隨着信息安全事件的不斷髮生,信息安全的重要性呈指數增長的趨勢。過去幾年來,網站被******、拒絕服務***增多、信用卡信息被盜、公開可獲得的***工具等事件日益複雜,病毒和蠕蟲所造成的損失不可估量。面對如此嚴峻的信息安全形勢,許多企業投入大量資金購買安全設備、系統軟件和系統服務來應對,但是,往往得不到預期的風險管理的效果。
山東省軟件評測中心根據多年經驗,總結出了信息安全在規劃、建設、運維方面的一些見解與方法,本期重點講述信息安全的思想,希望能給大家帶來幫助。
一、信息安全概念
信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。
二、信息安全現狀
信息安全及風險管理重技術、輕管理。大多數組織的管理着都以樹立了不同程度的安全和風險意識,但是信息資產所面臨的嚴重性認識不足,僅侷限在IT方面的安全,缺少合理的信息安全方針來指導組織的信息安全管理工作,在安全規劃、風險、應急、安全教育培訓、系統評估方面採用靜態管理,出了問題再補救,缺少全局管理方法。
實際上,解決信息安全問題的根本措施是需要結合企業網絡和業務實際,通過正確的方法,建立一套適合企業的信息安全體系,並在企業中持續的運行、改進。以下將爲企業在信息化建設過程中,如何更好的應對信息安全問題提供一些思路和方法。
信息作爲一種資源,它的普遍性、共享性、增值性、可處理性和多效用性,使其對於人類具有特別重要的意義。信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。根據國際標準化組織的定義,信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何國家、政府、部門、行業都必須十分重視的問題,是一個不容忽視的國家安全戰略。但是,對於不同的部門和行業來說,其對信息安全的要求和重點卻是有區別的。
我國的改革開放帶來了各方面信息量的急劇增加,並要求大容量、高效率地傳輸這些信息。爲了適應這一形勢,通信技術發生了前所未有的爆炸性發展。除有線通信外,短波、超短波、微波、衛星等無線電通信也正在越來越廣泛地應用。與此同時,國外敵對勢力爲了竊取我國的政治、軍事、經濟、科學技術等方面的祕密信息,運用偵察臺、偵察船、偵察機、衛星等手段,形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網,截取我國通信傳輸中的信息。
在20世紀後50年中,從社會所屬計算機中瞭解一個社會的內幕,正變得越來越容易。不管是機構還是個人,正把日益繁多的事情託付給計算機來完成,敏感信息正經過脆弱的通信線路在計算機系統之間傳送,專用信息在計算機內存儲或在計算機之間傳送,電子銀行業務使財務賬目可通過通信線路查閱,執法部門從計算機中瞭解罪犯的前科,醫生們用計算機管理病歷,所有這一切,最重要的問題是不能在對非法(非授權)獲取(訪問)不加防範的條件下傳輸信息。
傳輸信息的方式很多,有局域計算機網、互聯網和分佈式數據庫,有蜂窩式無線、分組交換式無線、衛星電視會議、電子郵件及其它各種傳輸技術。信息在存儲、處理和交換過程中,都存在泄密或被截收、竊聽、竄改和僞造的可能性。不難看出,單一的保密措施已很難保證通信和信息的安全,必須綜合應用各種保密措施,即通過技術的、管理的、行政的手段,實現信源、信號、信息三個環節的保護,藉以達到祕密信息安全的目的。