第10章 信息系统安全与控制体系
第10章 网络管理与安全
10.2 常用网络诊断命令
2、路由追踪命令tracert
该命令用于确定到目标主机所采用的路由。要求路径上的每个路由器在 转发数据包之前至少将数据包上的TTL递减1。数据包上的TTL减为0时,路由 器将“ICMP 已超时”的消息发回源主机。
tracert 先发送TTL为1的回应数据包,并在随后的每次发送过程将TTL递 增1,直到目标响应或TTL达到最大值,从而确定路由。通过检查中间路由器 发回的“ICMP已超时”的消息确定路由。某些路由器不经询问直接丢弃TTL 过期的数据包,这在tracert实用程序中看不到。
两个工具所不能提供的其他信息结合起来。pathping 命令在一段时间 内将数据包发送到将到达最终目标的路径上的每个路由器,然后从每 个跃点返回基于数据包的计算机结果。由于该命令可以显示数据包在 任何给定路由器或链接上的丢失程度,因此可以很容易地确定可能导 致网络问题的路由器或链接。
默认的跃点数是30,并且超时前的默认等待时间是3 s。默认时间 是250 ms,并且沿着路径对每个路由器进行查询的次数是100。
tracert命令按顺序打印出返回“ICMP已超时”消息的路径中的近端路由 器接口列表。如果使用-d选项,则tracert实用程序不在每个IP地址上查询 DNS。
tracert [-d] [-h maximum_hops] [-j computer-list] [-w timeout] target_name
计算机网络基础
第10章 网络管理与安全
第10章 网络管理与安全
为了使计算机网络能够正常地运转并保持良 好的状态,涉及到网络管理和信息安全这两个 方面。网络管理可以保证计算机网络正常运行, 出现了故障等问题能够及时进行处理;信息安 全可以保证计算机网络中的软件系统、数据以 及线缆和设备等重要资源不被恶意的行为侵害 或干扰。
《计算机信息安全技术》课后习题及参考答案
第1章计算机信息安全概述习题参考答案1. 对计算机信息安全造成威胁的主要因素有哪些?答:影响计算机信息安全的因素有很多,主要有自然威胁和人为威胁两种。
自然威胁包括:自然灾害、恶劣的场地环境、物理损坏、设备故障、电磁辐射和电磁干扰等。
人为威胁包括:无意威胁、有意威胁。
自然威胁的共同特点是突发性、自然性、非针对性。
这类不安全因素不仅对计算机信息安全造成威胁,而且严重威胁着整个计算机系统的安全,因为物理上的破坏很容易毁灭整个计算机信息管理系统以及网络系统。
人为恶意攻击有明显的企图,其危害性相当大,给信息安全、系统安全带来了巨大的威胁。
人为恶意攻击能得逞的原因是计算机系统本身有安全缺陷,如通信链路的缺陷、电磁辐射的缺陷、引进技术的缺陷、软件漏洞、网络服务的漏洞等。
2. 计算机信息安全的特性有哪些?答:信息安全的特性有:⑴完整性完整性是指信息在存储或传输的过程中保持未经授权不能改变的特性,即对抗主动攻击,保证数据的一致性,防止数据被非法用户修改和破坏。
⑵可用性可用性是指信息可被授权者访问并按需求使用的特性,即保证合法用户对信息和资源的使用不会被不合理地拒绝。
对可用性的攻击就是阻断信息的合理使用。
⑶保密性保密性是指信息不被泄露给未经授权者的特性,即对抗被动攻击,以保证机密信息不会泄露给非法用户或供其使用。
⑷可控性可控性是指对信息的传播及内容具有控制能力的特性。
授权机构可以随时控制信息的机密性,能够对信息实施安全监控。
⑸不可否认性不可否认性也称为不可抵赖性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
发送方不能否认已发送的信息,接收方也不能否认已收到的信息。
3. 计算机信息安全的对策有哪些?答:要全面地应对计算机信息安全问题,建立一个立体的计算机信息安全保障体系,一般主要从三个层面来做工作,那就是技术、管理、人员。
