返回
系统集成项目信息系统安全管理

系统集成项目信息系统安全管理

ID:25232943

大小:1.00 MB

页数:24页

时间:2018-11-18

系统集成项目信息系统安全管理_第1页
系统集成项目信息系统安全管理_第2页
系统集成项目信息系统安全管理_第3页
系统集成项目信息系统安全管理_第4页
系统集成项目信息系统安全管理_第5页
资源描述:

《系统集成项目信息系统安全管理》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、WORD格式可编辑系统集成项目信息系统安全管理17.1信息安全管理17.1.1信息安全含义及目标1.信息安全定义现代社会已经进入了信息社会,其突出的特点表现为信息的价值在很多方面超过其信息处理设施包括信息载体本身的价值,例如一台计算机上存储和处理的信息价值往往超过计算机本身的价值。另外,现代社会的各类组织,包括政府、企业,对信息以及信息处理设施的依赖也越来越大,一旦信息丢失或泄密、信息处理设施中断,很多政府及企事业单位的业务也就无法运营了。现代信息社会对于信息的安全提出了更高的要求,对信息安全的内涵也不断进行延伸和拓展。国际标

2、准ISO/IEC27001:2005《信息技术.安全技术.信息安全管理体系.要求》标准中给出目前国际上的一个公认的信息安全的定义:“保护信息的保密性、完整性、可用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性。”2.信息安全属性及目标(1)保密性。是指“信息不被泄漏给未授权的个人、实体和过程或不被其使用的特性。”简单地说,就是确保所传输的数据只被其预定的接收者读取。保密性的破坏有多种可能,例如,信息的故意泄露或松懈的安全管理。数据的保密性可以通过下列技术来实现。·网绺安全协议。’·网络认证服务。·数据加密服务

3、。(2)完整性。是指“保护资产的正确和完整的特性。”简单地说,就是确保接收到的数据就是发送的数据。数据不应该被改变,这需要某种方法去进行验证。确保数据完整性的技术包括:·消息源的不可抵赖。·防火墙系统。·通信安全。·入侵检测系统(3)可用性。是指“需要时,授权实体可以访问和使用的特性。”可用性确保数据在需要时可以使用。尽管传统上认为可用性并不属于信息安全的范畴,但随着拒绝服务攻击的逐渐盛行,要求数据总能保持可用性就显得很关键了。一些确保可用性的技术如以下几个方面。·磁盘和系统的容错及备份。·可接受的登录及进程性能。·可靠的功能

4、性的安全进程和机制。保密性、完整性和可用性是信息安全最为关注的三个属性,因此这三个特性也经常被称为信息安全三元组,这也是信息安全通常所强调的目标。(4)其他属性及目标。另外,信息安全也关注一些其他特性:真实性一般是指对信息的来源进行判断,能对伪造来源的信息予以鉴别。可核查性是指系统实体的行为可以被独一无二地追溯到该实体的特性,这个特性就是要求该实体对其行为负责,可核查性也为探测和调查安全违专业知识整理分享WORD格式可编辑规事件提供了可能性。不可抵赖性是指建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。

5、而可靠性是指系统在规定的时间和给定的条件下,无故障完成规定功能的概率,通常用平均故障间隔时间(MeanTimeBetweenFailure,MTBF)来度量。信息安全己经成为一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。从广义来说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可核查性的相关技术和理论部属于信息安全的研究领域。17.1.2信息安全管理的内容ISO/IEC27000系列标准是由国际标准组织与国际电工委员会共同发布的国际公认的信息安全管理系列标准

6、,它包括ISO/IEC27001《信息技术.安全技术.信息安全管理体系.要求》、ISO/IEC27002《信息技术一安全技术·信息安全管理体系·实践准则》等系列标准。ISO/IEC27000系列标准是当前全球业界信息安全管理实践的最新总结,为各种类型的组织引进、实施、维护和改进信息安全管理提供了最佳实践和评价规范。在ISO/IEC27000系列标准中,它将信息安全管理的内容主要概括为如下11个方面。1.信息安全方针与策略为信息安全提供管理指导和支持,并与业务要求和相关的法律法规保持一致。管理者应根据业务目标制定清晰的方针和策略

7、,并通过在整个组织中颁发和维护信息安全方针来表明对信息安全的支持和承诺。2.组织信息安全要建立管理框架.以启动和控制组织范围内的信息安全的实施。管理者应批准整个组织内的信息安全方针、分配安全角色并协调和评审安全的实施。需要时,在组织范围内建立信息安全专家库,发展与外部安全专家或组织(包括相关政府机构)的联系,以便跟上行业发展趋势、跟踪标准和评估方法,并在处理信息安全事件时,提供合适的联络渠道,并鼓励多学科的信息安全方法。同时要保持被外部组织访问、处理、通信或受其管理的组织信息及信息处理设施的安全。组织的信息处理设施和信息资产的

8、安全不应由于引入外部各方的产品或服务而降低。任何外部各方对组织信息处理设施的访问、对信息资产的处理和通信都应予以控制。若业务上需要与外部各方一起工作从而要求访问组织的信息和信息处理设施,或从外部各方获得产品或服务或向外部各方提供产品和服务时,就需要进行风险评估,以确定安全隐患

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。