信息系统安全导论第七章信息安全工程与信息安全审计
一、信息安全工程简介
信息安全不单单是技术问题,而是策略、管理和技术的有机结合,是一项复杂的系统工程。
1.1 信息工程建设中的问题
- 重功能,轻安全;
- 先建设,后安全;
- 头痛医头,脚痛医脚;
- 简单的安全产品的堆砌。
1.2 信息安全工程的特点
- 全面性:系统安全程度取决于系统最薄弱的环节。
- 生命周期性:一个不断往复和上升的螺旋式的安全模型。
- 动态性:系统处于不断更新、不断完善、不断进步的动态过程中。
- 层次性:用多层次的安全技术、方法与手段、分层次地化解安全风险。
- 相对性:安全是相对的,没有绝对的安全。
- 继承性:信息安全内涵不断扩展,方法和经验不断继承和发展。
1.3 信息安全工程的安全周期
- 发掘信息保护需求
- 定义系统安全要求
- 设计系统安全体系结构
- 开展详细的安全设计
- 实现系统安全
- 评估信息保护的有效性
二、信息安全工程实施
- 安全规划与控制
- 安全需求
- 安全设计支持
- 安全运行分析
- 生命周期安全支持
- 信息安全工程的过程
三、信息安全风险评估
风险评估(risk assessment):风险评估也称为风险分析,就是对信息资产面临的威胁、存在的脆弱点、造成的影响以及三者综合作用而带来的风险的可能性进行评估。
3.1 风险评估的方法:
- 自评估:信息系统所在单位的自我评估。
- 检查评估:上级管理部门的评估 。
3.2 风险评估的基本步骤:
- 风险评估准备:确定风险评估的目标、范围等。
- 风险因素识别:资产评估,威胁评估,弱点评估。
- 风险确定
- 风险评价:定性风险评估,定量风险评估。
- 风险控制
3.3 风险评估要注意的问题:
- 资产机密性赋值
- 资产完整性赋值
- 资产可用性赋值
- 资产重要性等级划分
四、信息安全策略
信息系统的安全策略是为了保障系统一定级别的安全而制定和必须遵守的一系列准则和规定。它包括入侵者可能发起的任何攻击,以及为使系统免遭入侵和破坏而必然采取的措施。
4.1 信息安全策略遵循的原则:
- 整体性原则:系统安全人人有责。
- 平衡分析原则:对系统安全需求、风险、代价进行平衡分析。
- 综合性、系统性原则:运用系统方法,从整体视角看问题。
- 一致性原则:安全策略应与安全需求相一致。
- 易操作性原则:安全措施不要过于复杂,不能影响系统正常运行。
- 适应性和灵活性原则:安全措施必须能随系统性能及安全需求的变化而变化,且容易调整。
- 多重保护原则:建立多重保护系统,各层保护相互补充。
4.2 信息安全策略的规划与实施
- 确定安全策略保护的对象:硬件和软件,数据,人员。
- 确定安全策略使用的技术:防火墙技术,入侵检测技术,备份技术,加密技术。
- 安全策略的实施
五、信息安全工程与等级保护
5.1 信息系统安全保护等级
- 第一级:信息系统受到破坏后,会对个人的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
- 第二级:对个人的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
- 第三级:对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 第四级:对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
- 第五级:对国家安全造成特别严重损害。
5.2 信息系统安全保护能力
- 第一级为用户自主保护级:自主访问控制+身份鉴别+数据完整性。
- 第二级为系统审计保护级:第一级+客体重用+审计。
- 第三级为安全标记保护级:第二级+强制访问控制。
- 第四级为结构化保护级:第三级+形式化安全策略模型+隐蔽信道分析+可信路径+抗渗透。
- 第五级为访问验证保护级:第四级+可信基最小化+可信恢复。
六、信息安全审计
网络安全审计是指对与网络安全有关的活动的相关信息进行识别、记录、存储和分析,并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。
6.1 信息安全审计的一般步骤
6.2 信息系统安全审计的功能
- 取证:利用审计工具,监视和记录系统的活动情况。
- 威慑:通过审计跟踪,结合责任追究机制,对恶意行为起到威慑作用。
- 发现系统漏洞:系统使用日志可以帮助管理员及时发现潜在的系统漏洞。
- 发现系统运行异常:管理员可以通过日志发现系统的异常行为并采取相应的措施。
6.3 信息系统安全审计的分类
- 按照审计分析的对象:可分为针对主机的审计和针对网络的审计。
- 按照审计的工作方式:可分为集中式安全审计和分布式安全审计。
6.4 信息安全审计系统的一般组成
- 事件探测及数据采集引擎
- 数据管理引擎
- 审计引擎
6.5 信息安全审计流程
- 策略定义
- 事件采集
- 事件分析
- 事件响应
- 结果汇总
6.6 信息安全审计分析方法
- 基于规则库的安全审计方法:将收集到的审计数据与规则库中的已知攻击行为进行对比。
- 基于数理统计的安全审计方法:设计一个统计量并对其监控。
- 基于日志数据挖掘的安全审计方法:速度快、准确率高、自适应能力强。
6.7 信息安全审计数据源
- 基于主机的数据源:操作系统审计记录、系统日志、应用程序日志
- 基于网络的数据源:网络中传输的数据
- 其他数据源:来自其他安全设备的数据源、带外数据源
信息系统安全导论第七章信息安全工程与信息安全审计相关推荐
- 信息系统项目管理师---第七章项目成本管理历年考题
信息系统项目管理师-第七章项目成本管理历年考题 1.2005 年 5 月第 40 题:每次项目经理会见其所负责项目的赞助商时,赞助商都强调对该项目进行成本控制的重要性.她总是询问有关成本绩效的情况,如 ...
