信息系统安全相干概念(下)
文章总览:YuanDaiMa2048博客文章总览[*]上篇指路:信息系统安全相干概念(上)
信息系统风险评估
安全风险评估
[*]对信息系统团体安全态势的感知和对重大安全变乱的预警,实现“事前能预防,事中能控制,事后能处置惩罚”。
[*]安全风险组成的四要素:
[*]信息系统资产(Asset)
[*]信息系统脆弱性(Vulnerability)
[*]信息安全威胁(Threat)
[*]信息系统安全保护措施(Safeguard)。
[*]风险处置计谋
[*]降低风险(Reduce Risk)
[*]避免风险(Avoid Risk)
[*]转移风险(Transfer Risk)
[*]担当风险(Accept Risk)
[*]风险评估
[*]分析过程
[*]资产面对的威胁及威胁利用脆弱性导致安全变乱的大概性;
[*]根据资产代价来判定安全变乱一旦发生对组织造成的影响。
[*]要素:资产、威胁、脆弱性和安全措施
[*]资产是有代价的,组织的业务战略对资产的依靠度越高,资产代价就越大;
[*]风险是由威胁引发的,资产面对的威胁越多则风险越大,并大概演酿成安全变乱;
[*]脆弱点越多,威胁利用脆弱性导致安全变乱的大概性越大(脆弱性是违背满意的安全需求)
[*]风险的存在及对风险的认识导出安全需求
[*]信息系统安全风险计算模型(GB/T20984-2007)
[*]项目实施过程:策划、准备、实施、报告、跟踪
[*]制定评估筹划:评估筹划应以文件情势颁发,评估实施筹划应该有评估组长签名并得到主管领导的批准。
[*]检查列表、评估筹划和评估报告都作为评估记录而存档。
信息系统品级保护
网络安全法
[*]《网络安全法》是网络安全领域的基本法
[*]等保2.0实施后,不开展品级保护即是违反《网络安全法》,可以根据法律规定举行处罚。
品级保护
[*]国家信息安全保障的基本制度、基本计谋,保护信息化发展、维护信息安全的基本保障
[*]界说:网络安全品级保护是指对国家紧张信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处置惩罚这些信息的信息系统分品级实验安全保护,对信息系统中使用的信息安全产品实验按品级管理,对信息系统中发生的信息安全变乱分品级响应、处置。
[*]等保对象:对网络(含信息系统、数据)实施分品级保护和监管
[*]安全产品:对网络中使用的网络安全产品实验按品级管理
[*]安全变乱:对网络中发生的安全变乱分品级响应、处置
[*]为什么要品级保护? 国家法律要求 客户要求 自身安全要求
[*]新尺度:
[*]《 信息安全技术 网络安全品级保护基本要求 》 GB/T 22239-2019
[*]《 信息安全技术 网络安全品级保护安全计划要求 》 GB/T 25070-2019
[*]《 信息安全技术 网络安全品级保护测评要求 》 GB/T 28448-2019
[*]实施品级保护的意义
[*]明确责任和工作方法,让安全防护更加规范
[*]提高安全思路和意识,合理分配网络安全投资
[*]改变以往单点防御方式,让安全建设更加体系化
品级保护工作流程
[*] 品级保护有“五个规定动作”:定级、备案、建设整改、品级测评、监督检查
(监督检查是保护本领不断提高的保障)
[*] 紧张行业关键信息系统划分及定级建议
国家信息安全品级保护坚持自主定级、自主保护的原则
[*] 定级流程:
[*]确定定级对象
[*]开端确定品级
[*]专家评审
[*]主管部门考核
[*]公安机关备案审查
[*] 定级对象:品级保护对象、网络安全品级保护工作的作用对象(包括网络基础办法、云计算平台、大数据平台、物联网等等)
[*] 定级备案基本流程
[*]用户开端定级
[*]编写定级报告
[*]专家定级评审
[*]填写备案表
[*]提交备案质料
[*]收到备案证实
情况安全
[*]物理安满是品级保护的紧张技术基础
