資訊安全管理的對象包括什麼-常見問題-PHP中文網

首頁

常見問題

資訊安全管理的對象包括什麼

王林

Dec 07, 2020 pm 02:14 PM

物件資訊安全管理

資訊安全管理的物件包括目標、規則、組織和人員。資訊安全管理是指透過維護資訊的機密性、完整性和可用性來管理和保護資訊資產，是對資訊安全保障進行指導、規範和管理的一系列活動和流程。資訊安全管理的內容：1、資訊安全風險管理；2、設施的安全管理；3、資訊的安全管理；4、運作的安全管理。

資訊安全管理的對象包括什麼

本文操作環境：windows7系統、Dell G3電腦。

資訊安全管理的物件包括目標、規則、組織、人員。

資訊安全管理是指透過維護資訊的機密性、完整性和可用性來管理和保護資訊資產，是對資訊安全保障進行指導、規範和管理的一系列活動和流程。

資訊安全管理的內容

1、資訊安全風險管理

　　資訊安全管理是一個過程，而不是一個產品，其本質是風險管理。資訊安全風險管理可以看成是一個不斷降低安全風險的過程，最終目的是將安全風險降低到一個可接受的程度，使用戶和決策者可以接受剩餘的風險。資訊安全風險管理貫穿資訊系統生命週期的整個過程。資訊系統生命週期包括規劃、設計、實施、維運和廢棄五個階段。每個階段都存在相關風險，需要採用同樣的資訊安全風險管理的方法加以控制。

　　資訊安全風險管理是為保護資訊及其相關資產，指導和控制一個組織相關資訊安全風險的協調活動。我國《資訊安全風險管理指南》指出，資訊安全風險管理包括對象確立、風險評估、風險控制、審核批准、監控與審查、溝通與諮詢六個方面，其中前四項是資訊安全風險管理的四個基本步驟，監控與審查和溝通與諮詢則貫穿前四個步驟。

2、設施的安全管理

　　設施的安全管理包括網路的安全管理、保密設備的安全管理、硬體設施的安全管理、場地的安全管理等。

　　管理網路的安全管理。資訊管理網路是一個用於收集、傳輸、處理和儲存資訊系統與網路的維護、運作和管理資訊的、高度自動化網路化的綜合管理系統。它包括效能管理、組態管理、故障管理、計費管理、安全管理等功能。而安全管理包括系統的安全管理、安全服務管理、安全機制管理、安全事件處理管理、安全審計管理、安全復原管理等。

　　硬體設施的安全管理。硬體設施的安全管理主要考慮配置管理、使用管理、維修管理、儲存管理、網路連線管理。常見的網路設備需要防止電磁輻射、電磁洩漏和自然老化。對集線器、交換器、閘道設備或路由器，還需防止受到拒絕服務、存取控制、後門缺陷等威脅。對傳輸媒體還需防止電磁幹擾、搭線竊聽和人為破壞，對衛星頻道、微波接力頻道等需防止對頻道的竊聽及人為破壞。對保密設備主要包括保密效能指標的管理、工作狀態的管理、保密設備類型、數量、分配、使用者狀況的管理、金鑰的管理。場地設施的安全管理。機房和場地設施的安全管理需要滿足防水、防火、防靜電、防雷擊、防輻射、防竊等國家標準。人員出入控制，需依安全等級及涉密範圍，採取必要的技術與行政措施，對人員進入及退出的時間及進入理由進行登記等。電磁輻射防護，需根據技術上的可行性與經濟上的合理性，採取設備防護、建築物防護、區域防護、磁場防護。

