返回
信息安全相关理论技术.doc

信息安全相关理论技术.doc

ID:53435196

大小:516.00 KB

页数:11页

时间:2020-04-03

信息安全相关理论技术.doc_第1页
信息安全相关理论技术.doc_第2页
信息安全相关理论技术.doc_第3页
信息安全相关理论技术.doc_第4页
信息安全相关理论技术.doc_第5页
资源描述:

《信息安全相关理论技术.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全架构计算机和网络安全法则  安全组织框架 如何建立企业信息系统的安全架构(1)  信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。综合起来说,就是要保障电子信息的有效性。保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。可用性就是保证信息及信息系统确实为授权使用者所用。 作为一个企业我们通常通过这样的标准来划分信息的保密性,完整性,可用性。 可用性---------------主要通过信息的使用率来划分: 1非常低合法

2、使用者对信息系统及资源的存取可用度在正常上班时达到25% 2低合法使用者对信息资源的存取可用度在正常上班时达到50% 3中等合法使用者对信息系统及资源的存取可用度在正常上班时达到100% 4高合法使用者对信息系统及资源的存取可用度达到每天95%以上。 5非常高合法使用者对信息系统及资源的存取可用度达到每天99.9%以上。 完整性----------------通过信息应为修改对公司造成的损失的严重性来划分: 1非常低未经授权的破坏和修改不会对信息系统造成重大影响或对业务冲击可忽略 2低未经授权的破坏和修改不会对信息系统造成重大影响或对业务冲击可轻微 3中等未经授权的破

3、坏和修改已对信息系统造成影响或对业务有明显冲击 4高未经授权的破坏和修改对信息系统造成重大影响或对业务冲击严重 5非常高未经授权的破坏和修改对信息系统造成重大影响且导致严重的业务中断 机密性---------------通过信息使用的权限来划分: 1公开信息非敏感信息,公开的信息处理设施和系统资源 2内部使用非敏感但仅限公司内部使用的信息(非公开) 3限制使用受控的信息,需有业务需求方得以授权使用 4机密敏感信息,信息处理设施和系统资源只给比知者 5极机密敏感信息,信息处理设施和系统资源仅适用于少数比知者 为什么要保证企业的安全?企业安全的核心就是保护企业财产。企业的

4、目标是什么?创造经济价值,而作为安全系统就是为了帮助企业创造经济价值。安全追根究底的是一种投资,作为一种投资从安全系统的引入,员工的培训到最后安全系统的应用都是一种投资,作为投资的目的,就是为了回报。保护公司的核心机密,使其不会外露这就是回报。只有保护了资产,才能说这个安全系统有作用。而判断安全系统是否起到了作用,则需要从保密性,可用性和完整性来做出判断。 作为信息安全服务它需要以下人员来负责它的安全运行 企业管理人员 作为一个企业的决策者,负责企业的整体运行。他所关心的是信息安全所带来的效益,由于要对整个企业负责,所以我们需要他了解:重新获取或开发资产的费用、维护和

5、保护资产的费用、资产对于所有者和用户的价值、资产对于对手的价值、知识产权的价值、其他人愿意为这些资产所付的价钱、丢失后更换资产所需的费用.、资产受损后的债务问题、资产受损后可能面临的法律责任,资产的价值有助于选择具体的对策、商业保险需要了解每项资产的价值、每项资产的价值可以帮助确定什么是真正的风险 安全管理人员 他所负责的是整个系统的网络运行,硬件支持,以及机房的安全措施。他所服务的对象是企业的上层机构,他们的职责他就是维护好整个安全系统的正常运行。制定好安全系统的运行的规划,使其能在运行中实现。 工程师他所关心的是整个系统的技术部分,保证系统在运行过程中不会因为数据

6、丢失或是程序出现的错误而不能运行。  信息安全公式:信息安全=先进技术+防患意识+完美流程+严格的制度+优秀的执行团队+法律保障   如何建立企业信息系统的安全架构(2)  作为一次完整的信息安全评估咨询,需要考虑到以下诸多条件: 漏洞:它包含很多原因,如口令的安全,在一个大的企业中口令的泄漏是随时可能发生的,这对企业来说是很大的失误。在一个企业里,信息的安全要体现在任何地方,所以再各自运行的PC机上要设有独立的口令,这些口令不能过于简单,我曾经尝试破解一个8位数的口令,共花去了6个小时,所以口令不但不能过于简单,而且还需要经常更换。在优利公司,所有员工的口令不能是单

7、一的数字,必须含有英文字母。 暴露如果没有好的安全防护措施,那么就会使企业机密暴露,至于财产也没有什么保护可言。 威胁:一套系统在运行过程中存在很多威胁,其中最为常见的威胁是人为错误对安全系统所造成的损坏。人为错误一般是无意行为,但是这对系统的安全性来说是没有任何区别的。2是物理损坏,这主要指的是事故的发生,非人力直接造成的损坏,比如:洪水,地震,失火,电力中断以及盗窃等等一系列突发事件,这些对企业的设备,数据以及商业机密都会够会造成巨大的损失,这在对企业安全系统的评估过程中是要考虑到的。3由于设备的故障而引起的系统不能正常的运行。4受到攻击,这种攻

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。