信息安全架构计算机和网络安全法则 安全组织框架 如何建立企业信息系统的安全架构 (1) 信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)
综合起来说,就是要保障电子信息的有效性
保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人
完整性就是对抗对手主动攻击,防止信息被未经授权的篡改
可用性就是保证信息及信息系统确实为授权使用者所用
作为一个企业我们通常通过这样的标准来划分信息的保密性,完整性,可用性
可用性——————-—--—---—主要通过信息的使用率来划分: 1 非常低 合法使用者对信息系统及资源的存取可用度在正常上班时达到 25% 2 低 合法使用者对信息资源的存取可用度在正常上班时达到 50% 3 中等 合法使用者对信息系统及资源的存取可用度在正常上班时达到 100% 4 高 合法使用者对信息系统及资源的存取可用度达到每天 95%以上
5 非常高 合法使用者对信息系统及资源的存取可用度达到每天 99
完整性-——--———--—————-通过信息应为修改对公司造成的损失的严重性来划分: 1 非常低 未经授权的破坏和修改不会对信息系统造成重大影响或对业务冲击可忽略 2 低 未经授权的破坏和修改不会对信息系统造成重大影响或对业务冲击可轻微 3 中等 未经授权的破坏和修改已对信息系统造成影响或对业务有明显冲击 4 高 未经授权的破坏和修改对信息系统造成重大影响或对业务冲击严重 5 非常高 未经授权的破坏和修改对信息系统造成重大影响且导致严重的业务中断 机密性-——-——-—-——————通过信息使用的权限来划分: 1 公开信息 非敏感信息,公开的信息处理设施和系统资源 2 内部使用 非敏感但仅限公司内部使用的信息(非公开) 3 限制使用 受控的信息,需有业务需求
