一���、概述
根據(jù)信息系統(tǒng)安全的整體結(jié)構(gòu)來看�,信息系統(tǒng)安全可從五個層面:物理、網(wǎng)絡�����、主機系統(tǒng)���、應用系統(tǒng)和數(shù)據(jù)對系統(tǒng)進行保護�����,因此�,技術(shù)類安全要求也相應的分為五個層面上的安全要求:
◆物理層面安全要求:主要是從外界環(huán)境���、基礎設施�、運行硬件�、介質(zhì)等方面為信息系統(tǒng)的安全運行提供基本的后臺支持和保證;
◆網(wǎng)絡層面安全要求:為信息系統(tǒng)能夠在安全的網(wǎng)絡環(huán)境中運行提供支持�,確保網(wǎng)絡系統(tǒng)安全運行��,提供有效的網(wǎng)絡服務���;
◆主機層面安全要求:在物理�����、網(wǎng)絡層面安全的情況下�����,提供安全的操作系統(tǒng)和安全的數(shù)據(jù)庫管理系統(tǒng)�����,以實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全運行�;
◆應用層面安全要求:在物理、網(wǎng)絡�、系統(tǒng)等層面安全的支持下,實現(xiàn)用戶安全需求所確定的安全目標��;
◆數(shù)據(jù)及備份恢復層面安全要求:全面關注信息系統(tǒng)中存儲�����、傳輸���、處理等過程的數(shù)據(jù)的安全性�。
二��、關于物理安全
物理安全保護的目的主要是使存放計算機、網(wǎng)絡設備的機房以及信息系統(tǒng)的設備和存儲數(shù)據(jù)的介質(zhì)等免受物理環(huán)境��、自然災難以及人為操作失誤和惡意操作等各種威脅所產(chǎn)生的攻擊�。物理安全是防護信息系統(tǒng)安全的最底層,缺乏物理安全�����,其他任何安全措施都是毫無意義的�。
物理安全主要涉及的方面包括環(huán)境安全(防火、防水�����、防雷擊等)設備和介質(zhì)的防盜竊防破壞等方面���。具體包括:物理位置的選擇���、物理訪問控制、防盜竊和防破壞���、防雷擊、防火�、防水和防潮��、防靜電��、溫濕度控制�����、電力供應和電磁防護等十個方面�����。
三�����、網(wǎng)絡安全
網(wǎng)絡安全為信息系統(tǒng)在網(wǎng)絡環(huán)境的安全運行提供支持�����。一方面��,確保網(wǎng)絡設備的安全運行��,提供有效的網(wǎng)絡服務��,另一方面�,確保在網(wǎng)上傳輸數(shù)據(jù)的保密性、完整性和可用性等�����。由于網(wǎng)絡環(huán)境是抵御外部攻擊的第一道防線�,因此必須進行各方面的防護。對網(wǎng)絡安全的保護�,主要關注兩個方面:共享和安全。開放的網(wǎng)絡環(huán)境便利了各種資源之間的流動�、共享,但同時也打開了“罪惡”的大門��。因此��,必須在二者之間尋找恰當?shù)钠胶恻c�,使得在盡可能安全的情況下實現(xiàn)最大程度的資源共享,這是我們實現(xiàn)網(wǎng)絡安全的理想目標�����。
網(wǎng)絡安全主要關注的方面包括:網(wǎng)絡結(jié)構(gòu)�����、網(wǎng)絡邊界以及網(wǎng)絡設備自身安全等,具體的方面包括:結(jié)構(gòu)安全��、訪問控制�、安全審計��、邊界完整性檢查�、入侵防范、惡意代碼防范�、網(wǎng)絡設備防護等七個方面。
三�、 關于主機安全
主機系統(tǒng)安全是包括服務器、終端/工作站等在內(nèi)的計算機設備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全�����。終端/工作站是帶外設的臺式機與筆記本計算機��,服務器則包括應用程序��、網(wǎng)絡�����、web��、文件與通信等服務器���。主機系統(tǒng)是構(gòu)成信息系統(tǒng)的主要部分�,其上承載著各種應用。因此�,主機系統(tǒng)安全是保護信息系統(tǒng)安全的中堅力量。
四�、 關于應用安全
