-
网络安全基本属性
- 机密性
- 是指网络信息不泄露给非授权的用户、实体或程序,能够防止非授权者获取信息(不泄露)
- 完整性
- 是指网络信息或系统未经授权不能进行更改的特性(不被篡改)
- 可用性
- 是指合法许可的用户能够及时获取网络信息或服务的特性(随时可以使用)
- 抗抵赖性
- (不可否认性)
- 可控性
- (具有管理、支配能力的属性)
- 其他
- 真实性
- 时效性
- 合规性
- 公平性
- 能够有效完成预定的系统功能
- 可靠性
- 可生存性
- 隐私性
- 机密性
-
网络信息安全目标与功能
-
目标
-
保障网络信息及相关信息系统免受网络安全威胁
-
-
功能
- 防御:使网络系统具备阻止、抵御各种已知网络安全威胁的功能
- 监测:检测、发现各种已知或未知的网络安全威胁功能
- 应急:针对网络中的突发事件,具备及时响应和处理网络攻击的功能
- 恢复:具备恢复网络系统运行的功能
-
-
网络信息访问控制目标
- 限制非法用户获取或使用网络资源
- 防止合法用户滥用权限,越权访问网络资源
-
网络安全管理方法
- 风险管理、等级保护、纵深防御、层次化保护、应急响应、PDCA(Plan-Do-Check-Act)
-
信息安全风险
-
网络威胁发生的概率和造成影响的乘积
-
风险控制方法
- 避免风险:通过物理隔离设备将内网和外网分开,避免受到外网的攻击(网闸)
- 转移风险:购买商业保险、安全外包
- 减少威胁:安装防病毒软件
- 消除脆弱点:给操作系统打补丁、强化工作人员的安全意识
- 减少威胁的影响:采取多条线路进行备份(冗余)、制定应急预案
- 风险监测:定期对网络系统中的安全状况进行风险分析,检测潜在的威胁行为
-
-
信息安全管理工作流程
- 确定对象-评估价值-识别威胁-识别脆弱性-确定风险级别-制定措施-实施措施-运维
-
等保测评的流程
- 定级、备案、建设整改、等级测评、运营维护(监督管理)
-
生命周期
-
网络信息系统规划
- 网络信息安全风险评估
- 标识网络信息安全目标
- 标识网络信息安全需求
-
网络信息系统设计
- 标识信息安全风险控制方法
- 权衡网络信息安全解决方案
- 设计网络信息安全体系结构
-
网络信息系统集成实现
- 购买和部署安全设备或产品
- 网络信息系统的安全特性应该被配置、激活
- 网络安全系统实现效果的评价
- 验证是否能满足安全需求
- 检查系统所云的环境是否符合设计
-
网络信息系统运行和维护
- 建立网络信息安全管理组织
- 制定网络信息安全规章制度
- 定期重新评估网络信息管理对象
- 适时调整安全配置或设备
- 发现并修补网络信息系统的漏洞
- 威胁检测与应急响应
-
网络信息系统废弃
- 对要替换或废弃的网络系统组件进行风险评估
- 废弃的网络信息系统组件安全处理
- 网络信息系统组件的安全更新
-
信安软考总结-第一章 网络信息安全概述
最新推荐文章于 2024-09-28 01:25:42 发布