(1)技术保障指运用一系列技术层面的措施来保障信息系统的安全运营,检测、预防、应对信息安全问题。
信息管理系统各章练习题答案
信息管理系统各章练习题答案标准化文件发布号:(9312-EUATWW-MWUB-WUNN-INNUL-DQQTY-信息管理系统各章练习题答案第1章信息时代及国家信息化本章练习题答案判断题简答题1.请简述信息时代的主要特征。
答:信息时代中,经济全球化和信息网络化已成为人类社会日益鲜明的发展趋势,其特征主要表现在三个方面:(1)微电子、计算机、软件和通信等技术快速发展;(2)信息产业已成为当今世界经济增长的主要推动力;(3)互联网和电子商务高速增长。
当然,这些特征只是表面的,信息时代的最显著的特征就是“全球信息化”。
2.简述国家推进作息化的主要任务。
答:抓紧建设国家信息基础设施;加速发展信息技术和信息产品;大力推进信息技术在国民经济各行业的应用;在统筹规划下实施信息化重大工程;为推进信息化建立良好的发展环境;推进电子商务建设。
3.简述我国推进信息化的主要特点。
答:主要特点是:以经济建设为中心,满足各行各业应用需求;为促进两个转变,为四个现代化和社会进步服务;强调信息化体系6个要素及其紧密关系;将信息资源开发利用放在核心地位;突出建立自主的信息产业;信息化建设与工业化建设并举,发挥后发优势;立足国情,先试点后推广,不搞一刀切。
4.简述说明我国国家信息化体系的6个要素。
答:我国的国家信息化体系由六个要素组成:即信息资源、信息网络、信息技术应用、信息技术和产业、信息化人才队伍、信息化政策法规和标准规范。
5.简要说明企业信息化应采取的主要措施。
答题要点:掌握信息知识;开发信息源;提高信息使用能力;用信息技术武装企业;建立管理信息系统及信息管理机构。
第2章管理、信息与系统本章练习题答案单项选择题1.A2.B3.D4.C5.A6.D7.A8.B9.C10.C填空题1.管理方法管理手段2.指挥控制3.Information4.信息敏感力信息转化力5.扩散性6.滞后性7.反馈控制8.能源时间9.接口标准化原则10.非结构化决策半结构化决策11.职能12.非结构化13.目标功能结构简答题1.简述系统分解的目的和原则答:系统分解的目的:在研究和描述系统的过程中,人们会发现所面对的系统通常都是庞大而又复杂的,一般无法通过一张图表一下子把系统所有元素之间的关系表达清楚,这时就需要按一定的原则把复杂的系统分解成若干个子系统。
网络安全期末备考必备——选择题
第1章网络安全概论(1) 计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。
A.机密性 B.抗攻击性C.网络服务管理性 D.控制安全性(2) 网络安全的实质和关键是保护网络的安全。
A.系统 B.软件C.信息 D.网站(3) 下面不属于TCSEC标准定义的系统安全等级的4个方面是。
A.安全政策 B.可说明性C.安全保障 D.安全特征(4) 在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。
A.机密性 B.完整性C.可用性 D.可控性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。
A.破环数据完整性 B.非授权访问C.信息泄漏 D.拒绝服务攻击答案: (1) A (2) C (3) D (4) C (5) B第2章网络安全技术基础(1)SSL协议是()之间实现加密传输的协议。
A.物理层和网络层B.网络层和系统层C.传输层和应用层D.物理层和数据层(2)加密安全机制提供了数据的()。
A.可靠性和安全性B.保密性和可控性C.完整性和安全性D.保密性和完整性(3)抗抵赖性服务对证明信息的管理与具体服务项目和公证机制密切相关,通常都建立在()层之上。
