1.信息系统安全基本概念
1.1什么是信息安全
信息在产生、处理、传输、存储、使用、销毁 全生命周期的安全;本质是可信、可控。
包含 4 层次:系统安全、数据安全、内容安全、行为安全。
1.2什么是信息系统安全
信息系统 是指信息产生、处理、传输、存储和使用的人-机一体化计算机系 统,包括:计算机硬件、软件、固件、网络和人员
信息系统安全是指系统软硬件、网络不因 偶然 / 恶意原因被破坏、更改、泄露,保障连续可靠运行、稳定服务。
2.安全风险和安全威胁
2.1 系统脆弱性包含方面
信息系统的脆弱性主要包括: 电磁泄露 、 芯片脆弱性 、 操作系统安全漏洞 、 数据库系统安全漏洞 、 通信协议安全漏洞 和 移动存储介质安全漏洞 。
2.2 人为安全威胁来源
物理攻击 、 网络攻击 、 恶意代码攻击 和 安全管理 。
2.3 安全脆弱性、安全威胁和安全损失(安全事件)三者的关系
脆弱性(漏洞)+威胁(攻击)→安全事件 / 损失安全风险是绝对存在的。
3、信息系统的基本安全属性(或安全需求)
信息系统安全技术层次(简答)
基础安全:密码、评估、应急、管理、标准
物理安全:环境、设备、防泄漏、灾难恢复
操作系统安全:认证、授权、审计、内存保护
数据库安全:认证、授权、备份恢复、审计
网络安全:协议、隔离、防火墙、入侵检测
应用安全:代码、病毒、Web 安全、漏洞扫描
(1)如果信息系统无任何脆弱性,是否就不存在安全风险呢?分析举例。
安全风险 = 脆弱性 + 安全威胁 + 环境因素,系统安全问题来自威胁、脆弱性、管理、人为操作等多方面,并非只由脆弱性决定。没有脆弱性,威胁难以直接利用并造成损失;
但安全风险是绝对存在的,仍可能因不可抗力、人为失误、管理缺陷等产生风险。
(2)信息系统的脆弱性和安全威胁分别体现在哪些方面?简要阐述。
(1)系统脆弱性包含6个方面:电磁泄露、芯片脆弱性、操作系统脆弱性、数据库系统脆弱性、通信协议的安全漏洞和移动存储介质的安全漏洞;(2)安全威胁包括自然威胁和人为威胁,自然威胁如洪水、地震、设备老化等,而人为威胁包括:物理攻击、网络攻击、恶意代码攻击和安全管理。
(3)根据标准GA/T 708-2007,信息系统的基本安全属性包含哪些?除此之外,你认为信息系统还需要有哪些安全需求?举例说明。
答题要点:(1)在标准GA/T 708-2007中,信息系统的基本安全属性包含:机密性、完整性和可用性。(2)如果设备放在无人值守的室外,需要增加物理安全需求;如果在社交媒体上发布照片等信息,需要增加隐私保护的需求,等等。(3)举例说明。
如何理解:安全管理的最终目的是"使安全风险降低到用户和决策者都可以接受的程度"?
答题要点:(1)用户和决策者对安全风险的要求是不同的;(2)安全风险是绝对的,只能降低,不能消除;(3)安全管理的目的是降低安全风险,依据是系统安全评估要求所对应的标准,即降低安全风险以达到安全评估的要求。