更多python、Linux、网络安全学习内容,可移步:www.oldboyedu.com或关注\"老男孩Linux\"公众号
分类: 网络与安全
2022-03-15 14:34:36
网络安全是当下非常热门的行业,市场需求量很大,同时受到了国家的重视以及政策的支持,成为很多人转行学习的首选。而在学习网络安全的过程中,我们肯定都听说过这些专业词汇:信息安全、等级保护、风险评估等,那么信息安全、等级保护及风险评估是什么?相信很多人还不知道吧,接下来我们通过这篇文章为大家介绍一下。
第一、信息安全
信息安全主要包含以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包含如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制,直至安全系统,如uninac、DLP等,只要存在安全漏洞便可威胁全局安全。信息安全是指信息系统受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。
信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不再是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。
第二、等级保护
信息安全等级保护是指对存储、传输、处理信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
等级保护是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性管理制度,其核心内容是对信息安全分等级、按标准进行建设、管理和监督。
按照《计算机信息系统安全保护等级划分准则》规定的规定,我国实行五级信息安全等级保护。第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
信息系统的安全保护等级划分为五级:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
第三、风险评估
风险评估就是量化评判安全事件带来的影响或损失的可能程度。
从信息安全的角度来讲,风险评估是对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
风险评估的主要任务包括:识别组织面临的各种风险、评估风险概率和可能带来的负面影响、确定组织承受风险的能力、确定风险消减和控制的优先等级、推荐风险消减对策。
风险评估过程中需要考虑几个关键问题:
①要确定保护的对象是什么?它的直接和间接价值如何?
②资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
③资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?
④一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
⑤组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?