本篇文章给大家谈谈信息安全技术第六讲,以及信息安全技术介绍对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
信息安全到底是什么?
信息安全主要包括以下几方面的内容:
即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
如何构建有效的信息安全保障体系
转载以下资料,仅供参考:
如何有效构建信息安全保障体系;随着信息化的发展,政府或企业对信息资源的依赖程度;通常所指的信息安全保障体系包含了信息安全的管理体;构建第一步确定信息安全管理体系建设具体目标;信息安全管理体系建设是组织在整体或特定范围内建立;信息安全的组织体系:是指为了在某个组织内部为了完;的特定的组织结构,其中包括:决策、管理、执行和监;信息安全的策略体系:是指信息安全总体
如何有效构建信息安全保障体系
随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无***常运行。这无疑说 明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面 临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而 生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制 的标准,进一步保障信息系统的运行效率。
通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。
构建第一步 确定信息安全管理体系建设具体目标
信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。
信息安全的组织体系:是指为了在某个组织内部为了完成信息安全的方针和目标而组成
的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。
信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次:
第一层 策略总纲
策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。
第二层 技术指南和管理规定
遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分:
技术指南:从技术角度提出要求和方法;
管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。
第三层 操作手册、工作细则、实施流程
遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。
构建第二步 确定适合的信息安全建设方***
太极多年信息安全建设积累的信息安全保障体系建设方***,也称“1-5-4-3-4”。即:运用1个基础理论,参照5个标准,围绕4个体系,形成3道防线,最终实现4个目标。
一、风险管理基础理论
信息系统风险管理方***就是建立统一安全保障体系,建立有效的应用控制机制,实现应用系统与安全系统全面集成,形成完备的信息系统流程控制体系,确保信息系统的效率与效果。
二、遵循五个相关国内国际标准
在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:
ISO 27001标准
等级保护建设
分级保护建设
IT流程控制管理(COBIT)
IT流程与服务管理(ITIL/ISO20000)
三、建立四个信息安全保障体系
信息安全组织保障体系:建立信息安全决策、管理、执行以及监管的机构,明确各级机构的角色与职责,完善信息安全管理与控制的流程。
信息安全管理保障体系:是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。
信息安全技术保障体系:综合利用各种成熟的信息安全技术与产品,实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。
信息安全运维保障体系:在信息安全管理体系规范和指导下,通过安全运行管理,规范运行管理、安全监控、事件处理、变更管理过程,及时、准确、快速地处理安全问题,保障业务平台系统和应用系统的稳定可靠运行。
四、三道防线
第一道防线:由管理体系、组织体系、技术保系构成完备的安全管理体制与基础安全设施,形成对安全苗头进行事前防范的第一道防线,为业务运行安全打下良好的基础。
第二道防线:由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警,及时排除安全隐患,确保业务系统持续、可靠地运行。
第三道防线:由技术体系构成事后控制的第三道防线。针对各种突发灾难事件,对重要信息系统建立灾备系统,定期进行应急演练,形成快速响应、快速恢复的机制,将灾难造成的损失降到组织可以接受的程度。
五、四大保障目标
信息安全:保护政府或企业业务数据和信息的机密性、完整性和可用性。
系统安全:确保政府或企业网络系统、主机操作系统、中间件系统、数据库系统及应用系统的安全。
物理安全:使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。
运行安全:确保业务和管理信息系统的各种运行操作、日常监控、变更维护符合规范操作的要求,保证系统运行稳定可靠。
构建第三步 充分的现状调研和风险评估过程
在现状调研阶段,我们要充分了解政府或企业的组织架构、业务环境、信息系统流程等实际情况。只有了解政府或企业的组织架构和性质,才能确定该组织信息安 全保障体系所遵循的标准,另外,还要充分了解政府或企业的文化,保证管理体系与相关文化的融合性,以便于后期的推广、宣贯和实施。在调研时,采用“假设为 导向,事实为基础”的方法,假定该政府或企业满足相关标准的所有控制要求,那么将通过人工访谈、调查问卷等等各种方式和手段去收集信息,证明或者证伪该组 织的控制措施符合所有标准的要求,然后在此基础上,对比现状和标准要求进行差距分析。
在风险评估阶段,首先对于信息系统的风险评估.其中涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性
可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:
对资产进行识别,并对资产的价值进行赋值;?
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;?
对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;?
根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性;?
根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失;?
