信息安全管理第一章

最新推荐文章于 2024-08-08 18:22:07 发布

Urkc

最新推荐文章于 2024-08-08 18:22:07 发布

阅读量907

点赞数 17

分类专栏：信息安全管理文章标签：网络网络安全

本文链接：https://blog.csdn.net/m0_74003766/article/details/137045280

版权

信息安全管理专栏收录该内容

1 篇文章 0 订阅

订阅专栏

1.1 信息安全

信息安全的特点

必然性：信息系统日益复杂，必然存在弱点
配角特性：安全不是最终目的，得到安全可靠的应用和服务才是安全建设的最终目的。
动态性：新的安全威胁总会不断出现，信息安全是一个动态、持续的过程，安全策略要及时调整。

信息安全威胁

日益严重的计算机病毒（破坏性强、传播性强、扩散面广）
系统的开放性和复杂性（环境复杂、设计缺陷）
人为因素（无意识、安全意识淡薄、恶意破坏）
信息安全管理自身的不足（起步晚、管理底子薄、漏洞多）

1.2 信息安全管理

信息安全管理概念

信息安全管理是组织为实现信息安全目标而进行的管理活动，是组织完整的管理体系中的一个重要组成部分，是为了保护信息资产的安全，指导和控制组织的关于信息安全风险的互相协调的活动。

信息安全属性

保密性
完整性
可用性
真实性
可靠性
不可否认性

信息安全管理的基本内容

信息系统的安全管理涉及与信息系统有关的安全管理以及信息系统管理的安全两个方面。这两个方面的管理又分为技术性管理和法律性管理两类。其中技术性管理以OSI安全机制和安全服务的管理以及对物理环境的技术监控为主，法律管理以法律法规遵从性管理为主。

木桶原理与信息安全管理

木桶原理：一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。
新木桶原理：一个木桶的容积不只取决于最短的一块木板，还取决与木板之间能否恰当组合密切相关。

1.3 信息安全管理的指导原则

策略原则

以安全保发展，在发展中求安全
受保护资源的价值与保护成本平衡
明确国家，企业和个人对信息安全的职责和可确认性
信息安全需要积极防御和综合防范
定期评估信息系统的残留风险
综合考虑社会因素对信息安全的制约
信息安全管理体现以人为本

工程原则

基本保证
适度安全
实用和标准化
保护层次化和系统
降低复杂度
安全设计机构化

1.4 信息安全管理的国外研究发展

国内信息安全管理现状

我国已初步建成了国家信息安全组织保障体系
制定和引进了一批重要的信息安全管理标准
制定了一系列必须的信息安全管理的法律法规
信息安全风险评估工作已经得到重视和发展

我国信息安全管理存在的问题

信息安全管理现状比较混乱，缺乏一个国家层面上的整体策略，实际管理力度不够，政策执行和监督力度也不够。
具有我国特点的、动态的和涵盖组织机构、文件、控制措施、操作过程和程序及相关资源等要素的信息安全管理体系还未建立起来。
具有我国特点的信息安全风险评估标准体系还有待完善，信息安全的需求难以确定，缺乏系统、全面的信息安全风险评估和评价体系以及全面、完善的信息安全保障体系。
信息安全意识缺乏，普遍存在重产品、轻服务、重技术、轻管理的思想。
专项经费投入不足，管理人才极度缺乏，基础理论研究和关键技术薄弱，严重依靠国外。
技术创新不够，心下安全管理产品水平和质量不高。

1.5 信息安全管理与风险评估的关系

信息安全风险评估

信息安全风险评估是从风险管理角度，运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的人为和自然的威胁，以及威胁事件一旦发生可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少组织的经济损失和负面影响。

二者关系

风险评估是信息安全管理体系和信息安全风险管理的基础
信息安全风险评估是信息安全风险管理的一个阶段
信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。

1.6 本章总结

1 为什么要进行信息安全管理

1）信息安全的与政治有关

政治的核心问题是国国家政权问题。政治安全的内核是政府运行的有效性。任何国家政府运行”都是凭借复杂的机制，经由安换期对社会生活的有效指导、管理和控制。信息安全风险直直接影响着政府的有效性,政治安全一刻也离不开信息安全。当今,来自敌对势力从信息空间发动的“政治进攻”"，主要表现为"网络政治动员”和“信息恐怖主义”两种方式。例如,1999年1月左右，美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织，和世界上各个国家的+些黑客组织，有组织地对我们国家的政府网站进行了攻击;2010年，国家互联网应急中心监测发现共近48万个木马控制端IP,其中有22.1万个位于境外,前两位分别是美国(占14. 7%)、印度(占8. 0%);共有13 782个僵尸网络控制端IP,有6531个位于境外，前三位分别是美国(占21.7%).印度(占7.2%)和土耳其(占5.7%).2013 年由美国人爱德华，约瑟夫●斯诺登曝光美国国家安全局“棱镜计划”秘密监听项目，侵害美国国民甚至包括我国在内的国家机密信息。

虽然敌对势力经网络对我国的“政治进攻”行为,迄今在总体上还是可控的,但这类“政治进攻”已在某种程度上危害到了我国的政治安全。

2）信息安全与经济犯罪有关

某切由于信息技术的开放性与经济主体利益的冲突性并存，现实的信息系统存在着安全风险。目前，我国计算机犯罪的增长速度已超过了传统的犯罪:2000年上半年为1420起,2007年增长到2.9万起,2009年为4.8万起。利用计算机实施金融犯罪已经渗透到我国金融行业的各项业务，近几年已经破获和掌握上百起，涉及金额几亿元。信息或信息化有可能对我国的经济安全水平造成严重的冲击，蕴藏着巨大的风险。确保信息安全有助于规避经济安全风险或最大限度地减少这类风险。

3）信息安全与社会稳定有关

在高科技和信息化条件下，网络具有传播速度快、信息海量化、交互功能强等特点,不法分子利用互联网散布一些虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个谣言大得多。例如,1999年4月,河南商都热线一个网络论坛，一个说“交通银行郑州支行行长携巨款外逃”的帖子,造成了人民的恐慌，三天十万人上街排队，挤提了十亿元。而针对社会公共信息基础设施的攻击则会严重扰乱社会管理秩序。2011 年12月至2012年7月，网络上游的黑客组团远程人侵政府、大学网站，在被人侵网站添加非法数据;网络下游的各地代理通过互联网出售可通过政府网站查询认证的假证。2015 年4月,360补天平台披露,19个省份的社保系统相关信息泄露达5279.4万条，其中包括个人身份证、社保参保信息、财务、新酬、房屋等敏感信息。