@Luminary
2年前 提问
1个回答

常见的网络信息资产分为哪些

Ann
2年前

常见的网络信息资产分为以下这些:

  • 物理环境:主要包括机房环境及其附带的供暖通风与空气调节系统(Heating,Ventilation,Air-conditioning and Cooling,简称HVAC)等基础设施。一般而言,信息系统部署的物理环境,依赖机房部署硬件设备,依赖可靠的供电、温湿度控制等方案来保障设备的正常运行。对物理环境的安全检测主要是从其功能和性能是否满足信息系统运行的基础需求加以考虑,比如防火、防水、防静电、供电能力、温湿度调控和安全门禁等。

  • 网络设施:主要包括网络交换和互联设备,网络线缆和安全防护设备等。常见的网络交换和互联设备有集线器(Hub)、路由器、交换机和无线路由器等。常见的安全防护设备有防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、Web应用防火墙(WAF)、流量监控和清洗设备等。对网络设施的安全检测主要从其功能的完备性和安全配置层面进行。

  • 系统软件:主要包括操作系统软件和数据库软件。常见的操作系统软件主要有Windows系列、Linux系列和UNIX系列等。常见的数据库软件包括Oracle、SQL Server、MySQL以及一些开源的数据库。在一些分布式系统中,Web中间件(例如Apache Tomcat等)和Java EE中间件(如WebLogic等)也被视为系统软件。大多数系统软件在功能的完备性方面已经满足了安全需求。所以,对系统软件的安全检测主要从其安全配置层面进行。

  • 应用软件:主要是指支撑信息系统业务运行的相关软件。常见的应用软件包括电子商务系统、邮件系统、ERP系统、财务系统和OA系统等。

  • 数据:是信息系统运行的主要输出结果,在信息系统占有非常重要的位置。常见的数据包括生产数据、客户资料数据、财务数据、OA数据等。数据的机密性、完整性和可用性等安全属性极为敏感而重要。绝大多数针对信息系统的安全攻击主要是针对其内部数据发起的,目的是窃取数据、篡改数据或者破坏数据的可用性。为了更有效地保护数据的安全,常常对数据按照其重要性进行分类,形成不同等级的数据划分。例如,在电子商务系统中,订单和客户数据的机密性需要重点保护,而E-mail之类的日常OA数据的重要性则相对可以弱化。

  • 信息系统:的人员包括普通用户、管理者和运维人员等。从技术性的角度出发,为了保证信息系统的正常运行,信息系统的人员需要被授予访问信息资产的权限。例如,在基于角色的访问控制模型中,人员被赋予特定的角色,角色则直接对应一组访问信息系统资源的权限集。从管理角度出发,在人员与信息系统交互的过程中,安全意识和行为的规范性对信息系统的安全会产生重要的影响。诸多通过社会工程学发起的安全攻击,主要就是借助人员的安全弱点来实施。