A.物理层B.网络层C.传输层D.应用层(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务的是()。
A.认证服务B.数据保密性服务C.数据完整性服务D.访问控制服务(5)传输层由于可以提供真正的端到端的连接,最适宜提供()安全服务。
A.数据保密性B.数据完整性C.访问控制服务D.认证服务解答:(1)C (2)D (3)D (4)B (5)B第3章网络安全管理技术(1)计算机网络安全管理主要功能不包括()。
A.性能和配置管理功能B.安全和计费管理功能C.故障管理功能D.网络规划和网络管理者的管理功能(2)网络安全管理技术涉及网络安全技术和管理的很多方面,从广义的范围来看()是安全网络管理的一种手段。
信息法教程第十章ppt课件
一、信息技术术语标准化
信息技术术语是指关于信息技术概念的词或词组, 信息技术术语的标准化是发展信息技术的前提。
(1) 要明确概念体系
(2)
要依次确定概念体系中每一个概 念的内涵和外延
(3)
要给每一个概念确定一个贴切的 定义
信息法第10章
二、信息表示标准化
(一) 信息分类编码标准化 (二) 图形符号标准化 (三) 条码技术标准化
信息法第10章
一、国外信息技术标准化的现状
❖ 美国 美国非常重视信息技术标准化工作。在硬件
方面、软件方面、数据方面、自动化数据 处理操作方面、都有制定的信息技术标准 化规范和指南。
美国已陆续制定了千余项信息技术标准、规 范和指南,其中有80%的标准直接采用了 ISO标准。
信息法第10章
一、国外信息技术标准化的现状
信息法第10章
(三)条码技术标准化
❖ 条码技术标准化主要涉及条码规则、条码 设备、条码检测方法和条码应用等方面的 内容。我国已经发布了《条码系统通用术 语—条码符号术语》、《条码符号印刷质 量的检验》、《三九条码》、《库德巴条 码》、《通用商品条码》、《通用商品条 码符号位置》和《中国标准书号(ISBN 部分)条码》等条码国家标准。
一、信息技术术语标准化 二、信息表示标准化 三、汉字信息处理技术标准化 四、媒体标准化 五、软件工程标准化
六、数据库标准化 七、网络通信标准化
第三节 信息技术标准化涉及的范围
信息法第10章
八、电子数据交换(EDI)标准化 九、办公自动化(OA)标准化 十、电子卡(IC卡)标准化 十一、家庭信息系统标准化 十二、信息系统硬件标准化 十三、计算机集成化制造系统标准化 十四、信息系统安全与保密标准化
《管理信息系统》主要知识点
《管理信息系统》主要知识点第一章信息与信息技术1、信息概念有两个层次:本体论层次:信息是事物运动的状态及其改变方式认识论层次:主体感知或所表述的事物运动的状态及其改变的方式。
分类:语法信息:信息的外在形式,由主体感知。
语义信息:信息的逻辑涵义,由主体理解。
语用信息:信息的效用,由主体根据目的来判断2、信息支持决策的观点:信息是经过加工后的数据,它会对接受者的行为和决策产生影响,对决策者增加知识具有现实的或潜在的价值。
3、信息资源观点:1)谁先得到信息和利用信息,谁就具有主动权,谁的信息丰富和准确,谁就能统筹全局,后来者的信息作用将大打折扣,难以获得主动权和主导权,在竞争中处于不利地位。
2)我们面临着物资和能源逐渐匮乏的重大社会发展问题,信息的资源转化性质让我们社会的可持续发展增添了一条宝贵的途径。
因此:信息资源就是一类战略性资源。
4、数据、信息和知识的三层次结构关系:达文波特和普勒塞克认为:1)数据是有关事件的离散的客观事实;2)对数据加以背景、分类、计算、更正和精简等处理后,数据就转变为信息;3)知识是相关信息以及经验、价值观和洞察力等的动态组合,是对信息的理解。
