關(guān)于信息系統(tǒng)安全問題淺談

關(guān)于信息系統(tǒng)安全問題淺談關(guān)于信息系統(tǒng)安全問題淺談 一 概述 根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)來看 信息系統(tǒng)安全可從五 個層面 物理 網(wǎng)絡(luò) 主機系統(tǒng) 應用系統(tǒng)和數(shù)據(jù)對系統(tǒng)進行 保護 因此 技術(shù)類安全要求也相應的分為五個層面上的安全 要求 物理層面安全要求 主要是從外界環(huán)境 基礎(chǔ)設(shè)施 運 行硬件 介質(zhì)等方面為信息系統(tǒng)的安全運行提供基本的后臺支 持和保證 網(wǎng)絡(luò)層面安全要求 為信息系統(tǒng)能夠在安全的網(wǎng)絡(luò)環(huán)境 中運行提供支持 確保網(wǎng)絡(luò)系統(tǒng)安全運行 提供有效的網(wǎng)絡(luò)服 務 主機層面安全要求 在物理 網(wǎng)絡(luò)層面安全的情況下 提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng) 以實現(xiàn)操作系 統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全運行 應用層面安全要求 在物理 網(wǎng)絡(luò) 系統(tǒng)等層面安全的 支持下 實現(xiàn)用戶安全需求所確定的安全目標 數(shù)據(jù)及備份恢復層面安全要求 全面關(guān)注信息系統(tǒng)中存 儲 傳輸 處理等過程的數(shù)據(jù)的安全性 二 關(guān)于物理安全 物理安全保護的目的主要是使存放計算機 網(wǎng)絡(luò)設(shè)備的機 房以及信息系統(tǒng)的設(shè)備和存儲數(shù)據(jù)的介質(zhì)等免受物理環(huán)境 自 然災難以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊 物理安全是防護信息系統(tǒng)安全的最底層 缺乏物理安全 其他 任何安全措施都是毫無意義的 物理安全主要涉及的方面包括環(huán)境安全 防火 防水 防 雷擊等 設(shè)備和介質(zhì)的防盜竊防破壞等方面 具體包括 物理 位置的選擇 物理訪問控制 防盜竊和防破壞 防雷擊 防火 防水和防潮 防靜電 溫濕度控制 電力供應和電磁防護等十 個方面 三 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全為信息系統(tǒng)在網(wǎng)絡(luò)環(huán)境的安全運行提供支持 一 方面 確保網(wǎng)絡(luò)設(shè)備的安全運行 提供有效的網(wǎng)絡(luò)服務 另一 方面 確保在網(wǎng)上傳輸數(shù)據(jù)的保密性 完整性和可用性等 由 于網(wǎng)絡(luò)環(huán)境是抵御外部攻擊的第一道防線 因此必須進行各方 面的防護 對網(wǎng)絡(luò)安全的保護 主要關(guān)注兩個方面 共享和安 全 開放的網(wǎng)絡(luò)環(huán)境便利了各種資源之間的流動 共享 但同 時也打開了 罪惡 的大門 因此 必須在二者之間尋找恰當?shù)?平衡點 使得在盡可能安全的情況下實現(xiàn)最大程度的資源共享 這是我們實現(xiàn)網(wǎng)絡(luò)安全的理想目標 網(wǎng)絡(luò)安全主要關(guān)注的方面包括 網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)邊界以及 網(wǎng)絡(luò)設(shè)備自身安全等 具體的方面包括 結(jié)構(gòu)安全 訪問控制 安全審計 邊界完整性檢查 入侵防范 惡意代碼防范 網(wǎng)絡(luò) 設(shè)備防護等七個方面 三 關(guān)于主機安全 主機系統(tǒng)安全是包括服務器 終端 工作站等在內(nèi)的計算機 設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全 終端 工作站是帶外 