• 電話:0571-88994238/39/40
  • 傳真:0571-88994238-809
  • 地址:浙江省杭州市文三路259號 昌地火炬大廈 2號樓 1101
新聞詳細頁您當前位置:主頁 > 案例展示 > 專題文章 >

信息安全建設要標準化

作者:余勇  發布日期:2007-07-20

  在席卷全球的信息化浪潮中,我國的信息化建設也獲得了較大的進步,從“政府上網辦公—電子政務”到“企業上網交易—電子商務”,信息網絡已經滲透到各行各業和人民的生活,正逐步改變著人們的生產和生活方式,推動著社會進步和體制、機制的不斷改革。而信息和網絡技術的高速發展,呈現出了諸多安全問題,如電腦“黑客”的入侵、信息的泄密、數據的竊聽、網絡病毒的傳播等。特別是2001年美國“9.11”事件的發生,意味著信息安全問題面臨著前所未有的挑戰,世界各國也對信息安全愈發重視。

  目前,我國的企事業單位對信息安全的認識逐步深入,在信息化建設的同時也在考慮安全問題,并加大了對信息安全的投入。信息安全標準是企事業單位安全行為的指南,它可以指導企事業單位制定合理的安全策略、進行科學的安全評估、選擇更好的安全產品、衡量并改善安全工程的實施、進行規范化安全管理。然而,人們對信息安全標準的認識還不夠,還沒有普遍采用信息安全標準來指導信息安全的建設。我認為企事業單位的信息安全建設要在安全策略、安全評估、安全產品選型、安全工程實施、安全管理等方面標準化。

  1.安全策略的標準化

  安全策略是企事業單位信息安全工作的依據,是所有安全行為的準則。信息安全不是某個安全技術措施,而是圍繞安全策略的具體需求有序地組織在一起,架構一個動態的安全防范體系。如果說信息安全的目標是一座大廈的話,那么相應的安全策略就是施工的藍圖,它可使網絡及應用系統的建設和管理過程中的安全工作避免盲目性。

  在安全策略的制定及實施過程中,可以參考的主要信息安全標準為BS7799/ISO17799。該標準是信息安全管理標準,包含安全策略在內的10個控制方面。BS7799/ISO17799主要提供了有效地實施信息系統安全管理的建議,并介紹了安全管理的方法和過程。企事業單位可以參照該標準制定出自己的安全策略和實施步驟。

  2.安全評估的標準化

  安全評估是對企事業單位的網絡拓撲結構、重要服務器的位置、帶寬、協議、硬件、與Internet的接口、業務系統的配置、防火墻的策略配置等進行全面的安全分析,并提出安全風險分析報告和改進建議書。通過對信息系統的安全評估,企事業單位可以了解目前信息系統的安全狀況以及系統中存在的各種安全風險,并以此為依據有針對性地制定安全解決方案,對整個業務系統的安全進行統一的規劃和建設,并根據安全評估的結果指導下一步的信息化建設。

  在安全評估中,可以參考的主要信息安全標準為ISO13335。該標準提出了以風險為核心的安全模型:企事業單位的資產面臨很多威脅(包括來自內部的威脅和來自外部的威脅);威脅利用信息系統存在的各種漏洞(如:物理環境、網絡服務、主機系統、應用系統、相關人員、安全策略等),對信息系統進行滲透和攻擊。如果滲透和攻擊成功,將導致企事業單位資產的暴露;資產的暴露(如系統高級管理人員由于不小心而導致重要機密信息的泄露),會對資產的價值產生影響(包括直接和間接的影響);風險就是威脅利用漏洞使資產暴露而產生的影響的大小,這可以為資產的重要性和價值所決定;對企事業單位信息系統安全風險的分析,就得出了系統的防護需求;根據防護需求的不同制定系統的安全解決方案,選擇適當的防護措施,進而降低安全風險,并抗擊威脅。該安全模型闡述了安全評估的思路,對企事業單位的安全評估工作具有指導意義。

  3.安全產品選型的標準化

  遵守國家標準、行業標準以及相關的國際安全標準,是構建企事業單位信息系統安全的保障和基礎。安全產品選型可從兩方面進行考慮:一是安全等級的考慮。使用不同等級的安全產品構建安全體系,在不同的網絡環境使用與之相應等級的安全產品,這樣可以有效地減少系統投資;二是安全產品的互操作性考慮。選擇互操作性強的安全產品,能與其它同類產品互聯互通,并為今后實施統一的安全監控打下基礎。

  安全產品安全等級的評價可以參考ISO15408/CC標準。該標準定義了評價信息技術產品和系統安全性的基本準則,提出了目前國際上公認的表述信息技術安全性的結構,即把安全要求分為規范產品和系統安全行為的功能要求以及解決如何正確有效地實施這些功能的保證要求。

  安全產品的互操作根據技術產品的不同所參考的標準也不同。如:對稱加密標準有GS-EDS、3GS-EDS、AES等;非對稱加密標準有RSA、ECC等;傳輸層加密標準有SSL、TLS等;安全電子郵件標準有S-MIME等;PKI(CA)的標準有證書格式標準(X.509 V3、V4等)、證書策略協議(RFC2527等)、證書操作協議(RFC2559、RFC2560、RFC2585、RFC2587、RFC2875等)、證書管理協議(RFC2510、RFC2511、RFC2797等)、時間戳協議(RFC3161等)。

  4.安全工程實施的標準化

  企事業單位在安全工程的實施過程中,可以參考的主要安全標準為系統安全工程能力成熟模型(SSE-CMM)。該標準可以用于確認一個安全工程組織中某安全工程過程的成熟度,它確定了一個評價安全工程實施的綜合框架,提供了度量與改善安全工程應用情況的方法。

  5.安全管理的標準化

  “三分技術,七分管理”充分說明了管理在信息安全中的作用。安全管理一般包括組織保證、管理制度以及安全培訓等。組織保證就是要形成安全工程的決策層、管理層、執行層等機構,確保人員的配置,安全責任制的落實;管理制度就是要制定或完善各項安全管理制度如人員管理、機房管理、文檔管理、操作管理、開發與維護管理、應急事件管理等;安全培訓就是要對所有人員進行信息安全基本知識、信息系統安全標準以及相關法律法規、實際使用安全產品的工作原理、安裝、使用、維護和故障處理等進行培訓,以強化他們的安全意識、提高他們的技術水平和管理水平。安全管理是企事業單位信息安全的重要保障,可以保障安全技術措施的實施和安全策略的執行,確保達到預期設計的安全目標。

  企事業單位在進行安全管理過程中,可以參考BS7799/ISO17799和ISO13335等信息安全標準制定管理制度和實施步驟。

    • 售前咨詢
    • 售后服務
    • 渠道管理
    亚洲无吗|男女黄段视频高清|ten1819第一次处|在线观看视频亚洲电影