根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。?
其次,进行信息系统流程的风险评估。根据“国际知名咨询机构Gartner的调查结果”以及我们在实践中证实发现,要减少信息系统故障最有效的方式之 一,就是进行有效的流程管理。因此需要在保证“静态资产”安全的基础上,对IT相关业务流程进行有效管理,以保护业务流程这类“动态资产”的安全。
构建第四步 设计建立信息安全保障体系总体框架
在充分进行现状调研、风险分析与评估的基础上,建立组织的信息安全保障体系总纲,总纲将全面覆盖该组织的信息安全方针、策略、框架、计划、执行、检查和 改进所有环节,并对未来3-5年信息安全建设提出了明确的安全目标和规范。信息安全体系框架设计在综合了现状调研、风险评估、组织架构和信息安全总纲后, 还需要综合考虑了风险管理、监管机构的法律法规、国内国际相关标准的符合性。为确保信息安全建设目标的实现,导出该组织未来信息安全任务,信息安全保障体 系总体框架设计文件(一级文件)将包括:
信息安全保障体系总体框架设计报告;
信息安全保障体系建设规划报告;
??
信息安全保障体系将依据信息安全保障体系模型,从安全组织、安全管理、安全技术和安全运维四个方面展开而得到。对展开的四个方面再做进一步的分解和比较详细的规定将得到整个政府部门或企业信息安全保障体系的二级文件。具体二级文件包括:
信息安全组织体系:组织架构、角色责任、教育与培训、合作与沟通
信息安全管理体系:信息资产管理;人力资源安全;物理与环境安全;通信与操作管理;访问控制;信息系统获取与维护;业务连续性管理;符合性;
信息安全技术体系:物理层、网络层、系统层、应用层、终端层技术规范;
信息安全运维体系:日常运维层面的相关工作方式、流程、管理等。包括:事件管理、问题管理、配置管理、变更管理、发布管理,服务台。
构建第五步 设计建立信息安全保障体系组织架构
信息安全组织体系是信息安全管理工作的保障,以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。我们根据该组织的信息安全总体框架结合实际情况,确定该组织信息安全管理组织架构。
信息安全组织架构:针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果。?
信息安全角色和职责:主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责。?
安全教育与培训:主要包括对安全意识与认知,安全技能培训,安全专业教育等几个方面的要求。?
合作与沟通:与上级监管部门,同级兄弟单位,本单位内部,供应商,安全业界专家等各方的沟通与合作?
构建第六步 设计建立信息安全保障体系管理体系
根据信息安全总体框架设计,结合风险评估的结果以及该组织的信息系统建设的实际情况,参照相关标准建立信息安全管理体系的三、四级文件,具体包括:
资产管理:信息系统敏感性分类与标识实施规范与对应表单、信息系统分类控制实规范与对应表单?
人力资源安全:内部员工信息安全守则、第三方人员安全管理规范与对应表单、保密协议?
物理与环境安全:物理安全区域划分与标识规范以及对应表单、机房安全管理规范与对应表单、门禁系统安全管理规范与对应表单?
访问控制:用户访问管理规范及对应表单、网络访问控制规范与对应表单、
操作系统访问控制规范及对应表单、应用及信息访问规;通信与操作管理:网络安全管理规范与对应表单、In;信息系统获取与维护:信息安全项目立项管理规范及对;业务连续性管理:业务连续性管理过程规范及对应表单;符合性:行业适用法律法规跟踪管理规范及对应表单?;最终形成整体的信息安全管理体系,务必要符合整个组;
操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单?
通信与操作管理:网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单?
信息系统获取与维护:信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单、软件系统漏洞管理规范及对应表单?
业务连续性管理:业务连续性管理过程规范及对应表单、业务影响分析规范及对应表单?
符合性:行业适用法律法规跟踪管理规范及对应表单?
