二十四 - 三。
十二、信息安全管理。
1、业务应用信息系统的安全威胁(风险)的分类方法?
现从风险源的角度来分类:
1)、自然风险:是不以人的意志为转移的不可抗拒的天灾人祸。如**、雷击、洪灾等。另外,恐怖事件造成的风险也属于自然风险。
2)、人为风险:可分为意外的人为事件风险和有意的人为事件风险。
意外的人为事件风险是各种不确定因素综合在一起时偶然发生的,并不是有人故意造成的。
有意的人为事件风险包括欺诈或偷窃、内部员工的有意破坏、怀有恶意的黑客行为等。
2、威胁、脆弱弱、影响之间的关系是什么?
威胁、脆弱性、影响这三者之间存在一定的对应关系。
威胁可以看成是系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。
脆弱性可以看成是系统内部的薄弱点。它是客观存在的,本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。
影响可以看成是威胁与脆弱性的特殊组合。
三者的关系可以用以下的公式来表示:风险=威胁*弱点*影响。
3、风险识别和风险评估的方法?
尽管特定事件的发生具有不可**性,但在一定时期的多数事件发生的可能性可以凭借一定的技术手段和经验进行可信度评估,基本能够对项目的风险做出比较准确的识别和评估。
风险识别的常用方法有:
1)、问询法:头脑风暴法、面谈法、德尔菲法。
2)、财务报表法:各种财务报表和记录。
3)、流程图法:网络图法或wbs法。
4)、现场观察法。
5)、历史资料。
6)、环境分析法。
7)、类比法。
8)、专家咨询。
风险评估的常用方法有:
1)、概率分布:专家**。
2)、外推法:使用历史数据。
3)、定性评估。
4)、矩阵图分析。
5)、风险发展趋势评价方法。
6)、项目假设前提评价及数据准确度评估。
4、什么是安全策略?
安全策略是指计算机业务应用信息系统的“安全策略”,是指人们为保护因为使用计算机业务应用信息系统可能招致来的对单位资产造成损失而进行保护的各种措施、手段,以及建立的各种管理制度、法规等。
5、安全策略的核心内容“七定”?
1)、定方案。
2)、定岗。
3)、定位。
4)、定员。
5)、定目标。
6)、定制度。
7)、定工作流程。
6、mis+s的名称及特点?
mis+s:称为初级信息安全保障系统或基本信息安全保障系统。
特点一:业务应用系统基本不变。
特点二:硬件和系统软件通用。
特点三:安全设备基本不带密码。
7、s-mis的名称及特点?
s-mis:称为标准信息安全保障系统。
特点一:硬件和系统软件通用。
特点二:pki/ca安全保障系统必须带密码。
特点三:主要的通用的硬件、软件也要pki/ca认证。
8、s2-mis的名称及特点?
s2-mis:称为超安全的信息安全保障系统。
特点一:硬件和系统软件都专用。
特点二:pki/ca安全基础设施必须带密码。
特点三:业务应用系统必须根本改变。
特点四:主要的硬件和系统软件需要pki/ca认证。
9、建立安全策略需处理好的几种关系?
1)、安全与应用的依存关系:安全与应用既是一对矛盾,又相互依存。没有应用,就不会产生相应的安全需求;不妥善地解决安全问题,就不将能更好地开展应用。
2)、风险度的观点:安全是相对的,是一个风险大小的问题。它是一个动态的过程。我们不能一厢情愿地追求所谓绝对安全,而是要将安全风险控制在合理程度或允许的范围,这就是风险度的观点。
3)、适度安全的观点:安全代价低,安全风险肯定大。安全风险要降得很低,安全的代价也就越大。一个好的信息安全保障系统的标志就是有效控制两者的“平衡点”。
4)、木桶效应的观点:该观点是将整个信息安全系统从一个完整的系统角度,比作一个木桶,其安全水平是由构成木桶的最短的那块木板决定的。也就是说,我们的信息安全系统中,各个安全要素是同等重要的。
5)、安全等级保护的概念:《计算机信息安全保护等级划分准则》建立了安全等级保护制度。它将计算机信息系统分为五个安全保护等级:
1)第一级为用户自主保护级:适用于普通内联网用户。
2)第二级为系统审计保护级:适用于通过内联网或国际网进行商务活动,需要保密的非重要单位。
3)第**为安全标记保护级:适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
4)第四级为结构化保护级:适用于**级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
5)第五级为访问验证保护级:适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
10、什么是信息安全保障系统?
一般简称为信息安全系统,可从宏观的三维空间直观地理解信息安全系统的体系架构以及它的组成:
1)、x轴是安全机制。
2)、y轴是osi网络参考模型。
3)、z轴是安全服务。
24 网络安全管理制度
第一章总则。第一条为加强单位的网络管理工作,保障单位网络的规范化建设和安全稳定运行,根据 中华人民共和国计算机信息网络国际联网管理规定 有关法律 法规和制度,制定本制度。第二条本规定中所称计算机网络是指本单位内网和外网包括支撑网络系统的网络资源 硬件设备和软件系统等。第三条网络管理实行统一规划 统一...
现场安全检查 3 24
2014年3月24日,对上海浦高的工地现场进行了安全检查,现将现场发现的问题总结如下 1.临时出入证。现场大部分施工人员已佩戴临时出入证,但有部分人员因嫌挂在胸口有碍施工而未佩戴。已让施工方hse经理时刻提醒施工人员佩戴起来。2.临时用电 动火作业。1 电焊机虽有接地线,但并未接地。已让施工方电工整...
信息 管理信息概述 安全管理信息系统
一 信息的概念 信息 是个古老而又现代化的概念。信息 这个词到现在还没有公认的定义,国内外关于 信息 的定义说法有39种之多,尚处于可领会而不易言传的阶段。客观世界的三大要素是物质 能量和信息。人类认识物质和能量要早一些。50年代以来,由于科学技术的进步,特别是微电子学的发展,使得信息与知识的传递 ...