信息系统安全保障目的

环境安全保障目的

信息系统安全保障目的和环境安全保障目的

信息系统整体安全保障目的、管理安全保障目的、技术安全保障目的和工程安全保障目的

某网站在访问量突然增加时对用户连接数量进行了限制，保证已登录的用户可以完成操作

在提款过程中 ATM 终端发生故障，银行业务系统及时对该用户的账户余额进行了冲正操作

某网管系统具有严格的审计功能，可以确定哪个管理员在何时对核心交换机进行了什么操作

李先生在每天下班前将重要文件锁在档案室的保密柜中，使伪装成清洁工的商业间谍无法查看

与国家安全、社会稳定和民生密切相关的关键基础设施是各国安全保障的重点

美国尚未设立中央政府级的专门机构处理网络信息安全问题，信息安全管理职能由不同政府部门的多个机构共同承担

各国普遍重视信息安全事件的应急响应和处理

在网络安全战略中，各国均强调加强政府管理力度，充分利用社会资源，发挥政府与企业之间的合作关系

CNCI 是以风险为核心，三道防线首要的任务是降低其网络所面临的风险

从 CNCI 可以看出，威胁主要是来自外部的，而漏洞和隐患主要是存在于内部的

CNCI 的目的是尽快研发并部署新技术彻底改变其糟糕的网络安全现状，而不是在现在的网络基础上修修补补

CNCI 彻底改变了以往的美国信息安全战略，不再把关键基础设施视为信息安全保障重点，而是追求所有网络和系统的全面安全保障

信息安全外部环境：信息安全保障是组织机构安全、国家安全的一个重要组成部分，因此对信息安全的讨论必须放在国家政策、法律法规和标准的外部环境制约下。

信息安全管理和工程：信息安全保障需要在整个组织机构内建立和完善信息安全管理体系，将信息安全管理综合至信息系统的整个生命周期，在这个过程中，我们需要采用信息系统工程的方法来建设信息系统。

信息安全人才体系：在组织机构中应建立完善的安全意识，培训体系也是信息安全保障的重要组成部分。

信息安全技术方案：“从外而内、自下而上、形成边界到端的防护能力”。

项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。

项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。

项目资源指完成项目所需要的人、财、物等。

项目目标要遵守 SMART 原则，即项目的目标要求具体(Specific)、可测量（Measurable)、需相关方的一致同意(Agreeto)、现实(Realistic)、有一定的时限(Timeoriented)

个人网银系统和用户之间的双向鉴别

由可信第三方完成的用户身份鉴别

个人网银系统对用户身份的单向鉴别

用户对个人网银系统合法性的单向鉴别

防护

检测

反应

策略