@Haggard
2年前 提问
1个回答

信息安全保障技术框架提出了哪些信息安全原则

Simon
2年前

信息安全保障技术框架的安全原则包括:

  • 保护多个位置

    保护多个位置包括保护网络和基础设施、区域边界、计算环境等,这一原则提醒我们,仅仅在信息系统的重要敏感区域设置一些保护装置是不够的,任意一个系统漏洞都有可能导致严重的攻击和破坏后果,所以在信息系统的各个方位布置全面的防御机制,才能将风险降至最低。

  • 分层防御

    如果说保护多个位置原则是横向防御,那么这一原则就是纵向防御,这也是纵深防御思想的一个具体体现。分层防御即在攻击者和目标之间部署多层防御机制,每一个这样的机制必须对攻击者形成一道屏障。而且每一个这样的机制还应包括保护和检测措施,以使攻击者不得不面对被检测到的风险,迫使攻击者由于高昂的攻击代价而放弃攻击行为。

  • 安全强健性

    不同的信息对于组织有不同的价值,该信息丢失或破坏所产生的后果对组织也有不同的影响。所以对信息系统内每一个信息安全组件设置的安全强健性(即强度和保障) ,取决于被保护信息的价值以及所遭受的威胁程度。在设计信息安全保障体系时,必须要考虑到信息价值和安全管理成本的平衡。