5.3信息安全信息安全架构:(图略)信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。综合起来说,就是要保障电子信息的有效性。保密性就是对抗对手的被动攻击,保证信息不泄漏给
未经授权的人。完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。可用性就是保证信息及信息系统确实为授权使用者所用。
作为一个企业我们通常通过这样的标准来划分信息的保密性,完整性,可用性。
一、可用性---------------主要通过信息的使用率来划分:
1非常低合法使用者对信息系统及资源的存取可用度在正常上班时达到25%
2低合法使用者对信息资源的存取可用度在正常上班时达到50%
3中等合法使用者对信息系统及资源的存取可用度在正常上班时达到100%
4高合法使用者对信息系统及资源的存取可用度达到每天95%以上。
5非常高合法使用者对信息系统及资源的存取可用度达到每天99.9%以上。
二、完整性----------------通过信息应为修改对公司造成的损失的严重性来划分:
1非常低未经授权的破坏和修改不会对信息系统造成重大影响或对业务冲击可忽略
2低未经授权的破坏和修改不会对信息系统造成重大影响或对业务冲击可轻微
3中等未经授权的破坏和修改已对信息系统造成影响或对业务有明显冲击
4高未经授权的破坏和修改对信息系统造成重大影响或对业务冲击严重
5非常高未经授权的破坏和修改对信息系统造成重大影响且导致严重的业务中断
三、机密性---------------通过信息使用的权限来划分:
1公开信息非敏感信息,公开的信息处理设施和系统资源
&nbs
电子商务资料库#3(4*'85%2&$)79p;2内部使用非敏感但仅限公司内部使用的信息(非公开)
3限制使用受控的信息,需有业务需求方得以授权使用
4机密敏感信息,信息处理设施和系统资源只给比知者
5极机密敏感信息,信息处理设施和系统资源仅适用于少数比知者
为什么要保证企业的安全?企业安全的核心就是保护企业财产。企业的目标是什么?创造经济价值,而作为安全系统就是为了帮助企业创造经济价值。安全追根究底的是一种投资,作为一种投资从安全系统的引入,员工的培训到最后安全系统的应用都是一种投资,作为投资的目的,就是为了回报。保护公司的核心机密,使其不会外露这就是回报。只有保护了资产,才能说这个安全系统有作用。而判断安全系统是否起到了作用,则需要从保密性,可用性和完整性来做出判断。作为信息安全服务它需要以下人员来负责它的安全运行。
1、企业管理人员:
作为一个企业的决策者,负责企业的整体运行。他所关心的是信息安全所带来的效益,由于要对整个企业负责,所以我们需要他了解:重新获取或开发资产的费用、维护和保护资产的费用、资产对于所有者和用户的价值、资产对于对手的价值、知识产权的价值、其他人愿意为这些资产所付的价钱、丢失后更换资产所需的费用.、资产受损后的债务问题、资产受损后可能面临的法律责任,资产的价值有助于选择具体的对策、商业保险需要了解每项资产的价值、每项资产的价值可以帮助确定什么是真正的风险
2、安全管理人员
他所负责的是整个系统的网络运行,硬件支持,以及机房的安全措施。他所服务的对象是企业的上层机构,他们的职责他就是维护好整个安全系统的正常运行。制定好安全系统的运行的规划,使其能在运行中实现。