設(shè)的臺式機與筆記本計算機 服務器則包括應用程序 網(wǎng)絡(luò) web 文件與通信等服務器 主機系統(tǒng)是構(gòu)成信息系統(tǒng)的主要 部分 其上承載著各種應用 因此 主機系統(tǒng)安全是保護信息 系統(tǒng)安全的中堅力量 四 關(guān)于應用安全 通過網(wǎng)絡(luò) 主機系統(tǒng)的安全防護 最終應用安全成為信息 系統(tǒng)整體防御的最后一道防線 在應用層面運行著信息系統(tǒng)的 基于網(wǎng)絡(luò)的應用以及特定業(yè)務應用 基于網(wǎng)絡(luò)的應用是形成其 他應用的基礎(chǔ) 包括消息發(fā)送 web 瀏覽等 可以說是基本的 應用 業(yè)務應用采納基本應用的功能以滿足特定業(yè)務的要求 如電子商務 電子政務等 由于各種基本應用最終是為業(yè)務應 用服務的 因此對應用系統(tǒng)的安全保護最終就是如何保護系統(tǒng) 的各種業(yè)務應用程序安全運行 五 數(shù)據(jù)安全及備份恢復 信息系統(tǒng)處理的各種數(shù)據(jù) 用戶數(shù)據(jù) 系統(tǒng)數(shù)據(jù) 業(yè)務數(shù) 據(jù)等 在維持系統(tǒng)正常運行上起著至關(guān)重要的作用 一旦數(shù)據(jù) 遭到破壞 泄漏 修改 毀壞 都會在不同程度上造成影響 從而危害到系統(tǒng)的正常運行 由于信息系統(tǒng)的各個層面 網(wǎng)絡(luò) 主機 應用等 都對各類數(shù)據(jù)進行傳輸 存儲和處理等 因此 對數(shù)據(jù)的保護需要物理環(huán)境 網(wǎng)絡(luò) 數(shù)據(jù)庫和操作系統(tǒng) 應用 程序等提供支持 各個 關(guān)口 把好了 數(shù)據(jù)本身再具有一些防 御和修復手段 必然將對數(shù)據(jù)造成的損害降至最小 另外 數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復的重要手 段 而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容 在高級別的 信息系統(tǒng)中采用異地適時備份會有效的防治災難發(fā)生時可能造 成的系統(tǒng)危害 保證數(shù)據(jù)安全和備份恢復主要從 數(shù)據(jù)完整性 數(shù)據(jù)保密 性 備份和恢復等三個方面來考慮 所謂 防患于未然 即使對數(shù)據(jù)進行了種種保護 但仍無 法絕對保證數(shù)據(jù)的安全 對數(shù)據(jù)進行備份 是防止數(shù)據(jù)遭到破 壞后無法使用的最好方法 通過對數(shù)據(jù)采取不同的備份方式 備份形式等 保證系統(tǒng) 重要數(shù)據(jù)在發(fā)生破壞后能夠恢復 硬件的不可用同樣也是造成 系統(tǒng)無法正常運行的主要原因 因此 有必要將一些重要的設(shè) 備 服務器 網(wǎng)絡(luò)設(shè)備 設(shè)置冗余 當主設(shè)備不可用時 及時 切換到備用設(shè)備上 從而保證了系統(tǒng)的正常運行 如果有能力 的話 對重要的系統(tǒng)也可實施備用系統(tǒng) 主應用系統(tǒng)和備用系 統(tǒng)之間能實現(xiàn)平穩(wěn)及時的切換 六 安全管理制度 在信息安全中 最活躍的因素是人 對人的管理包括法律 法規(guī)與政策的約束 安全指南的幫助 安全意識的提高 安全 技能的培訓 人力資源管理措施以及企業(yè)文化的熏陶 這些功 能的實現(xiàn)都是以完備的安全管理政策和制度為前提 這里所說 的安全管理制度包括信息安全工作的總體方針 策略 規(guī)范各 種安全管理活動的管理制度以及管理人員或操作人員日常操作 的操作規(guī)程 安全管理制度主要包括 管理制度 制定和發(fā)布 評審和 修訂三個方面 不同等級的基本要求在安全管理制度方面所體 現(xiàn)的不同如 3 1 節(jié)和 3 2 節(jié)所描述的一樣 在三個方面都有所體 現(xiàn) 七 關(guān)于應急預案管理 相比于其他機構(gòu)和領(lǐng)域