一、信息系統安全策略

1、“七定”安全策略：

（1）定方案、定崗、定位、定員、定目標、定制度、定工作流程。

（2）按照系統安全策略"七定”要求，系統安全策略首先要解決定方案，其次就是定崗。

2、信息系統安全保護等級的概念

（1）第一級用戶自主保護級。適用于普通內聯網用戶

（2）第二級系統審計保護級。適用于通過內聯網或國際網進行商務活動，需要保密的非重要單位。

（3）第三級安全標記保護級。適用于地方各級國家機關、金融單位機構、郵電通信、能源與水源供給部門、交通運輸、大型工商與信息技術企業、重點工程建設等單位。

（4）第四級結構化保護級。適用于中央級國家機關、廣播電視部門、重要物資儲備單位、社會應急服務部門、尖端科技企業集團、國家重點科研單位機構和國防建設等部門。

（5）第五級訪問驗證保護級。適用于國防關鍵部門和依法需要對計算機信息系統實施特殊隔離的單位。

3、信息安全保護等級的決定要素：

（1）受侵害的客體。等級保護對象受到破壞時所侵害的客體包括公民、法人和其他組織的合法權益；社會秩序、公共利益;國家安全。

（2）對客體的侵害程度。對客體造成侵害的程度分為造成一般損害；造成嚴重損害；造成特別嚴重損害。

4、基于角色的訪問控制

訪問授權方案主要有四種

（1）自主訪問式(DAC)：對每個用戶指明能夠訪問的資源，對于不在指定的資源列表中的對象不允許訪問。

（2）訪問控制列表方式(ACL)：目標資源擁有訪問權限列表，指明允許哪些用戶訪問。

（3）強制訪問控制式(MAC)：在軍事和安全部門應用最多。訪問者擁有包含等級列表的許可，其中定義了可以訪問哪個級別的目標。

（4）基于角色的訪問控制方式(RBAC)：該模型首先定乂—個組織內的角色，再根據管理規定給這些角色分配相應的權限，最后對組織內的每個人根據具體業務和職務分配一個或多個角色。RBAC中的角色由應用系統的管理員定義。

5、安全審計功能

?? ?CC(即 Common critoria iso/IEC17859)標準將安全審計功能分為6個部分，分別是安全審計自動響應功能，安全審計自動生成功能，安全審計分析功能，安全審計瀏覽功能，安全審計事件選擇功能，安全審計事件存儲功能。

（1）安全審計自動響應功能定義在被測事件指示出一個潛在的安全攻擊時做出的響應，它是管理審計事件的需要，這些需要包括報警或行動。

（2）安全審計自動生成功能要求記錄與安全相關的事件的出現，包括鑒別審計層次、列舉可被審計的事件類型，以及鑒別由各種審計記錄類型提供的相關審計信息的最小集合。

（3）安全審計分析功能定義了分析系統活動和審計數據來尋找可能的或真正的安全違規操作。

（4）安全審計瀏覽功能要求審計系統能夠使授權的用戶有效地瀏覽審計數據，它包括審計瀏覽、有限審計瀏覽、可選審計瀏覽。

（5）安全審計事件選擇功能要求系統管理員能夠維護、檢査或修改審計事件的集合，能夠選擇對哪些安全屬性進行審計。

（6）安全審計事件存儲要求審計系統提供控制措施，以防止由于資源的不可用丟失審計數據。能夠創造、維護、訪問它所保護的對象的審計蹤跡，并保護其不被修改、非授權訪問或破壞。審計數據將受到保護直至授權用戶對它進行的訪問。

總結

以上是生活随笔為你收集整理的软考-信息系统项目管理师-信息系统安全管理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。