====== 网络信息安全管理 ======
  * 网络信息安全管理是指对网络资产采取合适的安全措施，以<color #ed1c24>确保网络资产的</color>可用性、完整性、可控性和抗抵赖性等，<color #ed1c24>不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害，而导致网络中断、信息泄露或破坏</color>。
  * 网络信息安全管理对象主要包括<color #ed1c24>网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理在内的所有支持网络系统运行的软、硬件总和</color>。
  * 网络信息安全管理涉及内容有<color #ed1c24>物理安全、网络通信安全、噪作系统安全、网络服务安全、网络操作安全以及人员安全</color>。
  * 网络信息安全管理目标是通过适当的安全防范措施，<color #ed1c24>保证网络的运行安全和信息安全，满足网上业务开展的安全要求</color>。
  * 网络安全管理方法主要有<color #ed1c24>风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA方法</color>等。


  * 网络信息安全管理要素由<color #ed1c24>网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施</color>组成。
  * 网络信息安全管理对象是<color #ed1c24>企业、机构直接赋予了价值而需要保护的资产</color>。它的存在形式包括有形和无形的，如网络设备、软件文档是有形的，而服务质量、网络带宽则是无形的。
  * 网络信息安全威胁：根据威胁主题的自然属性，可分为<color #ed1c24>自然威胁和人为威胁</color>。自然威胁有地震、雷击、洪水、火灾、静电、鼠害和电力故障等。从威胁对象来分类，可分为物理安全威胁、网络通信威胁、网络服务威胁、网络管理威胁。
  * 网络信息安全脆弱性是<color #ed1c24>指计算机系统中与安全策略相冲突的状态或错误</color>，它将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。
  * 网络信息安全风险是指<color #ed1c24>特定的威胁利用网络管理对象所存在的脆弱性，导致网络管理对象的价值受到损害或丢失的可能性</color>。简单地说，网络风险就是网络威胁发生的概率和所造成影响的乘积。
  
  
  * 网络安全管理实际上是<color #ed1c24>对网络系统中网管对象的风险进行控制</color>。风险控制包括：
  - 避免风险：通过物理隔离设备将内部网和外部网分开，避免受到外部网的攻击。
  - 转移风险：购买商业保险计划或安全外包。
  - 减少威胁：安装防病毒软件包，防止病毒攻击。
  - 消除脆弱点：给操作系统打补丁或强化工作人员的安全意识。
  - 减少威胁的影响：采取多条通信线路进行备份或制定应急预案。
  - 风险监测：定期对网络系统中的安全状态进行风险分析，监测潜在的威胁行为。


  * 网络信息安全管理一般遵循<color #ed1c24>如下工作流程</color>：
  - 确定网络信息安全管理对象。<color #ed1c24>（确定对象）</color>
  - 评估网络信息安全管理对象的价值。<color #ed1c24>（评估价值）</color>
  - 识别网络信息安全管理对象的威胁。<color #ed1c24>（识别威胁）</color>
  - 识别网络信息安全管理对象的脆弱性。<color #ed1c24>（识别脆弱性）</color>
  - 确定网络信息安全管理对象的风险级别。<color #ed1c24>（确定风险级别）</color>
  - 制定网络信息安全防范体系及防范措施。<color #ed1c24>（制定防范体系及防范措施）</color>
  - 实施和落实网络信息安全管理防范措施。<color #ed1c24>（实施和落实防范措施）</color>
  - 运行/维护网络信息安全管理设备、配置。<color #ed1c24>（运行/维护设备、配置）</color>

  * 网络信息安全管理系统在<color #ed1c24>生命周期中提供的支持</color>：
{{ :网络信息安全系统在生命周期中提供的支持.png?nolink |}}