一、信息系统安全体系内容有哪些
(1)设备安全
设备安全主要包括三个方面:
设备的稳定性为:设备在一定时间内不会发生故障的概率。
设备可靠性为:设备在一定时间内正常完成任务的概率。
设备可用性:设备在任何时候都能正常使用的概率。
任何信息设备的损坏都会危及信息系统的安全。例如,人为破坏、火灾、洪水、雷电等可能导致信息系统设备的损坏。在信息安全行业中,“信息系统设备的稳定可靠工作是第一安全”,用通俗易懂的语言,深刻地说明了信息系统设备安全的基本作用。
(2)数据安全
采取措施确保数据不受未经授权的披露、更改和破坏。
未经授权的属性不知道数据的机密性。
数据完整性包括数据正确、真实、不变、完整。
数据可用性即数据通常可以在任何时候使用属性。
信息系统的设备安全还远远不够。由于危害数据安全的行为在许多情况下没有留下明显的痕迹,因此当数据安全受到威胁时,用户可能无法发现它。因此,保障数据安全也是非常有必要的。
(3)内容安全
内容安全主要包括以下几点:
信息的内容在政治上是健康的;
信息内容符合国家法律法规;
信息内容符合中华民族的优良道德。
数据是用来表达某种意义的,所以不足以保证数据不泄漏和不变。它还确保数据的内容是健康、合法和合乎道德的。如果数据中充满了非法、不健康和负面的内容,即使是机密的,不被篡改,也不能说是安全的。因为它会危及国家安全、社会稳定和精神文明。因此,在保证信息系统设备和数据安全的基础上,必须进一步保障信息内容的安全。
(4)行为安全
行为安全是一种动态安全。
行为过程和结果不影响数据的保密性;必要时,行动过程和结果也应保密。
程序和程序这些行为不应损害数据的完整性。
行为可控性即当行为过程偏离预期时,可以发现、控制或纠正。
二、信息安全体系的建设目标是什么
一、目标:信息安全通常强调所谓CIA三元组的目标,即保密性、完整性和可用性。CIA概念的阐述源自信息技术安全评估标准(InformationTechnologySecurityEvaluationCriteria,ITSEC),它也是信息安全的基本要素和安全建设所应遵循的基本原则。
1、保密性(Confidentiality):确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。
2、完整性(Integrity):确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。
3、可用性(Availability):确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
二、原则:
1、最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(needtoknow)和用所必须(need协峨)的原则。
2、分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。
3、安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。
关于信息安全的基本信息:
1、信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
2、信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。本专业培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。
三、信息安全的四个维度
信息安全是一个涵盖众多方面的概念,其中包括四个维度。首先,信息安全的维度之一是机密性,即确保信息只能被授权访问的人或系统所访问。
其次,信息安全的维度之二是完整性,即确保信息在传输和存储过程中不被篡改或损坏。
第三个维度是可用性,即确保授权用户能够及时访问信息。最后,信息安全的维度之四是可靠性,即确保信息在执行任务时是准确和可靠的。通过保护信息的机密性、完整性和可用性,以及确保信息的可靠性,可以确保信息安全的实现。
四、iso27002信息安全体系
1995年,国际组织ISO(国际标准化组织)和IEC(国际电工委员会)提出了一组标准,这些标准合并了与信息安全范围相关的准则,以27000系列为代表。该组包括ISO/IEC27002(以前的17799:2005标准),该国际标准列出了最佳实践代码以支持组织中信息安全管理系统(ISMS)的实施。
通过提供完整的实施指南,它描述了如何建立控件。反过来,应根据对公司最重要资产的风险评估来选择这些控制措施。与许多管理者的看法相反,ISO27002可用于支持任何类型的小型或大型,公共或私人,营利性或非营利性组织中的ISMS实施;不仅在科技公司。
五、信息安全的内容包括三大部分
信息安全主要保证在网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制,直至安全系统,说通俗就是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行。
(1)物理安全
物理安全又称作实体安全,是保护计算机设备、设施(网络及通信线路)等免遭地震、水灾,或在有害气体和其他环境事故中受破坏的措施和过程。
(2)网络安全
网络安全指网络上信息的安全,也就是网络中传输和保存的数据,不受偶然或恶意的破坏、更改和泄露,网络系统能够正常运行,网络服务不中断。(保障网络安全使用的典型技术包括密码技术、防火墙、入侵检测技术、访问控制技术、虚拟专用网技术、认证技术等。)
(3)系统安全
??系统安全主要指的是计算机系统的安全,而计算机系统的安全主要来自于软件系统,包括操作系统的安全和数据库的安全。
(4)应用安全
??应用安全是指应用程序在使用过程中和结果的安全,它是定位于应用层的安全。应用安全包括Web安全技术、电子邮件安全等。
六、我国信息安全标准体系包括哪些内容
我国信息安全测评认证体系,由三个层次的组织和功能构成。
一个认证管理委员会,一个认证中心,若干个不同类型的测试分支机构。第一层是国家信息安全测评认证管理委员会。这个管理委员会是一个跨部门的机构,代表品的供方、需方,对中国国家信息安全测评认证中心运作的独立性、测评认证活动的公正性、科学性和规范性进行监督管理。第二层是国家信息安全测试认证中心。中心是由国家授权,依据有关标准和认证规范,根据特点产品和信息系统的测试及评估结果,对相应的产品、信息系统的安全性做出认证,并颁发证书的实体。第三次是测试分支机构。由中心授权,国家认可,依据标准和测评规范对不同类型的产品或信息系。统的安全性进行测试评估,向中心出具测评报告的技术组织。