什么是网络信息安全管理?
网络信息安全管理是指确保网络资源的可用性、完整性、可控性和弹性,防止网络设备、网络通信协议、网络服务、网络管理和自然因素等因素造成的网络中断。网络信息管理对象包括网络设备、网络通信协议、网络操作系统、网络服务。支持网络系统运行的所有软件和硬件的总和,包括安全网络管理。网络安全管理的目的是通过适当的安全措施确保网络的运行安全和信息安全,并满足网络发展的安全要求。
网络信息安全管理的要素包括网络管理对象、网络威胁、网络漏洞、网络风险。网络管理对象的漏洞由网络保护措施组成,使具有不同影响和风险的威胁能够发生。网络安全管理实际上就是风险控制。其基本过程是分析网络管理对象的威胁和漏洞,从而生成网络管理对象价值。识别网络管理对象漏洞决定了网络管理对象风险等级,并在此基础上选择适当的安全措施来降低网络管理对象的风险。
安全风险管理的三个要素是资产、威胁和漏洞。漏洞的存在带来风险,数据主体利用漏洞产生风险。网络攻击主要利用系统的漏洞。网络管理对象本身的脆弱性使得威胁的发生成为可能,从而产生不同的影响和风险。
网络安全管理的目的是为公司和机构直接提供保护性价值观、物质和非物质形式的存在。例如,网络设备可以访问硬件和软件文档,而服务质量和网络带宽则无关紧要。
一般网络信息安全管理对象的信息安全资源分类如下:
1、数据
存储在信息媒体中的各种数据资料,包括源代码、数据库数据、系统文档、业务法规、计划报告、用户手册、各种纸质文档等。
2、软件
系统软件:操作系统、数据库管理系统、文具包、开发系统等。
应用程序:办公软件、数据库软件、各种工具软件等。
源程序:共同的源代码,由自己或联合开发的不同代码。
3、硬件
网络设备:路由器、网关、交换机等。
计算机设备:大型机、小型计算机、服务器、工作站、台式机、笔记本电脑等。
存储设备:磁带机、RAID、磁带、光盘、软盘、移动硬盘等。
输电线路:玻璃纤维、双绞线等。
配套设备:UPS、变压器、空调、保险柜、文件柜、出入口、消防设备等。
安全设施:防火墙、入侵检测系统、身份验证等。
其他:打印机、复印机、扫描仪、传真机等。
4、服务
信息服务:依赖系统进行外部使用的各种服务。
网络服务:由各种网络设备和设施提供的网络连接服务。
办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流管理和其他服务。
5、人员
重要信息和关键业务联系人,如主机维护人员、网络维护人员和应用程序项目经理。
6、其他
企业形象、客户关系等。
