精华内容
下载资源
问答
  • 信息系统安全运维

    千次阅读 2019-06-12 11:52:30
    信息系统安全运维在特定的周期内,通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询,协助组织的系统管理人员进行信息系统的日常安全运维工作,以发现并修复...

    安全运维定义
            信息系统安全运维指在特定的周期内,通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询,协助组织的系统管理人员进行信息系统的日常安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。

    安全运维服务包括如下内容:
    1) 确定安全运维所涉及的信息系统及关键技术设施;
    2) 根据所约定的服务范围,执行首次技术设施安全评估,评估关键技术设施所存在的安全隐
    患;
    3) 根据首次技术设施安全评估的结果,制定加固方案,沟通并最终对关键技术设施进行安全
    加固;
    4) 此后定期执行技术设施安全评估,针对评估所发现的安全隐患,提出改进建议,并指导系
    统管理人员进行安全加固;
    5) 当被服务单位的主机或网络正遭到攻击或已经发现遭受入侵的迹象时,及时进行应急响应,
    分析事故原因并防止损失扩大;
    6) 在服务期内,及时跟踪并提供安全漏洞及补丁信息或相应安全建议;
    7) 针对系统管理人员在日常维护时发现、产生的安全技术问题提供咨询服务。

    安全运维流程

    客户收益

    1. 清晰理解技术设施所面临的信息安全问题
    2. 前瞻性地处理技术设施所面临的安全问题
    3. 最大程度降低信息安全事件所带来的影响
    4. 集中精力维护信息系统的持续可用
    5. 提高技术人员对信息安全的认识
       

     

    展开全文
  • 信息系统面临的安全威胁

    千次阅读 2019-11-07 23:11:59
    信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统以及管理等 多个方面。 物理安全威胁是对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成 数据丢失或信息...

    信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统以及管理等 多个方面。

    • 物理安全威胁是指对系统所用设备的威胁,如自然灾害、电源故障、数据库故障和设备被盗等造成 数据丢失或信息泄漏。
    • 通信链路安全威胁是指在传输线路上安装窃听装置或对通信链路进行干扰。
    • 网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性,对内部网络形成的严重 安全威胁。
    • 操作系统安全威胁指的是操作系统本身的后门或安全缺陷,如“木马”和“陷阱门”等。
    • 应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁,包括应用系统自身漏洞,也受到 “木马”的威胁。
    • 管理系统安全威胁指的是人员管理和各种安全管理制度。

     

    国家标准《信息处理系统工程开放系统互联基本参考模型——第二部分:安全体系结构》(GB/T 9387.2-1995)定义了基于OSI参考模型7层协议之上的信息安全体系,其核心内容是:为了保证异构计算机进程与进程之间远距离交换信息的安全,定义了认证服务、访问控制服务、数据机密性服务、数据完整性服务和抗抵赖性服务等5大类安全服务。
    五类安全服务:

    1、认证鉴别服务:鉴别参与通信的对等实体和数据源的合法性。对等实体鉴别和数据源鉴别:由第N层实体提供,可向第N+1层实体证实。安全服务由第N层实体提供,可向第N+1层实体证实数据源。

    2、访问控制服务:能够阻止未经授权而利用通过OSI模型的可访问资源。

    3、数据保密性服务对数据提供保护,防止数据未经授权而被泄漏,防止在系统之间交换数据时被截取。它还内含四项服务:连接保密性、无连接保密性、选择字段保密性、通信业务流保密性。

    4、数据完整性服务:防止系统之间交换数据,非法修改数据或丢失数据。数据完整性可分四类:实体完整性、域完整性、参照完整性、用户定义的完整性。

    5、抗抵赖服务:阻止通信双方否认发送和接收数据的行为。

    展开全文
  • 1.3 信息系统安全保障概念与模型 满足不同需求具有各种功能的信息系统是信息化社会构成的基础,信息系统安全是确保信息系统结构与相关元素的安全,以及与此相关的各种安全技术、安全服务和安全管理的总和...

