信息時代既帶給我們無限商機與方便,也充斥著隱患與危險。越來越多的黑客通過網絡肆意侵入企業(yè)的計算機,盜取重要資料,或者破壞企業(yè)網絡,使其陷入癱瘓,造成巨大損失。因此,網絡安全越來越重要。企業(yè)網絡安全的核心是企業(yè)信息的安全。具體來說,也就涉及到企業(yè)信息系統(tǒng)的安全問題。一套科學、合理、完整、有效的網絡信息安全保障體系,就成為網絡信息系統(tǒng)設計和建設者們追求的主要目標。信息安全是整個網絡系統(tǒng)安全設計的最終目標,信息系統(tǒng)安全的建立必須以一系列網絡安全技術為摹礎。但信息系統(tǒng)是一個綜合的、動態(tài)的、多層次之間相結合的復雜系統(tǒng),只從網絡安全技術的角度保證整個信息系統(tǒng)的安全是很網難的,網絡信息系統(tǒng)對安全的整體是任何一種單元安全技術都無法解決的。岡此對信息系統(tǒng)的安全方案的設計必須以科學的安全體系結構模型為依據,才能保障整個安全體系的完備性、合理性。
??????? 制定安全目標和安全策略對于建造一個安全的計算機系統(tǒng)是舉足輕重的。網絡上可采用安全技術例如防火墻等實現網絡安全, 軟件開發(fā)上可選擇不同的安全粒度, 如記錄級,文件級 信息級等。 在系統(tǒng)的各個層次中展開安全控制是非常有利的 。在應用軟件層上設置安全訪問控制是整個應用系統(tǒng)安全性的重要步驟。 此外安全教育與管理也是系統(tǒng)安全的重要方面 。信息系統(tǒng)的安全管理就是以行政手段對系統(tǒng)的安全活動進行綜合管理, 并與技術策略和措施相結合 ,從而使信息系統(tǒng)達到整體上的安全水平。 其實, 在系統(tǒng)的安全保護措施中, 技術性安全措施所占的比例很小 ,而更多則是非技術性安全措施。 兩者之間是互相補充, 彼此促進 ,相輔相成的關系。 信息系統(tǒng)的安全性并不僅僅是技術問題 ,而嚴格管理和法律制度才是保證系統(tǒng)安全和可靠的根本保障。
??????? 信息系統(tǒng)安全是計算機信息系統(tǒng)運行保障機制的重要內容。他的不安全因素主要來自以下幾個方面:物理部分 主要有機房不達標設備缺乏保護措施和存在管理漏洞等。軟件部分 ,安全因素主要有操作系統(tǒng)安全和數據庫系統(tǒng)安全。網絡部分 ,包括內部網安全和內h外部網連接安全兩方面。信息部分, 安全的因素有信息傳輸線路不安全存儲保護技術有弱點及使用管理不嚴格等。
??????? 信息系統(tǒng)安全風險評估是一種對信息系統(tǒng)所面臨各類危及信息安全的影響岡素進行的綜合評判和分析。由于系統(tǒng)存在脆弱性、人為或自然的威脅導致安全事件發(fā)生所造成的影響,使信息系統(tǒng)的安全存在風險。信息安全風險評估就是要依據同家有關的信息安全技術標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價,它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后產生的實際負面影響,并根據安全事件產生的可能性和負面影響的程度來標識信息系統(tǒng)的安全風險。信息系統(tǒng)安全風險評估也是對信息系統(tǒng)所面臨威脅的評估和信息系統(tǒng)脆弱性的評估。信息系統(tǒng)所面臨的威脅主要是指可能對信息系統(tǒng)造成不期望事件的主體,這些威脅主要來自于:
??????? 1.通過網絡進入信息系統(tǒng)的行為人。這種威脅是對信息系統(tǒng)基于網絡的威脅,是行為人有意或無意的行為。
??????? 2.通過物理方式接近信息系統(tǒng)的行為人。這種威脅是對信息系統(tǒng)的物理威脅,是行為人有意或無意的行為。
??????? 3.系統(tǒng)缺陷造成的威脅。包括硬件缺陷、軟件缺陷、相關系統(tǒng)的不可用性,重要基建的不可用性造成的威脅。
??????? 4.病毒和惡意代碼的威脅。目前病毒和惡意代碼已經成為影響信息系統(tǒng)安全運行的重要因素。
??????? 5.自然災害的威脅。如洪水、地震或風暴。
??????? 信息系統(tǒng)的脆弱性是指信息系統(tǒng)中存在著可以被威脅主體所利用的造成對系統(tǒng)不期望影響的缺陷或弱點,主要有:
??????? 1.技術脆弱性:主要是指信息系統(tǒng)技術方面存在的弱點可以被威脅主體所利用并最終導致對系統(tǒng)產生不良影響。如操作系統(tǒng)存在漏洞,系統(tǒng)巾多個不受控外聯網絡,沒有防病毒工具可能被病毒利用導致系統(tǒng)被病毒感染。
