日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 运维知识 > windows >内容正文

windows

笔记-信息系统安全管理-信息安全(混合)

發布時間:2025/3/19 windows 27 豆豆
生活随笔 收集整理的這篇文章主要介紹了 笔记-信息系统安全管理-信息安全(混合) 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

1. 信息安全四個層次

  • 設備安全
  • 數據安全
  • 內容安全
  • 行為安全

2. 信息安全屬性及目標

2.1. 保密性(Confidentiality)

保密性是指阻止非授權的主體閱讀信息。它是信息安全一誕生就具有的特性,也是信息安全主要的研究內容之一。更通俗地講,就是說未授權的用戶不能夠獲取敏感信息。對紙質文檔信息,只需要保護好文件,不被非授權者接觸即可。而對計算機及網絡環境中的信息,不僅要阻止非授權者對信息的閱讀,還要阻止授權者將其訪問的信息傳遞給非授權者,以致信息被泄漏。

指“信息不被泄露給未授權的個人、實體和過程或不被其使用的特性。”簡單地說,就是確保所傳輸的數據只被其預定的接收者讀取。保密性的破壞有多種可能,例如,信息的故意泄露或松懈的安全管理。數據的保密性可以通過下列技術來實現:

  • 最小授權原則
  • 防暴露
  • 數據加密、信息加密
  • 物理加密

注意數字簽名不能提高保密性

2.2. 完整性(Integrity)

完整性是指防止信息被未經授權地篡改。它是保護信息保持原始的狀態,使信息保持其真實性。如果這些信息被蓄意地修改、插入和刪除等,形成虛假信息將帶來嚴重的后果。

指“保護資產的正確和完整的特性。”簡單地說,就是確保接收到的數據就是發送的數據。數據不應該被改變,這需要某種方法去進行驗證。確保數據完整性的技術包括:

  • 安全協議
  • 校檢碼
  • 密碼校檢
  • CA認證
  • 數字簽名
  • 防火墻系統
  • 傳輸安全(通信安全)
  • 入侵檢測系統

2.3. 可用性(Availability)

可用性是指授權主體在需要信息時能及時得到服務的能力??捎眯允窃谛畔踩Wo階段對信息安全提出的新要求,也是在網絡化空間中必須滿足的一項信息安全要求。

指“需要時,授權實體可以訪問和使用的特性。”可用性確保數據在需要時可以使用。盡管傳統上認為可用性并不屬于信息安全的范疇,但隨著拒絕服務攻擊的逐漸盛行,要求數據總能保持可用性就顯得十分關鍵了。一些確??捎眯缘募夹g如以下幾個方面:

  • 綜合保障
  • 磁盤和系統的容錯
  • 可接受的登錄及進程性能
  • 可靠的功能性的安全進程和機制
  • 數據冗余及備份

保密性、完整性和可用性是信息安全最為關注的三個屬性,因此這三個特性也經常被稱為信息安全三元組這也是信息安全通常所強調的目標

2.4. 其他屬性及目標

另外,信息安全也關注一些其他特性:

可控性是指對信息和信息系統實施安全監控管理,防止非法利用信息和信息系統。

真實性一般是指對信息的來源進行判斷,能對偽造來源的信息予以鑒別。

可核查性是指系統實體的行為可以被獨一無二地追溯到該實體的特性,這個特性就是要求該實體對其行為負責,可核查性也為探測和調查安全違規事件提供了可能性;

不可抵賴性是指建立有效的責任機制,防止用戶否認其行為,這一點在電子商務中是極其重要的;

  • 數字簽名

不可否認性是指在網絡環境中,信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行為。

可靠性是指系統在規定的時間和給定的條件下,無故障地完成規定功能的概率,通常用平均故障間隔時閬(MeanTime Between Faihrce。MTBF)來度量。

信息安全已經成為一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論和信息論等多種學科的綜合性學科。從廣義上來說,凡是涉及網絡上信息的保密性、完整性、可用性、真實性和可核查性的相關技術和理論都屬于信息安全的研究領域。

3. 信息安全管理體系

信息安全管理體系(Information Security Management System)是組織在整體或特定范圍內建立信息安全方針和目標以及完成這些目標所用方法的體系,它由建立信息安全的方針、原則、目標、方法、過程、核查表等要素組成。建立起信息安全管理體系后,具體的信息安全管理活動以信息安全管理體系為根據來開展。

信息安全管理體系的建立是一個目標疊加的過程,是在不斷發展變化的技術環境中進行的,是一個動態的、閉環的風險管理過程;要想獲得有效的成果,需要從評估、響應、防護,到再評估。這些都需要企業從高層到具體工作人員的參與和重視,否則只能是流于形式與過程,起不到真正有效的安全控制的目的和作用。

  • 配備安全管理人員
  • 建立安全職能部門
  • 成立安全領導小組
  • 主要責任人出任領導
  • 建立信息安全保密管理部門

在構建信息安全管理體系中,應建立起一套動態閉環的管理流程,這套流程指的是( )
答案:評估—響應—防護—評估

4. 信息安全技術體系

  • 硬件系統安全和物理安全
  • 數據網絡傳輸/交換安全、網絡安全
  • 操作系統、數據庫管理系統安全
  • 應用軟件安全運行

轉載/整理:
希賽教育的試題解釋:https://www.educity.cn/
信管網:https://www.cnitpm.com/pm1/46124.html

總結

以上是生活随笔為你收集整理的笔记-信息系统安全管理-信息安全(混合)的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。