    本节书摘来自华章出版社《信息安全保障》一书中的第1章,第1.3节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看

    1.3 信息系统安全保障概念与模型

    满足不同需求具有各种功能的信息系统是信息化社会构成的基础,信息系统安全是确保信息系统结构与相关元素的安全,以及与此相关的各种安全技术、安全服务和安全管理的总和。与信息安全相比,信息系统安全更具有体系性、可设计性、可实现性和可操作性。

    1.3.1 信息系统安全保障概念

    信息系统安全保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
    image

    1.?信息系统
    信息系统是具有集成性的系统,每一个组织中信息流动的总和都构成了一个信息系统。可以认为,信息系统是根据一定的需要来进行输入、系统控制、数据处理、数据存储与输出等活动所涉及的所有因素的综合体,如图1-5所示。现代信息系统是以计算机为基础,包括人员、硬件、软件、数据4种基本资源。
    人员包括系统用户和系统专业人员。系统用户是信息系统的使用者,他们是利用信息系统或通过它产生信息的人;系统专业人员包括系统分析人员、程序编写人员与系统操作人员。系统分析人员根据用户的信息需求设计对应的信息系统;程序编写人员根据分析人员的说明书准备计算机程序;系统操作人员主要负责对信息系统的操作。
    硬件资源包括计算机系统和载体。计算机系统包括中央处理器及其相关的外部设备,如图像监控、磁盘驱动器、打印机和扫描仪等;载体包括数据资源的存储介质材料,如硬盘、磁带和光盘等。
    软件资源包括所有信息处理调用的指令,包括指示和控制计算机硬件的操作性指令(程序)和信息处理中使用的过程指令。程序包括操作系统程序、电子表格程序、文字处理程序等。过程包括数据输入流程、错误改正流程、数据传送流程等。
    数据资源包括:由数字、字母以及其他字符组成,描述组织活动和其他事情的字母数字型数据;句子与段落组成的文本数据;图形和图表形式的图像数据;记录人与其他声音的音频数据。
    满足不同需求的、具有各种功能的信息系统构成了信息化社会的基础,它提高了社会各个行业和部门的生产和管理效率,方便了人类的日常生活,推动了社会的发展前进。
    2.?信息系统安全保障
    信息系统处于不断变化的过程,在任何一个时间点上,系统安全状态与其过去的历史密切相关,过去决定现在。因此,信息系统安全保障是与信息系统的规划、设计、实现和运行等生命周期密切相关的。这些活动包括覆盖系统全生命周期的管理活动,系统从无到有的工程活动,系统从概念到设计的架构活动等。
    image

    图1-6说明信息系统安全保障中相关概念之间的关系。
    (1)风险
    信息安全风险产生的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境中存在具有特定威胁动机的威胁源,通过使用各种攻击方法,利用信息系统的各种脆弱性,对信息系统造成一定的不良影响,由此引发信息安全问题和事件。
    (2)保障
    信息安全保障就是针对信息系统在运行环境中所面临的各种风险,制定信息安全保障策略,在策略指导下,设计并实现信息安全保障架构或模型,采取技术、管理等安全保障措施,将风险控制到可接受的范围和程度,从而实现其业务使命。
    (3)使命
    描述了信息系统在设计、执行、测试、运行、维护、废弃整个生命周期中运行的需求和目标。信息系统的使命与其安全保障密不可分,需要通过信息系统安全措施来保障目标的正确执行。随着信息系统面临的威胁及运行环境的变化,安全保障也需要提供相应的保障措施,从而保障信息系统的正确运行。
    风险管理是信息安全保障工作的基本方法。信息安全保障应当以风险管理为基础,针对可能存在的各种威胁和自身弱点,采取有针对性的防范措施。信息安全不是追求绝对的安全,追求的是可管控的安全风险。最适宜的信息安全策略就是最优的风险管理对策,这是一个在有限资源前提下的最优选择问题。信息系统防范措施不足会造成直接损失,会影响业务系统的正常运行,也会造成不良影响和损失。也就是说,信息安全保障的问题就是安全的效用问题,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。

