论文部分内容阅读
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名,信息认证,数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。
一、信息安全的需求
1.为什么需要信息安全
信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、Dos攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。
2.如何确定信息安全需求
目前网络可能所受到的攻击包括黑客入侵,内部信息泄漏,不良信息的进入内网等方式。因此采取的网络安全措施应一方面要保证网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,归结起来,应充分保证以下几点:第一、网络可用性:网络是业务系统的载体,安全隔离系统必须保证内部网络的持续有效的运行,防止对内部网络设施的入侵和攻击、防止通过消耗带宽等方式破坏网络的可用性;第二、业务系统的可用性:网络安全体系必须保证系统不会遭受来自网络的非法访问、恶意入侵和破坏;第三、数据机密性:网络安全系统应保证内网机密信息在存储与传输时的保密性。第四、访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。第五、网络操作的可管理性:对于网络安全系统应具备审记和日志功能,对相关重要操作提供可靠而方便的可管理和维护功能。
二、评估信息安全风险
风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。风险评估要系统地考虑以下内容:第一、把安全故障可能导致的损失,并把信息和其它资产的保密性、完整性或可用性丧失的潜在后果也考虑进去;第二、把常见的威胁、脆弱性与实际采取的控制措施综合考虑后,某种故障发生的可能性。这样产生的评估结果有助于指导和确定适当的安全管理行为,并有助于确定管理信息安全风险的优先权和执行抵御这些风险的安全措施的优先级。对安全风险和采取的安全管理措施应定期进行复查,以验证安全措施对变化后的业务、新的威胁和脆弱性是否仍然有效、适合,即是否满足安全需求。作为高风险区域优化资源的一种手段,风险评定通常首先在高级别进行,然后在更细的级别进行,以确定具体的风险。
三、信息安全管理措施
信息安全管理措施是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育。
1.先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;
2.严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;
3.制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。
一、信息安全的需求
1.为什么需要信息安全
信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、Dos攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的,仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。
2.如何确定信息安全需求
目前网络可能所受到的攻击包括黑客入侵,内部信息泄漏,不良信息的进入内网等方式。因此采取的网络安全措施应一方面要保证网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,归结起来,应充分保证以下几点:第一、网络可用性:网络是业务系统的载体,安全隔离系统必须保证内部网络的持续有效的运行,防止对内部网络设施的入侵和攻击、防止通过消耗带宽等方式破坏网络的可用性;第二、业务系统的可用性:网络安全体系必须保证系统不会遭受来自网络的非法访问、恶意入侵和破坏;第三、数据机密性:网络安全系统应保证内网机密信息在存储与传输时的保密性。第四、访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。第五、网络操作的可管理性:对于网络安全系统应具备审记和日志功能,对相关重要操作提供可靠而方便的可管理和维护功能。
二、评估信息安全风险
风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。风险评估要系统地考虑以下内容:第一、把安全故障可能导致的损失,并把信息和其它资产的保密性、完整性或可用性丧失的潜在后果也考虑进去;第二、把常见的威胁、脆弱性与实际采取的控制措施综合考虑后,某种故障发生的可能性。这样产生的评估结果有助于指导和确定适当的安全管理行为,并有助于确定管理信息安全风险的优先权和执行抵御这些风险的安全措施的优先级。对安全风险和采取的安全管理措施应定期进行复查,以验证安全措施对变化后的业务、新的威胁和脆弱性是否仍然有效、适合,即是否满足安全需求。作为高风险区域优化资源的一种手段,风险评定通常首先在高级别进行,然后在更细的级别进行,以确定具体的风险。
三、信息安全管理措施
信息安全管理措施是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育。
1.先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;
2.严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;
3.制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。