【正文】 ? 網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞檢測與修復(fù)，包括：路由器、路由器、交換機(jī)、防火墻等 黎連業(yè) ? 數(shù)據(jù)安全 目標(biāo)是防止數(shù)據(jù)丟失、崩潰和被非法訪問，為保障數(shù)據(jù)安全提供如下實施內(nèi)容：介質(zhì)與載體安全保護(hù)、數(shù)據(jù)訪問控制、系統(tǒng)數(shù)據(jù)訪問控制檢查、標(biāo)識與鑒別、數(shù)據(jù)完整性、數(shù)據(jù)可用性、數(shù)據(jù)監(jiān)控和審計、數(shù)據(jù)存儲與備份安全。 ? 機(jī)房安全 ? 設(shè)施安全 黎連業(yè) 系統(tǒng)安全 ? 系統(tǒng)安全通過對信息系統(tǒng)安全組件的選擇，使信息系統(tǒng)安全組件的軟件工作平臺達(dá)到相應(yīng)的安全等級，一方面避免操作平臺自身的脆弱性和漏洞引發(fā)的風(fēng)險，另一方面阻塞任何形式的非授權(quán)行為對信息系統(tǒng)安全組件的入侵或接管系統(tǒng)管理權(quán)。 ? 一類是物理安全技術(shù) ，通過物理機(jī)械強(qiáng)度標(biāo)準(zhǔn)的控制使信息系統(tǒng)的建筑物、機(jī)房條件及硬件設(shè)備等條件，滿足信息系統(tǒng)的機(jī)械防護(hù)安全；通過對電力供應(yīng)設(shè)備以及信息系統(tǒng)組件的抗電磁干擾和電磁泄露性能的選擇性措施達(dá)到兩個安全目的，信息統(tǒng)組件具有抗擊外界電磁輻射或噪聲干擾能力而保持正常運(yùn)行，控制信息系統(tǒng)組件電磁輻射造成的信息泄露 。 黎連業(yè) 技術(shù)體系 ? 技術(shù)體系是全面提供信息系統(tǒng)安全保護(hù)的技術(shù)保障系統(tǒng)。 ? 從信息安全管理目標(biāo)來看，其中的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全等可通過開放系統(tǒng)互連安全體系的安全服務(wù)、安全機(jī)制及其管理實現(xiàn)，但所獲得的這些安全特性只解決了與通信和互連有關(guān)的安全問題，而涉及與信息系統(tǒng)工程的構(gòu)成組件及其運(yùn)行環(huán)境安全有關(guān)的其他安全問題（如物理安全、系統(tǒng)安全等）還需從技術(shù)措施和管理措施兩方面結(jié)合起來。最簡單和常用的糾錯編碼方法是奇偶校驗法； ? 密碼校驗和方法，抗竄改和傳輸失敗的重要手段； ? 數(shù)字簽名 ，保障信息的真實性； ? 公證 ，請求網(wǎng)絡(luò)管理或中介機(jī)構(gòu)證明信息的真實性。 ? 完整性與保密性不同，保密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞。信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被刪除、修改、偽造、亂序、重放、插入等，另一方面是指信息處理的方法的正確性。即使對手得到了加密后的信息也會因為沒有密鑰而無法讀懂有效信息； ? 物理保密 ，利用各種物理方法，如限制、隔離、掩蔽、控制等措施，保護(hù)信息不被泄露。 黎連業(yè) ? 保密性是在可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段 。 黎連業(yè) 保密性 ? 保密性是信息不被泄露給非授權(quán)的用戶、實體或過程，信息只為授權(quán)用戶使用的特性。有效性主要反映在信息系統(tǒng)的部件失效情況下，滿足業(yè)務(wù)性能要求的程度。這里，隨機(jī)性破壞是指系統(tǒng)部件因為自然老化等造成的自然失效。 ? 生存性 ，是在隨機(jī)破壞下系統(tǒng)的可用性。比如，部分線路或節(jié)點(diǎn)失效后，系統(tǒng)是否仍然能夠提供一定程度的服務(wù)。人員可用性是指工作人員成功地完成工作或任務(wù)的概率。硬件可用性最為直觀和常見。例如通信線路中斷故障會造成信息的在一段時間內(nèi)不可用，影響正常的商業(yè)運(yùn)作，這是信息可用性的破壞。可用性是信息系統(tǒng)安全的最基本要求之一，是所有信息網(wǎng)絡(luò)系統(tǒng)的建設(shè)和運(yùn)行目標(biāo)。 黎連業(yè) 信息系統(tǒng)安全的屬性 ? 信息系統(tǒng)安全屬性分為三個方面： 即可用性、保密性、完整性。 ? 從社會教育和意識形態(tài)角度來說，最為關(guān)心的信息系統(tǒng)安全問題則是如何杜絕和控制網(wǎng)絡(luò)上不健康的內(nèi)容。 黎連業(yè) ? 對安全保密部門和國家行政部門來說，最為關(guān)心的信息系統(tǒng)安全問題是如何對非法的、有害的或涉及國家機(jī)密的信息進(jìn)行有效過濾和防堵，避免非法泄露。 ? 從網(wǎng)絡(luò)運(yùn)行和管理者角度說，最為關(guān)心的信息系統(tǒng)安全問題是如何保護(hù)和控制其他人對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作。