信息安全管理是指防止信息财产被故意的或偶然的泄露、更改、破坏或使信息不可用的系统辨识、控制、策略和过程。其要旨应当是向合法的服务对象提供准确、J下确、及时、可靠的信息服务;而对其它任何人员和组织包括内部、外部乃至于敌对方,都要保持最大限度的信息的不透明性、不可获取性、不可接触性、不可干扰性、不可破坏性,而且不论信息所处的状态是静态的、动态的,还是传输过程中的。因此,信息安全的目的是保护在信息系统中存储、处理的信息的安全。
信息安全管理具有以下五个方面的特点:
完整性,即信息在存储或传输过程中保持不被修改、破坏和丢失的特性;
可用性,指信息可被合法用户访问并按要求的特性使用,即当需要时能否存取所需信息;
保密性,即信息不泄密给非授权的个人和实体或者供其利用的特性;
可控性,指可以控制授权范围内的信息流向及行为方式,对信息的传播及内容具有控制能力;
不可否认性,指信息的行为人要对自己的信息行为负责,不能抵赖自己曾有过的行为,也不能否认曾经接受到对方的信息。DevOps
于是对于信息安全我们可以从三个方面考虑:安全攻击、安全机制和安全服务:
安全攻击:网络面临的安全威胁多种多样,网络中的主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,从内部网向公网传送的信息可能被他人窃听或篡改等等,造成网络安全的攻击的原因是多方面的,有来自外部,也有可能来自企业网络内部。
安全服务:在网络通信中,主要的安全防护措施被称作安全服务。国际标准化组织150在网络安全体系设计标准(1507498.2)中,提出了层次型的安全体系结构,并定义了五大安全服务功能:身份认证服务,访问控制服务,数据保密性服务,数据完整性服务,不可否认性服务。
安全机制:安全机制是实现安全服务的技术手段,表现为操作系统、软硬件功能部件、管理程序以及他们的任意组合。网络信息系统的安全是一个系统的概念,为了保障整个系统的安全可以采用多种机制。
本帖关键字:信息安全管理、ISO27001、isms
|