信息安全是指通过采用计算机软硬件技术、网络技术、**技术等安全技术和各种组织管理措施,来保护信息在其神秘周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏
网络安全黄金三角
- 机密性
加密技术- 完整性
防篡改- 可用性
授权技术
信息保障阶段
进入面向业务的安全保障阶段、从多角度来考虑信息的安全问题
- 从业务入手
不同业务流量有不同的·风险点和防御方式- 从安全体系入手
通过更多的技术手段把安全管理与技术联系起来,主动地防御攻击而不是被动保护- 从管理入手
培养安全管理人才建立安全管理制度
信息系统复杂性
在信息系统的设计和工作工程中可能会因为自身漏洞和缺陷导致被攻击,主要包括以下三类问题:
- 过程复杂
从设计的角度看,在设计时考虑的优先级中安全性相对于易用性、执行程度等因素被放在次要的位置,由于人性的缺点和设计方法学的不完善,信息系统总会存在漏洞- 结构复杂
信息系统可能会多种终端和数据服务,在一个网络中可能存在多种终端,如员工终端,远程用户,移动终端,路由设备,服务器等等,同时在一个网络也可能存在多种类型的数据,如业务数据,管理数据,语音数据等等,在管理网络安全的时候必须要考虑所有终端和数据类型- 应用复杂
在设计网络拓扑时优先考虑网络冗余和网络稳定性,可能会加入冗余链路和备份设备,网络的应用复杂也使得安全问题无法快速定位和解决
信息安全管理的重要性
据统计,企业信息收到损失的70%是由于内部员工的疏忽或有意泄漏造成的
安全技术知识信息安全控制的手段,要让安全技术发挥应有的作用,必须要有适当的管理程序的支持
构建信息安全管理体系的具体内容
等级保护系统定级
主要依据:根据系统被破坏后,对公民、社会、国家造成的损害程度定级
等级保护中的基本技术要求
每一个保护级别,都有其对应的技术要求,以最常见的等保三级标准为例,他一共包含5个方面: