信息安全管理 读书笔记
第一章 绪论
1.1信息安全
1.1.2信息安全的概念、特点及意义
1.信息安全的概念
“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”
信息安全主要包括3个方面:机密性、完整性、可用性
目前信息安全的内涵已经扩展到机密性、完整性、可用性、真实性、抗抵赖性、可靠性、可控性等更多领域。
- 机密性:信息不泄露给非授权的用户、实体或者过程的特性。
- 完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
- 可用性:可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。
- 真实性:信息所反映内容与客观事实是否一致的特性。
- 抗抵赖性:证实行为或事件已经发生的特性,以保证事件或行为不能被抵赖。
- 可靠性:保持持续的预期行为及结果的特性。
- 可控性:对信息的传播及内容具有控制能力,访问控制即属于可控性。
2.信息安全的特点
(1)必然性
(2)配角特性
(3)动态性
1.1.3信息安全威胁
1.日益严重的计算机病毒
2.人为的因素
(1)用户为自己的无意操作失误而引发的网络安全,如管理员安全管理不当造成安全漏洞,用户安全意识淡薄,将自己的账户随意转借他人或与别人共享等;
(2)人为的恶意破坏
- 主动攻击:目的在于篡改系统中信息的内容,以各种方式破坏信息的有效性和完整性;
- 被动攻击:目的是在不影响网络正常使用的情况下,进行信息的解惑和窃取;
3.信息安全管理自身的不足
1.2信息安全管理
1.2.1信息安全管理的概念
信息安全管理是组织为实现信息安全目标而进行的管理活动,是组织完整的管理体系中的一个重要组成部分,是为了保护信息资产的安全,指导和控制组织的关于信息安全风险的互相协调的活动。信息安全管理在对组织内部和外部信息的有效管理基础上,为企业、单位和组织提供决策支持的工作。
所谓管理,是指管理主题组织并利用其各个要素(人、财、物、信息和时空),借助管理手段,完成该组织目标的过程。
(1)管理主体是一个组织,这个组织可能是国家,可以是一个单位;也可能是一个正式组织或非正式组织。
(2)管理主体包含5个方面的要素:人(决策者、执行者、监督者)、财(资金)、物(土地、生产设备及工具、物料等)、信息(管理机制、技术与方法、管理用的各种信息等)、时空(时点和持续时间、地理位置及空间范围)。
(3)管理的手段包括5个方面:强制(战争、政权、暴力、抢夺等)、交换(双方意愿交换)、惩罚(包括物质性的和非物质性:包括强制、法律、行政、经济等方式),激励、沟通与说服。
(4)管理的过程包括7个环节:管理规则的确定(组织运行规则,如章程及制度等)、管理资源的配置(人员配置及职责划分与确定、设备及工具、空间等资源配置与分配)、目标的设立与分解(如计划)、组织与实施、过程控制(检查、监督与协调)、效果评价、总结与处理(奖惩)。
1.2.2信息安全管理的基本内容
信息系统的安全管理涉及与信息系统有关的安全管理及信息系统管理的安全两个方面。这两方面的管理又分为技术性管理和法律性管理两类。其中技术性管理以OSI安全机制和安全服务的管理及对物理坏境的技术监控为主,法律性管理以法律法规遵从性管理为主。
1.3信息安全管理的指导原则
1.3.1策略原则
- 以安全保发展,在发展中求安全
- 受保护资源的价值与保护成本平衡
- 明确国家、企业和个人对信息安全的职责和可确认性
- 信息安全需要积极防御和综合防范
- 定期评估信息系统的残留风险
- 综合考虑社会因素对信息安全的制约
- 信息安全管理体现以人为本
1.3.2工程原则
1.基本保证
(1)信息系统安全设计前应制定符合本系统实际的安全目标和策略。
(2)将安全作为整个系统设计不可分割的部分。
(3)识别信息及信息系统资产,以此作为风险分析和安全需求分析的对象。
(4)划分安全域。
