(1)信息系统安全模型如下图所示:
它适用于解释任何基于计算机网络的信息系统安全问题——国家的、企业的或个人的信息系统安全问题。各层之间相互依赖,下层向上层提供支持,上层依赖下层完善,最终实现数据信息的安全。
(2)下面由下到上从“行为规范”、“实体安全”、“技术安全”角度,依次说明信息资源安全问题及管理措施。
①第1、2层行为规范管理
新的网络文化、日益严重的计算机犯罪、信息资源开发利用中存在的各种非理性行为(如各类侵权行为等),促使国家通过制定法律、规程、政策,来规范和约束人们的思想和行为,将信息安全纳入规范化、法制化和科学化轨道。如《中华人民共和国著作权法》等。在国家政策法规的指导下,管理组织针对自身具体情况,进行信息资源安全策略规划,设立相应机制,进行人员的安全教育与培训,并制定安全管理制度或管理细则,以规范组织内人们的行为。如:“XXX单位机房管理条例”等。第1、2层主要是从法规和制度上规定一般公民和组织成员对信息系统安全所应承担的义务和责任,即规范和指导人的思想行为。
②第3、4层实体安全管理
在现实世界中,存在着对信息系统所涉及的硬件及相关物理实体(如机房及其环境)的各种各样的威胁,包括自然灾难、人为攻击、环境影响、设备故障等。第3、4层主要用各种物理和管理手段(非技术的),解决信息系统硬件及其环境的防灾、防盗和防害等安全问题。包括:对自然灾害、人为活动、硬件损害等的防患工作。它们是信息系统可用性不可缺少的基础和保障。
③第5、6、7层技术安全管理
除了上述非技术层面的安全管理外,信息资源安全管理更多地从技术的角度,利用各种信息安全技术,解决信息资源的可用性、保密性、认证性、一致性等安全管理问题。包括通信网络、软件系统和数据信息等层面的安全管理,即技术安全管理,以保证信息系统安全工作,最终实现信息的有效开发利用。它们是信息系统安全管理的关键,是信息安全技术的核心。
(简答题)
利用信息系统安全模型,说明一个组织如何对其信息资源安全进行系统管理。
正确答案
答案解析
略