5、信息特性主要包括:普遍性、客观性(事实性)、无限性、层次性(等级性)、相对性、依附性、动态性(时效性)、知识性、异步性、易传性(转移性)、共享性、转化性、可伪性、不完全性等6、从不同的角度有不同的信息划分方法:按管理层次分:战略信息、战术信息、作业信息按业务领域分:营销、物流、生产、财务、人事按信息来源分:企业内部信息、企业外部信息7、战略信息:组织生存与发展决策相关的信息,制定战略需要大量外部信息与内部信息。
控制信息:管理控制信息,主要是内部信息。
便于掌握资源利用情况并更有效地分配资源。
作业信息:与组织日常活动相关,是内部信息,保证切实完成作业。
8、信息度量概念的启示:(1)越接近信息源的信息的量越大,为此不仅要收集很多数据,更重要的是收集和选用与问题最直接的信息源的信息。
信息系统项目管理师教程第四版目录
5.4.2 安全系统 171 5.4.3工程基础 174 5.4.4工程体系架构 174 5.5 本章练习 181 第 6 章项目管理概论 183 6.1PMBOK 的发展 183 6.2 项目基本要素 184 6.2.1 项目基础 184 6.2.2 项目管理的重要性 186 6.2.3 项目成功的标准 187 6.2.4 项目、项目集、项目组合和运营管理 之间的关系 187 6.2.5 项目内外部运行环境 191 6.2.6 组织系统 192 6.2.7 项目管理和产品管理 194 6.3 项目经理的角色196 6.3.1 项目经理的定义 196 6.3.2 项目经理的影响力范围 196 6.3.3 项目经理的能力198 6.4 价值驱动的项目管理知识体系 201 6.4.1 项目管理原则 202
11.2.2 裁剪考虑因素 338 11.2.3 敏捷与适应方法 338 11.3 规划成本管理 338 11.3.1 输入339 11.3.2工具与技术 340 11.3.3 输出 340 11.4 估算成本 341 11.4.1 输入342 11.4.2工具与技术 343 11.4.3 输出 344 11.5 制定预算 345 11.5.1 输入345 11.5.2工具与技术 346 11.5.3 输出 347 11.6 控制成本 349 11.6.1 输入349 11.6.2工具与技术 350 11.6.3 输出 355 11.7 本章练习 356 第 12 章项目质量管理 358 12.1 管理基础 358
7
13.6.1 输入401 13.6.2工具与技术 402 13.6.3 输出 403 13.7 管理团队 404 13.7.1 输入405 13.7.2工具与技术 406 13.7.3 输出 407 13.8 控制资源 408 13.8.1 输入409 13.8.2工具与技术 410 13.8.3 输出 410 13.9 本章练习 411 第 14 章项目沟通管理 414 14.1 管理基础 414 14.1.1 沟通 414 14.1.2 沟通模型 414 14.1.3 沟通分类 415 14.1.4 沟通技巧 415 14.1.5 管理新实践 416 14.2 项目沟通管理过程 417 14.2.1 过程概述 417
信息系统的安全策略
• 4. 风险分析 • 该公司的的物理环境、计算机网络设施、信息资源构建、电 子交易、数据存取、访问及组织人事等方面都存在安全风险 ,需要加以保护。 • 5. 审批与发布 • 方案经各部门讨论、研究制定后将向各主管部门申报审批。 批准后,将由人事组织部门组织全体人员学习并实施。同时 由人事组织部门向有关方面通报、沟通。
10.2.4信息系统安全策略的文档格式
