信息安全是指通過採用計算機軟硬件技術、網絡技術、密鑰技術等安全技術和各種組織管理措施,來保護信息在其神祕週期內的產生、傳輸、交換、處理和存儲的各個環節中,信息的機密性、完整性和可用性不被破壞
網絡安全黃金三角
- 機密性
加密技術- 完整性
防篡改- 可用性
授權技術
信息保障階段
進入面向業務的安全保障階段、從多角度來考慮信息的安全問題
- 從業務入手
不同業務流量有不同的·風險點和防禦方式- 從安全體系入手
通過更多的技術手段把安全管理與技術聯繫起來,主動地防禦攻擊而不是被動保護- 從管理入手
培養安全管理人才建立安全管理制度
信息系統複雜性
在信息系統的設計和工作工程中可能會因爲自身漏洞和缺陷導致被攻擊,主要包括以下三類問題:
- 過程複雜
從設計的角度看,在設計時考慮的優先級中安全性相對於易用性、執行程度等因素被放在次要的位置,由於人性的缺點和設計方法學的不完善,信息系統總會存在漏洞- 結構複雜
信息系統可能會多種終端和數據服務,在一個網絡中可能存在多種終端,如員工終端,遠程用戶,移動終端,路由設備,服務器等等,同時在一個網絡也可能存在多種類型的數據,如業務數據,管理數據,語音數據等等,在管理網絡安全的時候必須要考慮所有終端和數據類型- 應用複雜
在設計網絡拓撲時優先考慮網絡冗餘和網絡穩定性,可能會加入冗餘鏈路和備份設備,網絡的應用複雜也使得安全問題無法快速定位和解決
信息安全管理的重要性
據統計,企業信息收到損失的70%是由於內部員工的疏忽或有意泄漏造成的
安全技術知識信息安全控制的手段,要讓安全技術發揮應有的作用,必須要有適當的管理程序的支持
構建信息安全管理體系的具體內容
等級保護系統定級
主要依據:根據系統被破壞後,對公民、社會、國家造成的損害程度定級
等級保護中的基本技術要求
每一個保護級別,都有其對應的技術要求,以最常見的等保三級標準爲例,他一共包含5個方面:
