信息系统安全管理

信息系统安全策略的概念和内容

信息系统安全策略是指针对本单位的计算机业务应用信息系统的安全风险（安全威胁）进行有效的识别、评估后，所采取的各种措施、手段，以及建立的各种管理制度、规章等。

安全策略的核心内容就是“七定”，即定方案、定岗、定位、定员、定目标、定制度、定工作流程。

建立安全策略需要处理好的关系

1.安全与应用的依存关系

2.风险度的观点

3.适度安全的观点

4.木桶效应的观点

5.信息系统安全等级保护的概念

《计算机信息系统安全保护等级划分准则》（GB 17859-1999）将计算机信息系统分为以下5个安全保护等级。

第一级 用户自主保护级。该级适用于普通内联网用户。

第二级 系统审计保护剂。该级适用于通过内联网或国际网进行商务活动，需要保密的非重要单位。

第三极 安全标记保护级。该级适用于地方各级国家机关、金融单位机构、邮电通信、能源和水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。

第四级 结构化保护级。该级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。

第五级 访问验证保护级。该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。

信息安全系统工程

信息安全系统工程概述

信息系统工程即建造信息系统的工程，包括两个独立且不可分割的部分，即信息安全系统工程和业务应用信息系统工程。

信息安全系统架构体系

MIS+S系统（Management Information System+Security）系统为“初级信息安全保障系统”或“基本信息安全保障系统 ” 。

S-MIS系统架构（Security-Management Information System）系统为“标准信息安全保障系统”。

S2-MIS系统架构（Super Security-Management Information System）系统为“超安全的信息安全保障系统”。

信息安全系统工程体系结构

信息安全系统工程能力成熟度模型（Information Security System Engineering Capability Maturity Model，ISSE-CMM）是一种衡量信息安全系统工程实施能力的方法，是使用面向工程过程的一种方法。

ISSE将信息安全系统工程实施过程分解为：工程过程、风险过程和保证过程三个基本的部分。

PKI公开密钥基础设施

公钥基础设施PKI（Public Key Infrastructure，公开密钥基础设施）是以不对称密钥加密技术为基础，以数据机密性、完整性、身份认证和行为不可抵赖为安全目的，来实施和提供安全服务的具有普适性的安全基础设施。

其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间邮戳服务、相关信息标准、操作规范等。

认证中心：CA（Certification Authority）是PKI的核心。它是公正、权威、可信的第三方网上认证机构。

在PKI/CA架构中，一个重要的标准就是X.509标准，数字证书就是按照X.509标准制作的。

应用模式

1.电子商务。

2.电子政务。

3.网上银行。

4.网上证券。

5.其他应用。

PMI权限（授权）管理基础设施

PMI（Privilege Management Infrastructure）即权限管理基础设施或授权管理基础设施。

PMI授权技术的核心思想是以资源管理为核心，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制管理。

PMI与PKI的区别

PMI主要进行授权管理，证明这个用户有什么权限，能干什么，即“你能做什么”。

PKI主要进行身份鉴别，证明用户身份，即“你是谁”。