• 安全策略形成的文件是一个高层的计划方案, 是对安全策略的 全面说明与部署,信息系统安全策略的文档格式如下: • 1. 企业电子商务系统概况。 • 2. 企业网络架构、设备、信息资产现状,运行实践与风险分 析。 • 3. 提供信息安全管理系统(ISMS )“资源与现状”的“需求 ”; • 提出ISMS对各项管理的“目标与原则”的“要求”。 • 4. ISMS所要求的保存在各种介质中的记录。 • 5. 文档发布、沟通与保管的流程安排。 • 6. 申报审批等有关说明与补充。
10.1.3安全策略的基本流程
• 安全策略的基本流程是“计划-实施-检查-改进”(PDCA): • 1. 计划(建立ISMS计划) :权衡组织的需求、目标、风险与 效益,构建ISMS计划。确定受保护的信息资源的性质并按照 国家标准进行安全分级。既要按照安全策略的要求做到“八 定”,又要明确执行者、受益者、用户和所有者在责、权、 利方面的原则及其优先级,以求达到策略预期的效果。 • 2. 实施(实施和运作ISMS) :落实计划中的各项规定与流程 ,实施和运作ISMS的策略、控制措施与程序。
10.1.4 安全策略的特征
• 网络的安全问题不是单纯的技术问题,安全管理在整个网络 安全保护工作中的地位十分重要。任何先进的网络安全技术 都必须在有效、正确的管理控制下才能得到较好的实施。 • 安全策略具有下列一些基本特征: • 1. 全面性:安全策略的全面性是指它能够适用于系统的所有 情况,具有不用修改就可以适用于出现的新情况。 • 2. 持久性:安全策略的持久性是指它能够较长时间地适用于 系统不断发展变化的情况。为了保持持久性,在制定安全策 略时可将可能发生变化的部分单列,允许有权限的人员在将 来系统变化时修改。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Slide ‹#›
一、信息系统安全与信息安全(1)
信息系统安全(information systems security)与信息安 全(information security)是一对不太完全相同的概念 。 信息安全与信息系统安全是安全集与安全子集的关系,具 有包含与被包含的关系。 信息安全有着更广泛、更普遍的意义,它涵盖了人工和自 动信息处理的安全,网络化与非网络化的信息安全,泛指 一切以声、光、电信号、磁信号、语音及约定形式等为媒 体的信息的安全,一般也包含以纸介质、磁介质、胶片、 有线信道及无线信道为媒体的信息,在获取(包括信息转 换)、分类、排序、检索、传递和共享中的安全。
Slide ‹#›
五、信息系统安全等级划分(2)
在TCSEC中,安全策略包括自主式接入控制(DAC,是 指由文件的持有者来决定拒绝或允许用户对信息的访问)、 受控式接入控制(MAC,是指由系统来决定对文件的访问 权)、敏感标记和对象重用等 。 该标准根据所采用的安全策略及系统所具备的安全功能将 系统分为4类7个安全级别,参见表10-3所示。 值得注意的是,TCSEC原来主要针对的是操作系统的安 全评估,后来有关方面为了使TCSEC能够适用于网络等 系统,于1987年出版了一系列有关可信计算机数据库、可 信计算机网络等方面的指南,较好地解释了网络环境下的 软件产品如何进行安全性评估的问题。
Slide ‹#›
表10-4 威胁分析报告
威胁类型
数据窃取 舞弊与病毒攻击 恶意破坏
潜在损失(元)
700 000 000 1 200 000 000 2 500 000 000
风险系数
0.050 0.025 0.010
损失风险(元)
35 000 000 30 000 000 25 000 000
文档变更 程序变更
Slide ‹#›
一、脆弱性与威胁的分析方法(2)
系统的脆弱性是客观存在的,其本身没有实际的 伤害,但威胁可以利用脆弱性来发挥作用 。 从这点来说,可以将信息系统的风险理解为威胁 利用了系统的脆弱性而导致的。 对信息系统的脆弱性和威胁的分析方法一般有两 种方法,即定量分析方法和定性分析方法。 定量分析方法是将每种威胁的潜在损失与其发生 的概率(风险系数)的乘积来计算损失风险,如 表10-4所示。
Slide ‹#›
主要内容
第一节 信息系统安全概述
第二节 脆弱性与威胁
第三节 控制体系
Hale Waihona Puke 第四节 灾难风险管理第五节 信息系统安全与风险控制
Slide ‹#›
脆弱性与威胁
一、脆弱性与威胁的分析方法 二、信息系统舞弊 三、对信息系统构成威胁的个人及其实施的 主动威胁 四、因特网的脆弱性与威胁
Slide ‹#›
一、脆弱性与威胁的分析方法(1)
脆弱性是指一个系统的薄弱环节; 威胁则是指利用这种脆弱性对信息资源造成破坏 或者损失的可能性; 威胁一般有两种:主动威胁和被动威胁,前者主 要包括信息系统舞弊和计算机破坏行为,后者则 包括系统故障和自然灾害等。 威胁一旦发生,其结果势必给系统造成影响,威 胁利用脆弱性使组织产生短期或长期、直接或间 接的经济损失。
机密性 信息系统能够在规定条件下和 规定的时间内完成规定的功能 的特性,它是信息系统安全的 最基本要求之一 。
Slide ‹#›
四、信息系统安全特性(3)
信息系统安全特性通常可从以下五个方面 来认识:
抗抵赖性
机密性也叫保密性, 是指信息系统能够保 证信息不被泄露给任 何非授权的用户、实 体或过程,或者供后 者利用的特性,即保 证信息只给授权用户 合理使用的特性。
三、信息安全系统的目标分析与组织中的 信息安全系统(2)
表10-1中的四个阶段合起来被称为信息系统风险 管理,其目标就是为了评估和控制信息系统风险, 确保信息系统安全。 组织中的信息安全系统 在一个已经实施信息系统的组织中,为了确保信 息安全系统的有效性,必须安排一个专门负责 人——首席安全官(CSO)来管理,并且为了保 持CSO的完全独立性,应当规定由他或她直接向 董事会报告。CSO的主要责任之一便是将涉及信 息系统安全的报告呈交董事会以求后者审批通过, 报告的内容可参见表10-2。
其次是舞弊与病毒攻击,而自然灾害可能造成的损失 风险最小。
但是,从威胁发生的可能性来看,最可能发生的威胁
是设备盗窃,但它造成的损失风险未必最大。
通过这种定量分析方法,对各种威胁发生的可能性大
小、以及造成的损失风险的大小一目了然,有助于我 们采取相应的措施以提高信息系统抗威胁的能力。
Slide ‹#›
完整性
机密性
Slide ‹#›
四、信息系统安全特性(4)
信息系统安全特性通常可从以下五个方面 来认识:
指信息在未经授权之 下不能擅自变更的特 性,即网络信息在存 储或传输过程中保持 不被偶然或故意删除、 修改、伪造、插入、 重置等行为破坏和丢 失的特性。
抗抵赖性
完整性
机密性
Slide ‹#›
四、信息系统安全特性(5)
四、信息系统安全特性(1)
信息系统安全特性通常可从以下五个方面 来认识:
抗抵赖性
完整性
机密性
指要求信息系统对信息 输入、处理和输出的全 过程必须进行必要的识 别和验证,以确保信息 的真实可靠。
Slide ‹#›
四、信息系统安全特性(2)
信息系统安全特性通常可从以下五个方面 来认识:
抗抵赖性
完整性
Slide ‹#›
一、信息系统安全与信息安全(2)
信息系统安全可理解为:与人、网络、环境有关 的技术安全、结构安全和管理安全的总和,旨在 确保在计算机网络系统中进行自动通信、处理和 利用的、以电磁信号为主要形式的信息内容,在 各个物理位置、逻辑区域、存储和传输介质中, 始终具有可信性、机密性、完整性、可用性、和 抗抵赖性等安全特质。 从系统过程与控制角度看,信息系统安全就是信 息在存取、处理、集散和传输中保持其可信性、 机密性、完整性、可用性和抗抵赖性的系统识别、 控制、策略和过程。
次高
中 低 最低
五、信息系统安全等级划分(4)
