信息安全管理

信息安全管理概述

统计结果表明,在所有信息安全事故中,只有20%30%是由于黑客入侵或其他外部原因造成的,70%80%是由于内部员工的疏忽或有意泄密造成的。

信息安全管理体系

PDCA 模型

规划(PLAN):	通过风险评估,了解安全需求,制订解决方案;
实施(DO):		将解决方案付诸实施;
检查(CHECK):	监视评审方案的有效性;
处置(ACT):	对发现的问题予以解决,产生新的需求则再次进入规划阶段。

信息安全法律法规

是指国家和相关职能部门为维护信息安全,预防信息犯罪的法律规范的总称。

实现安全风险的有效管理。

等级体系建设

建立“可信、可控、可管”的安全防护体系。网络安全等级保护制度按照规定定期开展等级测评

可信:以可信认证为基础
可控:以访问控制技术为核心
可管:为管理员创建一个平台

1、按照规定留存相关的网络日志不少于六个月; 
2、 网络运营者应当加强对其用户发布的信息的管理
3、对提供互联网接入服务的服务器内涉及法律、行政法规禁止传输的信息的行为,严令禁止。

《中华人民共和国网络安全法》

除了此法,其他的通用性法律也有约束作用。有追究刑事责任的情况。

《网络安全法》六大看点

网络上真就是可以为所欲为吗

例如美国的《爱国者法案》规定了government可以行使严格的管理监控权,对网络空间进行监管是各国的惯例。

几种安全等级

第一级 用户自主保护级:提供用户和数据隔离功能。

第二级系统审计保护级:实施粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。

第三级 安全标记保护级:具有系统审计保护的功能。

第四级 结构化保护级︰建立在一个明确定义的形式化安全策略模型之上,要求将第三级系统中的访问控制扩展到所有主体与客体。

第五级 访问验证保护级︰满足访问监控器需求,由访问监控器仲裁主体对客体的全部访问。

对哪几类信息系统做出了专门规定?

概述等级保护的工作流程。

定级、备案、安全建设、等级评测、监督检查

例: 假定有一个由银行提供代水电代收费服务的信息系统,如果该系统受到破坏,将导致个人或企业无法通过银行网点缴纳相关费用,水电公司的收费业务只能在其处理能力有限的营业厅进行,导致业务能力大幅度下降,依据等级保护的定级规则,思考该系统应属于几级保护的对象?

依据受侵害客体和侵害程度进行判断,客体为水电公司为企业法人,收费业务能力大幅下降没有丧失,属于严重损害,综合上述分析,系统属于网络安全二级保护对象。

网络安全等级保护定级

一般损害:工作职能受到局部影响,业务能力下降,但不影响主要功能执行;

严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行;

特别严重损害:工作职能收到特别严重影响或丧失行使能力,业务能力严重下降或功能无法执行。

受侵害的客体 一般损害 严重损害 特别严重损害
公民、法人和其他组织 第一级 第二级 第三级
社会秩序和公共利益 第二级 第三级 第四级
国家安全 第三级 第四级 第五级

典型不当行为和危害

不当行为类型 造成的危害
传播不良信息 污染网络环境,散播负能量
传播虚假信息 影响网络可信度,混淆视听
传播垃圾信息 干扰正常信息获取,影响他人
实施舆论攻击 导致网络暴力等严重后果

作为一名从事信息安全专业的人员,应该如何从自身做起,共同营造清朗的网络环境?

答:提示(两个方面,底线是遵纪守法,要求是严守网络行为道德规范)。

posted @ 2021-11-23 22:58  Dinesaw  阅读(921)  评论(0编辑  收藏  举报