信息安全工程涉及策略、管理和技术的整合,强调全面性、生命周期性、动态性、层次性和相对性。其过程包括安全规划、需求定义、设计、运行分析和生命周期支持。风险评估是关键步骤,包括自评估和检查评估,涉及资产、威胁和脆弱性的分析。信息安全策略需遵循整体性、平衡性等原则,规划实施时考虑对象和技术。等级保护定义了信息系统安全的四个级别,而安全审计则通过取证、威慑和发现异常来确保网络安全。
一、信息安全工程简介
信息安全不单单是技术问题,而是策略、管理和技术的有机结合,是一项复杂的系统工程。
1.1 信息工程建设中的问题
- 重功能,轻安全;
- 先建设,后安全;
- 头痛医头,脚痛医脚;
- 简单的安全产品的堆砌。
1.2 信息安全工程的特点
- 全面性:系统安全程度取决于系统最薄弱的环节。
- 生命周期性:一个不断往复和上升的螺旋式的安全模型。
- 动态性:系统处于不断更新、不断完善、不断进步的动态过程中。
- 层次性:用多层次的安全技术、方法与手段、分层次地化解安全风险。
- 相对性:安全是相对的,没有绝对的安全。
- 继承性:信息安全内涵不断扩展,方法和经验不断继承和发展。
1.3 信息安全工程的安全周期
- 发掘信息保护需求
- 定义系统安全要求
- 设计系统安全体系结构
- 开展详细的安全设计
- 实现系统安全
- 评估信息保护的有效性
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