我国于1999年由公安部主持、国家质量技术监督局发 布的GB7895-1999《计算机信息系统安全保护等级划 分准则》将信息系统安全分为五个等级,分别是: 第一级,用户自主保护级。它的安全保护机制可使用 户具备自主安全保护的能力,以使用户的信息免受非 法的读写破坏; 第二级,系统审计保护级。除具备第一级所有的安全 保护功能外,要求创建和维护访问的审计跟踪记录, 使所有的用户对自己行为的合法性负责;
Slide ‹#›
五、信息系统安全等级划分(5)
第三级,安全标记保护级。除继承上一级别的安全保 护功能外,还要求以访问对象标记的安全级别限制访 问者的访问权限,实现对访问对象的强制功能 ; 第四级,结构化保护级。在继承前述安全级别的安全 功能的基础上,将安全保护机制划分为关键部分和非 关键部分,对关键部分直接控制访问这对访问对象的 存取,从而加强系统的抗渗透能力; 第五级,访问验证保护级。该级别特别增设了访问验 证功能,负责仲裁访问者对访问对象对象的所有访问 活动 。
一、脆弱性与威胁的分析方法(5)
值得注意的是,将定量分析方法用于评估损失风险在实际 操作上会存在许多困难。最大的困难恐怕在于确定单位损 失的相关成本以及风险发生的可能性方面。 定性分析方法仅仅列出系统脆弱性和威胁,根据它们对组 织总损失风险的影响大小,人为地将其分成几个等级,规 定脆弱性和威胁对组织总损失风险的影响越大,其等级越 高,反之,其等级越低。通过这种分析,我们可以重点关 注处于较高等级的威胁。 不管采取上述哪种分析方法,都需要对以下几个方面进行 分析评估:业务中断、设备与硬件损失、软件损失、数据 损失、服务与人员损失等。
Slide ‹#›
一、信息系统安全与信息安全(3)
上述概念中,系统识别主要研究如何建立系统的
数学模型,内容包括模型类型的确定、参数估计 方法和达到高精度估计的试验设计方法。
控制指信息系统根据变化进行调控,使其始终保
持动态平衡状态。因此,调控的方向和目标就是
使信息系统始终处于风险可接受的幅度内,并逐
设备盗窃 自然灾害
400 000 000 80 000 000
15 000 000 100 000 000
0.050 0.020
0.100 0.008
20 000 000 1 600 000
1 500 000 800 000
一、脆弱性与威胁的分析方法(4)
根据表10-4可知,数据窃取可能造成的损失风险最大,
Slide ‹#›
二、信息系统安全的影响因素分析
信息系统本身由于系统主体和客体的原因可能存 在不同程度的脆弱性,这就为各种动机的攻击提 供了入侵、骚扰和破坏信息系统可利用的途径和 方法。 影响信息系统安全的因素主要有以下几个方面: 硬件组织 软件组织 网络和通讯协议 管理者
Slide ‹#›
第十章 信息系统安全与控制体系
Security & Controls for Information System
Slide ‹#›
主要内容
第一节 信息系统安全概述
第二节 脆弱性与威胁
第三节 控制体系
第四节 灾难风险管理
第五节 信息系统安全与风险控制
Slide ‹#›
信息系统安全概述
一、信息系统安全与信息安全 二、信息系统安全的影响因素分析 三、信息安全系统的目标分析与组织的信息 安全系统 四、信息系统安全特性 五、信息系统安全等级划分
步收敛至风险趋于最小的状态。
Slide ‹#›
一、信息系统安全与信息安全(4)
策略就是针对信息系统安全面临的系统脆弱性和 各种威胁,进行安全风险分析,确定安全目标, 建立安全模型和安全等级,提出控制对策,并对 信息系统安全进行评估、制定安全保障和安全仲 裁等对策。 过程指信息系统的变化在时间上的持续和空间上 的延伸。过程和状态不可分割,二者相互依存、 相互作用和制约。信息系统的状态决定和影响着 过程,而过程又决定和影响着新的状态。