信息安全相关理论技术

《信息安全相关理论技术》由会员分享，可在线阅读，更多相关《信息安全相关理论技术（14页珍藏版）》请在装配图网上搜索。

1、信息安全架构计算机和网络安全法则安全组织框架如何建立公司信息系统的安全架构 (1)信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。综合起来说，就是要保障电子信息的有效性。 保密性就是对抗对手的被动袭击，保证信息不泄漏给未经授权的人。 完整性就是对抗对手积极袭击，防止信息被未经授权的篡改。 可用性就是保证信息及信息系统的确为授权使用者所用。作为一个公司我们通常通过这样的标准来划分信息的保密性，完整性，可用性。可用性-重要通过信息的使用率来划分： 1 非常低 合法使用者对信息系统及资源的存取可用度在正常上班时达成25%

2、2 低 合法使用者对信息资源的存取可用度在正常上班时达成503 中档 合法使用者对信息系统及资源的存取可用度在正常上班时达成100%4 高 合法使用者对信息系统及资源的存取可用度达成天天95%以上。5 非常高 合法使用者对信息系统及资源的存取可用度达成天天99.9%以上。完整性-通过信息应为修改对公司导致的损失的严重性来划分：1 非常低 未经授权的破坏和修改不会对信息系统导致重大影响或对业务冲击可忽略2 低 未经授权的破坏和修改不会对信息系统导致重大影响或对业务冲击可轻微3 中档 未经授权的破坏和修改已对信息系统导致影响或对业务有明显冲击4 高 未经授权的破坏和修改对信息系统导致重大影响或对业

3、务冲击严重5 非常高 未经授权的破坏和修改对信息系统导致重大影响且导致严重的业务中断机密性-通过信息使用的权限来划分：1 公开信息 非敏感信息，公开的信息解决设施和系统资源2 内部使用 非敏感但仅限公司内部使用的信息（非公开）3 限制使用 受控的信息，需有业务需求方得以授权使用4 机密 敏感信息，信息解决设施和系统资源只给比知者5 极机密 敏感信息，信息解决设施和系统资源仅合用于少数比知者为什么要保证公司的安全?公司安全的核心就是保护公司财产。公司的目的是什么？发明经济价值，而作为安全系统就是为了帮助公司发明经济价值。安全追根究底的是一种投资，作为一种投资从安全系统的引入，员工的培训到最后安全

4、系统的应用都是一种投资，作为投资的目的，就是为了回报。保护公司的核心机密，使其不会外露这就是回报。只有保护了资产，才干说这个安全系统有作用。而判断安全系统是否起到了作用，则需要从保密性，可用性和完整性来做出判断。作为信息安全服务它需要以下人员来负责它的安全运营公司管理人员作为一个公司的决策者，负责公司的整体运营。他所关心的是信息安全所带来的效益，由于要对整个公司负责，所以我们需要他了解：重新获取或开发资产的费用、维护和保护资产的费用、资产对于所有者和用户的价值、资产对于对手的价值、知识产权的价值、其别人乐意为这些资产所付的价钱、丢失后更换资产所需的费用.、资产受损后的债务问题、资产受损后也许面

5、临的法律责任，资产的价值有助于选择具体的对策、商业保险需要了解每项资产的价值、每项资产的价值可以帮助拟定什么是真正的风险安全管理人员他所负责的是整个系统的网络运营，硬件支持，以及机房的安全措施。他所服务的对象是公司的上层机构，他们的职责他就是维护好整个安全系统的正常运营。制定好安全系统的运营的规划，使其能在运营中实现。工程师他所关心的是整个系统的技术部分，保证系统在运营过程中不会由于数据丢失或是程序出现的错误而不能运营。信息安全公式：信息安全先进技术防患意识完美流程严格的制度优秀的执行团队法律保障如何建立公司信息系统的安全架构 (2)作为一次完整的信息安全评估征询，需要考虑到以下诸多条件：漏洞

6、：它包含很多因素，如口令的安全，在一个大的公司中口令的泄漏是随时也许发生的，这对公司来说是很大的失误。在一个公司里，信息的安全要体现在任何地方，所以再各自运营的PC机上要设有独立的口令，这些口令不能过于简朴，我曾经尝试破解一个8位数的口令，共花去了6个小时，所以口令不仅不能过于简朴，并且还需要经常更换。在优利公司，所有员工的口令不能是单一的数字，必须具有英文字母。暴露 假如没有好的安全防护措施，那么就会使公司机密暴露，至于财产也没有什么保护可言。威胁：一套系统在运营过程中存在很多威胁，其中最为常见的威胁是人为错误对安全系统所导致的损坏。人为错误一般是无意行为，但是这对系统的安全性来说是没有任何

7、区别的。2是物理损坏，这重要指的是事故的发生，非人力直接导致的损坏，比如：洪水，地震，失火，电力中断以及盗窃等等一系列突发事件，这些对公司的设备，数据以及商业机密都会够会导致巨大的损失，这在对公司安全系统的评估过程中是要考虑到的。3 由于设备的故障而引起的系统不能正常的运营。4受到袭击，这种袭击可以来自公司内部，也可以是来自于公司外部，外部袭击重要来自于黑客和病毒，他们的袭击大多是带有很强的目的性，比如获取公司信息，破坏公司数据等等，这种袭击无论是对公司的管理阶层，还是员工特别是数据库都会导致严重的威胁，甚至会给公司代去长期的潜在威胁。4 机密数据的滥用，在一个公司中机密是很重要的，它涉及商业

