信息時(shí)代既帶給我們無(wú)限商機(jī)與方便,也充斥著隱患與危險(xiǎn)。越來(lái)越多的黑客通過(guò)網(wǎng)絡(luò)肆意侵入企業(yè)的計(jì)算機(jī),盜取重要資料,或者破壞企業(yè)網(wǎng)絡(luò),使其陷入癱瘓,造成巨大損失。因此,網(wǎng)絡(luò)安全越來(lái)越重要。企業(yè)網(wǎng)絡(luò)安全的核心是企業(yè)信息的安全。具體來(lái)說(shuō),也就涉及到企業(yè)信息系統(tǒng)的安全問(wèn)題。一套科學(xué)、合理、完整、有效的網(wǎng)絡(luò)信息安全保障體系,就成為網(wǎng)絡(luò)信息系統(tǒng)設(shè)計(jì)和建設(shè)者們追求的主要目標(biāo)。信息安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)的最終目標(biāo),信息系統(tǒng)安全的建立必須以一系列網(wǎng)絡(luò)安全技術(shù)為摹礎(chǔ)。但信息系統(tǒng)是一個(gè)綜合的、動(dòng)態(tài)的、多層次之間相結(jié)合的復(fù)雜系統(tǒng),只從網(wǎng)絡(luò)安全技術(shù)的角度保證整個(gè)信息系統(tǒng)的安全是很網(wǎng)難的,網(wǎng)絡(luò)信息系統(tǒng)對(duì)安全的整體是任何一種單元安全技術(shù)都無(wú)法解決的。岡此對(duì)信息系統(tǒng)的安全方案的設(shè)計(jì)必須以科學(xué)的安全體系結(jié)構(gòu)模型為依據(jù),才能保障整個(gè)安全體系的完備性、合理性。
??????? 制定安全目標(biāo)和安全策略對(duì)于建造一個(gè)安全的計(jì)算機(jī)系統(tǒng)是舉足輕重的。網(wǎng)絡(luò)上可采用安全技術(shù)例如防火墻等實(shí)現(xiàn)網(wǎng)絡(luò)安全, 軟件開(kāi)發(fā)上可選擇不同的安全粒度, 如記錄級(jí),文件級(jí) 信息級(jí)等。 在系統(tǒng)的各個(gè)層次中展開(kāi)安全控制是非常有利的 。在應(yīng)用軟件層上設(shè)置安全訪問(wèn)控制是整個(gè)應(yīng)用系統(tǒng)安全性的重要步驟。 此外安全教育與管理也是系統(tǒng)安全的重要方面 。信息系統(tǒng)的安全管理就是以行政手段對(duì)系統(tǒng)的安全活動(dòng)進(jìn)行綜合管理, 并與技術(shù)策略和措施相結(jié)合 ,從而使信息系統(tǒng)達(dá)到整體上的安全水平。 其實(shí), 在系統(tǒng)的安全保護(hù)措施中, 技術(shù)性安全措施所占的比例很小 ,而更多則是非技術(shù)性安全措施。 兩者之間是互相補(bǔ)充, 彼此促進(jìn) ,相輔相成的關(guān)系。 信息系統(tǒng)的安全性并不僅僅是技術(shù)問(wèn)題 ,而嚴(yán)格管理和法律制度才是保證系統(tǒng)安全和可靠的根本保障。
??????? 信息系統(tǒng)安全是計(jì)算機(jī)信息系統(tǒng)運(yùn)行保障機(jī)制的重要內(nèi)容。他的不安全因素主要來(lái)自以下幾個(gè)方面:物理部分 主要有機(jī)房不達(dá)標(biāo)設(shè)備缺乏保護(hù)措施和存在管理漏洞等。軟件部分 ,安全因素主要有操作系統(tǒng)安全和數(shù)據(jù)庫(kù)系統(tǒng)安全。網(wǎng)絡(luò)部分 ,包括內(nèi)部網(wǎng)安全和內(nèi)h外部網(wǎng)連接安全兩方面。信息部分, 安全的因素有信息傳輸線路不安全存儲(chǔ)保護(hù)技術(shù)有弱點(diǎn)及使用管理不嚴(yán)格等。
??????? 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是一種對(duì)信息系統(tǒng)所面臨各類危及信息安全的影響岡素進(jìn)行的綜合評(píng)判和分析。由于系統(tǒng)存在脆弱性、人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的影響,使信息系統(tǒng)的安全存在風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估就是要依據(jù)同家有關(guān)的信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià),它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后產(chǎn)生的實(shí)際負(fù)面影響,并根據(jù)安全事件產(chǎn)生的可能性和負(fù)面影響的程度來(lái)標(biāo)識(shí)信息系統(tǒng)的安全風(fēng)險(xiǎn)。信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估也是對(duì)信息系統(tǒng)所面臨威脅的評(píng)估和信息系統(tǒng)脆弱性的評(píng)估。信息系統(tǒng)所面臨的威脅主要是指可能對(duì)信息系統(tǒng)造成不期望事件的主體,這些威脅主要來(lái)自于:
