信息系统安全包括哪两部分构成

随着信息技术的发展，信息安全也成为了我们必须要关注的问题。信息系统作为将信息通讯、控制、管理和服务等各个方面综合起来的系统，自然也要面对着种种安全威胁。为了保证信息系统的安全性，我们需要采取一系列措施来保障，这里将从多个角度分析信息系统安全构成的两部分。

第一部分：技术手段

技术手段是保障信息系统安全的重要手段。信息系统增加了控制信息流的和生成信息的技术手段，同时，计算机网络和通讯技术的发展，也为人们的工作和生活带来了便利，同时也为黑客攻击信息系统打开了方便之门。为此我们需要采取一些技术手段来增强信息系统的安全性。

1.加密技术

加密技术可分为对称加密和非对称加密两类。对称加密是指加密和解密使用同一个密钥，这种方式加密速度快，但是密钥的传输和管理较难，容易被捕获从而导致密文公开。而非对称加密使用两个密钥，一个是公开密钥，另一个是私有密钥。公开密钥用于加密信息，只有拥有私有密钥的人才能够解密。这种方式安全可靠，但是其加密速度较慢。

2.防火墙

防火墙是过滤和管理网络流量的硬件设备或软件。它可确保只有授权用户能够访问系统内部的资源。通过防火墙，信息系统管理员可以控制网路信息的流向，从而最大限度地防止网络攻击和数据泄露。

3.访问控制

访问控制是通过安全认证、授权和身份验证等方式，来控制系统内用户的访问权限。通过访问控制，管理员可以限制某些用户的访问权限，从而减少一些不必要的风险。

4.漏洞扫描

漏洞扫描是一种通过自动化扫描软件，来寻找系统中存在的漏洞和弱点的方法。通过这些漏洞扫描，管理员可以及时发现系统中可能存在的漏洞，从而对这些漏洞进行修补来保护系统的安全性。

第二部分：人员管理

技术手段的构成只是信息系统安全的一部分，另一部分则是人员管理。在信息系统管理过程中，无论是内部人员还是外部人员，管理层应对这些人员进行严格的管理和监管。

1.员工教育

员工教育是一项非常重要的任务。通过培训，管理员可以让员工了解信息系统的安全风险和安全管理方案，在工作中注意信息的安全问题等等。对于网络安全实施不力或存在问题的员工，需进行加强培训或惩处。

2.权限管理

权限管理是访问控制的一部分，只是在人员管理方面的一个应用。管理员在权限管理中应制定尽可能全面的安全策略，包括保密性策略、完整性策略、可用性策略等。这些策略需要人手来执行和维护。

3.监控与审核

监控和审计是确保人员合规的关键。通过监视系统日志，管理员可以追踪和检测潜在的信息安全威胁，尤其是非法的许可或信息泄露。通过审核，管理员可以确保行为规范和责任划分的属性不会被改变。