    1.3.2 信息系统安全保障模型

    在国家标准《信息系统安全保障评估框架第一部分:简介和一般模型》(GB/T 20274.1—2006)中描述了信息系统安全保障模型,该模型包含保障要素、生命周期和安全特征3个方面,如图1-7所示。
    其中,安全特征是指信息系统是信息产生、传输、存储和处理的载体,信息系统保障的基本目标就是保证其所创建、传输、存储和处理信息的保密性、完整性和可用性;生命周期是指信息系统安全保障应贯穿信息系统的整个生命周期,包括规划组织、开发采购、实施交付、运行维护和废弃5个阶段,以获得信息系统安全保障能力的持续性;保障要素是指信息系统安全保障需要从技术、工程、管理和人员4个领域进行综合保障,由合格的信息安全专业人员,使用合格的信息安全技术和产品,通过规范、可持续性改进的工程过程能力和管理能力进行建设及运行维护,保障信息系统安全。
    image

    由图1-7可以看出,该信息系统安全保障模型将风险和策略作为信息系统安全保障的基础和核心。首先,强调信息系统安全保障持续发展的动态安全模型,即信息系统安全保障应该贯穿于整个信息系统生命周期的全过程;其次,强调综合保障的观念,信息系统的安全保障是通过综合技术、管理、工程与人员的安全保障来实施和实现信息系统的安全保障目标,通过对信息系统的技术、管理、工程和人员的评估,提供对信息系统安全保障的信心;第三,以风险和策略为基础,在整个信息系统的生命周期中实施技术、管理、工程和人员保障要素,从而使信息系统安全保障实现信息安全的安全特征,达到保障组织机构执行其使命的根本目的。
    在这个模型中,更强调信息系统所处的运行环境、信息系统的生命周期和信息系统安全保障的概念。信息系统生命周期有各种各样的模型,信息系统安全保障模型中的信息系统生命周期模型是基于这些模型的一个简单、抽象的概念性说明模型,它的主要用途在于对信息系统生命周期模型及保障方法进行说明。在信息系统安全保障具体操作时,可根据实际环境和要求进行改动和细化。强调信息系统生命周期,是因为信息安全保障是要达到覆盖整个生命周期的、动态持续性的长效安全,而不是仅在某时间点下保证安全性。
    1.?信息系统安全保障安全特征
    信息安全保障的安全特征就是保护信息系统所创建、传输、存储和处理信息的保密性、完整性和可用性等安全特征不被破坏。但信息安全保障的目标不仅仅是保护信息和信息处理设施等资产的安全,更重要的是通过保障资产的安全来保障信息系统的安全,进而来保障信息系统所支撑业务的安全,从而达到实现组织机构使命的目的。
    2.?信息系统安全保障生命周期
    在信息系统安全保障模型中,信息系统的生命周期和保障要素不是相互孤立的,它们相互关联、密不可分,图1-8为信息系统安全保障生命周期的安全保障要素。
    信息系统的整个生命周期可以抽象成计划组织、开发采购、实施交付、运行维护和废弃五个阶段,在运行维护阶段变更,以产生反馈,形成信息系统生命周期完整的闭环结构。在信息系统生命周期中的任何时间点上,都需要综合信息系统安全保障的技术、管理、工程和人员保障要素。下面分别对这五个阶段进行简要介绍。
    image