??????? 1.通過(guò)網(wǎng)絡(luò)進(jìn)入信息系統(tǒng)的行為人。這種威脅是對(duì)信息系統(tǒng)基于網(wǎng)絡(luò)的威脅,是行為人有意或無(wú)意的行為。
??????? 2.通過(guò)物理方式接近信息系統(tǒng)的行為人。這種威脅是對(duì)信息系統(tǒng)的物理威脅,是行為人有意或無(wú)意的行為。
??????? 3.系統(tǒng)缺陷造成的威脅。包括硬件缺陷、軟件缺陷、相關(guān)系統(tǒng)的不可用性,重要基建的不可用性造成的威脅。
??????? 4.病毒和惡意代碼的威脅。目前病毒和惡意代碼已經(jīng)成為影響信息系統(tǒng)安全運(yùn)行的重要因素。
??????? 5.自然災(zāi)害的威脅。如洪水、地震或風(fēng)暴。
??????? 信息系統(tǒng)的脆弱性是指信息系統(tǒng)中存在著可以被威脅主體所利用的造成對(duì)系統(tǒng)不期望影響的缺陷或弱點(diǎn),主要有:
??????? 1.技術(shù)脆弱性:主要是指信息系統(tǒng)技術(shù)方面存在的弱點(diǎn)可以被威脅主體所利用并最終導(dǎo)致對(duì)系統(tǒng)產(chǎn)生不良影響。如操作系統(tǒng)存在漏洞,系統(tǒng)巾多個(gè)不受控外聯(lián)網(wǎng)絡(luò),沒(méi)有防病毒工具可能被病毒利用導(dǎo)致系統(tǒng)被病毒感染。
??????? 2.組織脆弱性:由于信息系統(tǒng)管理組織的問(wèn)題,導(dǎo)致信息系統(tǒng)被威脅網(wǎng)素所利用造成對(duì)系統(tǒng)的不良影響。如沒(méi)有人負(fù)責(zé)防病毒代碼庫(kù)的更新,對(duì)系統(tǒng)中介質(zhì)的使剛沒(méi)有任何約束,可能被病毒利用導(dǎo)致系統(tǒng)感染。
??????? 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全保障體系建立過(guò)程中的重要評(píng)判方法和決策機(jī)制,主要有以下作用:
??????? 1.明確信息系統(tǒng)的安全現(xiàn)狀。通過(guò)評(píng)估可以讓信息系統(tǒng)的管理組織準(zhǔn)確了解自身的網(wǎng)絡(luò)、各種應(yīng)崩系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀,從而明晰信息系統(tǒng)安全的需求。
??????? 2.確定信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。對(duì)信息系統(tǒng)進(jìn)行信息安全評(píng)估并對(duì)風(fēng)險(xiǎn)分級(jí),讓信息系統(tǒng)的管理組織選擇處置措施。
??????? 3.指導(dǎo)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估,有助于信息系統(tǒng)的安全策略及安全解決方案的制定,并指導(dǎo)信息系統(tǒng)安全技術(shù)體系與管理體系的建沒(méi)。
??????? 通過(guò)評(píng)估,可以明晰信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn),制定相應(yīng)的安全策略并組織實(shí)施,使南信息系統(tǒng)所面臨的風(fēng)險(xiǎn)引發(fā)的安全事件的可能性降低到最小。它是信息系統(tǒng)安全工作的一個(gè)重要環(huán)節(jié),信息系統(tǒng)的安全策略的制定和實(shí)施包括:信息系統(tǒng)安全管理策略;信息系統(tǒng)安全運(yùn)行策略。安全符理策略規(guī)定了針對(duì)信息系統(tǒng)的組織管理和技術(shù)管理的安全保護(hù)策略,包括:
??????? 1.信息系統(tǒng)組織策略。它包括人事安全管理制度,操作安全管理制度,場(chǎng)地與設(shè)施管理制度,設(shè)備安全管理制度,網(wǎng)絡(luò)維護(hù)安全管理制度,操作系統(tǒng)、數(shù)據(jù)庫(kù)安全管理制度,計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度,應(yīng)用軟件安全管理制度,技術(shù)文檔、資料安全管理制度,口令安全管理制度,應(yīng)急管理制度。
??????? 2.安全貫徹策略。它主要指為整個(gè)信息系統(tǒng)制定統(tǒng)一的安全策略。包括安全策略宣傳貫徹體系、安全策略評(píng)審與評(píng)估體系,整個(gè)信息系統(tǒng)安全策略的一致性檢查等。
??????? 3.人員安全策略。包括定義工作職責(zé)中的安全責(zé)任,建立人員資質(zhì)審查策略,與重要員工簽署保密協(xié)議,建立定期的信息安全教育和培訓(xùn)體系,建立安全事故報(bào)告制度,建立安全弱點(diǎn)報(bào)告制度,建立軟件故障報(bào)告制度,建立安全事件分析總結(jié)制度,建立違規(guī)處罰制度。
??????? 4.物理和環(huán)境安全策略。包括建立基本的物理安全邊界,在重要的信息處理設(shè)備進(jìn)出口處設(shè)置保安設(shè)施,對(duì)所有信息設(shè)備采取物理保護(hù)措施,保障電力,保護(hù)傳輸電纜,設(shè)備定期維護(hù),保障離開(kāi)安全區(qū)域的設(shè)備安全,建立設(shè)備報(bào)廢或再啟用安全流程。
??????? 信息系統(tǒng)訪問(wèn)控制策略包括有:強(qiáng)口令設(shè)置管理;? 身份認(rèn)證管理;訪問(wèn)外網(wǎng)控制;用戶身份及權(quán)限及時(shí)更新;網(wǎng)絡(luò)邊界安全策略;網(wǎng)絡(luò)入侵檢測(cè)。網(wǎng)絡(luò)系統(tǒng)安全策略包括線路冗余,網(wǎng)絡(luò)設(shè)備冗余,服務(wù)器的高可用性。
??????? 計(jì)算機(jī)系統(tǒng)平臺(tái)安全策略包括計(jì)算機(jī)防病毒體系的建立、信息系統(tǒng)的審計(jì)、主機(jī)入侵檢測(cè)和系統(tǒng)加固。除此之外,還有信息資源管理與安全監(jiān)控。負(fù)責(zé)整個(gè)信息系統(tǒng)的日常運(yùn)行維護(hù)、資源管理、設(shè)備報(bào)廢、設(shè)備登記、軟硬件設(shè)備接入、網(wǎng)絡(luò)故障排除、網(wǎng)絡(luò)流量統(tǒng)計(jì)分析、安全設(shè)備及安全事件分析處理等。對(duì)重要的服務(wù)器和重要的客戶機(jī)進(jìn)行安全加固,對(duì)網(wǎng)絡(luò)設(shè)備及安全設(shè)備統(tǒng)一進(jìn)行安全配置。(1)定期安全評(píng)估。(2)備份與恢復(fù)。(3)病毒、漏洞管理。
??????? 任何信息安全系統(tǒng)都不可能保障信息系統(tǒng)的絕對(duì)安全,因此,必須建立信息系統(tǒng)的應(yīng)急響應(yīng)系統(tǒng),以應(yīng)付突發(fā)事件的發(fā)生,使安全事件產(chǎn)生的影響最小化。應(yīng)急響應(yīng)體系包括應(yīng)急組織機(jī)構(gòu)的建立,突發(fā)事件的定位,風(fēng)險(xiǎn)控制,限制損害事故的后果,應(yīng)急預(yù)案的確立并經(jīng)過(guò)演練后加以執(zhí)行,以確保在所要求的時(shí)間期限內(nèi)恢復(fù)業(yè)務(wù)處理,減少事件的影響,減低系統(tǒng)的風(fēng)險(xiǎn)。信息系統(tǒng)的管理組織應(yīng)針對(duì)各自的信息系統(tǒng)的實(shí)際情況制定安全應(yīng)急處理預(yù)案,明確應(yīng)急指揮機(jī)構(gòu),明確信息安全事件的嚴(yán)重程度和類別以及應(yīng)急處理流程等內(nèi)容,編制具體應(yīng)急方案。應(yīng)急響應(yīng)系統(tǒng)應(yīng)能處理各種應(yīng)急事件,對(duì)應(yīng)對(duì)信息系統(tǒng)的管理人員進(jìn)行相關(guān)的培訓(xùn),使應(yīng)急響應(yīng)系統(tǒng)發(fā)揮應(yīng)有的作用。應(yīng)急響應(yīng)系統(tǒng)應(yīng)跟蹤同內(nèi)外安全事故的發(fā)展趨勢(shì),使其能夠處理新型安全事件的發(fā)生。應(yīng)急響應(yīng)系統(tǒng)也要制定相應(yīng)的方案,做到有備無(wú)患。
???????