- 信息系统项目管理师---第七章 项目成本管理
信息系统项目管理师-第七章 项目成本管理 项目成本管理的过程通过项目成本管理尽量使项目实际发生的成本控制再预算范围之内.确保再比准的预算内完成项目. 一.规划成本管理 规划成本管理:制订了项目成本结构 ...
- 计算机导论第七章,计算机导论精品PPT-第七章计算机图形学剖析.ppt
计算机导论精品PPT-第七章计算机图形学剖析 (1)计算机 在虚拟现实系统中,计算机是系统的心脏,被称之为虚拟世界的发动机.负责虚拟世界的生成.人与虚拟世界的自然交互等功能的实现. (2)输入输出设备 ...
- 【算法基础】数据结构导论第七章-排序.pptx
上课的课件分享,适合教学用. 文末提供下载 已发布: 数据结构导论第一章-绪论 数据结构导论第二章-线性表 数据结构导论第三章-栈.队列和数组 数据结构导论第四章-树 数据结构导论第五章-图 数据结构 ...
- 第七章 企业与政府信息资源管理
企业信息资源管理 企业信息资源管理的管理对象经历了原始数据-->信息-->信息资源-->知识的演变 信息资源管理手段由单纯计算机到以计算机为主导的管理信息系统,再进不到以企业战略为主 ...
- 信息系统安全导论第六章之软件安全
一.软件安全现状及基本概念 出现软件故障现象的原因是软件存在漏洞. "任何软件,不论它看起来是多么安全,其中都隐藏漏洞". 软件安全的目的是尽可能消除软件漏洞,确保软件在恶意攻击下 ...
- [归纳]强化学习导论 - 第七章:n-step自举(Bootstrapping)
文章目录 1.本章内容概要 2.n-step TD预测 3.n-step Sarsa 4.n-step off-policy学习 5.*带控制变量的per-decision方法 6.无重要性采样的of ...
- 中国大学MOOC 人工智能导论第七章测试
1 单选(2.5分) 下列关于有监督学习的说法不正确的是 得分/总分 A. 支持向量机模型中距离平面最近的几个样本对平面的选择影响最大 B. 决策树算法中最能将样本数据显著分开的属性应该在决策早期就使 ...
- 信息系统项目管理师 第七章-项目成本管理
1.概述 289 1.项目成本概念及其构成 成本是指项目活动或其组成部分的货币价值或价格,包括为实施.完成或创造该活动或其组成部分所需资源的货币价值.直接工时.其他直接费用.间接工时.其他间接费用.采 ...
最新文章
- python使用正则表达式判别用户输入密码的强弱并提示
- 【设计思想解读开源框架】java监听模式和观察者模式
- 简单用数组模拟顺序栈(c++)
- 说话不能太绝对,要留有余地
- 华为q1设置虚拟服务器,如何使用华为华为Q1 Q1互联网路由设置图文教程 | 192.168.1.1手机登陆...
- ext js gridpanel绑定到动态生成的store
- typescript赋值
- 引入struts html标签,【学习】Struts标签之html标签
- Prim最小生成树算法
- Zookeeper-Watcher(事件通知)
- w ndows7旗舰版网卡驱动,windows7万能网卡驱动官方下载
- angular中自定义webpack配置
- Excel快速拆分单元格内容
- nim语言编译后的c语言,Nim的编译方法
- 2017年自动修复概述——Automatic Software Repair: A Survey [来自软件工程顶刊 TSE 2017]
- php发送文本邮件和带附件邮件
- 影像匹配基本算法(摄影测量)
- 适合新手的MySQL的基本操作第三期——存储过程篇
- 内网DNS报错:** server can‘t find ns1.aaa.com: SERVFAIL
- c# 获取CPU占用率和剩余内存