    (1)计划组织阶段
    单位的使命和业务要求产生了信息系统安全保障建设和使用的需求。在此阶段,信息系统的风险及策略应加入至信息系统建设和使用的决策中,从信息系统建设开始就应该综合考虑系统的安全保障要求,使信息系统的建设和信息系统安全建设同步规划、同步实施。
    (2)开发采购阶段
    开发采购阶段是计划组织阶段的细化、深入和具体体现。在此阶段,应进行系统需求分析、考虑系统运行要求、设计系统体系以及相关的预算申请和项目准备等管理活动,克服传统的、基于具体技术或产品的片面性,基于系统需求、风险和策略,将信息系统安全保障作为一个整体进行系统的设计和建设,建立信息系统安全保障整体规划和全局视野。组织可以根据具体要求,评估系统整体的技术、管理安全保障规划或设计,保证对信息系统的整体规划满足组织机构的建设要求和国家、行业或组织机构的其他要求。
    (3)实施交付阶段
    在实施交付阶段,单位可以对承建方的安全服务资格和信息安全专业人员资格有所要求,确保施工组织的服务能力,还可以通过信息系统安全保障的工程保障对施工过程进行监理和评估,确保最终交付系统的安全性。
    (4)运行维护阶段
    信息系统进入运行维护阶段后,需要对信息系统的管理、运行维护和使用人员的能力等方面进行综合保障,这是信息系统得以安全、正常运行的根本保证。此外,信息系统投入运行后并不是一成不变的,它随着业务和需求的变更、外界环境的变更产生新的要求或增强原有的要求,重新进入信息系统的计划组织阶段。
    (5)废弃阶段
    当信息系统的保障不能满足现有要求时,信息系统进入废弃阶段。
    通过在信息系统生命周期的所有阶段融入信息系统安全保障概念,确保信息系统的持续动态安全保障。
    3.?信息系统安全保障要素
    在空间维度上,信息系统安全需要从技术、工程、管理和人员4个领域进行综合保障。在安全技术方面,不仅要考虑具体的产品和技术,更要考虑信息系统的安全技术体系架构;在安全管理方面,不仅要考虑基本安全管理实践,更要结合组织特点建立相应的安全管理体系,形成长效和持续改进的安全管理机制;在安全工程方面,不仅要考虑信息系统建设的最终结果,更要结合系统工程的方法,注重工程过程各个阶段的规范化实施;在人员安全方面,要考虑与信息系统相关的所有人员(包括规划者、设计者、管理者、运行维护者、评估者、使用者等)所应具备的信息安全专业知识和能力。
    (1)信息安全技术
    常用信息安全技术主要包括以下类型。
    1)密码技术:密码技术及应用涵盖了数据处理过程的各个环节,如数据加密、密码分析、数字签名、身份识别和秘密分享等。通过以密码学为核心的信息安全理论与技术来保证达到数据的机密性和完整性等要求。
    2)访问控制技术:访问控制技术是在为用户提供系统资源最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用。访问控制对经过身份鉴别后的合法用户提供所需要的且经过授权的服务,拒绝用户越权的服务请求,保证用户在系统安全策略下有序工作。
    3)网络安全技术:网络安全技术包括网络协议安全、防火墙、入侵检测系统/入侵防御系统(Intrusion Prevention System,IPS)、安全管理中心(Security Operations Cente,SOC)、统一威胁管理(Unified Threat Management,UTM)等。这些技术主要是保护网络的安全,阻止网络入侵攻击行为。防火墙是一个位于可信网络和不可信网络之间的边界防护系统。防病毒网关对基于超文本传输协议(Hypertext Transfer Protocol,HTTP)、文件传输协议(File Transfer Protocol,FTP)、简单邮件传送协议(Simple Mail Transfer Protocol,SMTP)、邮局协议版本3(Post Office Protocol 3,POP3)、安全超文本传输协议(Hypertext Transfer Protocol over Secure Socket Layer,HTTPS)等入侵网络内部的病毒进行过滤。入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报的网络安全设备。入侵防御系统是监视网络传输行为的安全技术,它能够即时的中断、调整或隔离一些异常或者具有伤害性的网络传输行为。
    4)操作系统与数据库安全技术:操作系统安全技术主要包括身份鉴别、访问控制、文件系统安全、安全审计等方面。数据库安全技术包括数据库的安全特性和安全功能,数据库完整性要求和备份恢复,以及数据库安全防护、安全监控和安全审计等。
    5)安全漏洞与恶意代码防护技术:安全漏洞与恶意代码防护技术包括减少不同成因和类别的安全漏洞,发现和修复这些漏洞的方法;针对不同恶意代码加载、隐藏和自我保护技术的恶意代码的检测及清除方法等。
    6)软件安全开发技术:软件安全开发技术包括软件安全开发各关键阶段应采取的方法和措施,减少和降低软件脆弱性以应对外部威胁,确保软件安全。
    (2)信息安全管理
    信息安全管理主要包含以下内容。
