點選報名後領取>>>軟考16本電子版教材 & 36本輔導教材 + 27套曆年真題試卷 + 21套精編知識點6G資料包
第22 章 資訊系統安全管理(609—670頁,共62頁)包括5節,分别是22.1 資訊系統安全政策;22.2資訊安全系統工程;22.3 PKI公開密鑰基礎設施;22.4 PMI權限(授權)管理基礎設施;22.5 資訊安全審計。
今天先分享第一節,本節主要包括資訊系統安全政策的概念與内容、建立安全政策需要處理好的關系(如安全與應用的依存關系、風險度觀點、适度安全觀點、木桶效應觀點)、資訊系統安全保護等級的劃分及具體内容、資訊系統安全政策設計原則、資訊系統安全方案。
22.1 資訊系統安全政策
1、概念與内容
【資訊系統安全政策的定義】是指針對本機關的計算機業務應用資訊系統的安全風險(安全威脅)進行有效的識别、評估後,所采取的各種措施、手段,以及建立的各種管理制度、規章等。
安全政策自宣布實施之日之起,就是機關内部的一個重要法規,涉及技術的和非技術的、硬體的和非硬體的、法律的和非法律的各個方面,必須由機關的最高行政執行長官、部門或組織授權完成制定,并經過機關的全員讨論修訂。
【安全政策的歸宿點(立腳點)】就是機關的資産得到充分的保護。
【安全政策的核心内容“七定”】即定方案(首要)、定崗(其次)、定位、定員、定目标、定制度、定工作流程。
【安全政策的四大特性】一定要具有科學性、嚴肅性、非二義性和可操作性。
國家由資訊中心負責資訊系統的營運,資訊安全由安全處負責,處長就是機關的CSO(Chief Security Officer)。國内銀行系統由科技處負責機關的資訊安全,科技處處長就是銀行的CSO。
【安全政策的類型】機房裝置安全管理政策、主機和作業系統管理政策、網絡和資料庫管理政策、應用和輸入輸出管理政策、應用開發管理政策、應急事故管理政策、密碼和安全裝置管理政策、資訊審計管理政策等。(并配置相應的管理者)
2、建立安全政策需要處理好的關系
(1)安全與應用的依存關系(沖突統一)
應用需要安全,安全為了應用。
過分強調安全或者應用,都是有失偏頗的,都不是正确的态度。
(2)風險度的觀點
系統安全是一個動态的過程。系統安全是相對的,是一個風險大小的問題。
我們不能一廂情願地追求所謂的絕對安全,而是要将安全風險控制在合理程度或允許的範圍内。
是以把資訊系統的安全目标定位于“系統永不停機、資料永不丢失、網絡永不癱瘓、資訊永不洩密”,是錯誤的,是不現實的,也是不可能的。
(3)适度安全的觀點
怎樣才是适度安全,需要運用風險評估的方法才能得出結論。
① 風險評估圍繞威脅、資産、脆弱性、安全措施展開分析。
② 在評估時不僅要考慮現有環境,還要考慮近期和遠期發展變化趨勢。
③ 同時,還要評估控制風險所需的安全代價。
④ 在此基礎上對風險和代價進行均衡,才能确定相應的安全政策。
安全風險和安全代價兩者之間的關系,可用圖22一1表示。
(4)木桶效應的觀點
将整個資訊系統比作一個木桶,其安全水準是由構成木桶的最短的那塊木闆決定的。
同時,保護資訊系統的各個安全要素是同等重要的,各方面要素均不容忽視。
但是要強調的是,安全管理在所有要素中具有極其重要的地位。有人将安全管理的漏洞比作存在于木桶桶底的漏洞。如果安全管理有漏洞,其他安全措施即使投入再大也無濟于事。
(5)資訊系統安全等級保護的概念
《計算機資訊系統安全保護等級劃分準則》(GB 17859-1999)是建立安全等級保護制度,實施安全等級管理的重要基礎性标準,它将計算機資訊系統分為以下5個安全保護等級,分别是:
① 第一級使用者自主保護級;
② 第二級系統審計保護級;
③ 第三級安全标記保護級;
④ 第四級結構化保護級;
⑤ 第五級通路驗證保護級。
資訊系統的安全保護等級由兩個定級要素決定:
一是受侵害的客體。等級保護對象受到破壞時所侵害的客體包括公民、法人和其他組織的合法權益:社會秩序、公共利益、國家安全。
二是對客體的侵害程度。對客體的侵害程度由客觀方面的不同外在表現綜合決定。
由于對客體的侵害是通過對等級保護對象的破壞實作的,是以,對客體的侵害外在表現為對等級保護對象的破壞,通過危害方式、危害後果和危害程度加以描述。等級保護對象受到破壞後對客體造成侵害的程度分為造成一般損害、造成嚴重損害、造成特别嚴重損害。
定級要素與資訊系統安全保護等級的關系,如表22-1所示。
3、資訊系統安全政策設計原則(8個總原則,10個特殊原則)
