安全保障概述
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全保障是指在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的 安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可 用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。
云计算系统安全保障包含传统信息系统安全保障工作,并不限于此。除了保障自身安全的CIA三要素以 外,还需要保证为云用户提供安全可靠的云计算服务,保证云用户的数据安全、隐私安全、业务连续性等, 有些云服务商还为客户提供云安全扫描、云审计等云安全服务。
2.1 概述
01 云计算系统安全保障
废
弃 运
行 维
实护 施 交
开付 发 采
规购 划 组 织
云计算系统本质上也属于信 息安全系统,所以这个安全保 障模型对云计算系统安全保障 体系的构建有重要参考意义;
安全特征
生命周期
管理
保 障 要
素
工程 技术
可 完用 保整性 密性
性
人员
四个保障要素来实施和实现信息系统的安全保障目标,通过对技 术、管理、工程和人员要求的评估,提供对信息系统安全保障的 保
信心。
障
(3)信息系统安全保障是基于过程的保障。通过风险识别、风险 要
Βιβλιοθήκη Baidu
分析、风险评估、风险控制等风险管理活动,降低信息系统的风 素
险,从而实现信息系统安全保障。
(4)信息系统安全保障的目的不仅是保护信息和资产的保密性、
完整性和可用性等安全要素,更重要是通过保障信息系统安全,
保障信息系统所支持的业务的安全,从而达到实现组织机构使命
的目的。
废
弃 运
行 维
实护 施 交
开付 发 采
规购 划 组 织
生命周期
管理 工程 技术 人员
安全特征
可 完用 保整性 密性
性
2.1 概述
01 信息系统安全保障模型
在四个安全保障要素中,信息安全技术主要包括:密码技术、 访问控制技术、审计和监控技术、网络安全技术、操作系统技术、 数据库安全技术、安全漏洞与恶意代码、软件安全开发等;信息安 全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以 及产品的开发、交付和升级;信息安全人才保障就是信息安全人才 的培养和锻炼;信息安全管理的工作主要包括信息安全管理体系的 建立、信息安全标准化、应急处理与信息通报、等级保护、落实风 险管理过程、灾难备份与恢复等。
2.1 概述
01 信息系统安全保障模型
国家标准GB/T 20274.1-2006《信息安全技术 信息系统安全保障评估框架第一部分:简介和一般模型》
(1)信息系统安全保障应贯穿信息系统的整个生命周期,包括规
划组织、开发采购、实施交付、运行维护和废弃5个阶段,以获得
信息系统安全保障能力的持续性。
(2)强调综合保障的观念,通过综合技术、管理、工程和人员等
云安全技术应用
1
第2章 云计算系 统安全保障
2
CONTENTS
目录
Part 1
概述
Part 2 云计算安全标准和规范
Part 3 云计算安全等级保护
Part 4 云计算安全风险评估
Part 5 云计算安全技术体系
3
2.1 概述
01 云计算系统安全保障的概念
随着信息技术发展的变革,信息安全发展经历了通信安全、计算机安全、网络安全、信息安全保障、网 络空间安全等阶段。进入网络空间安全阶段,互联网已经将传统的虚拟世界与物理世界相互连接,形成网络 空间。“工云大移物智”(工业控制、云计算、大数据、移动互联、物联网、人工智能)等新技术领域融合 带来新的安全风险。网络空间安全的核心,强调“威慑”的概念,将防御、威慑和利用结合成三位一体的网 络空间安全保障。
云计算系统安全保障包含传统信息系统安全保障工作,并不限于此。除了保障自身安全的CIA三要素以 外,还需要保证为云用户提供安全可靠的云计算服务,保证云用户的数据安全、隐私安全、业务连续性等, 有些云服务商还为客户提供云安全扫描、云审计等云安全服务。
2.1 概述
01 云计算系统安全保障
废
弃 运
行 维
实护 施 交
开付 发 采
规购 划 组 织
云计算系统本质上也属于信 息安全系统,所以这个安全保 障模型对云计算系统安全保障 体系的构建有重要参考意义;
安全特征
生命周期
管理
保 障 要
素
工程 技术
可 完用 保整性 密性
性
人员
四个保障要素来实施和实现信息系统的安全保障目标,通过对技 术、管理、工程和人员要求的评估,提供对信息系统安全保障的 保
信心。
障
(3)信息系统安全保障是基于过程的保障。通过风险识别、风险 要
Βιβλιοθήκη Baidu
分析、风险评估、风险控制等风险管理活动,降低信息系统的风 素
险,从而实现信息系统安全保障。
(4)信息系统安全保障的目的不仅是保护信息和资产的保密性、
完整性和可用性等安全要素,更重要是通过保障信息系统安全,
保障信息系统所支持的业务的安全,从而达到实现组织机构使命
的目的。
废
弃 运
行 维
实护 施 交
开付 发 采
规购 划 组 织
生命周期
管理 工程 技术 人员
安全特征
可 完用 保整性 密性
性
2.1 概述
01 信息系统安全保障模型
在四个安全保障要素中,信息安全技术主要包括:密码技术、 访问控制技术、审计和监控技术、网络安全技术、操作系统技术、 数据库安全技术、安全漏洞与恶意代码、软件安全开发等;信息安 全工程涉及系统和应用的开发、集成、操作、管理、维护和进化以 及产品的开发、交付和升级;信息安全人才保障就是信息安全人才 的培养和锻炼;信息安全管理的工作主要包括信息安全管理体系的 建立、信息安全标准化、应急处理与信息通报、等级保护、落实风 险管理过程、灾难备份与恢复等。
2.1 概述
01 信息系统安全保障模型
国家标准GB/T 20274.1-2006《信息安全技术 信息系统安全保障评估框架第一部分:简介和一般模型》
(1)信息系统安全保障应贯穿信息系统的整个生命周期,包括规
划组织、开发采购、实施交付、运行维护和废弃5个阶段,以获得
信息系统安全保障能力的持续性。
(2)强调综合保障的观念,通过综合技术、管理、工程和人员等
云安全技术应用
1
第2章 云计算系 统安全保障
2
CONTENTS
目录
Part 1
概述
Part 2 云计算安全标准和规范
Part 3 云计算安全等级保护
Part 4 云计算安全风险评估
Part 5 云计算安全技术体系
3
2.1 概述
01 云计算系统安全保障的概念
随着信息技术发展的变革,信息安全发展经历了通信安全、计算机安全、网络安全、信息安全保障、网 络空间安全等阶段。进入网络空间安全阶段,互联网已经将传统的虚拟世界与物理世界相互连接,形成网络 空间。“工云大移物智”(工业控制、云计算、大数据、移动互联、物联网、人工智能)等新技术领域融合 带来新的安全风险。网络空间安全的核心,强调“威慑”的概念,将防御、威慑和利用结合成三位一体的网 络空间安全保障。