信息系统安全管理（第十七章）

　　信息安全的目标：

　　1、保密性（安全协议、网络认证、数据机密）；

　　2、完整性（不可抵赖、防火墙系统、通信安全、入侵检测）；

　　3、可用性（磁盘容错与盘备份、可接受的登录及进程性能、可靠的安全进程和机制）；

　　4、其他属性及目标

　　信息安全的内容：

　　1、信息安全方针与策略；

　　2、组织信息安全；

　　3、资产管理；

　　4、人力资源安全；

　　5、物理和环境安全；

　　6、通信和操作安全；

　　7、访问控制；

　　8、信息系统的获取、开发和保持；

　　9、信息安全事件管理；

　　10、业务持续性管理；

　　11、符合性

　　信息安全属性：

　　1、保密性（最小授权、防暴露、信息加密、物理保密）；

　　2、完整性（未经授权不能进行改变的特性）；

　　3、可用性（可被授权实体访问并按需求使用的特性）；

　　4、不可抵赖性（确信参与者的真实同一性）

　　应用系统安全管理的措施：

　　1、建立应用系统安全需求管理；

　　2、严格应用系统的安全检测与验收；

　　3、坚强应用系统的操作安全控制；

　　4、规范变更管理；

　　5、防止信息泄漏；

　　6、严格访问控制；

　　7、信息备份；

　　8、应用系统的使用监视

　　应用系统运行中的安全管理：

　　1、组织管理层在系统运行安全管理中的职责；

　　2、系统运行安全的审查目标；

　　3、系统运行安全与保密的层次构成；

　　4、系统运行安全检查与记录；

　　5、系统运行安全管理制度

　　系统运行安全与保密层次由粗到细分别为：

　　1、系统级安全；

　　2、资源访问安全；

　　3、功能性安全；

　　4、数据域安全