系統(tǒng)整體安全解決方案

1、IT系統(tǒng)整體安全解決方案（一）（AMT研究院 袁磊）2004-9-14 10:03:54【作者】暢享網(wǎng) 一、信息系統(tǒng)安全的含義信息系統(tǒng)安全包括兩方面的含義，一是信息安全，二是網(wǎng)絡(luò)安全，涉及到的試信息化過程中被保護(hù)信息系統(tǒng)的整體的安全，是信息系統(tǒng)體系性安全的綜合。具體來說，信息安全指的是信息的保密性、完整性和可用性的保持；網(wǎng)絡(luò)安全主要從通信網(wǎng)絡(luò)層面考慮，指的是使信息的傳輸和網(wǎng)絡(luò)的運(yùn)行能夠得到安全的保障，內(nèi)部和外部的非法攻擊得到有效的防范和遏制。 信息系統(tǒng)安全概括的講，根據(jù)保護(hù)目標(biāo)的要求和環(huán)境的狀況，信息網(wǎng)絡(luò)和信息系統(tǒng)的硬件、軟件機(jī)器數(shù)據(jù)需要受到可靠的保護(hù)，通信、訪問等操作要得到有效保障和合理的控

2、制，不受偶然的或者惡意攻擊的原因而遭受到破壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常的運(yùn)行，網(wǎng)絡(luò)服務(wù)不被中斷。信息化安全的保障涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，涉及到安全體系的建設(shè)，安全風(fēng)險(xiǎn)的評(píng)估、控制、管理、策略指定、制度落實(shí)、監(jiān)督審計(jì)、持續(xù)改進(jìn)等方面的工作。 信息化安全與一般的安全范疇有許多不同的特點(diǎn)，信息化安全有其特殊性，首先，信息化安全使不能完全達(dá)到但有需要不斷追求的狀態(tài)，所謂的安全是相對(duì)比較而言的。其次，信息化安全是一個(gè)過程，是前進(jìn)的方向，不是靜止不變的。只有將該過程針對(duì)保護(hù)目標(biāo)資源不斷的應(yīng)用于網(wǎng)絡(luò)和其支撐體系，才可能提高系統(tǒng)的安全性。第三，在信息系統(tǒng)安全

3、中，人始終是一個(gè)重要的角色，由于人的動(dòng)機(jī)、素質(zhì)、品德、責(zé)任、心情等因素，在管理、操作、攻擊等方面有不同表現(xiàn)，可能造成信息系統(tǒng)的安全問題。第四，信息系統(tǒng)安全是一個(gè)不斷對(duì)付攻擊的循環(huán)過程，攻擊和防御是循環(huán)中交替的矛盾性角色。防御攻擊的技術(shù)、策略和管理并不是一勞永逸的，需要更新適應(yīng)性的發(fā)展需求。第五，信息系統(tǒng)安全是需要定期進(jìn)行風(fēng)險(xiǎn)評(píng)估的，風(fēng)險(xiǎn)存在和規(guī)避風(fēng)險(xiǎn)都是不斷變化的。 信息系統(tǒng)安全涉及的內(nèi)容既有技術(shù)方面的問題，更重要的是管理方面的問題，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于防范、記錄、診斷、審計(jì)、分析、追溯各種攻擊，管理方面?zhèn)戎赜谙鄳?yīng)于技術(shù)實(shí)現(xiàn)采取的人員、流程管理和規(guī)章制度。因此，從某種意

4、義上講，信息系統(tǒng)安全不僅是技術(shù)難題，而且也是管理問題。二、信息系統(tǒng)涉及的內(nèi)容信息系統(tǒng)安全所涉及到的主要內(nèi)容包括：系統(tǒng)運(yùn)行的安全： 主要側(cè)重于保證信息處理和通信傳輸系統(tǒng)的安全。其安全的要求是保證系統(tǒng)正常運(yùn)行，避免因?yàn)橄到y(tǒng)的崩潰和損壞而對(duì)系統(tǒng)存儲(chǔ)、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失，避免物理的不安全導(dǎo)致運(yùn)行的不正?；虬c瘓，避免由于電磁泄露而產(chǎn)生信息泄漏，干擾他人或受他人干擾。訪問權(quán)限和系統(tǒng)信息資源保護(hù)：對(duì)網(wǎng)絡(luò)中的各種軟硬件資源（主機(jī)、硬盤、文件、數(shù)據(jù)庫、子網(wǎng)等）進(jìn)行訪問控制，防止未授權(quán)的用戶進(jìn)行非法訪問，訪問權(quán)限控制技術(shù)包括口令設(shè)置、身份識(shí)別、路由設(shè)置、端口控制等。系統(tǒng)信息資源保護(hù)包括身份認(rèn)證、用戶口

