14.信息系统安全管理

一、信息安全管理

1.含义及目标：保护信息的保密性、完整性、可用性及真实性、可核查性、不可抵赖性和可靠性2.目标：信息安全三元组

保密：网络安全协议；网络认证服务；数据加密服务

完整：信息源的不可抵赖；防火墙；通信安全；入侵检测系统

可用：磁盘和系统的容错及备份；可接受的登录及进程性能；可靠的功能性的安全进程和机制3.信息安全管理的内容1）信息安全方针与策略2）组织信息安全3）资产管理4）人力资源安全5）物理和环境安全6）通信和操作安全7）访问控制

8）信息系统的获取、开发和保持9）信息安全事件管理10）业务持续性管理11）符合性

二、信息系统安全

1.概念：信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征2.侧重点随使用者的需求不同而发生变化3.信息系统安全属性

保密性：最小授权原则；防暴露；信息加密；物理保密

完整性：协议；纠错编码方法；密码校验和方法；数字签名；公证可用性不可抵赖性

4.信息系统安全管理体系1）配备安全管理人员2）建立安全职能部门3）成立安全领导小组4）主要负责人领导

5）建立信息安全保密管理部门

5.技术体系

物理安全-运行安全-数据安全物理安全-确保硬件系统安全

网络安全-确保数据网上传输、交换安全

系统安全-确保操作系统和数据库管理（系统安全运行和数据安全保护）应用安全-确保应用软件安全运行

管理措施-确保安全功能达到应有的安全性而必须采取的管理措施

三、物理安全管理1.计算机机房2.技术控制

3.环境与人身：吊顶和地板下设置火灾探测器（10~15m²）；主机房采用烟感和温感探测器；主机房内绝缘体静电电位不大于1KV4.电磁兼容

四、人员安全管理

安全组织、岗位安全考核与培训、离岗人员安全管理五、应用系统安全管理

1.安全与保密的层次由粗到细的排序：系统级安全资源访问安全功能性安全

数据域安全：行级数据域安全；字段级数据域安全2.系统安全等级管理

保密等级：绝密、机密、秘密对可靠性：A、B、C

内绝缘体