8個總原則:主要上司人負責原則、規範定級原則、依法行政原則、以人為本原則、注重效費比原則、全面防範及突出重點原則、系統動态原則、特殊的安全管理原則。
10個特殊原則:分權制衡原則、最小特權原則、标準化原則、用成熟的先進技術原則、失效保護原則、普遍參與原則、職責分離原則、審計獨立原則、控制社會影響原則、保護資源和效率原則。
4、資訊系統安全方案
這些全局性組成因素的標明是否科學合理,對以後整個系統的資訊安全方案的确定具有決定的作用。
【與系統安全方案有關的十大系統組成因素】
(1)主要硬體裝置的選型。
(2)作業系統和資料庫的選型。
(3)網絡拓撲結構的選型。
(4)資料存儲方案和儲存設備的選型。
(5)安全裝置的選型。
(6)應用軟體開發平台的選型。
(7)應用軟體的系統結構的确定。
(8)供貨商和內建商的選擇等。
(9)業務營運與安全管理的職責(崗位)劃分。
(10)應急處理方案的确定及人員的落實。
【确定資訊系統安全方案六大主要内容】
(1)首先确定采用MIS+S、S-MIS或S2-MIS體系架構,不同體系架構差别很大,對後續工作和目标影響很大。
(2)确定業務和資料存儲的方案。業務和資料存儲的方案對整個資訊系統組成和資訊安全方案的确定,影響很大。
(3)網絡拓撲結構。資訊安全的主要威脅都是來自網絡,是以網絡的拓撲結構對資訊安全方案的确定,影響也是很大。
(4)基礎安全設施和主要安全裝置的選型。這部分是資訊安全保障系統的核心,有沒有這些設施,選用什麼樣的安全裝置,對資訊安全方案的确定起到關鍵的作用。
(5)業務應用資訊系統的安全級别的确定。根據國家标準GB 17859-1999《計算機資訊系統安全保護等級劃分準則》,機關可以根據使用的目的要求,确定本機關的計算機業務應用資訊系統要确定為哪一等級,一旦你确定了某個安全級别,也就确定了安全的大體方案。
(6)系統資金和人員投入的檔次。這條決定了前幾條的標明,因為沒有錢,一切設想、計劃隻能成為幻想。有了錢,沒有人也是不可想象的。(原來最後一條才是大佬)
“資訊安全保障系統”是一個在網絡上,內建各種硬體、軟體和密碼裝置,以保障其他業務應用資訊系統正常運作的專用資訊應用系統,以及與之相關的崗位、人員、政策、制度和規程的總和。
是以,系統安全方案與系統的安全政策是密不可分的。沒有安全政策就沒有安全方案;同時,沒有安全方案,也就沒有安全政策。
文章源于網絡,如有侵權,請私信文章标題聯系删除,謝謝。
為了能讓更多人享受軟考的政策福利和現實功利,51CTO旗下軟考教研團隊聯合薛大龍老師,認真嚴肅向大家推出軟考2日直播特訓營。
掃碼入群0元領取6G的軟考6資料包+2天軟考特訓營名額
軟考資料包括:軟考16本電子版教材 & 36本輔導教材 + 27套曆年真題試卷 + 21套精編知識點6G資料包
軟考訓練營名額+資料領取方式>>>
掃下方碼入群後按照老師的要求操作即可領取。
51CTO軟考兩天直播訓練營
這門課恰好能夠為你答疑解惑,助你快速入門并掌握軟考知識要點,獲得技能提升。為自己的職業發展規劃制定一個更明确的規劃,邁出升職加薪的第一步。
訓練營周期為 兩天直播課 晚8:00-9:00
心急的小夥伴可直接掃碼解鎖。
☟☟☟
2天軟考直播特訓營
3大必備技能
↓↓↓
限時 0 元 即可解鎖
點選下方連結報名
僅限前100個名額
報名連結: https://edu.51cto.com/surl=oR9sp3
課程涵蓋:高分知識點梳理,案例分析解題方法、論文通用模闆等。我們力争通過2天的直播課程,助力您快速入門并一次性通關軟考!
如果你對這門課程還不太了解的話,就跟我一起往下看吧。
我們的主講老師薛大龍老師,深耕軟考教育教育訓練20餘年,主編出版軟考輔導教材60餘本,非常熟悉軟考題目的要求、難度、以及判卷标準。
完成本體驗營2天所有課程及作業考核,學員将掌握資訊系統項目管理師、系統內建項目管理工程師的高頻考點及答題技巧:
①掌握資訊系統項目管理師知識體系;
②掌握考試高分占比知識領域;
③掌握考試考情前沿分析;
④掌握論文與案例超幹貨答題方法;
⑤掌握名師對真題的獨到解析。
報名前,你還需要知道的3件事
1)課程形式
直播課程+社群學習活動
2)課程時間
報名後老師安排上課 晚8:00-9:00
3)報名後要做什麼?
付費後根據提示添加學姐為好友,開營前學姐會統一拉人入群。
2天軟考考證特訓營
0 元 解鎖課程
還可 領取「6G課程資料」