信息系统安全管理(第十七章)
4 p8 R4 Q. r3 A/ u% Q3 A
; R+ d) j9 F$ z# s" H 信息安全的目标:
& @. z) e. k" U9 p 1、保密性(安全协议、网络认证、数据机密); 1 o9 s A. w& E+ s7 l! f
2、完整性(不可抵赖、防火墙系统、通信安全、入侵检测); 7 A3 u, V9 d. N2 G. D& O) l+ z: m
3、可用性(磁盘容错与盘备份、可接受的登录及进程性能、可靠的安全进程和机制); ) W% x0 J6 s0 R" `# V6 ]
4、其他属性及目标
$ E4 E. S: n+ u! r! B( Z. H 信息安全的内容:
8 i9 P- C1 z! Z! \ 1、信息安全方针与策略; 5 e" v( n) Q2 L2 `( T
2、组织信息安全; 3 U u+ }0 _2 m' [2 G8 {! i- u
3、资产管理;
6 @( v& [$ G7 C. m$ C' s1 F, m 4、人力资源安全;
1 R6 Q8 C7 A! n 5、物理和环境安全;
; u# h# Y; ?8 E" c: A2 s 6、通信和操作安全;
. P; r/ N" {, x8 u+ ^ 7、访问控制;
5 q8 ^0 ?( [. ~/ x1 r" r) f 8、信息系统的获取、开发和保持; ) R" n3 G$ T9 q6 c+ H
9、信息安全事件管理;
- l* o N, B- S$ D3 N% ] 10、业务持续性管理; # Q# i; M8 o8 }4 c
11、符合性
v. m( ?, T s: i0 J6 D) W, k 信息安全属性:
1 i @1 x9 L* b; V( ~/ Z0 |1 x! ] 1、保密性(最小授权、防暴露、信息加密、物理保密);
5 {# C, V( x2 P3 G 2、完整性(未经授权不能进行改变的特性); ! M! R9 ^( N- ^) s5 ^/ N
3、可用性(可被授权实体访问并按需求使用的特性); 8 N$ C$ x! U; U U, n" k
4、不可抵赖性(确信参与者的真实同一性)
+ [3 _, _. _# D% f1 m 应用系统安全管理的措施: 6 ~7 p0 c7 M, L: ] [3 u: [& a( M
1、建立应用系统安全需求管理;
6 c0 J" b3 M* h7 P/ ~ 2、严格应用系统的安全检测与验收; 6 C& a2 b+ s+ }
3、坚强应用系统的操作安全控制;
) n8 c; R6 x) L9 v1 N0 Q 4、规范变更管理; $ J% F: F' O) d6 P2 O& \5 B
5、防止信息泄漏;
8 `) p! D$ G8 [3 ~& S2 Y5 K, O$ i) w 6、严格访问控制;
3 @; c- H1 }* l. T" M 7、信息备份; 9 N' j0 p: I! G2 U1 {
8、应用系统的使用监视
" y4 ~$ D& K ~3 U5 r- `$ }+ z 应用系统运行中的安全管理: : C+ C8 Q: R# H1 O7 q. n
1、组织管理层在系统运行安全管理中的职责;
+ K5 H8 y7 F9 _! N" N 2、系统运行安全的审查目标; " F6 r: v3 V7 R+ ^
3、系统运行安全与保密的层次构成;
/ y' [6 w7 P# R7 j$ S4 W 4、系统运行安全检查与记录; - i- \: ^, j3 v+ ` x1 V& O
5、系统运行安全管理制度
2 {, G8 H7 X8 s/ [* ~2 `: W5 y 系统运行安全与保密层次由粗到细分别为:
$ ?) H. D2 O5 L 1、系统级安全;
4 ~/ E1 c! G) T: X0 e0 O! f3 \ 2、资源访问安全; 7 x% B9 f3 d' N- c, C
3、功能性安全; 4、数据域安全 |
发表于 2012-8-2 09:15:48