[*]机房三度要求:温度、湿度、清洁度(GB50174-2008 电子信息系统机房计划规范)
[*]温度:机房温度一般应控制在18~22℃
[*]湿度:相对湿度一般控制在40%~60%为宜
[*]清洁度:尘埃颗粒直径<0.5m,含尘量<1万颗/升
[*]防火与防水要求(紧张的火灾隐患:UPS电池组)
[*]隔离
[*]火灾报警系统
[*]灭火办法
[*]管理措施
[*]机房防盗要求
[*]如何减少无关人员进入机房的机会是计算机机房计划时首先要思量的问题。
[*]视频监控系统
[*]在装备上贴特殊标签,检测器报警
[*]光纤电缆串接,光束传输受阻则自动报警
[*]机房防鼠
[*]防静电措施
[*]接地要求(接地可以为计算机系统的数字电路提供一个稳固的0V参考电位)
[*]地线种类:保护地、直流地、屏蔽地、静电地和雷击地
[*]接地体:地桩、水平栅网、金属板、建筑物基础钢筋等
[*]防雷击措施
[*]机房选址要求
[*]避开发生火灾伤害水平高的区域;
[*]避开产生粉尘、油烟、有害气体源、以及存放腐蚀、易燃、易爆物品的地方;
[*]避开低洼、潮湿、落雷、重盐害区域和地震频繁的地方;
[*]避开强振动源和强噪音源;
[*]避开强电磁场的干扰;
[*]避免设在建筑物的高层或地下室,以及用水装备的下层或隔壁远离核辐射源;
[*]计算机机房所在建筑物的结构安全。
线路保护
[*]窃听
[*]搭线窃听
[*]光纤通讯技术
[*]海底电缆窃听
电源系统安全
[*]电源是计算机网络系统的命脉,电源系统的稳固可靠是计算机网络系统正常运行的先决条件。
[*]供电方式:
[*]一类供电:需要建立不间断供电系统
[*]二类供电:需要建立带备用的供电系统
[*]三类供电:按一般用户供电思量
[*]电源防护措施:
[*]电源调整器:隔离器+稳压器+滤波器
[*]不间断电源UPS:持续供电型、马达发电机、顺向转换型、逆向转换型
[*]电源相干操作:系统接地、电源要匹配、电缆连接和卡的插拔、正确开关机
有必要引入服务器PUE(即SPUE)能效概念,让更多能源真正用于计算,这对于大型云计算数据中央而言特别紧张。
信息系统的电磁对抗
[*]电磁泄漏:电子装备的杂散电磁能量通过导线或空间向外扩散。
[*]电磁信息泄漏的防护
[*]电磁泄漏的途径:以电磁波情势的辐射泄漏;电源线、控制线、信号线和地线造成的传导泄漏。
[*]偏转线圈、主电路板、信号线元件成为显示器电磁辐射的最主要源头
[*]另一用途:暗码破解
[*]旁路攻击(Side Channel Attacks,SCAs)就是利用暗码算法实现时泄露的旁路信息来实施破解的攻击方法,好比计时攻击(timing analysis)、电磁分析攻击(electromagneticanalysis)以及功耗分析攻击(poweranalysis)等。
[*]克制电磁信息泄漏的技术途径:
[*]物理克制技术
[*]电磁屏蔽技术(铜网式屏蔽室)
[*]噪声干扰技术
[*]电磁对抗
[*]电磁战:指通讯、雷达、光电、网络对抗战法和电磁频谱管控举措本领的战斗,目标是干拢敌方的信息联系、阻断信息沟通,使敌方致盲、失去应有的战斗力。
[*]作用机理:通过热效应、射频干扰和“浪涌”效应、强电场效应和磁效应这四个访,先影响武器装备的战术和技术性能。
[*]防磁柜
[*]物理安全的概念
物理安全又叫实体安全(PhysicalSecurity),是保护计算机装备、办法(网络及通讯线路)免遭自然灾难(包括地震、水患、火灾、有害气体等)、人为粉碎及其他情况事故(如电磁污染等)粉碎的措施和过程。
物理安全技术主要针对计算机及网络系统的情况、园地、装备和通讯线路等采取的安全技术和管理措施。
[*]物理安全体系结构:
[*]线路安全
[*]介质安全
[*]装备安全
[*]电源安全
[*]情况安全
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]