資源描述:
《系統(tǒng)整體安全解決方案.doc》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。
1、IT系統(tǒng)整體安全解決方案(一)(AMT研究院袁磊)2004-9-1410:03:54【作者】暢享網(wǎng)一、信息系統(tǒng)安全的含義信息系統(tǒng)安全包括兩方面的含義,一是信息安全,二是網(wǎng)絡(luò)安全,涉及到的試信息化過程中被保護(hù)信息系統(tǒng)的整體的安全,是信息系統(tǒng)體系性安全的綜合。具體來說,信息安全指的是信息的保密性、完整性和可用性的保持;網(wǎng)絡(luò)安全主要從通信網(wǎng)絡(luò)層面考慮,指的是使信息的傳輸和網(wǎng)絡(luò)的運(yùn)行能夠得到安全的保障,內(nèi)部和外部的非法攻擊得到有效的防范和遏制。??????信息系統(tǒng)安全概括的講,根據(jù)保護(hù)目標(biāo)的要求和環(huán)境的狀況,信息網(wǎng)絡(luò)和信息系統(tǒng)的硬件、軟件機(jī)器數(shù)據(jù)需要受到可靠
2、的保護(hù),通信、訪問等操作要得到有效保障和合理的控制,不受偶然的或者惡意攻擊的原因而遭受到破壞、更改、泄漏,系統(tǒng)連續(xù)可靠正常的運(yùn)行,網(wǎng)絡(luò)服務(wù)不被中斷。信息化安全的保障涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論,涉及到安全體系的建設(shè),安全風(fēng)險(xiǎn)的評(píng)估、控制、管理、策略指定、制度落實(shí)、監(jiān)督審計(jì)、持續(xù)改進(jìn)等方面的工作。??????信息化安全與一般的安全范疇有許多不同的特點(diǎn),信息化安全有其特殊性,首先,信息化安全使不能完全達(dá)到但有需要不斷追求的狀態(tài),所謂的安全是相對(duì)比較而言的。其次,信息化安全是一個(gè)過程,是前進(jìn)的方向,不是靜止不變的。
3、只有將該過程針對(duì)保護(hù)目標(biāo)資源不斷的應(yīng)用于網(wǎng)絡(luò)和其支撐體系,才可能提高系統(tǒng)的安全性。第三,在信息系統(tǒng)安全中,人始終是一個(gè)重要的角色,由于人的動(dòng)機(jī)、素質(zhì)、品德、責(zé)任、心情等因素,在管理、操作、攻擊等方面有不同表現(xiàn),可能造成信息系統(tǒng)的安全問題。第四,信息系統(tǒng)安全是一個(gè)不斷對(duì)付攻擊的循環(huán)過程,攻擊和防御是循環(huán)中交替的矛盾性角色。防御攻擊的技術(shù)、策略和管理并不是一勞永逸的,需要更新適應(yīng)性的發(fā)展需求。第五,信息系統(tǒng)安全是需要定期進(jìn)行風(fēng)險(xiǎn)評(píng)估的,風(fēng)險(xiǎn)存在和規(guī)避風(fēng)險(xiǎn)都是不斷變化的。??????信息系統(tǒng)安全涉及的內(nèi)容既有技術(shù)方面的問題,更重要的是管理方面的問題,兩方面
4、相互補(bǔ)充,缺一不可。技術(shù)方面主要側(cè)重于防范、記錄、診斷、審計(jì)、分析、追溯各種攻擊,管理方面?zhèn)戎赜谙鄳?yīng)于技術(shù)實(shí)現(xiàn)采取的人員、流程管理和規(guī)章制度。因此,從某種意義上講,信息系統(tǒng)安全不僅是技術(shù)難題,而且也是管理問題。二、信息系統(tǒng)涉及的內(nèi)容信息系統(tǒng)安全所涉及到的主要內(nèi)容包括:·系統(tǒng)運(yùn)行的安全:??????主要側(cè)重于保證信息處理和通信傳輸系統(tǒng)的安全。其安全的要求是保證系統(tǒng)正常運(yùn)行,避免因?yàn)橄到y(tǒng)的崩潰和損壞而對(duì)系統(tǒng)存儲(chǔ)、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失,避免物理的不安全導(dǎo)致運(yùn)行的不正?;虬c瘓,避免由于電磁泄露而產(chǎn)生信息泄漏,干擾他人或受他人干擾?!ぴL問權(quán)限和系統(tǒng)信
5、息資源保護(hù):對(duì)網(wǎng)絡(luò)中的各種軟硬件資源(主機(jī)、硬盤、文件、數(shù)據(jù)庫(kù)、子網(wǎng)等)進(jìn)行訪問控制,防止未授權(quán)的用戶進(jìn)行非法訪問,訪問權(quán)限控制技術(shù)包括口令設(shè)置、身份識(shí)別、路由設(shè)置、端口控制等。系統(tǒng)信息資源保護(hù)包括身份認(rèn)證、用戶口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)庫(kù)存取權(quán)限控制、安全審計(jì)、計(jì)算機(jī)病毒防治、數(shù)據(jù)保密、數(shù)據(jù)備份、災(zāi)難恢復(fù)等?!ば畔?nèi)容安全:側(cè)重與保護(hù)信息的保密性、真實(shí)性和完整性。避免攻擊者利用系統(tǒng)的漏洞進(jìn)行竊聽、冒充、詐騙等有損合法用戶的行為。信息內(nèi)容安全還包括信息傳播產(chǎn)生后果的安全、信息過濾等,防止和控制非法、有害的信息進(jìn)行傳播后的后果?!ぷ鳂I(yè)和交易的安全
6、:網(wǎng)絡(luò)中的兩個(gè)實(shí)體之間的信息交流不被非法竊取、篡改和冒充,保證信息在通信過程中的真實(shí)性、完整性、保密性和不可否認(rèn)性。作業(yè)和交易安全的技術(shù)包括數(shù)據(jù)加密、身份認(rèn)證。數(shù)字簽名等,其核心是加密技術(shù)的應(yīng)用?!と藛T和安全的規(guī)章制度保障:重大的信息化安全事故通常來自單位阻止的內(nèi)部,所以對(duì)于人員的管理、確定信息系統(tǒng)安全的基本方針和相應(yīng)的規(guī)章管理制度,是信息系統(tǒng)安全不可缺少的一個(gè)部分。在人員角色、流程、職責(zé)、考察、審計(jì)、聘任、解聘、辭職、培訓(xùn)、責(zé)任分散等方面,建立可操作的管理安全防范體系?!ぐ踩w系整體的防范和應(yīng)急反應(yīng)功能:對(duì)于信息系統(tǒng)涉及到的安全問題,建立系統(tǒng)的防范
7、體系,對(duì)可能出現(xiàn)的安全威脅和破壞進(jìn)行預(yù)演,對(duì)出現(xiàn)的災(zāi)難、意外的破壞能夠及時(shí)的恢復(fù)。三、現(xiàn)有信息系統(tǒng)存在的突出問題1、信息系統(tǒng)安全管理問題突出信息系統(tǒng)安全管理包括三個(gè)層次的內(nèi)容:組織建設(shè)、制度建設(shè)和人員意識(shí)。組織建設(shè)問題是指有關(guān)信息安全管理機(jī)構(gòu)的設(shè)立。信息安全的管理包括安全規(guī)劃、風(fēng)險(xiǎn)管理、應(yīng)急反應(yīng)計(jì)劃、安全教育培訓(xùn)、安全策略制定、安全系統(tǒng)的評(píng)估和審計(jì)等多方面的內(nèi)容。安全管理雖然有一些機(jī)構(gòu)成立,但是各個(gè)機(jī)構(gòu)的職責(zé)并不是很明確,建立的規(guī)章制度可落實(shí)性差,甚至沒有規(guī)章制度。對(duì)人的管理,還需要解決多人負(fù)責(zé)、責(zé)任到人、任期有限的問題。領(lǐng)導(dǎo)對(duì)信息化還不夠重視,沒有
8、形成群防群治的意識(shí)。信息安全的教育和培訓(xùn)還不夠。2、缺乏信息化安全意識(shí)與對(duì)策??????管理層新在對(duì)信息資產(chǎn)