從企業(yè)用戶的角度來說，是如何保證涉及商業(yè)利益的數(shù)據(jù)的安全。 ? 網(wǎng)絡(luò) 則指以計算機(jī)、網(wǎng)絡(luò)互連設(shè)備、傳輸介質(zhì)以及操作系統(tǒng)、通信協(xié)議和應(yīng) ? 用程序所構(gòu)成的物理的和邏輯的完整體系； ? 環(huán)境 則是系統(tǒng)穩(wěn)定和可靠運(yùn)行所需要的保障體系，包括 ? 建筑物 ? 機(jī)房 ? 電力 ? 保障與備份 ? 應(yīng)急與恢復(fù)體系等。 ? 信息系統(tǒng)安全定義是：確保以電磁信號為主要形式的、在信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行通信、處理和使用的信息內(nèi)容，在各個物理位置、邏輯區(qū)域、存儲和傳輸介質(zhì)中，處于動態(tài)和靜態(tài)過程中的保密性、完整性和可用性，以及與人、網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)安全、結(jié)構(gòu)安全和管理安全的總和。黎連業(yè) 工程監(jiān)理 基本知識（ 11） 第 11講：信息安全管理 黎連業(yè) 第 11講： 信息安全管理 在本 講 中 您能了解如下 知識點(diǎn) ： ? 信息系統(tǒng)安全概論 ? 監(jiān)理在信息安全管理中的作用 ? 信息系統(tǒng)安全管理分析與對策 黎連業(yè) ? 信息系統(tǒng)安全定義與認(rèn)識 ? 信息系統(tǒng)安全的屬性 ? 信息安全管理的重要性 ? 架構(gòu)安全管理體系 黎連業(yè) 信息系統(tǒng)安全定義與認(rèn)識 ? 定義 ? 從不同角度看待信息系統(tǒng)安全 黎連業(yè) 定義 ? 在信息系統(tǒng)工程中，信息安全涵蓋了人工和自動信息處理的安全。網(wǎng)絡(luò)化和非網(wǎng)絡(luò)化的信息系統(tǒng)安全，泛指一切以聲、光、電信號、磁信號、語音以及約定形式為載體的信息的安全。 ? 在信息系統(tǒng)安全定義中， 人 是指信息系統(tǒng)應(yīng)用的主體，包括 ? 各類用戶 ? 支持人員 ? 技術(shù)管理人員 ? 行政管理人員等。 黎連業(yè) 從不同角度看待信息系統(tǒng)安全 ? 從個人用戶最為關(guān)心的信息系統(tǒng)安全問題是如何保證涉及個人隱私的問題。 ? 個人數(shù)據(jù)或企業(yè)的信息在傳輸過程中要保證其受到保密性、完整性和可用性的保護(hù)，如何避免其他人，特別是其競爭對手利用竊聽、冒充、竄改、抵賴等手段，對其利益和隱私造成損害和侵犯，同時用戶也希望其保存在某個網(wǎng)絡(luò)信息系統(tǒng)中的數(shù)據(jù)，不會受其他非授權(quán)用戶的訪問和破壞。比如，避免出現(xiàn)漏洞陷阱、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等現(xiàn)象，制止和防御網(wǎng)絡(luò)“黑客”的攻擊。機(jī)密敏感的信息被泄密后將會對社會的安定產(chǎn)生危害，對國家造成巨大的經(jīng)濟(jì)損失和政治損失。有害的黃色內(nèi)容會對社會的穩(wěn)定和人類的發(fā)展造成不良影響。 ? 可用性 ? 可用性是信息系統(tǒng)工程能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性?？捎眯允侵感畔⒓跋嚓P(guān)的信息資產(chǎn)在授權(quán)人需要的時候，可以立即獲得。 ? 可用性主要表現(xiàn)在硬件可用性、軟件可用性、人員可用性、環(huán)境可用性等方面。軟件可用性是指在規(guī)定的時間內(nèi)，程序成功運(yùn)行的概率。 黎連業(yè) ? 信息網(wǎng)絡(luò)系統(tǒng) 可用性還體現(xiàn)在 5性 ： ? 抗毀性 ，是指系統(tǒng)在人為破壞下的可用性。增強(qiáng)抗毀性可以有效地避免因各種災(zāi)害 (戰(zhàn)爭、地震等 )造成的大面積癱瘓事件。生存性主要反映隨機(jī)性破壞和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對系統(tǒng)可用性的影響。 ? 有效性 ，是一種基于業(yè)務(wù)性能的可用性。比如，信息系統(tǒng)部件失效雖然沒有引起連接性故障，但是卻造成質(zhì)量指標(biāo)下降、平均延時增加、線路阻塞等現(xiàn)象。信息的保密性是針對信息被允許訪問（ Access）對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性及保密要求分為不同的密級，例如國家根據(jù)秘密泄露對國家經(jīng)濟(jì)、安全利益產(chǎn)生的影響（后果）不同，將國家秘密分為秘密、機(jī)密和絕密三個等級，組織可根據(jù)其信息安全的實際，在符合《國家保密法》的前提下將其信息劃分為不同的密級；對于具體的信息的保密性有時效性，如秘密到期解密等。 ? 常用的保密技術(shù)包括 ： ? 防偵測 ，使對手偵測不到有用的信息； ? 防輻射 ，防止有用信息以各種途徑輻射出去； ? 信息加密 ，在密鑰的控