软考《信息系统运行管理员》- 6.1 信息系统安全概述

信息系统安全的概念

信息系统安全是指保障计算机及其相关设备、设施(含网络)的安全，运行环境的安全， 信息的安全，实现信息系统的正常运行。
信息系统安全包括实体安全、运行安全、信息安全和 人员安全等几个部分。

影响信息系统安全的因素

产生故意威胁的因素

产生故意威胁的因素主要分为以下5类。
(1)盗取。包括盗取数据，盗取主机使用时间，以及盗取设备或程序。
(2)操纵。操纵数据的处置、输入、处理、传输和编排，以及各种信息系统滥用行为或 欺诈。
(3)破坏。包括罢工、骚乱或破坏，故意破坏信息系统资源，使用病毒或类似攻击进行破坏。
(4)依赖。对硬软件、核心技术的严重依赖，也会导致网络安全比较脆弱。受信息技术限 制，很多组织直接引进国外的信息技术设备，且对引进的硬软件无法进行技术改造，给他人入 侵系统或监听信息等非法操作提供了可乘之机；我国网络系统的核心技术严重依赖国外，这使 我国的网络安全性能大大减弱，网络安全处于极其脆弱的状态。
(5)恐怖袭击。恐怖袭击事件能严重毁坏信息系统的基础网络、软件系统，导致关键业务 中断，发生在纽约的“911”事件就造成了这样的后果。

产生非故意威胁的因素

产生非故意威胁的因素主要分为以下3类。
(1)人为错误。在硬件或信息系统的设计过程中均可能出现人为错误，在编程、测试、数 据收集、数据输入、授权及数据处理与输出过程中也可能发生人为错误。在许多组织的信息系 统中，与安全性相关的问题大部分都是因人为错误产生的。
(2)环境灾害。包括地震、严重的风(如飓风、暴雪、风沙、闪电、龙卷风等)、洪水、 电力故障、强烈振荡、火灾、空调故障、爆炸、辐射、制冷系统故障等。在发生火灾时，除燃 烧本身会给计算机带来损害外，烟、热及水都会损害计算机资源。这些灾害可能会导致计算机 运行中断。
(3)信息系统故障。信息系统故障可能因制造问题或材料缺陷引起，非故意性功能故障也 可能因其他原因引起，如缺乏经验或测试不当等。

信息系统安全等级保护标准体系

信息系统安全等级保护标准体系由等级保护工作过程中所需的所有标准组成，整个标准体 系可以从多个角度分析。从基本分类角度看，可以分为基础类标准、技术类标准和管理类标准； 从对象角度看，可以分为基础标准、系统标准、产品标准、安全服务标准和安全事件标准等； 从等级保护生命周期看，可以分为通用/基础标准、系统定级用标准、安全建设用标准、等级测 评用标准和运行维护用标准等。

信息系统安全保护等级

信息系统安全保护等级及定级要素

信息系统的安全保护等级分为以下5级。
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损 害国家安全、社会秩序和公共利益。
第二级，信息系统受到破坏后，会对公民、法人或其他组织的合法权益造成严重损害，或 者对社会秩序和公共利益造成损害，但不损害国家安全。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全 造成损害。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家 安全造成严重损害。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

定级方法

确定信息系统安全保护等级的一般流程如下。
(1)确定作为定级对象的信息系统。
(2)确定业务信息安全受到破坏时所侵害的客体。
(3)根据不同的受侵害客体，从多个方面综合评定业务信息安全被破坏对客体的侵害程度。 (4)依据表6-2,得到业务信息安全保护等级。
(5)确定系统服务安全受到破坏时所侵害的客体。
(6)根据不同的受侵害客体，从多个方面综合评价系统服务安全被破坏对客体的侵害程度。
(7)依据表6-3,得到系统服务安全保护等级。
(8)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保 护等级。

重要：

确定等级一般流程：