员不能由其他关键岗位人员兼任;
    • 关键岗位人员应定期接受安全培训,加强安全意识和风险防范意识。
    兼职和轮岗要求:业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员
    和重要业务应用操作人员等岗位或工作    ;必要时关键岗位人员应采取定期轮岗制度。
    权限分散要求:在上述基础上,应坚持关键岗位“权限分散、不得交叉覆盖”的原则,系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作
    多人共管要求:在上述基础上,关键岗位人员处理重要事务或操作时,应保持二人同时在场,关键事务应多人共管
    全面控制要求:在上述基础上,应采取对内部人员全面控制的安全保证措施,对所有广为工作人员试试全面安全管理
    离岗人员安全管理
    应用系统安全管理
    信息安全等级保护
    • 第一级:对公民、法人和其他组织造成损害,但不损害国家、社会和公共利益
    • 第二级:对公民、法人和其他组织造成严重损害,或对社会造成损害,但不损害国家
    • 第三级:对社会造成严重损害,或对国家造成损害
    • 第四级:多社会造成严重损害,或对国家造成严重损害
    • 第五级:对国家造成特别严重损害
    评论
    0 条评论
    下一页
    为你推荐
    查看更多
    《项目管理-第13-21章》-读书笔记
    《项目管理-第13-21章》-读书笔记
    信息系统安全管理框架
    信息系统安全管理框架
    系统安全架构图
    系统安全架构图
    第十七章 信息系统安全管理
    第十七章 信息系统安全管理
    系统安全架构图
    系统安全架构图
    系统功能
    系统功能
    系统安全架构图
    系统安全架构图
    信息系统安全策略架构
    信息系统安全策略架构
    系统安全架构图
    系统安全架构图
    信息系统项目管理师
    信息系统项目管理师