(5)确保开发者受过软件安全开发的良好训练。
(6)确保信息系统用户的职业道德和安全意识的持续培训。
2.适度安全
(1)通过对抗、规避、降低和转移风险等方式将风险降低到可接受的水平,不追求绝对的或过度安全的目标。
(2)安全的标志之一是系统可控。
(3)在减少风险、增加成本开销和降低某些操作有效性之间进行折中,避免盲目地追求绝对安全目标。
(4)采用剪裁方式选择系统安全措施,以满足组织的安全目标。
(5)保护信源到信宿全程的机密性、完整性和可用性。
(6)在必要时自主开发非卖品以满足某些特殊的安全需求,将残留风险保持在可接受水平。
(7)预测并对抗、规避、降低和转移各种可能的风险。
3.实用和标准化
(1)尽可能采用开放的标准化技术或协议,增强可移植性和互操作性。
(2)使用便于交流的公告语言进行安全需求的开发。
(3)设计的新技术安全机制或措施,要确保系统平稳过渡,并保证局部采用的新技术不会引起系统的全局性调整,或引发新的脆弱点。
(4)尽量简化操作,以减少操作带来新的风险。
4.保护层次化和系统
(1)识别并预测普遍性故障和脆弱性。
(2)实现分层的安全保护(确保没有遗留的脆弱点)。
(3)设计和运行的信息系统对入侵和攻击应具有必要的检测、响应和恢复能力。
(4)提供对信息系统各个组成部分的体系性保障,使信息系统面对预期的威胁具有持续阻止、对抗和恢复能力。
(5)容忍可以接受的风险,拒绝绝对安全的策略。
(6)将公共可访问资源于关键业务资源进行物理/逻辑隔离。
(7)采用物理或逻辑方法将信息系统的局域网络与公共基础设施相隔离。
(8)设计并实现审计机制,以检测非授权和越权使用系统资源,并支持事故调查和责任确认。
(9)开发意外事故处置或灾难恢复规程,并组织学习和演练。
5.降低复杂度
(1)安全机制或措施力求简单实用。
(2)尽量减少可信系统的要素。
(3)实现访问的最小特权控制。
(4)消除不必要的安全机制或安全服务冗余。
(5)“开机——处理——关机”全程安全控制。
6.安全设计机构化
(1)通过对物理/逻辑的安全措施进行合理组合实现系统安全设计的优化。
(2)所配置的安全措施或安全服务可作用于多个域。
(3)对用户或进程使用鉴别技术,以确保在域内和跨域间的访问控制。
(4)对实体进行标识以确保责任的可追究性。
1.4信息安全管理的意义
信息安全管理通过维护信息的机密性、完整性和可用性等,来管理和保护信息资产的一项体制,是对信息安全保障进行指导、规范和管理的一系列活动和过程。
1.5信息安全管理的国内外研究发展
1.5.1国内信息安全管理现状
- 我国已初步建成了国家信息安全组织保障体系
- 制定和引进了一批重要的信息安全管理标准
- 制定了一系列必需的信息安全管理的法律法规
- 信息安全风险评估工作已经得到重视和开展
1.5.3国外信息安全管理现状
非常重视国家信息安全的管理工作,已经或正在制定自己的信息安全发展战略和发展计划,确保信息安全沿着正确的方向发展。
习题
1.目前,信息安全的内涵已从传统领域扩展到哪些领域?
2.信息安全在技术发展和应用过程中,表现出哪些重要特点?
3.简述信息系统的安全管理涉及信息系统的两个方面。
4.什么是信息安全管理?
5.国内信息安全管理的现状是什么?
信息安全管理 读书笔记相关推荐
- 信息系统项目管理师-信息安全管理考点笔记
历年考点分布 注: 博客: https://blog.csdn.net/badao_liumang_qizhi 关注公众号 霸道的程序猿 获取编程相关电子书.教程推送与免费下载. 安全策略与木桶效应 ...
- python 爬取企业注册信息_读书笔记(十)——python简单爬取企查查网企业信息,并以excel格式存储...
今天这个小爬虫是应朋友,帮忙写的一个简单的爬虫,目的是爬取企查查这个网站的企业信息. 编程最终要的就是搭建编程环境,这里我们的编程环境是: python3.6 BeautifulSoup模块 lxml ...
