一、概述
根據信息系統安全的整體結構來看,信息系統安全可從五個層面:物理、網絡、主機系統、應用系統和數據對系統進行保護,因此,技術類安全要求也相應的分為五個層面上的安全要求:
◆物理層面安全要求:主要是從外界環境、基礎設施、運行硬件、介質等方面為信息系統的安全運行提供基本的后臺支持和保證;
◆網絡層面安全要求:為信息系統能夠在安全的網絡環境中運行提供支持,確保網絡系統安全運行,提供有效的網絡服務;
◆主機層面安全要求:在物理、網絡層面安全的情況下,提供安全的操作系統和安全的數據庫管理系統,以實現操作系統和數據庫管理系統的安全運行;
◆應用層面安全要求:在物理、網絡、系統等層面安全的支持下,實現用戶安全需求所確定的安全目標;
◆數據及備份恢復層面安全要求:全面關注信息系統中存儲、傳輸、處理等過程的數據的安全性。
二、關于物理安全
物理安全保護的目的主要是使存放計算機、網絡設備的機房以及信息系統的設備和存儲數據的介質等免受物理環境、自然災難以及人為操作失誤和惡意操作等各種威脅所產生的攻擊。物理安全是防護信息系統安全的最底層,缺乏物理安全,其他任何安全措施都是毫無意義的。
物理安全主要涉及的方面包括環境安全(防火、防水、防雷擊等)設備和介質的防盜竊防破壞等方面。具體包括:物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等十個方面。
三、網絡安全
網絡安全為信息系統在網絡環境的安全運行提供支持。一方面,確保網絡設備的安全運行,提供有效的網絡服務,另一方面,確保在網上傳輸數據的保密性、完整性和可用性等。由于網絡環境是抵御外部攻擊的第一道防線,因此必須進行各方面的防護。對網絡安全的保護,主要關注兩個方面:共享和安全。開放的網絡環境便利了各種資源之間的流動、共享,但同時也打開了“罪惡”的大門。因此,必須在二者之間尋找恰當的平衡點,使得在盡可能安全的情況下實現最大程度的資源共享,這是我們實現網絡安全的理想目標。
網絡安全主要關注的方面包括:網絡結構、網絡邊界以及網絡設備自身安全等,具體的方面包括:結構安全、訪問控制、安全審計、邊界完整性檢查、入侵防范、惡意代碼防范、網絡設備防護等七個方面。
三、 關于主機安全
主機系統安全是包括服務器、終端/工作站等在內的計算機設備在操作系統及數據庫系統層面的安全。終端/工作站是帶外設的臺式機與筆記本計算機,服務器則包括應用程序、網絡、web、文件與通信等服務器。主機系統是構成信息系統的主要部分,其上承載著各種應用。因此,主機系統安全是保護信息系統安全的中堅力量。
四、 關于應用安全
通過網絡、主機系統的安全防護,最終應用安全成為信息系統整體防御的最后一道防線。在應用層面運行著信息系統的基于網絡的應用以及特定業務應用。基于網絡的應用是形成其他應用的基礎,包括消息發送、web瀏覽等,可以說是基本的應用。業務應用采納基本應用的功能以滿足特定業務的要求,如電子商務、電子政務等。由于各種基本應用最終是為業務應用服務的,因此對應用系統的安全保護最終就是如何保護系統的各種業務應用程序安全運行。
五、 數據安全及備份恢復
信息系統處理的各種數據(用戶數據、系統數據、業務數據等)在維持系統正常運行上起著至關重要的作用。一旦數據遭到破壞(泄漏、修改、毀壞),都會在不同程度上造成影響,從而危害到系統的正常運行。由于信息系統的各個層面(網絡、主機、應用等)都對各類數據進行傳輸、存儲和處理等,因此,對數據的保護需要物理環境、網絡、數據庫和操作系統、應用程序等提供支持。各個“關口”把好了,數據本身再具有一些防御和修復手段,必然將對數據造成的損害降至最小。
另外,數據備份也是防止數據被破壞后無法恢復的重要手段,而硬件備份等更是保證系統可用的重要內容,在高級別的信息系統中采用異地適時備份會有效的防治災難發生時可能造成的系統危害。
保證數據安全和備份恢復主要從:數據完整性、數據保密性、備份和恢復等三個方面來考慮。
所謂“防患于未然”,即使對數據進行了種種保護,但仍無法絕對保證數據的安全。對數據進行備份,是防止數據遭到破壞后無法使用的最好方法。
通過對數據采取不同的備份方式、備份形式等,保證系統重要數據在發生破壞后能夠恢復。硬件的不可用同樣也是造成系統無法正常運行的主要原因。因此,有必要將一些重要的設備(服務器、網絡設備)設置冗余。當主設備不可用時,及時切換到備用設備上,從而保證了系統的正常運行。如果有能力的話,對重要的系統也可實施備用系統,主應用系統和備用系統之間能實現平穩及時的切換。
六、 安全管理制度
在信息安全中,最活躍的因素是人,對人的管理包括法律、法規與政策的約束、安全指南的幫助、安全意識的提高、安全技能的培訓、人力資源管理措施以及企業文化的熏陶,這些功能的實現都是以完備的安全管理政策和制度為前提。這里所說的安全管理制度包括信息安全工作的總體方針、策略、規范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規程。
安全管理制度主要包括:管理制度、制定和發布、評審和修訂三個方面。不同等級的基本要求在安全管理制度方面所體現的不同如3.1節和3.2節所描述的一樣,在三個方面都有所體現。
七、關于應急預案管理
相比于其他機構和領域,信息系統更容易受到各種安全事件和災難的傷害而導致中斷,特別是在一些突發情況下,如不采取應急響應,將會導致重大的社會影響、經濟損失。于是建立有效的應急預案、災難恢復計劃并履行,對于削減系統損失與降低各種服務的不可用性就顯得非常重要。
?
從“誰來負責”到“如何共擔”:安全…落實“三個到位” 筑牢安全生產屏障多層級單位安全管理探討一線員工安全應知應會100條哪些安全工作需要“留痕”?安全人如何“盡職減責”?感知力和行動力是人的本質安全素養核…兩避開一工具避開物體運動方向、避開…
如何提高安全意識安全生產的重要性是什么企業安全生產基礎知識安全意識及安全的重要性當前安全生產工作中存在的問題和對策…提高職工的安全意識的重要性淺談對安全生產工作的認識公司目前安全管理工作存在的問題