    1)信息安全管理体系。信息安全管理体系是整体管理体系的一部分,也是组织在整体或特定范围内建立信息安全方针和目标,并完成这些目标所用方法的体系。基于对业务风险的认识,信息安全管理体系包括建立、实施、运作、监视、评审、保持和改进信息安全等一系列管理活动,它是组织结构、方针策略、计划活动、目标与原则、人员与责任、过程与方法、资源等诸多要素的集合。
    2)信息安全风险管理。信息安全管理就是依据安全标准和安全需求,对信息、信息载体和信息环境进行安全管理以达到安全目标。风险管理贯穿于整个信息系统生命周期,包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。其中,背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤,监控审查和沟通咨询则贯穿于这4个基本步骤的始终。
    3)信息安全控制措施。信息安全控制措施是管理信息安全风险的具体手段和方法。将风险控制在可接受的范围内,这依赖于组织部署的各种安全措施。合理的控制措施集应综合技术、管理、物理、法律、行政等各种方法,威慑安全违规人员甚至犯罪人员,预防、检测安全事件的发生,并将遭受破坏的系统恢复到正常状态。确定、部署并维护这种综合全方位的控制措施是组织实施信息安全管理的重要组成部分。通常,组织需要从安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理和符合性11个方面,综合考虑部署合理的控制措施。
    4)应急响应与灾难恢复。部署信息安全控制措施的目的之一是防止发生信息安全事件,但由于信息系统内部固有的脆弱性和外在的各种威胁,很难彻底杜绝信息安全事件的发生。所以,应及时有效地响应与处理信息安全事件,尽可能降低事件损失,避免事件升级,确保在组织能够承受的时间范围内恢复信息系统和业务的运营。应急响应工作管理过程包括准备、检测、遏制、根除、恢复和跟踪总结6个阶段。信息系统灾难恢复管理过程包括灾难恢复需求分析、灾难恢复策略制定、灾难恢复策略实现及灾难恢复预案制定与管理4个步骤。应急响应与灾难恢复关系到一个组织的生存与发展。
    5)信息安全等级保护。信息安全等级保护是我国信息安全管理的一项基本制度。它将信息系统按其重要程度以及受到破坏后对相应客体(即公民、法人和其他组织的)合法权益、社会秩序、公共利益和国家安全侵害的严重程度,将信息系统由低到高分为5级。每一保护级别的信息系统需要满足本级的基本安全要求,落实相关安全措施,以获得相应级别的安全保护能力,对抗各类安全威胁。信息安全等级保护的实施包括系统定级、安全建设整改、自查、等级测评、系统备案、监督检查6个过程。
    (3)信息安全工程
    规范的信息安全工程过程包括发掘信息保护需要、定义信息系统安全要求、设计系统安全体系结构、开发详细安全设计和实现系统安全5个阶段及相应活动,同时还包括对每个阶段过程信息保护有效性的评估。
    信息系统安全工程(Information System Security Engineering,ISSE)是一种信息安全工程方法,它从信息系统工程生命周期的全过程来考虑安全性,以确保最终交付的工程的安全性。
    系统安全工程能力成熟度模型(Systems Security Engineering Capability Maturity Model,SSE-CMM)描述了一个组织的系统安全工程过程必须包含的基本特征,这些特征是完善的安全工程保证,也是系统安全工程实施的度量标准,同时还是一个易于理解的评估系统安全工程实施的框架。应用SSE-CMM可以度量和改进工程组织的信息安全工程能力。
    信息安全工程监理,是信息安全工程实施过程中一种常见的保障机制。
    (4)信息安全人员
    在信息安全保障诸要素中,人是最关键也是最活跃的要素。网络攻防对抗,最终较量的是攻防双方人员的能力。组织机构应通过以下几方面的努力,建立一个完整的信息安全人才体系。
    对所有员工,进行信息安全保障意识教育,诸如采取内部培训、在组织机构网站上发布相关信息等方式,增强所有员工的安全意识;对信息系统应用岗位的员工,进行信息安全保障基本技能培训;对信息安全专业人员,应通过对信息安全保障、管理、技术、工程,以及信息安全法规、政策与标准等知识的学习,全面掌握信息安全的基本理论、技术和方法,丰富的信息安全经验需要通过该岗位的长期工作积累获得;信息安全研发人员,除了需要具备信息安全基本技能外,还应培训其安全研发相关知识,包括软件安全需求分析、安全设计原则、安全编码、安全测试等内容;信息安全审计人员,则需要通过培训使其掌握信息安全审计方法、信息安全审计的规划与组织、信息安全审计实务等内容。
    思考题
    1.?在各个信息安全发展阶段,组织面临的主要威胁与采取的主要防护措施有什么不同?信息安全的发展趋势是怎样的?
    2.?信息安全问题产生的根本原因有哪些?这些原因之间的关系如何?
    3.?信息安全保障要素有哪些?这些保障要素与信息系统生命周期之间的关系如何?
    4.?利用P2DR模型进行信息安全保障的思想和原理是什么?
    5.?如何理解信息安全保障技术框架的深度防御战略?

