信息系统可能面临的安全威胁
物理安全风险、
数据安全风险、
网络安全风险、
业务中断风险。
信息系统可能存在的安全问题
信息网络系统建设规划上的不完善、
技术与设计上的不完善、
网络互联方面的风险、
安全管理方面的问题。
信息安全的目的
是确保信息的机密性、完整性、可用性、可审计性和抗抵赖性,以及企业对信息资源的控制,确保企业经营和业务的不间断运行。
如何构建信息安全的技术体系?
物理安全;
系统平台安全;
网络安全;
应用安全。
如何构建企业信息安全的管理体系?
1)加强全过程安全管理;
2)建立动态的闭环管理流程。
风险评估的意义和作用
1)风险评估是信息系统安全的基础性工作,它是观察过程中的一个持续的工作;
2)风险评估是分级防护和突出重点的具体体现;
3)加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。
实际工作中经常使用的风险评估途径
基线评估、
详细评估、
组合评估。
通常安全策略应当具备的特征
机密性、
完整性、
可用性、
可确认性、
保障性、
可实施性。
完整性
数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
密码分为三种体制
单钥密码体制、
双钥密码体制、
混合密码体制。
网络安全访问控制技术
入网访问控制、
网络权限控制、
目录级安全控制、
属性安全控制、
服务器安全控制。
目前,业界所有安全测度方式大致可以归结为四类
安全审计、
风险分析、
能力成熟模型、
安全评测。
电子数据安全审计技术可以分为
了解系统技术、
验证处理技术(事务选择、测试数据、并行仿真)、
验证处理结果技术。
信息系统安全体制的设计原则
领导负责制原则、
综合防范原则、
动态管理原则、
适度投资原则、
以人为本原则、
最小特权原则。
安全管理包括
实物管理、
网络管理、
主机和系统管理、
应用与数据管理。
ISSE过程包括
发掘信息保护需求、
定义信息保护系统、
设计信息保护系统、
实施信息保护系统、
有效性评估。
目前在安全领域中,存在两大保障体系理念
一种是以欧洲为代表的信息安全管理系统(ISMS)的思想,其以风险管理为手段和目的;
另一种以美国的信息保障体系(IATF)为代表,以纵深防御体系设计作为安全理念的核心。
计算机系统安全保护能力的5个等级
用户自主保护级、
系统审计保护级、
安全标记保护级、
结构化保护级、
访问验证保护级。
安全协议
无线局域网的第一个安全协议——802.11 Wired Equivalent Privacy(WEP)。
IPSec(Internet Protocol Security)
是安全联网的长期方向,它通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。
WPA(Wi-Fi Protected Access)
有WPA和WPA2两个标准,是一种保护无线网络安全的系统,其提供了比WEP更为安全的无线局域网接入方案。