（二十一）系统集成中级 - 信息系统安全管理

.信息系统安全管理
    -属性(信息安全三元组)
        1.保密性
            -技术
                1.1 协议安全性；
                1.2 身份认证服务；
                1.3 数据加密；
        2.完整性
            -技术
                2.1 CA认证；
                2.2 数字签名；
                2.3 防火墙系统；
                2.4 传输安全(通信安全)；
                2.5 入侵系统；
        3.可用性
            需要时，授权系统可以访问和使用；
            -技术    
                3.1 磁盘和系统的容错；
                3.2 可接受的登录及进程性能；
                3.3 可靠的功能性的安全进程和机制；
                3.4 数据冗余及备份；
        4.其他属性与目标
            -真实性
                对信息来源的判断，对信息真伪的鉴别；
            -可核查性
                可以被独一无二的追溯到该实体的特性，要求实体对他负责，为探测和调查安全违规事件提供可能性；
            -不可依赖性
                有效的责任机制，防止用户否认其行为；
            -可靠性
                在规定事件和给定条件下，无故障完成规定功能的概率；
                平均故障间隔时间，Mean Time Between Failure,MTFB;
    -内容
        1.信息安全方针与政策
            提供指导与支持；
        2.组织信息安全
            建立管理框架，启动和控制组织范围内的信息安全的实施；
        3.人力资源安全
        4.资产管理
        5.访问控制
        6.密码
        7.物理和环境安全
        8.运行安全
        9.通信安全
        10.信息系统的获取、开发、保持
        11.供应商关系
        12.信息安全事件管理
        13.业务持续性管理
        14.符合性
    

.信息系统安全
    -属性
        1.保密性
        2.完整性
        3.可用性
        4.不可抵赖性
    -系统安全管理体系
        1.信息系统安全管理概念
        2.管理体系
        3.技术体系
            3.1 物理安全
                3.1.1 环境安全，主要指的是中心机房的安全
                3.1.2 设备安全
            3.2 运行安全
            3.3 数据安全
            
.物理安全管理
    -机房设置域安全
        1.计算机机房；
            1.1 机房场地选择
                1.1.1 基本要求
                1.1.2 防火要求
                1.1.3 防污染要求
                1.1.4 防潮和防雷要求
                1.1.5 防震动和防噪声要求
                1.1.6 防强电场、磁场要求
                1.1.7 防地震、水灾要求
                1.1.8 防公众干扰要求
            1.2 机房空调、降温
            1.3 机房防水与防潮
        2.电源
        3.计算机设备
        4.通信线路
    -技术控制
        1.检测监视系统
        2.人员进出机房和操作权限范围控制
    -环境与人生安全
        1.防火
            二级耐火材料
        2.防漏水和水灾
        3.防静电
        4.防自然灾害
        5.防物理安全威胁
    -电磁兼容
        1.计算机涉笔防泄漏
        2.计算机设备的电磁辐射标准和电磁兼容标准
    
.人员安全管理
    -安全组织
    -岗位安全考核与培训
    -离职人员安全管理
    
.应用系统安全管理
    1.建立系统