- 读书笔记: 博弈论导论 - 05 - 完整信息的静态博弈 纳什均衡
读书笔记: 博弈论导论 - 05 - 完整信息的静态博弈 纳什均衡 压制信念:纳什均衡(Pinning Down Beliefs: Nash Equilibrium) 本文是Game Theory A ...
- Oracle 19c VLDB and Partitioning Guide 第5章:管理和维护基于时间的信息 读书笔记
本文为Oracle 19c VLDB and Partitioning Guide第5章Managing and Maintaining Time-Based Information的读书笔记. Or ...
- 读书笔记: 博弈论导论 - 16 - 不完整信息的动态博弈 信号传递博弈
读书笔记: 博弈论导论 - 16 - 不完整信息的动态博弈 信号传递博弈 信号传递博弈(Signaling Games) 本文是Game Theory An Introduction (by Stev ...
- 推荐系统实践读书笔记-05利用上下文信息
推荐系统实践读书笔记-05利用上下文信息 本章之前提到的推荐系统算法主要集中研究了如何联系用户兴趣和物品,将最符合用户兴趣的物品推荐给用户,但这些算法都忽略了一点,就是用户所处的上下文(context ...
- 读书笔记 摘自:《人工智能:国家人工智能战略行动抓手》的笔记(作者: 腾讯研究院 中国信息通信研究院互联网法律研究中心 腾讯AI Lab 腾讯开放平台)
序言一 第三次人工智能浪潮已经到来,这是更强大的计算能力.更先进的算法.大数据.物联网等诸多因素共同作用的结果. 决策让渡将越来越普遍. 正是由于人工智能在决策和行动的自主性上面正在脱离被动工具的范畴 ...
- 读书笔记: 博弈论导论 - 08 - 完整信息的动态博弈 可信性和序贯理性
读书笔记: 博弈论导论 - 08 - 完整信息的动态博弈 可信性和序贯理性 可信性和序贯理性(Credibility and Sequential Rationality) 本文是Game Theor ...
- 读书笔记: 博弈论导论 - 14 - 不完整信息的静态博弈 机制设计
读书笔记: 博弈论导论 - 14 - 不完整信息的静态博弈 机制设计 机制设计(Mechanism Design) 本文是Game Theory An Introduction (by Steven ...
最新文章
- Dlib简介及在windows7 vs2013编译过程
- 在VS中如保快速查看DLL或exe的已导出的函数
- python爬虫什么书好_初学python爬虫看什么书
- activity 点击后传递数据给fragment_ViewModel+LiveData实现Fragment间通信
- 剑指offer面试题47. 礼物的最大价值(动态规划)
- XMind--思维导图
- 淘宝商品详情API接口(商品描述信息查询接口)
- IDEA社区版详细安装2022最新版(保姆式)
- 从一个例子来看Tagged Pointer特性
- 码云 VS首次提交代码报错:failed to push some refs to 'https://gitee.com/Liu_Cabbage/ASP.NET-MVC-QQ-Connect.git'
- 人体关节正常活动范围
- 调用app出现This app is not allowed to query for scheme...
- win10进入安全模式和退出安全模式
- 英特尔530和535哪个好_2020年终好物推荐,英特尔Evo平台认证更出彩
- 在php中调用java的方法
- 传世藏书 医部目录(1-6册)
- PHP图片验证码无法显示的解决方案
- 商业智能(Business Intelligence,简称:BI)
- docker部署nginx+tomcat架构
- 【HTTP协议】简单的HTTP协议
热门文章
- 文本分类从入门到精通—代码展示
- maven依赖手动下载
- php 查询数据表第2条,PHP 连接 MySQL 数据库的连接函数 mysql_connect 的第二个参数是( )。...
- 加域“不能访问网络位置”处理
- 工欲善其事必先利其器--MyEclipse
- 51单片机之IO口扩展——74HC165芯片并行转串行实验
- 360极速浏览器扩展 文件夹 在哪
- 技术分享 | OpenVINO及EdgeX摄像头管理和推理平台
- android输入法隐藏状态栏,android 输入法设置显示隐藏
- 十年风雨路,中国MES市场亟呼健康的生态系统