5、令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)庫存取權(quán)限控制、安全審計(jì)、計(jì)算機(jī)病毒防治、數(shù)據(jù)保密、數(shù)據(jù)備份、災(zāi)難恢復(fù)等。信息內(nèi)容安全：側(cè)重與保護(hù)信息的保密性、真實(shí)性和完整性。避免攻擊者利用系統(tǒng)的漏洞進(jìn)行竊聽、冒充、詐騙等有損合法用戶的行為。信息內(nèi)容安全還包括信息傳播產(chǎn)生后果的安全、信息過濾等，防止和控制非法、有害的信息進(jìn)行傳播后的后果。作業(yè)和交易的安全：網(wǎng)絡(luò)中的兩個(gè)實(shí)體之間的信息交流不被非法竊取、篡改和冒充，保證信息在通信過程中的真實(shí)性、完整性、保密性和不可否認(rèn)性。作業(yè)和交易安全的技術(shù)包括數(shù)據(jù)加密、身份認(rèn)證。數(shù)字簽名等，其核心是加密技術(shù)的應(yīng)用。人員和安全的規(guī)章制度保障：重大的信息化安全事故通常來自單位阻止的內(nèi)

6、部，所以對(duì)于人員的管理、確定信息系統(tǒng)安全的基本方針和相應(yīng)的規(guī)章管理制度，是信息系統(tǒng)安全不可缺少的一個(gè)部分。在人員角色、流程、職責(zé)、考察、審計(jì)、聘任、解聘、辭職、培訓(xùn)、責(zé)任分散等方面，建立可操作的管理安全防范體系。安全體系整體的防范和應(yīng)急反應(yīng)功能：對(duì)于信息系統(tǒng)涉及到的安全問題，建立系統(tǒng)的防范體系，對(duì)可能出現(xiàn)的安全威脅和破壞進(jìn)行預(yù)演，對(duì)出現(xiàn)的災(zāi)難、意外的破壞能夠及時(shí)的恢復(fù)。三、現(xiàn)有信息系統(tǒng)存在的突出問題1、信息系統(tǒng)安全管理問題突出信息系統(tǒng)安全管理包括三個(gè)層次的內(nèi)容：組織建設(shè)、制度建設(shè)和人員意識(shí)。組織建設(shè)問題是指有關(guān)信息安全管理機(jī)構(gòu)的設(shè)立。信息安全的管理包括安全規(guī)劃、風(fēng)險(xiǎn)管理、應(yīng)急反應(yīng)計(jì)劃、安全教育

7、培訓(xùn)、安全策略制定、安全系統(tǒng)的評(píng)估和審計(jì)等多方面的內(nèi)容。安全管理雖然有一些機(jī)構(gòu)成立，但是各個(gè)機(jī)構(gòu)的職責(zé)并不是很明確，建立的規(guī)章制度可落實(shí)性差，甚至沒有規(guī)章制度。對(duì)人的管理，還需要解決多人負(fù)責(zé)、責(zé)任到人、任期有限的問題。領(lǐng)導(dǎo)對(duì)信息化還不夠重視，沒有形成群防群治的意識(shí)。信息安全的教育和培訓(xùn)還不夠。2、缺乏信息化安全意識(shí)與對(duì)策 管理層新在對(duì)信息資產(chǎn)所面臨威脅的嚴(yán)重性認(rèn)識(shí)不足，或者只限于信息技術(shù)安全方面，沒有形成一個(gè)合理的信息化安全整體方針來指導(dǎo)和組織信息化安全管理工作，表現(xiàn)為缺乏完整的信息安全管理制度，缺乏對(duì)員工進(jìn)行必要的安全法律法規(guī)和安全風(fēng)險(xiǎn)防范教育和培訓(xùn)，現(xiàn)有的安全規(guī)章制度組織機(jī)構(gòu)未能嚴(yán)格發(fā)揮作用。3、重安全技術(shù)，輕安全管理 雖然現(xiàn)在使用計(jì)算機(jī)、內(nèi)部辦公局域網(wǎng)來構(gòu)建信息系統(tǒng)，但是相應(yīng)的管理措施不到位，如系統(tǒng)運(yùn)行、維護(hù)、開發(fā)等崗位不清，職責(zé)部分，存在一人身兼數(shù)職現(xiàn)象。信息化安全大約70以上的問題是由于管理方面的原因造成的，也就是解決信息化安全問題，不僅僅從技術(shù)