??????? 2.組織脆弱性:由于信息系統(tǒng)管理組織的問題,導致信息系統(tǒng)被威脅網素所利用造成對系統(tǒng)的不良影響。如沒有人負責防病毒代碼庫的更新,對系統(tǒng)中介質的使剛沒有任何約束,可能被病毒利用導致系統(tǒng)感染。
??????? 信息系統(tǒng)安全風險評估是信息系統(tǒng)安全保障體系建立過程中的重要評判方法和決策機制,主要有以下作用:
??????? 1.明確信息系統(tǒng)的安全現狀。通過評估可以讓信息系統(tǒng)的管理組織準確了解自身的網絡、各種應崩系統(tǒng)以及管理制度規(guī)范的安全現狀,從而明晰信息系統(tǒng)安全的需求。
??????? 2.確定信息系統(tǒng)的主要安全風險。對信息系統(tǒng)進行信息安全評估并對風險分級,讓信息系統(tǒng)的管理組織選擇處置措施。
??????? 3.指導信息系統(tǒng)安全技術體系與管理體系的建設。信息系統(tǒng)安全風險評估,有助于信息系統(tǒng)的安全策略及安全解決方案的制定,并指導信息系統(tǒng)安全技術體系與管理體系的建沒。
??????? 通過評估,可以明晰信息系統(tǒng)所面臨的安全風險,制定相應的安全策略并組織實施,使南信息系統(tǒng)所面臨的風險引發(fā)的安全事件的可能性降低到最小。它是信息系統(tǒng)安全工作的一個重要環(huán)節(jié),信息系統(tǒng)的安全策略的制定和實施包括:信息系統(tǒng)安全管理策略;信息系統(tǒng)安全運行策略。安全符理策略規(guī)定了針對信息系統(tǒng)的組織管理和技術管理的安全保護策略,包括:
??????? 1.信息系統(tǒng)組織策略。它包括人事安全管理制度,操作安全管理制度,場地與設施管理制度,設備安全管理制度,網絡維護安全管理制度,操作系統(tǒng)、數據庫安全管理制度,計算機網絡安全管理制度,應用軟件安全管理制度,技術文檔、資料安全管理制度,口令安全管理制度,應急管理制度。
??????? 2.安全貫徹策略。它主要指為整個信息系統(tǒng)制定統(tǒng)一的安全策略。包括安全策略宣傳貫徹體系、安全策略評審與評估體系,整個信息系統(tǒng)安全策略的一致性檢查等。
??????? 3.人員安全策略。包括定義工作職責中的安全責任,建立人員資質審查策略,與重要員工簽署保密協(xié)議,建立定期的信息安全教育和培訓體系,建立安全事故報告制度,建立安全弱點報告制度,建立軟件故障報告制度,建立安全事件分析總結制度,建立違規(guī)處罰制度。
??????? 4.物理和環(huán)境安全策略。包括建立基本的物理安全邊界,在重要的信息處理設備進出口處設置保安設施,對所有信息設備采取物理保護措施,保障電力,保護傳輸電纜,設備定期維護,保障離開安全區(qū)域的設備安全,建立設備報廢或再啟用安全流程。
??????? 信息系統(tǒng)訪問控制策略包括有:強口令設置管理;? 身份認證管理;訪問外網控制;用戶身份及權限及時更新;網絡邊界安全策略;網絡入侵檢測。網絡系統(tǒng)安全策略包括線路冗余,網絡設備冗余,服務器的高可用性。
??????? 計算機系統(tǒng)平臺安全策略包括計算機防病毒體系的建立、信息系統(tǒng)的審計、主機入侵檢測和系統(tǒng)加固。除此之外,還有信息資源管理與安全監(jiān)控。負責整個信息系統(tǒng)的日常運行維護、資源管理、設備報廢、設備登記、軟硬件設備接入、網絡故障排除、網絡流量統(tǒng)計分析、安全設備及安全事件分析處理等。對重要的服務器和重要的客戶機進行安全加固,對網絡設備及安全設備統(tǒng)一進行安全配置。(1)定期安全評估。(2)備份與恢復。(3)病毒、漏洞管理。
??????? 任何信息安全系統(tǒng)都不可能保障信息系統(tǒng)的絕對安全,因此,必須建立信息系統(tǒng)的應急響應系統(tǒng),以應付突發(fā)事件的發(fā)生,使安全事件產生的影響最小化。應急響應體系包括應急組織機構的建立,突發(fā)事件的定位,風險控制,限制損害事故的后果,應急預案的確立并經過演練后加以執(zhí)行,以確保在所要求的時間期限內恢復業(yè)務處理,減少事件的影響,減低系統(tǒng)的風險。信息系統(tǒng)的管理組織應針對各自的信息系統(tǒng)的實際情況制定安全應急處理預案,明確應急指揮機構,明確信息安全事件的嚴重程度和類別以及應急處理流程等內容,編制具體應急方案。應急響應系統(tǒng)應能處理各種應急事件,對應對信息系統(tǒng)的管理人員進行相關的培訓,使應急響應系統(tǒng)發(fā)揮應有的作用。應急響應系統(tǒng)應跟蹤同內外安全事故的發(fā)展趨勢,使其能夠處理新型安全事件的發(fā)生。應急響應系統(tǒng)也要制定相應的方案,做到有備無患。
???????