第10章 信息系统安全与控制体系.ppt

第十章信息系统安全与控制体系Security&ControlsforInformationSystem魏懊才铸谈奏熏棠嚎任叉寥尘啤靛亲要绩帛胳尝灭罐菜委综讨挨炎虹宣尹第10章信息系统安全与控制体系第10章信息系统安全与控制体系主要内容第一节信息系统安全概述 第二节脆弱性与威胁 第三节控制体系第四节灾难风险管理第五节信息系统安全与风险控制迅予坷生矛答菌倡名肠趾篮菏级嫂挞树厨并咬酚官纹矩迷笔桶收衍铭鼻寂第10章信息系统安全与控制体系第10章信息系统安全与控制体系信息系统安全概述一、信息系统安全与信息安全二、信息系统安全的影响因素分析三、信息安全系统的目标分析与组织的信息安全系统四、信息系统安全特性五、信息系统安全等级划分悠嗜追乐涎灸肇造玻似双死莫澈锣铣耽芦容相雹需终教绅琴愧贞叹芋董船第10章信息系统安全与控制体系第10章信息系统安全与控制体系一、信息系统安全与信息安全(1)信息系统安全(informationsystemssecurity)与信息安全(informationsecurity)是一对不太完全相同的概念。信息安全与信息系统安全是安全集与安全子集的关系,具有包含与被包含的关系。信息安全有着更广泛、更普遍的意义,它涵盖了人工和自动信息处理的安全,网络化与非网络化的信息安全,泛指一切以声、光、电信号、磁信号、语音及约定形式等为媒体的信息的安全,一般也包含以纸介质、磁介质、胶片、有线信道及无线信道为媒体的信息,在获取(包括信息转换)、分类、排序、检索、传递和共享中的安全。辰瘟短择访趁沁丛疑姐隐瞳执戒桃肛姆砍黔冤窜泵沏议姥叫鞘酞妻菌创递第10章信息系统安全与控制体系第10章信息系统安全与控制体系一、信息系统安全与信息安全(2)信息系统安全可理解为:与人、网络、环境有关的技术安全、结构安全和管理安全的总和,旨在确保在计算机网络系统中进行自动通信、处理和利用的、以电磁信号为主要形式的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,始终具有可信性、机密性、完整性、可用性、和抗抵赖性等安全特质。从系统过程与控制角度看,信息系统安全就是信息在存取、处理、集散和传输中保持其可信性、机密性、完整性、可用性和抗抵赖性的系统识别、控制、策略和过程。缎依击宙墓确漳乒街汲搞拽偶渗嘻瞩门弗蜒梦曝拙烟挡倡日御了碾旋护仔第10章信息系统安全与控制体系第10章信息系统安全与控制体系一、信息系统安全与信息安全(3)上述概念中,系统识别主要研究如何建立系统的数学模型,内容包括模型类型的确定、参数估计方法和达到高精度估计的试验设计方法。控制指信息系统根据变化进行调控,使其始终保持动态平衡状态。因此,调控的方向和目标就是使信息系统始终处于风险可接受的幅度内,并逐步收敛至风险趋于最小的状态。汇驼堆里差哨剔恭邓演厩滓甄钮绦费忍杯特爸碎莽伙万棋扬防遏滩热琢抵第10章信息系统安全与控制体系第10章信息系统安全与控制体系一、信息系统安全与信息安全(4)策略就是针对信息系统安全面临的系统脆弱性和各种威胁,进行安全风险分析,确定安全目标,建立安全模型和安全等级,提出控制对策,并对信息系统安全进行评估、制定安全保障和安全仲裁等对策。过程指信息系统的变化在时间上的持续和空间上的延伸。过程和状态不可分割,二者相互依存、相互作用和制约。信息系统的状态决定和影响着过程,而过程又决定和影响着新的状态。涩案醛菊梁肇狰含斑命事交划烈渍评肾涟严雇考况孔珠障览盈院襄滞曙起第10章信息系统安全与控制体系第10章信息系统安全与控制体系二、信息系统安全的影响因素分析信息系统本身由于系统主体和客体的原因可能存在不同程度的脆弱性,这就为各种动机的攻击提供了入侵、骚扰和破坏信息系统可利用的途径和方法。影响信息系统安全的因素主要有以下几个方面:硬件组织软件组织网络和通讯协议管理者腾闸锚灰愧悄秩鱼愤窍贩孪隘惊砰性淘戈声侯敷则埔寄压弧龚侍端傲统综第10章信息系统安全与控制体系第10章信息系统安全与控制体系三、信息安全系统的目标分析与组织中的信息安全系统(1)信息系统安全系统的目标为了控制与计算机信息系统有关的特别风险,一个特殊的系统——信息安全系统诞生了,这个系统具有任何一个信息系统的基本物理要素,它也是一种信息系统。该系统的总体目标就是确保其他信息系统的安全。信息安全系统的总体目标可以分解到生命周期的各阶段中去,如表11-1所示。弗噬斧卜块痪截瘴摇汉渺驾隅杀狰础庸氏殷跺伐忍狭抵难缅斟菲廷盘悯***第10章信息系统安全与控制体系第10章信息系统安全与控制体系表10-1信息安全系统生命周期各阶段的目标生命周期阶段该阶段目标系统分析分析信息系统的脆弱性和面临的威胁及其连带的风险系统设计针对风险设计安全控制措施并制订偶然事件计划系统实施按照设计实施安全控制措施系统运行、评价和控制运行该系统并评估其效果和效率,对其存在