可按Ctrl+D收藏 蚂蚁资源网

蚂蚁资源网

热门搜索: 通信管理系统    公司起名源码    广告联盟源码    直播源码    电竞比分源码   
开通会员
精选分类
首页 精品源码 帝国源码 织梦源码 网站建设 资讯速递

信息系统安全等级(信息安全保护定级指南)

  • 全部评论(3)
  • dfgj
  • 一、什么是信息安全?信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,如UniNAC、DLP等,只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期开发者系统中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不再是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。本专业培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。信息安全面临的主要威胁来源有环境因素和人为因素,而威胁最大的并不是恶意的外部人员,恰恰是缺乏责任心或专业技能不足的内部人员,由于没有遵循规章制度和操作流程或不具备岗位技能而导致信息系统故障或被攻击。信息安全涉及到物理环境、网络、主机、应用等不同的信息领域,每个领域都有其相关的风险、威胁及解决方法。信息安全是一个动态发展的过程,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。二、什么是等级保护?信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级;信息系统的安全保护等级划分为五级,即:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的安全技术等级。三、什么是风险评估?风险评估就是量化评判安全事件带来的影响或损失的可能程度。从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。风险评估的主要任务包括:1)识别组织面临的各种风险;2)评估风险概率和可能带来的负面影响;3)确定组织承受风险的能力;4)确定风险消减和控制的优先等级;5)推荐风险消减对策。在风险评估过程中需要考虑几个关键问题:第一,要确定保护的对象(资产)是什么?它的直接和间接价值如何?第二,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?第五,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?解决以上这些问题的过程,就是风险评估的过程。
  • 2021-12-18 20:13:59
  • 免注册用户
  • 根据安全性扩展到4级A,B,C,D的低得分,这些安全级别不直接,但索引级别上升。几年前,美国国防部制定了四个不同层次的计算机安全准则。橙色通行证(官方名称是可信计算机标准评估标准)包括计算机安全级别的分类。查看这些类别可以了解某些系统中的各种安全风险,并可以掌握如何减少或排除这些风险。1. D1级别这是计算机安全的最低级别。整个计算机系统是不可见的,硬件和操作系统很容易被侵入。D1级计算机系统标准指定用户没有验证,也就是说,任何人都可以使用计算机系统而没有任何障碍物。该系统不需要用户注册(需要用户名)或密码保护(要求用户提供唯一的字符串来访问)。任何人都行坐在电脑前并开始使用它。D1计算机系统包括:MS-DOS MS-Windows3.xe和Windows95(不在工作组模式下)Apple的System7.x 2,C1 C1 C1系统需要硬件拥有某个安全机制(例如带有锁定设备的硬件和硬件需要一个密钥来使用计算机等),用户必须在使用前登录系统。C1级系统还需要完全访问控制,并且应允许系统管理员访问某些程序或数据的许可证权限。C1级别偏离,因为用户直接访问操作系统的根目录。C1级别无法控制进入系统的用户的访问级别,因此用户可以删除系统的数据。下面列出了普通的C1级兼容计算机系统:UNIX系统Xenix Novell3.x或更高版本的Windows NT 3,C2 C2级别在C1级的某些缺点中加强了多个功能,C2引入受控访问增强液环境的特征(用户特权级别)。此功能不仅基于用户权限,而且还将用户进一步限制为执行某些系统指令。授权分级允许系统管理员组合用户,授予它们访问某些程序或访问分层目录。另一方面,用户权限授权用户对程序位于个人中的目录的访问权限。如果其他程序和数据也在同一目录中,则用户将自动访问此信息。C2系统还采用系统审核。审计功能跟踪所有“安全事件”,例如登录(成功和失败),以及系统管理员,例如更改用户访问和密码。Common C2操作系统包括:UNIX System Xenix Novell3.x或更高版本的Windows NT 4,B1 B1系统支持多级安全性,多级是指在不同级别的系统(网络,应用程序,WordKStation等),它提供了更敏感的令人兴趣的保护。例如,安全级别可以分为解密,机密性和最高秘密级别。5.这种级别的B2称为结构化保护。B2安全性需要计算机系统中的所有对象以及标签,并为工作站,终端和磁盘驱动器等设备分配安全级别。如果用户可以访问工作站,则可能不允许使用人员访问磁盘子系统。6,B3级B3要求用户工作站或终端通过可信方式连接到网络系统,此级别必须采用硬件保护安全系统的存储区域。这是橙色纸中的最高安全级别,有时被称为已验证设计。如上所述,该级别包括以下级别的所有功能。A级还附加安全系统监控的设计要求,合格的安全个人必须分析并通过此设计。此外,必须使用严格的形成方法来证明系统的安全性。此外,在A类中,构成系统的所有组件的所有来源都必须是安全的,以确保必须在销售过程中保证这些部件。例如,在级别设置中,从生产工厂严格跟踪磁带机直到电脑室。
  • 2021-12-18 20:12:43
  • 织梦源码
  • 信息系统安全等级保护第二级是否有ABC的划分,区别在哪里。,没有ABC的划分,而是ASG的划分。根据系统服务保证性等级选择相应等级的系统服务保证类(A类)基本安全要求;根据业务信息安全性等级选择相应等级的业务信息安全类(S类)基本安全要求;G类属于通用基本要求。当系统服务类(A类)达到二级,业务信息类(S类)达到二级时,信息系统定为二级;当系统服务类(A类)达到二级,业务信息类(S类)达到一级时,就高不就低,信息系统定为二级;当系统服务类(A类)达到一级,业务信息类(S类)达到二级时,就高不就低,信息系统定为二级;这种定级方式在起草《定级报告》时会有所体现具体内容请参考《信息安全等级保护定级指南》和《信息安全等级保护基本要求》
  • 2021-12-18 20:12:43
  • 商品推荐