网络信息安全管理
- 网络信息安全管理是指对网络资产采取合适的安全措施,以确保网络资产的可用性、完整性、可控性和抗抵赖性等,不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害,而导致网络中断、信息泄露或破坏。
- 网络信息安全管理对象主要包括网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理在内的所有支持网络系统运行的软、硬件总和。
- 网络信息安全管理涉及内容有物理安全、网络通信安全、噪作系统安全、网络服务安全、网络操作安全以及人员安全。
- 网络信息安全管理目标是通过适当的安全防范措施,保证网络的运行安全和信息安全,满足网上业务开展的安全要求。
- 网络安全管理方法主要有风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA方法等。
- 网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
- 网络信息安全管理对象是企业、机构直接赋予了价值而需要保护的资产。它的存在形式包括有形和无形的,如网络设备、软件文档是有形的,而服务质量、网络带宽则是无形的。
- 网络信息安全威胁:根据威胁主题的自然属性,可分为自然威胁和人为威胁。自然威胁有地震、雷击、洪水、火灾、静电、鼠害和电力故障等。从威胁对象来分类,可分为物理安全威胁、网络通信威胁、网络服务威胁、网络管理威胁。
- 网络信息安全脆弱性是指计算机系统中与安全策略相冲突的状态或错误,它将导致攻击者非授权访问、假冒用户执行操作及拒绝服务。
- 网络信息安全风险是指特定的威胁利用网络管理对象所存在的脆弱性,导致网络管理对象的价值受到损害或丢失的可能性。简单地说,网络风险就是网络威胁发生的概率和所造成影响的乘积。
- 网络安全管理实际上是对网络系统中网管对象的风险进行控制。风险控制包括:
- 避免风险:通过物理隔离设备将内部网和外部网分开,避免受到外部网的攻击。
- 转移风险:购买商业保险计划或安全外包。
- 减少威胁:安装防病毒软件包,防止病毒攻击。
- 消除脆弱点:给操作系统打补丁或强化工作人员的安全意识。
- 减少威胁的影响:采取多条通信线路进行备份或制定应急预案。
- 风险监测:定期对网络系统中的安全状态进行风险分析,监测潜在的威胁行为。
- 网络信息安全管理一般遵循如下工作流程:
- 确定网络信息安全管理对象。(确定对象)
- 评估网络信息安全管理对象的价值。(评估价值)
- 识别网络信息安全管理对象的威胁。(识别威胁)
- 识别网络信息安全管理对象的脆弱性。(识别脆弱性)
- 确定网络信息安全管理对象的风险级别。(确定风险级别)
- 制定网络信息安全防范体系及防范措施。(制定防范体系及防范措施)
- 实施和落实网络信息安全管理防范措施。(实施和落实防范措施)
- 运行/维护网络信息安全管理设备、配置。(运行/维护设备、配置)
- 网络信息安全管理系统在生命周期中提供的支持:
