第1个回答 2022-10-06
信息系统安全保障是在信息系统的整个生命周期中,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,从而保障系统实现组织机构的使命。所有信息处理调用的指令,包括指示和控制计算机硬件的操作性指令(程序)和信息处理中使用的过程指令。程序包括操作系统程序、电子表格程序、文字处理程序等。过程包括数据输入流程、错误改正流程、数据传送流程等。
数据资源包括:由数字、字母以及其他字符组成,描述组织活动和其他事情的字母数字型数据;句子与段落组成的文本数据;图形和图表形式的图像数据;记录人与其他声音的音频数据。
满足不同需求的、具有各种功能的信息系统构成了信息化社会的基础,它提高了社会各个行业和部门的生产和管理效率,方便了人类的日常生活,推动了社会的发展前进。
(1)风险
信息安全风险产生的因素主要有信息系统自身存在的漏洞和来自系统外部的威胁。信息系统运行环境中存在具有特定威胁动机的威胁源,通过使用各种攻击方法,利用信息系统的各种脆弱性,对信息系统造成一定的不良影响,由此引发信息安全问题和事件。
(2)保障
信息安全保障就是针对信息系统在运行环境中所面临的各种风险,制定信息安全保障策略,在策略指导下,设计并实现信息安全保障架构或模型,采取技术、管理等安全保障措施,将风险控制到可接受的范围和程度,从而实现其业务使命。
(3)使命
描述了信息系统在设计、执行、测试、运行、维护、废弃整个生命周期中运行的需求和目标。信息系统的使命与其安全保障密不可分,需要通过信息系统安全措施来保障目标的正确执行。随着信息系统面临的威胁及运行环境的变化,安全保障也需要提供相应的保障措施,从而保障信息系统的正确运行。
风险管理是信息安全保障工作的基本方法。信息安全保障应当以风险管理为基础,针对可能存在的各种威胁和自身弱点,采取有针对性的防范措施。信息安全不是追求绝对的安全,追求的是可管控的安全风险。最适宜的信息安全策略就是最优的风险管理对策,这是一个在有限资源前提下的最优选择问题。信息系统防范措施不足会造成直接损失,会影响业务系统的正常运行,也会造成不良影响和损失。也就是说,信息安全保障的问题就是安全的效用问题,要从经济、技术、管理的可行性和有效性上做出权衡和取舍。