信息安全相关理论关键技术.docVIP

? 信息安全架构 计算机和网络安全法则 ? ? 安全组织框架 ? 怎样建立企业信息系统安全架构 (1) ? ? 信息安全包含到信息保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。综合起来说，就是要保障电子信息有效性。 保密性就是对抗对手被动攻击，确保信息不泄漏给未经授权人。 完整性就是对抗对手主动攻击，预防信息被未经授权篡改。 可用性就是确保信息及信息系统确实为授权使用者所用。 ? 作为一个企业我们通常经过这么标准来划分信息保密性，完整性，可用性。 ? 可用性---------------关键经过信息使用率来划分： ? 1 很低 正当使用者对信息系统及资源存取可用度在正常上班时达成25% ? 2 低 正当使用者对信息资源存取可用度在正常上班时达成50％ ? 3 中等 正当使用者对信息系统及资源存取可用度在正常上班时达成100% ? 4 高 正当使用者对信息系统及资源存取可用度达成天天95%以上。 ? 5 很高 正当使用者对信息系统及资源存取可用度达成天天99.9%以上。 ? 完整性----------------经过信息应为修改对企业造成损失严重性来划分： ? 1 很低 未经授权破坏和修改不会对信息系统造成重大影响或对业务冲击可忽略 ? 2 低 未经授权破坏和修改不会对信息系统造成重大影响或对业务冲击可轻微 ? 3 中等 未经授权破坏和修改已对信息系统造成影响或对业务有显著冲击 ? 4 高 未经授权破坏和修改对信息系统造成重大影响或对业务冲击严重 ? 5 很高 未经授权破坏和修改对信息系统造成重大影响且造成严重业务中止 ? 机密性---------------经过信息使用权限来划分： ? 1 公开信息 非敏感信息，公开信息处理设施和系统资源 ? 2 内部使用 非敏感但仅限企业内部使用信息（非公开） ? 3 限制使用 受控信息，需有业务需求方得以授权使用 ? 4 机密 敏感信息，信息处理设施和系统资源只给比知者 ? 5 极机密 敏感信息，信息处理设施和系统资源仅适适用于少数比知者 ? 为何要确保企业安全?企业安全关键就是保护企业财产。企业目标是什么？发明经济价值，而作为安全系统就是为了帮助企业发明经济价值。安全追根究底是一个投资，作为一个投资从安全系统引入，职员培训到最终安全系统应用全部是一个投资，作为投资目标，就是为了回报。保护企业关键机密，使其不会外露这就是回报。只有保护了资产，才能说这个安全系统有作用。而判定安全系统是否起到了作用，则需要从保密性，可用性和完整性来做出判定。 ? 作为信息安全服务它需要以下人员来负责它安全运行 ? 企业管理人员 ? 作为一个企业决议者，负责企业整体运行。她所关心是信息安全所带来效益，因为要对整个企业负责，所以我们需要她了解：重新获取或开发资产费用、维护和保护资产费用、资产对于全部者和用户价值、资产对于对手价值、知识产权价值、其它人愿意为这些资产所付价钱、丢失后更换资产所需费用.、资产受损后债务问题、资产受损后可能面临法律责任，资产价值有利于选择具体对策、商业保险需要了解每项资产价值、每项资产价值能够帮助确定什么是真正风险 ? 安全管理人员 ? 她所负责是整个系统网络运行，硬件支持，和机房安全方法。她所服务对象是企业上层机构，她们职责她就是维护好整个安全系统正常运行。制订好安全系统运行计划，使其能在运行中实现。 ? 工程师 她所关心是整个系统技术部分，确保系统在运行过程中不会因为数据丢失或是程序出现错误而不能运行。 ? ? 信息安全公式： 信息安全＝优异技术＋防患意识＋完美步骤＋严格制度＋优异实施团体＋法律保障 ? ? ? 怎样建立企业信息系统安全架构 (2) ? ? 作为一次完整信息安全评定咨询，需要考虑到以下很多条件： ? 漏洞：它包含很多原因，如口令安全，在一个大企业中口令泄漏是随时可能发生，这对企业来说是很大失误。在一个企业里，信息安全要表现在任何地方，所以再各自运行PC机上要设有独立口令，这些口令不能过于简单，我曾经尝试破解一个8位数口令，共花去了6个小时，所以口令不仅不能过于简单，而且还需要常常更换。在优利企业，全部职员口令不能是单一数字，必需含有英文字母。 ? 暴露 假如没有好安全防护方法，那么就会使企业机密暴露，至于财产也没有什么保护可言。 ? 威胁：一套系统在运行过程中存在很多威胁，其中最为常见威胁是人为错误对安全系统所造成损坏。人为错误通常是无意行为，不过这对系统安全性来说是没有任何区分。2是物理损坏，这关键指是事故发生，非人力直接造成损坏，比如：洪水，地震，失火，电力中止和偷窃等等一系列突发事件，这些对企业设备，数据和商业机密全部会够会造成巨大损失，这在对企业安全系统评定过程中是要考虑到。3 因为设备故障而引发