最终形成整体的信息安全管理体系,务必要符合整个组织的战略目标、远景、组织文化和实际情况并做相应融合,在整个实施过程还需要进行全程的贯穿性培训. 将整体信息安全保障体系建设的意义传递给组织的每个角落,提高整体的信息安全意识。这样几方面的结合才能使建设更有效。
为什么需要从信息系统的顶层功能考虑信息安全问题
党的十八届三中全会通过的《中共中央关于全面深化改革若干重大问题的决定》指出,坚持积极利用、科学发展、依法管理、确保安全的方针,加大依法管理网络力度,加快完善互联网管理领导体制,确保国家网络和信息安全。
美国长期对全球互联网进行系统化的暗中监视,“棱镜门”事件再一次敲响了我国信息网络安全保障的警钟。它只是揭开了信息网络安全的冰山之一角,而在美国庞大的“棱镜”“主干道”“码头”“核子”“巧言”等计划背后,究竟还隐藏着多少不为人知的秘密。
面对复杂的国际安全形势和严峻的网络安全挑战,我国迫切需要将信息网络安全提升到国家战略地位,做好国家信息网络安全顶层规划和设计;总结现行互联网体系架构的优势和不足,结合未来发展趋势,立足自主创新,创建新一代安全可控的互联网络;面对网络安全新挑战,全面排查安全风险,总结分析重点安全问题,集中力量尽快从技术、管理和法律等方面解决。
信息网络安全应提升为国家战略
《第三次浪潮》的作者阿尔文·托夫勒断言:“谁掌握了信息,控制了网络,谁就拥有整个世界。”目前,美国实际上已经拥有了对整个世界互联网的控制权、核心技术的垄断权、资源的分配权、网络空间行为管理的话语权和数据的掌控权等。
在国内,互联网违法犯罪现象层出不穷,呈现出愈演愈烈的趋势,犯罪类型和形式趋于多样化、隐蔽化、复杂化。几乎每一次社会不稳现象的出现,都伴随着谣言的鼓动,网络谣言借助现代信息技术,传播速度与影响范围呈几何级数增长,容易成为社会震荡、危害公共安全的引发因素,必须引起全社会的高度警惕。
造成当前我国错综复杂的网络安全局势的因素很多,但就国内来讲主要有以下五点:
第一,多头管理,部门之间协调不畅。当前我国的互联网管理体制存在政府主导,多头管理,政出多门,难以形成拳头,缺乏统筹规划的问题。我国虽然设有国家网络与信息安全协调小组,但该小组的统筹协调存在一定困难,信息网络安全领域统一协调难度大,难以发挥集中优势。
第二,对我国的信息网络安全缺乏持续有效的总体规划和顶层设计。随着社会对网络依赖度越来越高,网络空间安全问题超越了专业技术层面,构成对国家安全的直接影响。因此,我国信息网络安全防护,迫切需要走出技术维护和配合的低层次运行水平,上升到由国家统一筹划、综合防护的战略高度。
第三,互联网的信息网络安全核心技术没有掌控。涉及信息网络安全核心技术的芯片、板卡、操作系统、中间件和大型应用软件等基础产品的自主可控能力较低,关键芯片、核心软件和部件严重依赖进口。在密码破译、战略预警、态势感知、舆情掌控等信息网络安全核心技术产品上,与欧美还有很大的差距。
第四,网络社会法律层位不高,不完善。我国还没有形成使用新的网络社会的法理原则,网络法律还仍然沿用或套用物理世界的法理逻辑。在信息安全立法上,缺乏统一的立法规划,现有立法层次较低,以部门规章为主,立法之间协调性和相通性不够,缺乏系统性和全面性。
第五,网民的网络安全防范意识和自律意识薄弱。目前,网民虽有一定的认知网络安全知识,但却没能将其有效转化为安全防范意识,更少落实在网络行为上。当今网民的网络道德及网络行为自律存在缺失,错误认为在网上想怎么说就怎么说,想怎么做就怎么做,一些网民不讲网络社会公德和道德。
重建网络结构,创建新一代互联网
源自20世纪60年代的互联网,经过几十年的发展和完善,已经深刻地改变了人们的生产、生活和学习方式,成为支撑现代社会经济发展、社会进步和科技创新最重要的基础设施。互联网最初的设计者怎么也不会想到,互联网会发展到今天这种状况,现行互联网在网络结构、运行、应用、数据存储、管理、信息数据安全等方面都存在不少问题。这些问题仅靠修修补补是无法有效解决的,应认真总结现行互联网的优势和不足,重新规划创建新的互联网结构体系。新一代的互联网规划中,重点要考虑以下几点:
