关于信息系统安全问题浅谈
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全问题浅谈
一、概述
根据信息系统安全的整体结构来看,信息系统安全可从五个层面:物理、网络、主机系统、应用系统和数据对系统进行保护,因此,技术类安全要求也相应的分为五个层面上的安全要求:
◆物理层面安全要求:主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证;
◆网络层面安全要求:为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,提供有效的网络服务;
◆主机层面安全要求:在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行;
◆应用层面安全要求:在物理、网络、系统等层面安全的支持下,实现用户安全需求所确定的安全目标;
◆数据及备份恢复层面安全要求:全面关注信息系统中存储、传输、处理等过程的数据的安全性。
二、关于物理安全
物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全是防护信息系统安全的最底层,缺乏物理安全,其他任何安全措施都是毫无意义的。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个方面。
三、网络安全
网络安全为信息系统在网络环境的安全运行提供支持。一方面,确保网络设
备的安全运行,提供有效的网络服务,另一方面,确保在网上传输数据的保密性、完整性和可用性等。由于网络环境是抵御外部攻击的第一道防线,因此必须进行各方面的防护。对网络安全的保护,主要关注两个方面:共享和安全。开放的网络环境便利了各种资源之间的流动、共享,但同时也打开了“罪恶”的大门。因此,必须在二者之间寻找恰当的平衡点,使得在尽可能安全的情况下实现最大程度的资源共享,这是我们实现网络安全的理想目标。
网络安全主要关注的方面包括:网络结构、网络边界以及网络设备自身安全等,具体的方面包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个方面。
三、关于主机安全
主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器。主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量。
四、关于应用安全
通过网络、主机系统的安全防护,最终应用安全成为信息系统整体防御的最后一道防线。在应用层面运行着信息系统的基于网络的应用以及特定业务应用。基于网络的应用是形成其他应用的基础,包括消息发送、web浏览等,可以说是基本的应用。业务应用采纳基本应用的功能以满足特定业务的要求,如电子商务、电子政务等。由于各种基本应用最终是为业务应用服务的,因此对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。
五、数据安全及备份恢复
信息系统处理的各种数据(用户数据、系统数据、业务数据等)在维持系统正常运行上起着至关重要的作用。一旦数据遭到破坏(泄漏、修改、毁坏),都会在不同程度上造成影响,从而危害到系统的正常运行。由于信息系统的各个层面(网络、主机、应用等)都对各类数据进行传输、存储和处理等,因此,对数
据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。各个“关口”把好了,数据本身再具有一些防御和修复手段,必然将对数据造成的损害降至最小。
另外,数据备份也是防止数据被破坏后无法恢复的重要手段,而硬件备份等更是保证系统可用的重要内容,在高级别的信息系统中采用异地适时备份会有效的防治灾难发生时可能造成的系统危害。
保证数据安全和备份恢复主要从:数据完整性、数据保密性、备份和恢复等三个方面来考虑。
所谓“防患于未然”,即使对数据进行了种种保护,但仍无法绝对保证数据的安全。对数据进行备份,是防止数据遭到破坏后无法使用的最好方法。
通过对数据采取不同的备份方式、备份形式等,保证系统重要数据在发生破坏后能够恢复。硬件的不可用同样也是造成系统无法正常运行的主要原因。因此,有必要将一些重要的设备(服务器、网络设备)设置冗余。当主设备不可用时,及时切换到备用设备上,从而保证了系统的正常运行。如果有能力的话,对重要的系统也可实施备用系统,主应用系统和备用系统之间能实现平稳及时的切换。
六、安全管理制度
在信息安全中,最活跃的因素是人,对人的管理包括法律、法规与政策的约束、安全指南的帮助、安全意识的提高、安全技能的培训、人力资源管理措施以及企业文化的熏陶,这些功能的实现都是以完备的安全管理政策和制度为前提。这里所说的安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。
安全管理制度主要包括:管理制度、制定和发布、评审和修订三个方面。不同等级的基本要求在安全管理制度方面所体现的不同如3.1节和3.2节所描述的一样,在三个方面都有所体现。
七、关于应急预案管理
相比于其他机构和领域,信息系统更容易受到各种安全事件和灾难的伤害而导致中断,特别是在一些突发情况下,如不采取应急响应,将会导致重大的社会影响、经济损失。于是建立有效的应急预案、灾难恢复计划并履行,对于削减系
统损失与降低各种服务的不可用性就显得非常重要。