3、資訊的安全管理

　　根據資訊化建構發展的需要，資訊包括三個層次的內容：一是在網路和系統中被收集、傳遞、處理和儲存的對象，如技術文件、儲存媒體、各種資訊等；二是指使用的各種軟體；三是安全管理手段的金鑰和口令等資訊。軟體設施的安全管理。軟體設施的安全管理主要考慮組態管理、使用和維護管理、開發管理、病毒管理。軟體設施主要包括作業系統、資料庫系統、應用軟體、網路管理軟體、網路協定等。作業系統是整個電腦系統的基石，由於它的安全等級不高，需要提供不同安全等級的保護。對資料庫系統，需要加強資料庫的安全性，並採用加密技術對資料庫中的敏感資料加密。目前使用最廣泛的網路通訊協定是TCP/IP協定。由於存在許多安全設計缺陷，常常面臨許多威脅。網路管理軟體是安全管理的重要組成部分，常用的有：HP公司的OpenView，IBM公司的NetView，SUN公司的NetManager等，也需要額外的安全措施。

　　儲存媒體的安全管理。儲存媒體包括：紙媒體、磁碟、光碟、錄音帶、錄音/錄影帶等，它們的安全對資訊系統的復原、資訊的保密、防毒起著十分關鍵的作用。對不同類別的儲存介質，安全管理要求也不盡相同。儲存媒體的安全管理主要考慮儲存管理、使用管理、複製和銷毀管理、涉密媒體的安全管理。技術文件的安全管理。技術文件是系統或網路在設計、開發、運作和維護中所有技術問題的文字描述。技術文件依其內容的涉密程度進行分級管理，一般分為絕密級、機密級、秘密級及公開級。技術文件的安全管理主要考慮文件的使用、備份、借閱、銷毀等方面，需要建立嚴格的管理制度和相關負責人。

　　金鑰和口令的安全管理。金鑰是加密解密演算法的關鍵，金鑰管理就是對金鑰的產生、檢驗、分配、保存、使用、注入、更換和銷毀等過程所進行的管理。口令是進行設備管理的有效手段，對口令的產生、傳送、使用、儲存、更換均需要有效的管理與控制。

4、運作的安全管理

　　資訊系統和網路在運作中的安全狀態也是需要考慮的問題，目前常常關注安全審計和安全復原兩個安全管理問題。

　　安全審計。安全審計是指對系統或網路運作中有關安全的情況和事件進行記錄、分析並採取相應措施的管理活動。目前主要針對作業系統及各種關鍵應用軟體進行審計。安全審計工作應該由各級安全機構負責實施管理，安全審計可以採用人工、半自動或自動智慧三種方式。人工審計一般透過審計員查看、分析、處理審計記錄；半自動審計一般由電腦自動分析處理，再有審計員作出決策和處理；自動智慧審計一般由電腦完成分析處理，並藉助專家系統作出判斷，更能滿足不同應用環境的需求。

　　安全恢復。安全恢復是指網路和資訊系統在收到災難性打擊或破壞時，為使網路和資訊系統迅速恢復正常，並使損失降低到最小而進行的一系列活動。安全恢復的管理主要包括安全恢復策略的確立、安全恢復計畫的製定、安全恢復計畫的測試和維護、安全恢復計畫的執行。

資訊安全管理的原則

　　資訊安全管理應遵循統一的安全管理原則：

　　（1）規範化原則：各階段都應遵循安全規範要求，根據組織安全需求，制定安全策略。

　　（2）系統化原則：根據安全工程的要求，對系統各階段，包括以後的升級、換代和功能擴展進行全面統一地考慮。

　　（3）綜合保障原則：人員、資金、技術等多面向綜合保障；

　　（4）以人為本原則：技術是關鍵，管理是核心，提升管理階層的技術素養和道德水平。

　　（5）首長負責原則：只有首長負責才能把安全管理落到實地

　　（6）預防原則：安全管理以預防為主，並且要有一定的超前意識；

　　（7）風險評估原則：根據實踐對系統定期進行風險評估以改進系統的安全狀況；

　　（8）動態原則：根據環境的改變和技術的進步，提高系統的保護能力

　　（9）成本效益原則：根據資源價值和風險評估結果，採用適度的保護措施。