    展开全文
  • 什么是涉密信息系统

    千次阅读 2019-12-11 13:09:56
    什么是涉密信息系统? 涉密信息系统,是由...通常情况下涉密信息系统有着一定安全保密需要和要求的计算机系统,按照国家强制性标准和规定,达到一定安全等级的计算机系统被称之为涉密信息系统。 简而言之,...

    什么是涉密信息系统?
    涉密信息系统,是指由计算机及其相关和配套设备、设施构成的,按照一定的应用目标和规则存储、处理、传输国家秘密信息的系统或者网络。
    涉密信息系统主要指用于处理涉密信息的计算机设备或者用于实现内部办公自动化的涉密信息交换网络体系。通常情况下涉密信息系统是指有着一定安全保密需要和要求的计算机系统,按照国家强制性标准和规定,达到一定安全等级的计算机系统被称之为涉密信息系统。
    简而言之,一个计算机信息系统是否具备涉密属性,能够称之为涉密信息系统,主要是看这个计算机系统里面的信息是不是涉及到国家秘密,涉密信息的数量多与少不论,只要存储或者处理、传输了涉密信息,那么这个信息系统就应确定为涉密信息系统。从这个概念出发,可以看出并不是所有涉密信息系统都是较高安全等级的计算机信息系统,也不是所有安全等级的计算机信息系统都是涉密信息系统。随着商业竞争的越发激烈,目前,一些企业为保障其商业信息安全,采取了非常多的安全保密措施,引进了信息安全保密技术和设备,这些企业信息安全管理的等级非常高,但这些企业内部的信息系统,并不是涉密信息系统。通常的涉密信息系统都是党政机关内部使用的计算机系统,只要计算机系统当中运行或者存储、处理、传输了国家秘密信息,那么这个系统就是涉密信息系统,不论其信息等级高低,只要涉密,都应被称之为涉密信息系统,进而能够实现更为规范的管理,实现安全可控。
    在这里插入图片描述