通過網(wǎng)絡、主機系統(tǒng)的安全防護��,最終應用安全成為信息系統(tǒng)整體防御的最后一道防線�����。在應用層面運行著信息系統(tǒng)的基于網(wǎng)絡的應用以及特定業(yè)務應用�。基于網(wǎng)絡的應用是形成其他應用的基礎�����,包括消息發(fā)送�、web瀏覽等,可以說是基本的應用�����。業(yè)務應用采納基本應用的功能以滿足特定業(yè)務的要求,如電子商務�、電子政務等。由于各種基本應用最終是為業(yè)務應用服務的�����,因此對應用系統(tǒng)的安全保護最終就是如何保護系統(tǒng)的各種業(yè)務應用程序安全運行��。
五�����、 數(shù)據(jù)安全及備份恢復
信息系統(tǒng)處理的各種數(shù)據(jù)(用戶數(shù)據(jù)�、系統(tǒng)數(shù)據(jù)���、業(yè)務數(shù)據(jù)等)在維持系統(tǒng)正常運行上起著至關重要的作用���。一旦數(shù)據(jù)遭到破壞(泄漏、修改���、毀壞)���,都會在不同程度上造成影響,從而危害到系統(tǒng)的正常運行。由于信息系統(tǒng)的各個層面(網(wǎng)絡���、主機�����、應用等)都對各類數(shù)據(jù)進行傳輸��、存儲和處理等�����,因此��,對數(shù)據(jù)的保護需要物理環(huán)境��、網(wǎng)絡���、數(shù)據(jù)庫和操作系統(tǒng)、應用程序等提供支持�。各個“關口”把好了,數(shù)據(jù)本身再具有一些防御和修復手段���,必然將對數(shù)據(jù)造成的損害降至最小��。
另外�,數(shù)據(jù)備份也是防止數(shù)據(jù)被破壞后無法恢復的重要手段,而硬件備份等更是保證系統(tǒng)可用的重要內(nèi)容�����,在高級別的信息系統(tǒng)中采用異地適時備份會有效的防治災難發(fā)生時可能造成的系統(tǒng)危害�����。
保證數(shù)據(jù)安全和備份恢復主要從:數(shù)據(jù)完整性�、數(shù)據(jù)保密性�、備份和恢復等三個方面來考慮。
所謂“防患于未然”�,即使對數(shù)據(jù)進行了種種保護,但仍無法絕對保證數(shù)據(jù)的安全�����。對數(shù)據(jù)進行備份����,是防止數(shù)據(jù)遭到破壞后無法使用的最好方法。
通過對數(shù)據(jù)采取不同的備份方式����、備份形式等�����,保證系統(tǒng)重要數(shù)據(jù)在發(fā)生破壞后能夠恢復����。硬件的不可用同樣也是造成系統(tǒng)無法正常運行的主要原因����。因此,有必要將一些重要的設備(服務器�����、網(wǎng)絡設備)設置冗余�����。當主設備不可用時�,及時切換到備用設備上,從而保證了系統(tǒng)的正常運行����。如果有能力的話�����,對重要的系統(tǒng)也可實施備用系統(tǒng)�,主應用系統(tǒng)和備用系統(tǒng)之間能實現(xiàn)平穩(wěn)及時的切換����。
六、 安全管理制度
在信息安全中��,最活躍的因素是人����,對人的管理包括法律、法規(guī)與政策的約束�、安全指南的幫助�����、安全意識的提高����、安全技能的培訓、人力資源管理措施以及企業(yè)文化的熏陶����,這些功能的實現(xiàn)都是以完備的安全管理政策和制度為前提�����。這里所說的安全管理制度包括信息安全工作的總體方針�����、策略��、規(guī)范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規(guī)程�����。
安全管理制度主要包括:管理制度�����、制定和發(fā)布��、評審和修訂三個方面�����。不同等級的基本要求在安全管理制度方面所體現(xiàn)的不同如3.1節(jié)和3.2節(jié)所描述的一樣��,在三個方面都有所體現(xiàn)�。
七、關于應急預案管理
相比于其他機構(gòu)和領域�,信息系統(tǒng)更容易受到各種安全事件和災難的傷害而導致中斷,特別是在一些突發(fā)情況下�����,如不采取應急響應�,將會導致重大的社會影響、經(jīng)濟損失�。于是建立有效的應急預案、災難恢復計劃并履行��,對于削減系統(tǒng)損失與降低各種服務的不可用性就顯得非常重要�����。
?
