浅论企业信息安全
计算机网络的迅猛发展,黑客技术水平的日新月异,种种原因都导致了即使企业在基础措施做足的前提下,也有太多的可能性遭遇安全方面的威胁。因此,我们必须运用技术手段来保障企业信息的安全。下面就简单介绍两种方式:
我们在使用一个系统或安全产品前,首先要明确该产品是否安全,由这些产品构成的网络是否可靠。为此各国政府纷纷颁布相关标准,进行信息技术安全评估。根据《GB/Tl8336.2-2001.信息技术安全技术信息技术安全性评估准则》,信息安全评估是对一个构件、产品、子系统或系统的安全属性进行的技术评价,通过评估判断该构件、产品、子系统或系统是否满足一组特定的要求。
信息系统的所有者根据组织任务提出安全需求,为了满足这些安全需求,必须制定相关的组织安全策略和评估对象安全策略,这些安全策略同时应能够应对系统所面临的威胁。组织安全策略和评估对象安全策略通过一定的安全措施在系统中得到实现,这些安全措施从防护、检测、响应及恢复(PDRR)四个方面保护所有者的资产。但是安全措施本身可能具有脆弱性,这些脆弱性可能被利用,从而形成安全风险。这些风险最终施加到资产上。
信息系统安全评估流程包括以下几个环节:安全需求评估、威胁分析、组织安全策略及评估对象安全策略评估、安全措施评估、脆弱性评估、风险评估。
评估过程为满足这些要求的产品和系统的安全功能以及相应的保证措施确定一个可信级别。评估结果可以帮助消费者确定信息技术产品和系统对他们的应用是否足够安全、使用中潜在的安全风险是否可以接受。评估可以发现评估对象存在的错误和脆弱性,开发者通过纠正这些错误和脆弱性,可以降低在今后操作中发生安全问题的可能性。另外,面对严格的评估要求开发者在评估对象的设计和开发中将会更加认真。
据统计,一个大型企业每年在网络安全防护方面的花费和开销超过整个信息化建设投资的3O%.而且这个比例还在逐年提高。这意味着我们的政府或企业每投资7O块钱用于建设完善自己的信息系统的同时,就不得不另外拿出近一半投资数额的钱用于防止这些信息系统被破坏,再除掉所有这些系统本身的维护及升级开销。造成这种局面的原因是我们原有的基于互联网的信息化建设和安全防护都过分重视各自的原始需求,在这种情况下,安全审计产品应运而生。
凡是对网络信息系统的薄弱环节进行测试、评估和分析,以找到较好途径,在最大限度保障安全的基础上使得业务正常运行的一切行为和手段,都可以叫做安全审计。
安全审计(SecurityAuditing)技术使用某种或几种安全检测工具(通常称为扫描器Scan-net),采用预先扫描漏洞的方法,检查系统的安全漏洞,得到系统薄弱环节的检查报告,并根据响应策略采取相应的安全保护和应急措施。
传统的安全审计具有日志记录的功能,注重事后的审计,强调审计的威慑作用和安全事件的可核查性。随着美国国家信息安全政策的改变,信息保障技术框架(IATF)提出在信息基础设置中进行所谓深层防御策略(Defens-in-DepthStrastegy),这个策略对安全审计系统提出了参与主动保护和主动响应的要求。现代网络安全审计突破了以往日志记录等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复(PDRR)动态过程的要求,在提高审计广度和深度的基础上,做到对信息的主动保护和主动响应。
从审计的对象来划分,安全审计分为:(1)操作系统的审计;(2)应用系统的审计;(3)设备的审计;(4)网络应用的审计。
从审计的方式来划分,安全审计分为:(1)分布式审计:将审计信息存放在各服务器和安全保密设备上,用于系统安全保密管理员审查。分布式审计适用于对信息安全保护要求不高的企业信息系统中;(2)集中式审计:将各服务器和安全保密设备中的审计信息收集、整理、分析汇编成审计报表。集中式审计适用于对信息安全保护要求高的企业信息系统中。
从审计的控制机制来划分,安全审计分为:(1)基于主机的审计。基于主机控制机制可以监控指定的主机系统,其控制力度细;(2)基于网络的审计。基于网络的控制机制可以实时监控内网的安全隐患,实现周密的内网资源保护;(3)基于主机和基于网络相结合的审计。既可监控主机,也可监控网络。
对于一个企业用户来说,根据企业需要建立一个完善的安全审计系统来弥补薄弱的漏洞要远比花费大量的人力、物力建立复杂庞大的安全系统实际。
信息安全在企业的信息化道路上起到了举足轻重的作用。企业一定要构建良好的信息安全系统,建立健全安全制度,培养安全管理人才,只有信息安全有了保障,企业的发展之路才会一马平川。(E-works)
- 标签:本站
- 编辑:刘柳
- 相关文章
-
浅论企业信息安全
计算机网络的迅猛发展,黑客技术水平的日新月异,种种原因都导致了即使企业在基础措施做足的前提下,也有太多的可能性遭遇安全方面…
-
专家谈互联网信息保存:打造个体与国家记忆的整合
4月19日,国内第一个互联网信息战略保存基地在新浪挂牌
- 十九届六中全会决议两个特点分别是什么
- 管理百科财务管理
- 山西省太原市开展农村劳动力就业信息采集工作
- 就业信息 山农大就业招聘信息搜集发布(十)
- “新十条”出台规避劳动风险企业应当这样做!-善世集团