信息安全架构计算机和网络安全法则 安全组织框架 如何建立企业信息系统的安全架构 (1) 信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。综合起来说,就是要保障电子信息的有效性. 保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。 完整性就是对抗对手主动攻击,防止信息被未经授权的篡改. 可用性就是保证信息及信息系统确实为授权使用者所用。 作为一个企业我们通常通过这样的标准来划分信息的保密性,完整性,可用性。 可用性——————-—--—---—主要通过信息的使用率来划分: 1 非常低 合法使用者对信息系统及资源的存取可用度在正常上班时达到 25% 2 低 合法使用者对信息资源的存取可用度在正常上班时达到 50% 3 中等 合法使用者对信息系统及资源的存取可用度在正常上班时达到 100% 4 高 合法使用者对信息系统及资源的存取可用度达到每天 95%以上。 5 非常高 合法使用者对信息系统及资源的存取可用度达到每天 99.9%以上. 完整性-——--———--—————-通过信息应为修改对公司造成的损失的严重性来划分: 1 非常低 未经授权的破坏和修改不会对信息系统造成重大影响或对业务冲击可忽略 2 低 未经授权的破坏和修改不会对信息系统造成重大影响或对业务冲击可轻微 3 中等 未经授权的破坏和修改已对信息系统造成影响或对业务有明显冲击 4 高 未经授权的破坏和修改对信息系统造成重大影响或对业务冲击严重 5 非常高 未经授权的破坏和修改对信息系统造成重大影响且导致严重的业务中断 机密性-——-——-—-——————通过信息使用的权限来划分: 1 公开信息 非敏感信息,公开的信息处理设施和系统资源 2 内部使用 非敏感但仅限公司内部使用的信息(非公开) 3 限制使用 受控的信息,需有业务需求方得以授权使用 4 机密 敏感信息,信息处理设施和系统资源只给比知者 5 极机密 敏感信息,信息处理设施和系统资源仅适用于少数比知者 为什么要保证企业的安全?企业安全的核心就是保护企业财产.企业的目标是什么?制造经济价值,而作为安全系统就是为了帮助企业制造经济价值。安全追根究底的是一种投资,作为一种投资从安全系统的引入,员工的培训到最后安全系统的应用都是一种投资,作为投资的目的,就是为了回报。保护公司的核心机密,使其不会外露这就是回报。只有保护了资产,才能说这个安全系统有作用。而推断安全系...
