1、安全策略的核心內(nèi)容就是"七定"，即定方案、定崗、定位、定員、定目標(biāo)、定制度、定工作流程。

2、《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》將計算機信息系統(tǒng)分為以下5個安全保護(hù)等級：

????第一級：用戶自主保護(hù)級。該級適用于普通內(nèi)聯(lián)網(wǎng)用戶。

????第二級：系統(tǒng)審計保護(hù)級。該級適用于用戶通過內(nèi)聯(lián)網(wǎng)或國際網(wǎng)進(jìn)行商務(wù)活動，需要保密的非重要單位。

????第三級：安全標(biāo)記保護(hù)級。該級適用于地方各級國家機關(guān)、金融單位機構(gòu)、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術(shù)企業(yè)、重點工程建設(shè)等單位。

????第四級：結(jié)構(gòu)化保護(hù)級。該級適用于中央級國家機關(guān)、廣播電視部門、重要物質(zhì)儲備單位、社會應(yīng)急服務(wù)部門、尖端科技企業(yè)集團(tuán)、國家重點科研單位機構(gòu)和國防建設(shè)的部門。

????第五級：訪問驗證保護(hù)級。該級適用于國防關(guān)鍵部門和依法需要對技術(shù)及信息系統(tǒng)實施特殊隔離的單位。

3、信息系統(tǒng)安全策略設(shè)計的10個特殊原則：分權(quán)隔離原則；最小特權(quán)原則；標(biāo)準(zhǔn)化原則；用成熟的先進(jìn)技術(shù)原則；失效保護(hù)原則；普遍參與原則；職責(zé)分離原則；設(shè)計獨立原則；控制社會影響原則；保護(hù)資源和效率原則。

4、信息安全系統(tǒng)工程，術(shù)語之間的關(guān)系：

????信息系統(tǒng)業(yè)界又叫做信息應(yīng)用系統(tǒng)、信息應(yīng)用管理系統(tǒng)、管理信息系統(tǒng)、簡稱MIS。

????信息安全系統(tǒng)不能脫離業(yè)務(wù)應(yīng)用信息系統(tǒng)而存在。

????業(yè)務(wù)應(yīng)用信息系統(tǒng)支撐業(yè)務(wù)運營的計算機應(yīng)用信息系統(tǒng)，如銀行柜臺業(yè)務(wù)信息系統(tǒng)、國稅征收信息系統(tǒng)等。

????信息系統(tǒng)工程即建造信息系統(tǒng)的工程，包括兩個獨立且不可分割的部分，即信息安全系統(tǒng)工程和業(yè)務(wù)應(yīng)用信息系統(tǒng)工程。

????業(yè)務(wù)應(yīng)用信息系統(tǒng)工程是信息系統(tǒng)工程的一部分

????信息安全系統(tǒng)工程，而不是信息系統(tǒng)安全工程。信息安全系統(tǒng)工程就明白無誤地確定了，這個工程就是建設(shè)一個信息安全的系統(tǒng)。

5、信息安全系統(tǒng)的體系架構(gòu)及其組成：

????

????X軸：安全機制????????Y軸：OSI網(wǎng)絡(luò)參考模型????????Z軸：安全服務(wù)

6、MIS+S系統(tǒng)為"初級信息安全保障系統(tǒng)"。其特點如下：業(yè)務(wù)應(yīng)用系統(tǒng)基本不變；硬件和系統(tǒng)軟件通用；安全設(shè)備基本不帶密碼。

????S-MIS系統(tǒng)為"標(biāo)準(zhǔn)信息安全保障系統(tǒng)"。其特點如下：硬件和系統(tǒng)軟件通用；PKI/CA安全保障系統(tǒng)必須帶密碼；業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變；主要通用的硬件、軟件也要通過PKI/CA認(rèn)證。

????S2-MIS系統(tǒng)為"超安全的信息安全保障系統(tǒng)"。其特點如下：硬件和系統(tǒng)軟件都專用；PKI/CA安全設(shè)施必須帶密碼；業(yè)務(wù)應(yīng)用系統(tǒng)必須根本改變。

7、ISSE-CMM——信息安全系統(tǒng)工程成熟度模型：

????ISSE-CMM主要概念：

????1）過程?；顒涌梢灾貜?fù)、遞歸和并發(fā)的執(zhí)行。

????2）過程域。過程域是由一些基本實施組成的，它們共同實施來達(dá)到該過程域規(guī)定的目標(biāo)。這些基本實施是強制性的。因為只有他們?nèi)砍晒Φ氐玫綀?zhí)行，才能滿足過程域規(guī)定的目標(biāo)。ISSE-CMM包含工程、項目和組織三類過程域。

????3）工作產(chǎn)品

????4）過程能力

8、公鑰基礎(chǔ)設(shè)施PKI是以不對稱密鑰加密技術(shù)為基礎(chǔ)，以數(shù)據(jù)機密性、完整性、身份認(rèn)證和行為不可抵賴性為安全目的，來實施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。

9、PMI即權(quán)限管理基礎(chǔ)設(shè)施或授權(quán)管理基礎(chǔ)設(shè)施。PMI授權(quán)技術(shù)的核心思想是以資源管理為核心，將對資源訪問控制權(quán)統(tǒng)一將由授權(quán)機構(gòu)進(jìn)行管理，即由資源的所有者來進(jìn)行控制管理。

10、PMI與PKI的區(qū)別：

????1、PMI主要進(jìn)行授權(quán)管理，證明這個用戶是什么權(quán)限，能干什么，即"你能做什么"

????2、PKI主要進(jìn)行身份鑒別，證明用戶身份，即"你是誰"

????它們之間的關(guān)系如同簽證和護(hù)照的關(guān)系。簽證具有屬性類別，持有哪一類別的才能在該國家進(jìn)行哪一類的活動。護(hù)照是身份證明，唯一表示個人信息，只有持有護(hù)照才能證明你是一個合法的人。

11、信息安全審計

????安全審計是記錄、審查主體對客體進(jìn)行訪問和使用情況，保證安全規(guī)則被正確執(zhí)行，并幫助分析安全事故產(chǎn)生的原因。

????安全審計具體包括兩方面內(nèi)容：

????1）采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為，即時響應(yīng)（如報警）并進(jìn)行阻斷。

????2）對信息內(nèi)容和業(yè)務(wù)流程進(jìn)行審計，可以防止內(nèi)部機密或敏感信息的非法泄漏和單位資產(chǎn)流失。

????信息安全審計系統(tǒng)被形象地比喻為"黑匣子"和"監(jiān)護(hù)神"

????信息安全審計系統(tǒng)就是業(yè)務(wù)應(yīng)用信息系統(tǒng)的"黑匣子"，"黑匣子"也能安然無恙，并確切記錄破壞系統(tǒng)的各種痕跡和"現(xiàn)場記錄"。

????信息安全審計系統(tǒng)就是業(yè)務(wù)應(yīng)用信息系統(tǒng)的"監(jiān)護(hù)神"，隨時對一切現(xiàn)行的犯罪行為、違法行為進(jìn)行監(jiān)視、追蹤、抓捕、同時對暗藏的、隱患的犯罪傾向、違法跡象進(jìn)行"堵漏"、鏟除。

轉(zhuǎn)載于:https://www.cnblogs.com/nxmydlp/p/7987847.html

總結(jié)

以上是生活随笔為你收集整理的信息系统安全管理的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。