    涉密信息系统与公共信息系统的区别,主要体现在四个方面:
    一是信息内容不同。涉密信息系统存储、处理和传输的信息涉及国家秘密和其他敏感信息,应严格控制知悉范围;公共信息系统存储、处理和传输的信息不能涉及国家秘密。
    二是设施、设备标准不同。涉密信息系统的安全保密设施、设备,必须符合国家保密标准;公共信息系统的安全保密设施、设备也应符合一定技术标准要求,但并不要求执行国家保密标准。
    三是检测审批要求不同。涉密信息系统必须满足安全保密要求,符合国家保密标准,投入使用前必须经安全保密检测评估和审查批准;公共信息系统投入使用前也需要进行相关检测,但检测的目的和要求不同。
    四是使用权限不同。涉密信息系统要严格控制使用权限;公共信息系统则是开放性的,只要具备一定访问条件就可以使用。

    展开全文
  • 一、安全扫描技术1.1 安全扫描技术概念1、安全扫描技术手工或使用特定的软件工具(安全扫描器),对系统脆弱性进行评估,寻找可能对系统造成损害的安全漏洞。2、安全扫描技术分为系统扫描和网络扫描两大类。 (1)...
  • 【信息系统项目管理师】第二十二章 信息系统安全管理(考点汇总篇) 考点分析与预测 信息安全为高级科目独有的章节,在第三版教材中有66页的内容。需要掌握的知识点非常多,且知识点非常散,在考试中上午一般考察4...
  • 信息系统安全风险识别与评估

    千次阅读 2017-02-15 20:44:18
    信息或资产产生威胁;2.威胁的发生对资产产生影响;3.威胁具有发生的概率。 从风险来源划分,可分为自然事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、应用风险、用户使用风险等。 自然事件风险...
  • 信息系统安全管理架构

    千次阅读 2002-04-19 08:56:00
    建立我院信息安全管理体系构架 随着我院生产技术平台完全建立在网络之上和信息化建设的逐步升级,从整体上说已经开始将自己的日常业务完全转移到电子平台上,由此导致的“网络依赖性”已经使得我院的企业级网络信息...
  • 1)根据经验,选择安装包时应该按最小化原则,即不需要的或者不确定是否需要的就不安装,这样可以最大程度上确保系统安全。 2)如果安装过程落了部分包组或者其他伙伴安装时没选,再安装后可以按如下方式补上安装时...
  • 信息安全基础知识

    万次阅读 2019-06-08 17:00:00
    网络信息安全基础知识 1 计算机网络 计算机网络是利用通信线路将不同地理位置、功能不相同的 计算机和通信设备连接起来,实现资源的共享和信息的...信息安全保护信息系统中的计算机硬件、软件和数据不因偶然或恶...
  • 结构化综合布线系统中的干线子系统(33)。 (33)A.管理楼层内各种设备的子系统 B.连接各个建筑物的子系统 C.工作区信息插座之间的线缆子系统 D.实现楼层设备间连接的子系统 【答案】D 【解析】 结构化布线...
  • 操作系统安全机制

    千次阅读 2018-09-16 23:38:37
    版权声明:本文为博主原创文章,未经博主允许不得转载。...操作系统安全性表现 物理上分离:要求进程使用不同的物理实体 时间上分离:具有不同安全要求进程在不同时间运行 逻辑上分离:要求进程...
  • Android群英传笔记——第九章:Android系统信息安全机制 本书也正式的进入尾声了,在android的世界了,不同的软件,硬件信息就像一个国家的经济水平,军事水平,不同的配置参数,代表着一个android帝国的强弱,...
  • 信息安全体系结构

    千次阅读 2020-03-16 16:04:33
    全功能定义、设计、实施和验证的基础,该体系结构应该在反映整个信息系统安全策略的基 础上,描述该系统安全组件及其相关组件相互间的逻辑关系和功能分配。这种描述的合理性 和准确性将直接关系信息系统安全策略的实现...
  • 1.信息安全简介 勒索病毒----2013年9月CryptoLocker “永恒之蓝”:主要是利用Windows系统的共享漏洞:445端口等。 “永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受 害机器的磁盘文件会被篡改为相应...
  • 这是《银行信息化丛书》读书笔记2。做企业架构意义很大,架构的治理更重要,因为要让架构发挥作用。企业架构开发、治理内容很多,框架理论体系就要很长的学习周期和实际经验。本篇是作者的实践总结,比较精简的讲解...
  • 信息安全事件分类分级解读

    万次阅读 2018-03-08 13:39:52
    信息安全事件是由于人为原因、软硬件缺陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络安全事件。 1、信息安全事件分类 依据《中华人民共和国网络安全法》 、《GBT ...
  • 管理信息系统复习总结(保姆级)

    万次阅读 多人点赞 2021-01-01 14:19:37
    第一章 当今全球商业中的信息系统 管理信息系统的新变化:①技术(云计算、大数据与物联网、移动数字化平台) ②管理(在线合作与社会化网络软件、商务智能、虚拟会议)③组织(社会化商务、远程办公、商业价值的共创...
  • 信息安全技术

    千次阅读 2010-03-07 09:48:00
    信息安全指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码...
  • 银行信息系统架构

    千次阅读 2018-09-21 11:33:07
    本章博客主要分三个模块面试传统银行的信息系统架构,分别由:应用架构、数据架构、技术架构三方面构成。 1.应用架构 应用架构可以分为银行核心系统和银行非核心系统组成;其中核心系统分为:客户信息、存贷款、...
  • 全新的认识到“互联网”能为工业控制系统带来巨大创造力和生产力的同时,也将引入更加复杂、严峻的安全问题。打破传统隔离、防、堵的思想和方法,建立以安全能力提升、信息共享、建立安全监测网络,以及应急处理和...
  • 提高系统安全性方法详解

    万次阅读 2017-06-30 15:05:46
    规定的条件是直接与软件运行相关的使用该软件的计算机系统的状态和软件的输入条件,或统称为软件运行时的外部输入条件;规定的时间区间是软件的实际运行时间区间;规定功能是为提供给定的服务,软件产品所必须...
  • J3061《信息物理融合系统网络安全指南》 文章转载自“解读: J3061车辆系统功能安全信息安全概述” 车辆系统功能安全信息安全 SAE出台的J3061《信息物理融合系统网络安全指南》,旨在通过统一全球标准,来...
  • 信息系统项目管理--上午分析笔记

    万次阅读 2019-10-29 10:22:29
    信息系统项目管理–上午分析 软件度量:项目度量、产品度量、过程度量 RBAC基于角色的访问控制,用户只能被动接受,不能自主决定,也不能自主的将访问权限授予其他用户。 运维管理平台使运维自动化、操作化,但并不...
  • 软件系统产品信息安全功能点要求

    千次阅读 2018-10-15 09:35:06
    必须的安全要求: 账户管理方式 账户的产生、修改、变更、删除以及身份认证应采用统一的身份认证平台来实现。 认证失败后的处理方式设计,防止黑客暴力猜测。 连续失败登录后锁定账户。账户锁定后可以由系统管理员...
  • 设备管理信息系统

    万次阅读 多人点赞 2016-04-08 19:26:29
    设备管理系统(Equipment Management System)是将信息化了设备技术信息与现代化管理相结合,是实现研究级管理信息化的先导。设备管理软件是设备管理模式与计算机技术结合的产物,设备管理的对象是研究所中各种各样...
  • 引用监控器 安全内核及其设计原则 可信计算基 系统边界和安全周界 可信软件与不可信软件 主体、客体和访问控制矩阵 安全策略与安全建模 安全功能和安全保证 安全体系结构
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全信息安全服务至少...
  • 2009年上半年 信息系统项目管理师 上午试卷 (考试时间 9 : 00~11 : 30 共 150 分钟) 1. 在答题卡的指定位置上正确写入你的姓名和准考证号,并用正规 2B 铅笔在你写入的准考证号下填涂准考证号。 2. 本试卷的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 438,238
精华内容 175,295
关键字:

信息系统安全是指