当今时代,信息技巧飞速发展,信息网络广泛普及,信息已成为事关全局的一种战略资源。但信息技巧也是一把双刃剑,一方面,极大的方便了人类的生产和生活,网络技巧的发展使得地球成为一个大村:另一方面,由于信息技巧的脆弱性和不完善性,使得在信息的存储、处理、传输过程中很容易被干扰、遗漏和丧失,甚至被泄漏、窃取、修正和冒充,因此,信息安全成为企业信息化过程中不可或缺的要素。
随着信息化利用的日益广泛,企业的信息系统中存储的大批有价值的信息和数据已成为各种网络犯法组织和恶意权势的攻击目标,网络非法行动日趋复杂,且更为频繁,各种攻击方法相互融合,攻击手段更为隐秘,损坏性更强,攻击从网络层向利用层迁移。但是,我们也应当看到,信息安全虽然是由信息技巧问题引起的,但信息安全问题的解决不能够单纯地由技巧问题入手,还得从系统的、管理的角度切入,一个完善的解决安全问题的技巧计划在现实中是不存在的.而且用信息技巧解决信息技巧的脆弱性和不完善性有可能带来另外的脆弱性和不完善性。因此.信息安全中的技巧问题是—个要害问题,不能解决全部问题。信息安全界有句名言:三分技巧,七分管理,安全和管理是分不开的。即使有再好的安全设备和系统,而没有一套良好的安全管理制度、管理方法并贯彻实行,信息安全问题就是空谈。许多呈现信息安全事故的单位,要么是有安全管理制度但没有履行,要么就是没有安全管理制度。
一、信息系统的安全风险评估
所谓信皂系统的安全风险,是指由于系统存在的脆弱性、人为或自然的要挟导致安全事件产生的可能性及其造成的影响。风险评估是分析分析断定风险的过程。任何系统的安全性都可通过风险的大小来衡量。
网络信息系统得安全建设应当建立在风险评估的基础上,这是信息化建设的内在请求,系统主管部门和运营、利用单位都必须做好本系统得信息安全评估工作。只有在建设的初期,在计划的过程中,就应用风险评估、风险管理的手段,才可以避免重复建设和投资的浪费。信息安全风险评估是风险平估理论和方法在信息系统中的应用,是科学分析懂得信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的把持、风险的转移、风险的补偿、风险的疏散等之间做出决定的过程。所有信息安全建设都应当是基于信息安全风险评估,只有在正确地、全面地懂得风险后,才干在把持风险、减少风险之间做出正确的断定,决定调动多少资源、以什么样的代价、采用什么样的应对措施去化解、把持风险。在风险评估中,最终要根据对安全事件产生的可能性和负面影响的评估来辨认信息系统的安全风险。造成信息安全事件的源头,可以归为外因和内因。外因为要挟,内因则为脆弱性。因此,在风险评估中要刻意刻画信息安全事件,就必须对要挟和脆弱性都有深入懂得,这构成了风险评估工作的要害。
要确保信息网络系统得安全高效,就必须建立和完善信息安全风险评估机制,也就是要构建一个“发明隐患、制定对策、进步强度、后果认证”的封闭式、反馈型、非线性的评估系统。同时,信息网络在建设计划阶段必须进行风险评估以断定系统的安全目标:在工程验收阶段必定要进行后果认证和风险在评估以判定系统得安全目标达成与否:在运行保护阶段要针对安全形势和问题,进行制度化的风险评估工作,以断定安全措施的有效性和决定是否采用隔离或实行升级举动,以确保安全保障形势始终保持在期望的目标程度之上。
信息安全风险评估有助于信息化建设的有序开展,增进信息安全保障系统得完善,进步信息系统的安全防护才能。其目标是借助科学的评估系统和技巧方法,弄清本单位信息安全的基础态势和网络环境安全状态,及时采用或完善安全保障措施,确保信息安全策略和方针在常态化中得到贯彻与履行。对于企业具体涵盖的内容来说,首先要明白企业的哪些资产需要保护:企业必须花费时间与精力来首先断定要害数据和相干的业务支撑技巧资产的价值。通常,各公司认为表述资产的价值是很容易的,但具体如要按级别界定就不那么简略。对此,就需要用安全厂商与企业共同制定规范以断定需要保护的资产的安全级别,并为制定切实可行的安全管理策略打下基础。另外,还需完成要挟辨认的任务:如果企业想加强竞争实力,必须随时改良和更新系统和网络,但是机会增加常伴随着安全风险的增加,尤其是机构的数据对更多用户开放的时候——咽为技巧越先进,安全管理就越复杂。所以企业为了打消安全隐患,下—步就需要安全厂商与企业一起必需要对现有的网络、系统、利用进行相应的风险评估,断定在企业的具体环境下到底存在哪些和安全隐患。在此基础上,制定并实行,完成安全策略的义务分配,设立安全标准:几乎所有企业目前都有策略,只不过许多策略都没有书面化,只作为完成任务的一种手段。适当的安全策略必须与机构的所有业务需求直接相干。它基于几类安全标准。标准分类将使企业能发明违背策略的行动,并指出每个区域的漏洞或潜在安全要挟区。最后,管理还应包含安全厂商与企业共同组织的对企业安全管理^员进行安全培训,以便保护和管理全部的实行和运行情况。
相关阅读