小米成立第二家汽車公司:註冊資本 10 億元人民幣,雷軍任法定代表人
資訊保安管理概述
統計結果表明,在所有資訊保安事故中,只有20%30%是由於黑客入侵或其他外部原因造成的,70%80%是由於內部員工的疏忽或有意洩密造成的。
資訊保安管理體系
PDCA 模型
規劃(PLAN): 通過風險評估,瞭解安全需求,制訂解決方案;
實施(DO): 將解決方案付諸實施;
檢查(CHECK): 監視評審方案的有效性;
處置(ACT): 對發現的問題予以解決,產生新的需求則再次進入規劃階段。
資訊保安法律法規
是指國家和相關職能部門為維護資訊保安,預防資訊犯罪的法律規範的總稱。
實現安全風險的有效管理。
等級體系建設
建立“可信、可控、可管”的安全防護體系。網路安全等級保護制度按照規定定期開展等級測評
可信:以可信認證為基礎
可控:以訪問控制技術為核心
可管:為管理員建立一個平臺
1、按照規定留存相關的網路日誌不少於六個月;
2、 網路運營者應當加強對其使用者釋出的資訊的管理
3、對提供網際網路接入服務的伺服器內涉及法律、行政法規禁止傳輸的資訊的行為,嚴令禁止。
《中華人民共和國網路安全法》
除了此法,其他的通用性法律也有約束作用。有追究刑事責任的情況。
《網路安全法》六大看點
網路上真就是可以為所欲為嗎
例如美國的《愛國者法案》規定了government可以行使嚴格的管理和監控權,對網路空間進行監管是各國的慣例。
幾種安全等級
第一級 使用者自主保護級:提供使用者和資料隔離功能。
第二級系統審計保護級:實施粒度更細的自主訪問控制,它通過登入規程、審計安全性相關事件和隔離資源,使使用者對自己的行為負責。
第三級 安全標記保護級:具有系統審計保護的功能。
第四級 結構化保護級︰建立在一個明確定義的形式化安全策略模型之上,要求將第三級系統中的訪問控制擴充套件到所有主體與客體。
第五級 訪問驗證保護級︰滿足訪問監控器需求,由訪問監控器仲裁主體對客體的全部訪問。
對哪幾類資訊系統做出了專門規定?
概述等級保護的工作流程。
定級、備案、安全建設、等級評測、監督檢查
例: 假定有一個由銀行提供代水電代收費服務的資訊系統,如果該系統受到破壞,將導致個人或企業無法通過銀行網點繳納相關費用,水電公司的收費業務只能在其處理能力有限的營業廳進行,導致業務能力大幅度下降,依據等級保護的定級規則,思考該系統應屬於幾級保護的物件?
依據受侵害客體和侵害程度進行判斷,客體為水電公司為企業法人,收費業務能力大幅下降沒有喪失,屬於嚴重損害,綜合上述分析,系統屬於網路安全二級保護物件。
網路安全等級保護定級
一般損害:工作職能受到區域性影響,業務能力下降,但不影響主要功能執行;
嚴重損害:工作職能受到嚴重影響,業務能力顯著下降且嚴重影響主要功能執行;
特別嚴重損害:工作職能收到特別嚴重影響或喪失行使能力,業務能力嚴重下降或功能無法執行。
| 受侵害的客體 | 一般損害 | 嚴重損害 | 特別嚴重損害 |
|---|---|---|---|
| 公民、法人和其他組織 | 第一級 | 第二級 | 第三級 |
| 社會秩序和公共利益 | 第二級 | 第三級 | 第四級 |
| 國家安全 | 第三級 | 第四級 | 第五級 |
典型不當行為和危害
| 不當行為型別 | 造成的危害 |
|---|---|
| 傳播不良資訊 | 汙染網路環境,散播負能量 |
| 傳播虛假資訊 | 影響網路可信度,混淆視聽 |
| 傳播垃圾資訊 | 干擾正常資訊獲取,影響他人 |
| 實施輿論攻擊 | 導致網路暴力等嚴重後果 |
作為一名從事資訊保安專業的人員,應該如何從自身做起,共同營造清朗的網路環境?
答:提示(兩個方面,底線是遵紀守法,要求是嚴守網路行為道德規範)。