‘壹’ 网络信息安全的基本分类是什么 A、基本安全类 B、管理与记账类 C、网络互联设备安全类 D、连接控制
网络信息安全的基本分类:
1、基本安全类。基本安全类包括访问控制、授权、认证、加密以及内容安全。
2、管理与记账类。管理与记账类安全包括:安全的策略管理、实时监控、报警以及企业范围内的集中管理与记账。
3、网络互联设备安全类。网络互联设备包括路由器、通信服务器、交换机等,网络互联设备安全正是针对上述这些互联设备而言的,它包括路由安全管理、远程访问服务器安全管理、通信服务器安全管理以及交换机安全管理等等。
4、连接控制类。连接控制类包括负载均衡、可靠性以及流量管理等。由于网络安全范围的不断扩大;当今的网络安全不再是仅仅保护内部资源的安全,还必须提供附加的服务,例如,用户确认、通过保密、甚至于安全管理传统的商务交易机制,如订货和记账等。
因此该题目应选择:ABCD。
‘贰’ 什么是信息安全,包含哪些方面
信息系统安全保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。所有信息处理调用的指令,包括指示和控制计算机硬件的操作性指令(程序)和信息处理中使用的过程指令。程序包括操作系统程序、电子表格程序、文字处理程序等。过程包括数据输入流程、错误改正流程、数据传送流程等。
数据资源包括:由数字、字母以及其他字符组成,描述组织活动和其他事情的字母数字型数据;句子与段落组成的文本数据;图形和图表形式的图像数据;记录人与其他声音的音频数据。
满足不同需求的、具有各种功能的信息系统构成了信息化社会的基础,它提高了社会各个行业和部门的生产和管理效率,方便了人类的日常生活,推动了社会的发展前进。
(1)风险
信息安全风险产生的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境中存在具有特定威胁动机的威胁源,通过使用各种攻击方法,利用信息系统的各种脆弱性,对信息系统造成一定的不良影响,由此引发信息安全问题和事件。
(2)保障
信息安全保障就是针对信息系统在运行环境中所面临的各种风险,制定信息安全保障策略,在策略指导下,设计并实现信息安全保障架构或模型,采取技术、管理等安全保障措施,将风险控制到可接受的范围和程度,从而实现其业务使命。
(3)使命
描述了信息系统在设计、执行、测试、运行、维护、废弃整个生命周期中运行的需求和目标。信息系统的使命与其安全保障密不可分,需要通过信息系统安全措施来保障目标的正确执行。随着信息系统面临的威胁及运行环境的变化,安全保障也需要提供相应的保障措施,从而保障信息系统的正确运行。
风险管理是信息安全保障工作的基本方法。信息安全保障应当以风险管理为基础,针对可能存在的各种威胁和自身弱点,采取有针对性的防范措施。信息安全不是追求绝对的安全,追求的是可管控的安全风险。最适宜的信息安全策略就是最优的风险管理对策,这是一个在有限资源前提下的最优选择问题。信息系统防范措施不足会造成直接损失,会影响业务系统的正常运行,也会造成不良影响和损失。也就是说,信息安全保障的问题就是安全的效用问题,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。
‘叁’ 信息安全的脆弱性包括终端的脆弱性吗
信息安全的脆弱性包括终端的脆弱性的。
信息安全脆弱性包含技术脆弱性和管理脆弱性、固有脆弱性和防护不足脆弱性。
‘肆’ 信息安全风险评估包括哪些
一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。
一、信息安全风险评估的基本过程主要分为:
1.风险评估准备过程
2.资产识别过程
3.威胁识别过程
4.脆弱性识别过程
5.风险分析过程
二、信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据。
‘伍’ 信息安全主要包括哪四个方面
中华人民共和国公共安全行业标准
中华人民共和国公共安全行业标准规定了计算机信息系统安全专用产品分类原则。
本标准规定了计算机信息系统安全专用产品分类原则。本标准适用于保护计算机信息系统安全专用产品,涉及实体安全、运行安全和信息安全三个方面。实体安全包括环境安全,设备安全和媒体安全三个方面。运行安全包括风险分析,审计跟踪,备份与恢复,应急四个方面。信息安全包括操作系统安全,数据库安全,网络安全,病毒防护,访问控制,加密与鉴别七个方面
‘陆’ 简述信息安全的重要性 什么是软件危机,软件危机有哪几种表现
(1)中国电子信息产业发展研究院曾经做过预测,针对中国中小企业调查他们对信息安全需求,企业对于信息安全的认知也跨出了一大步,有相当一部分的企业担心信息安全问题,而网络问题则是他们关心的第一位,调查还显示只有五分之一的企业没有信息泄密的事实,却也足以让人心惊胆战。企业的正常运作离不开信息资源的支持,包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源以及各种重要数据等,这些都是企业全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶,是企业发展的方向和动力,关乎着企业的生存与发展,企业的重要信息一旦被泄露会使企业顿失市场竞争优势,甚至会遭受灭顶之灾。
因此,企业要保持健康可持续性发展,信息安全是基本的保证之一。随着网络环境的日益恶化以及企业自身的发展伴随着越来越多的商业泄密事件的发生,信息安全问题逐渐被提上议事日程,企业管理者也逐渐走出以往的误区,信息安全建设成了企业首要任务,一些中小企业也纷纷加入到这个日益庞大的队伍中来。所以,在不久的将来,信息安全将更多的被企业所关注,会有更多的企业加入到安全行列中来的,这也是企业生存和发展的关键步骤之一。
随着计算机技术的不断发展,计算机被广泛地应用于各个领域,如数值计算、数据处理、辅助设计与制造、人工智能、家电产品等。在企业(包括政府机关、事业单位、生产企业、商品流通企业、金融财税等)中,利用计算机进行管理的目的是为了提高工作效率,使企业管理水平有一个明显的提高。例如,ERP(企业资源计划)系统、O A ( 办公自动化) 系统以及各类管理信息系统、各种信息制作和传播工具等,都要涉及信息的存储、传输与使用等信息处理问题,而尤为突出的是信息处理过程中的信息安全问题。对于存储在计算机中的重要文件、数据库中的重要数据等信息都存在着安全隐患,一旦丢失、损坏或泄露、不能及时送达,都会给企业造成很大的损失。如果是商业机密信息,给企业造成的损失会更大,甚至会影响到企业的生存和发展。
在没有使用计算机进行信息管理之前,信息通常都是以纸介质和某些设备(如录音、录像设备等)进行保存和传播,并对信息的安全管理有着严格的行政管理、法律法规约束,一旦出现安全问题,可以通过行政、执法手段进行追踪,查出问题的根源,并追究其相应的责任。而现在用计算机管理的信息安全问题更为复杂,象数据瞬间丢失、瞬间被盗、瞬间被破坏等问题,大大增加了管理难度。如果管理不善,如重要文件、图纸、信用卡账户等机密文件,出现安全问题时很难查清。因此,企业的信息安全问题、以及对信息的安全管理都是至关重要的。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。
(2)软件危机泛指在计算机软件的开发和维护过程中所遇到的一系列严重问题。
(3)软件危机主要表现在:
① 软件开发费用和进度失控。费用超支、进度拖延的情况屡屡发生。有时为了赶进度或压成本不得不采取一些权宜之计,这样又往往严重损害了软件产品的质量。
②软件的可靠性差。尽管耗费了大量的人力物力,而系统的正确性却越来越难以保证,出错率大大增加,由于软件错误而造成的损失十分惊人。
③生产出来的软件难以维护。很多程序缺乏相应的文档资料,程序中的错误难以定位,难以改正,有时改正了已有的错误又引入新的错误。随着软件的社会拥有量越来越大,维护占用了大量人力、物力和财力。进入80年代以来,尽管软件工程研究与实践取得了可喜的成就,软件技术水平有了长足的进展,但是软件生产水平依然远远落后于硬件生产水平的发展速度。
④用户对“已完成”的系统不满意现象经常发生。一方面,许多用户在软件开发的初期不能准确完整的向开发人员表达他们的需求;另一方面,软件开发人员常常在对用户需求还没有正确全面认识的情况下,就急于编写程序。[1]
软件危机不仅没有消失,还有加剧之势。主要表现在:
①软件成本在计算机系统总成本中所占的比例居高不下,且逐年上升。由于微电子学技术的进步和硬件生产自动化程度不断提高,硬件成本逐年下降,性能和产量迅速提高。然而软件开发需要大量人力,软件成本随着软件规模和数量的剧增而持续上升。从美、日两国的统计数字表明,1985年度软件成本大约占总成本的90%。
②软件开发生产率提高的速度远远跟不上计算机应用迅速普及深入的需要,软件产品供不应求的状况使得人类不能充分利用现代计算机硬件所能提供的巨大潜力。
‘柒’ 信息安全事件包括哪几类
1、有害程序事件(MI)2、网络攻击事件(NAI)3、信息破坏事件(IDI)4、信息内容安全事件(ICSI)5、设备设施故障(FF)6、灾害性事件(DI)7、其他事件(OI)信息安全事件分类分级解读
信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络安全事件。
1、信息安全事件分类
依据《中华人民共和国网络安全法》 、《GBT 24363-2009 信息安全技信息安全应急响应计划规范》、《GB\T 20984-2007 信息安全技术 信息安全风险评估规范》 《GB\Z 20985-2007 信息安全技术 信息网络攻击事件管理指南》 《GB\Z 20986-2007 信息安全技术信息网络攻击事件分类分级指南》等多部法律法规文件,根据信息安全事件发生的原因、表现形式等,将信息安全事件分为网络攻击事件、有害程序事件、信息泄密事件和信息内容安全事件四大类。
网络攻击事件:
通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件,包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。
有害程序事件:
蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。
信息泄露事件:
通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等,导致的信息安全事件。信息泄露事件包括专利泄露、系统主动监控及异常查单、产品竞价推销、怀疑员工泄露客户资料、员工泄露公司合同等。
信息内容安全事件:
利用信息网络发布、传播危害国家安全、社会稳定、公共利益和公司利益的内容的安全事件。包括违反法律、法规和公司规定的信息安全事件;针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串连、煽动集会游行的信息安全事件。
2、信息安全事件分级
依据《GB\Z 20985-2007 信息安全技术 信息网络攻击事件管理指南》 《GB\Z 20986-2007 信息安全技术信息网络攻击事件分类分级指南》等法律法规文件,从以下因素进行考虑
信息密级:衡量因信息安全事件中所涉及信息的重要程度的要素;
声誉影响:衡量因信息安全事件对公司品牌
‘捌’ 信息安全风险评估包括哪些
信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等评估内容。