8、和管理上的机密。这些数据只能被管理阶层或是专职部门所掌握，假如被太多的人所了解，那么再好的安全系统也不能保证这些机密不被泄漏出去。5 数据的丢失，再安全系统的运营过程中也许会出现数据丢失的现象，而安全措施就是为了防止这些突发事故，在运营过程中做好备份系统，以防不测。6 应用错误 这种错误重要出现在计算错误和输入错误这些环节中。而这一环界是可以通过措施避免的。风险分析一方面 对风险进行确认。要对公司的信息和资产做一个了解，告诉公司的负责人，这些资产对公司的价值是什么，存在什么样的危险性，哪里是公司的最需要保护的东西，为什么要维护。否则在发生事故的时候为公司导致巨大的损失。再这里我们不着重说这些。

9、我们今天针对的是公司的信息安全管理。而这对一个公司的负责人来说，了解这些是至关重要的。另一方面对风险的量化。这一过程中我们要使公司了解这些风险一般会以什么方式发生，如物理损害。使他们准确的了解到此事故会给公司导致多大的经济，人力和物品的损失。假如机密由此泄漏那么对公司又会导致多大的损失。一但被病毒袭击消除这种袭击需要的费用。最后要对所有的风险进行一个综合，要收集以上所有危险发生也许性的数据，计算出发生这些危险的概率，并预算出每年发生这些事件的几率，一年大约发生几次这样的事故。由以上信息推算出每向风险的潜在损失，和在一年中将对公司导致的经济损失。资产的拟定：即拟定公司的资产，指定公司资产的价值、

10、发展安全策略提供安全性，完整性和可用 性，找到所需的资源和资金对策最后 碰到这些风险后的对策。我们重要通过减少损失，转移风险，和接受风险这三种方式解决风险的发生。减少风险：我们重要是通过安装防火墙，杀毒软件等方式减少风险的发生。或是改善不规范的工作流程，再或者就是制定一个连续性的计划。以此来减少损失。转移风险：公司可以通过买保险的方式来转移风险发生后所导致的损失，一但发生什么事故，一切都会由保险公司来负责补偿。接受风险：公司再得知某些风险会对公司导致损失，但由于避免此项风险所花费的人力和物力的价值远远超过此项风险给公司所带来的损失时，我们建议接受风险。完毕以上相关内容的评估后，并不意味着评估的

11、结束，我们还需要安全系统完整的运做一次，保证安全系统可以正常的工作。一套完整的安全系统运营并不只是靠，一个部门几个人来维护的，它需要公司全体员工都了解，所以还需要对公司的员工进行培训，只有采用了这一系列的措施，一套完整的安全系统才可以顺利的运营信息安全管理体系（ISMS） 信息安全管理体系（Information Securitry Management Systems）是组织在整体或特定范围内建立信息安全方针和目的，以及完毕这些目的所用方法的体系。它是直接管理活动的结果，表达成方针、原则、目的、方法、过程、核查表（Checklists）等要素的集合。BS 7799-2是建立和维持信息安全管理

12、体系的标准，标准规定组织通过拟定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目的与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的规定进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文献，即组织应建立并保持一个文献化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目的及控制方式和需要的保证限度BS 7799-2:2023的PDCA过程模式 BS 7799-2:2023所采用的过程模式如，“计划-实行-检查-措施”四个环节可以应用于所有过程。PDCA过程模式可简朴描述如下： 策划：依照组织整个方针和目的，建立与控

13、制风险、提高信息安全有关的安全方针、目的、指标、过程和程序。 实行：实行和运作方针（过程和程序）。 检查：依据方针、目的和实际经验测量，评估过程业绩，并向决策者报告结果。 措施：采用纠正和防止措施进一步提高过程业绩。四个环节成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到连续改善，使信息安全绩效(performance)螺旋上升。（其实和ISO9000, 14000等完全类似的。）信息保护技术 （from microsoft)入侵防护系统（IPS）入侵防护系统（IPS）是公司下一代安全系统的大趋势。它不仅可进行检测，还能在袭击导致损坏前阻断它们，从而将IDS提高到一个新水平。IDS和

14、IPS的明显区别在于：IPS阻断了病毒，而IDS则在病毒爆发后进行病毒清除工作。用黑客软件性质分类 一、扫描类软件：二、远程监控类软件：“木马”三、病毒和蠕虫：四、系统袭击和密码破解：五、监听类软件：物理层安全网络安全架构 信息安全架构 网络周边保护与信息安全相关的6个重要活动是：政策制定使用安全目的和核心原理作为框架，围绕这个框架制定安全政策； 角色和责任保证每个人清楚知道和理解各自的角色、责任和权力； 设计开发由标准、评测措施、实务和规程组成的安全与控制框架； 实行适时应用方案，并且维护实行的方案； 控制建立控制措施，查明安全隐患，并保证其得到改正； 安全意识，培训和教育安全意识的养成，宣

15、贯保护信息的必要性，提供安全运作信息系统所需技巧的培训，提供安全评估和实务教育。最后一点还要加上激励，由于人们也许有这种故意识，但需要激发其行动。信息安全（INFOSEC）应涉及以下六个方面：l 通信安全（COMSEC）l 计算机安全（COMPUSEC）l 符合瞬时电磁脉冲辐射标准（TEMPEST）l 传输安全（TRANSEC）l 物理安全（Physical Security）l 人员安全（Personnel Security）综上所述，信息安全的重要内容涉及：机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真实性（Authenticity）和有效性（Utility）。信息安全架构数据层保护信息安全架构应用层保护安全事件应对检查列表Best practice for info security 安全最佳实践 公司安全水平基准和信息安全建设