1.6 信息系统安全技术
1.6.1 信息安全的有关概念
1.信息安全概念
1)安全属性
- 秘密性:信息不被未授权者知晓属性
- 完整性:信息是正确的,真是的,未被篡改的,完整无缺的属性
- 可用性:信息可以随时正常使用的属性
2)安全分层
设备安全:
- 设备的稳定性:在一定时间内不出现故障的概率
- 设备的可用性:随时可以正常使用的概率
- 设备的可靠性:在一定时间内正常执行任务的概率
数据安全:
- 安全属性:秘密性、完整性、可用性
- 一种静态安全
内容安全:
是信息安全在政治、法律上、道德层次的要求
行为安全:
- 安全属性:秘密性、完整性、可控性
- 一种动态安全
2.信息安全技术
- 硬件系统安全技术、操作系统安全技术:信息系统安全的基础
- 数据安全技术、软件安全技术
- 网络安全技术:是关键技术,包含防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计、网络隔离
- 密码技术:是关键技术
- 恶意软件防止技术、信息隐藏技术、信息设备可靠性技术
3.信息安全法律法规
- 网络安全法
- 信息安全法
- 网络安全审查办法
(不是考试重点)
4.信息安全等级
1、信息系统的安全保护等级
- 第一级:对公民、法人和其他组织的合法权益造成伤害,但不损害国家安全、社会秩序和公共利益。
- 第二级:对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但是不损害国家安全。
- 第三级:会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
- 第四级:会对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重损害。
- 第五级:会对国家造成特别严重损害。
2、安全保护能力等级
- 用户自主保护级:普通内联网用户。
- 系统审计级:该级使用通过内联网或国际网进行商务活动,需要保密的非重要单位。
- 安全标记保护级:该级适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通、大型工商与信息技术企业、重点工程建设等单位。
- 结构化保护等级:该级适用于中央级国家机关、广播电视部门、重点物资存储单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
- 访问验证保护级:该级适用于国家关键部门和依法需要对计算机信息系统实时特殊隔离的单位。
5. 人员管理
首选要求加强人员审查。
信息安全教育对象:
- 与信息安全相关的所有人员
- 如领导和管理人员,信息系统工程师,一般用户