第一,注重信息网络软、硬件新技术的自主创新能力。解决互联网的信息安全和其他负面问题,不能依赖国外技术,唯有依靠自主创新才能取得主动、主导和自***。在新一代网络研究上,我们应当抓住机遇,树立信心,加强对未来网络技术发展的原创性研究,争取在网络基础理论、高速传输技术、安全体系及监控、服务模型和管理等新一代网络核心技术领域竞争中,掌握更多核心技术及话语权。
第二,注重信息网络海量数据的应用处置技术及能力。互联网络具有大数据、复杂性、异构性、开放性等特点,数据的处置能力体现了一国对数据的占有和控制的能力。我国需要大力研发和突破,以提高收集、储存、应用、保留、管理、分析和共享海量数据的处置等所需核心的先进技术。
第三,注重网络的运营管理技术和能力。目前的互联网技术架构,其中一个不足便是缺乏一套内建的网络管理技术。新一代网络需要支持多样化的服务,具备支持用户业务类型划分、优先级处理和服务质量保障的网络资源分配和使用管理能力。需要能适应规模庞大、结构复杂的网络系统自动化管理和监控控制,具备错误预警和故障快速发现及定位、服务质量监测等能力。
第四,注重信息网络海量数据的存储技术和能力。互联网就是一个巨型复杂的数据生产、存储和消费系统。受限于当前技术,我国作为互联网网民第一大国,真正存储下来的数据仅仅是北美的7%、日本的60%。下一代网络规划中,应特别关注海量数据存储的并行存储体系架构、高性能对象存储技术、并行I/O访问技术、海量存储系统高可用技术、数据保护与安全体系、绿色存储等关键技术的研究。
第五,注重移动网络与有线网络的有机融合技术和能力。移动性是新一代网络的关键特征,用户需要提供任意时间、任意地点、任意形式的综合服务。新一代网络需要注重通信终端在异构网络之间的无缝快速移动,支持丰富多样的终端接入,支持大规模的分布式泛在服务的能力研究,使网络就在用户身边。
第六,注重信息网络安全技术及能力。当前的安全技术是伴生技术,信息技术出现在前,安全技术通常伴随着安全问题的出现而产生。在规划设计新一代互联网时,一定要把“建设、应用、安全”三位一体进行顶层规划设计。新一代网络需要同步构建安全性框架,在各种网络组件中架构安全性平台,保证网络的完整性、高可靠性和可用性。
需要解决的六个现实问题
现阶段需要重点解决的现实问题:
第一,研发网络受到攻击时及时主动发现技术,增强主动发现能力。要加大科研能力投入,提高应对网络安全新风险的技术能力,加强协同联动的网络安全主动防御体系的技术能力研究,形成网络空间威胁实时检测、全局感知、预警防控技术能力,实现对我国互联网安全态势的整体把握。
第二,加快研发主动处置技术和方法。当前信息网络安全的被动防守姿态,导致长期以来网络风险的数量和复杂性始终保持着高增长态势。要改变这种现状,需采用积极主动的安全策略和研发安全风险主动处置技术与方法。发展使用黑客技术主动发现漏洞并及时加以解决,不给不法分子可乘之机。采用主动战术增加网络犯罪风险,使网络犯罪面临高风险、低收益的窘境,进而从整体上减少网络犯罪。
第三,强化密码技术在信息网络安全保密中的支撑作用。目前依靠前端和后台的安全防范技术,难以保证数据信息的安全。应大力推动新型安全密码算法、高速密码算法,实现数据加密、密钥安全管理等密码技术在重要信息系统安全保密中的应用,保证信息在生命周期中的安全。强化密码在保障电子政务、电子商务和保护公民个人信息安全等方面的支撑作用。
第四,抓紧制定国家信息网络安全法。迫切需要加强网络社会法学研究,切实提高立法质量和水平,需尽快研究制定《信息网络安全法》,确定信息网络法制的总体框架。确立信息网络法制模式和实现方式,明确政府、企业、用户及个人等各自应负的法律责任。
第五,逐步实现依法建网,依法管网,依法用网目标。进一步加强国家和各级政府部门对网络安全的领导和协调职责,建立运转顺畅、协调有力、分工合理、责任明确的信息网络安全管理体制。坚持政府主导,行业自律的原则,明确运营商、服务商等企业在信息网络安全方面应负的社会和法律责任。
第六,加强全民信息网络安全的法治意识教育及养成。要切实增强广大网民的法治意识,普及信息网络安全法律知识。完善信息网络公约机制,积极引导信息网络商户和网民加强网络自律,创建良好的网络社会法治环境。
关于信息安全技术第六讲和信息安全技术介绍的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。