1. 信息安全四個層次

• 設(shè)備安全
• 數(shù)據(jù)安全
• 內(nèi)容安全
• 行為安全

2. 信息安全屬性及目標(biāo)

2.1. 保密性(Confidentiality)

保密性是指阻止非授權(quán)的主體閱讀信息。它是信息安全一誕生就具有的特性，也是信息安全主要的研究內(nèi)容之一。更通俗地講，就是說未授權(quán)的用戶不能夠獲取敏感信息。對紙質(zhì)文檔信息，只需要保護(hù)好文件，不被非授權(quán)者接觸即可。而對計算機(jī)及網(wǎng)絡(luò)環(huán)境中的信息，不僅要阻止非授權(quán)者對信息的閱讀，還要阻止授權(quán)者將其訪問的信息傳遞給非授權(quán)者，以致信息被泄漏。

指“信息不被泄露給未授權(quán)的個人、實(shí)體和過程或不被其使用的特性。”簡單地說，就是確保所傳輸?shù)臄?shù)據(jù)只被其預(yù)定的接收者讀取。保密性的破壞有多種可能，例如，信息的故意泄露或松懈的安全管理。數(shù)據(jù)的保密性可以通過下列技術(shù)來實(shí)現(xiàn)：

• 最小授權(quán)原則
• 防暴露
• 數(shù)據(jù)加密、信息加密
• 物理加密

注意數(shù)字簽名不能提高保密性

2.2. 完整性(Integrity)

完整性是指防止信息被未經(jīng)授權(quán)地篡改。它是保護(hù)信息保持原始的狀態(tài)，使信息保持其真實(shí)性。如果這些信息被蓄意地修改、插入和刪除等，形成虛假信息將帶來嚴(yán)重的后果。

指“保護(hù)資產(chǎn)的正確和完整的特性。”簡單地說，就是確保接收到的數(shù)據(jù)就是發(fā)送的數(shù)據(jù)。數(shù)據(jù)不應(yīng)該被改變，這需要某種方法去進(jìn)行驗(yàn)證。確保數(shù)據(jù)完整性的技術(shù)包括：

• 安全協(xié)議
• 校檢碼
• 密碼校檢
• CA認(rèn)證
• 數(shù)字簽名
• 防火墻系統(tǒng)
• 傳輸安全(通信安全)
• 入侵檢測系統(tǒng)

2.3. 可用性(Availability)

可用性是指授權(quán)主體在需要信息時能及時得到服務(wù)的能力。可用性是在信息安全保護(hù)階段對信息安全提出的新要求，也是在網(wǎng)絡(luò)化空間中必須滿足的一項(xiàng)信息安全要求。

指“需要時，授權(quán)實(shí)體可以訪問和使用的特性。”可用性確保數(shù)據(jù)在需要時可以使用。盡管傳統(tǒng)上認(rèn)為可用性并不屬于信息安全的范疇，但隨著拒絕服務(wù)攻擊的逐漸盛行，要求數(shù)據(jù)總能保持可用性就顯得十分關(guān)鍵了。一些確保可用性的技術(shù)如以下幾個方面：

• 綜合保障
• 磁盤和系統(tǒng)的容錯
• 可接受的登錄及進(jìn)程性能
• 可靠的功能性的安全進(jìn)程和機(jī)制
• 數(shù)據(jù)冗余及備份

保密性、完整性和可用性是信息安全最為關(guān)注的三個屬性，因此這三個特性也經(jīng)常被稱為信息安全三元組，這也是信息安全通常所強(qiáng)調(diào)的目標(biāo)。

2.4. 其他屬性及目標(biāo)

另外，信息安全也關(guān)注一些其他特性：

可控性是指對信息和信息系統(tǒng)實(shí)施安全監(jiān)控管理，防止非法利用信息和信息系統(tǒng)。

真實(shí)性一般是指對信息的來源進(jìn)行判斷，能對偽造來源的信息予以鑒別。

可核查性是指系統(tǒng)實(shí)體的行為可以被獨(dú)一無二地追溯到該實(shí)體的特性，這個特性就是要求該實(shí)體對其行為負(fù)責(zé)，可核查性也為探測和調(diào)查安全違規(guī)事件提供了可能性；

不可抵賴性是指建立有效的責(zé)任機(jī)制，防止用戶否認(rèn)其行為，這一點(diǎn)在電子商務(wù)中是極其重要的；

• 數(shù)字簽名

不可否認(rèn)性是指在網(wǎng)絡(luò)環(huán)境中，信息交換的雙方不能否認(rèn)其在交換過程中發(fā)送信息或接收信息的行為。

可靠性是指系統(tǒng)在規(guī)定的時間和給定的條件下，無故障地完成規(guī)定功能的概率，通常用平均故障間隔時閬(MeanTime Between Faihrce。MTBF)來度量。

信息安全已經(jīng)成為一門涉及計算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科的綜合性學(xué)科。從廣義上來說，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可核查性的相關(guān)技術(shù)和理論都屬于信息安全的研究領(lǐng)域。

3. 信息安全管理體系

信息安全管理體系(Information Security Management System)是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)以及完成這些目標(biāo)所用方法的體系，它由建立信息安全的方針、原則、目標(biāo)、方法、過程、核查表等要素組成。建立起信息安全管理體系后，具體的信息安全管理活動以信息安全管理體系為根據(jù)來開展。

信息安全管理體系的建立是一個目標(biāo)疊加的過程，是在不斷發(fā)展變化的技術(shù)環(huán)境中進(jìn)行的，是一個動態(tài)的、閉環(huán)的風(fēng)險管理過程；要想獲得有效的成果，需要從評估、響應(yīng)、防護(hù)，到再評估。這些都需要企業(yè)從高層到具體工作人員的參與和重視，否則只能是流于形式與過程，起不到真正有效的安全控制的目的和作用。

• 配備安全管理人員
• 建立安全職能部門
• 成立安全領(lǐng)導(dǎo)小組
• 主要責(zé)任人出任領(lǐng)導(dǎo)
• 建立信息安全保密管理部門

在構(gòu)建信息安全管理體系中，應(yīng)建立起一套動態(tài)閉環(huán)的管理流程，這套流程指的是( )
答案：評估—響應(yīng)—防護(hù)—評估

4. 信息安全技術(shù)體系

• 硬件系統(tǒng)安全和物理安全
• 數(shù)據(jù)網(wǎng)絡(luò)傳輸/交換安全、網(wǎng)絡(luò)安全
• 操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)安全
• 應(yīng)用軟件安全運(yùn)行

轉(zhuǎn)載/整理：
希賽教育的試題解釋：https://www.educity.cn/
信管網(wǎng)：https://www.cnitpm.com/pm1/46124.html

總結(jié)

以上是生活随笔為你收集整理的笔记-信息系统安全管理-信息安全(混合)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。