关于信息系统安全问题浅谈

关于信息系统安全问题浅谈关于信息系统安全问题浅谈 一 概述 根据信息系统安全的整体结构来看 信息系统安全可从五 个层面 物理 网络 主机系统 应用系统和数据对系统进行 保护 因此 技术类安全要求也相应的分为五个层面上的安全 要求 物理层面安全要求 主要是从外界环境 基础设施 运 行硬件 介质等方面为信息系统的安全运行提供基本的后台支 持和保证 网络层面安全要求 为信息系统能够在安全的网络环境 中运行提供支持 确保网络系统安全运行 提供有效的网络服 务 主机层面安全要求 在物理 网络层面安全的情况下 提供安全的操作系统和安全的数据库管理系统 以实现操作系 统和数据库管理系统的安全运行 应用层面安全要求 在物理 网络 系统等层面安全的 支持下 实现用户安全需求所确定的安全目标 数据及备份恢复层面安全要求 全面关注信息系统中存 储 传输 处理等过程的数据的安全性 二 关于物理安全 物理安全保护的目的主要是使存放计算机 网络设备的机 房以及信息系统的设备和存储数据的介质等免受物理环境 自 然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击 物理安全是防护信息系统安全的最底层 缺乏物理安全 其他 任何安全措施都是毫无意义的 物理安全主要涉及的方面包括环境安全 防火 防水 防 雷击等 设备和介质的防盗窃防破坏等方面 具体包括 物理 位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应和电磁防护等十 个方面 三 网络安全 网络安全为信息系统在网络环境的安全运行提供支持 一 方面 确保网络设备的安全运行 提供有效的网络服务 另一 方面 确保在网上传输数据的保密性 完整性和可用性等 由 于网络环境是抵御外部攻击的第一道防线 因此必须进行各方 面的防护 对网络安全的保护 主要关注两个方面 共享和安 全 开放的网络环境便利了各种资源之间的流动 共享 但同 时也打开了 罪恶 的大门 因此 必须在二者之间寻找恰当的 平衡点 使得在尽可能安全的情况下实现最大程度的资源共享 这是我们实现网络安全的理想目标 网络安全主要关注的方面包括 网络结构 网络边界以及 网络设备自身安全等 具体的方面包括 结构安全 访问控制 安全审计 边界完整性检查 入侵防范 恶意代码防范 网络 设备防护等七个方面 三 关于主机安全 主机系统安全是包括服务器 终端 工作站等在内的计算机 设备在操作系统及数据库系统层面的安全 终端 工作站是带外 设的台式机与笔记本计算机 服务器则包括应用程序 网络 web 文件与通信等服务器 主机系统是构成信息系统的主要 部分 其上承载着各种应用 因此 主机系统安全是保护信息 系统安全的中坚力量 四 关于应用安全 通过网络 主机系统的安全防护 最终应用安全成为信息 系统整体防御的最后一道防线 在应用层面运行着信息系统的 基于网络的应用以及特定业务应用 基于网络的应用是形成其 他应用的基础 包括消息发送 web 浏览等 可以说是基本的 应用 业务应用采纳基本应用的功能以满足特定业务的要求 如电子商务 电子政务等 由于各种基本应用最终是为业务应 用服务的 因此对应用系统的安全保护最终就是如何保护系统 的各种业务应用程序安全运行 五 数据安全及备份恢复 信息系统处理的各种数据 用户数据 系统数据 业务数 据等 在维持系统正常运行上起着至关重要的作用 一旦数据 遭到破坏 泄漏 修改 毁坏 都会在不同程度上造成影响 从而危害到系统的正常运行 由于信息系统的各个层面 网络 主机 应用等 都对各类数据进行传输 存储和处理等 因此 对数据的保护需要物理环境 网络 数据库和操作系统 应用 程序等提供支持 各个 关口 把好了 数据本身再具有一些防 御和修复手段 必然将对数据造成的损害降至最小 另外 数据备份也是防止数据被破坏后无法恢复的重要手 段 而硬件备份等更是保证系统可用的重要内容 在高级别的 信息系统中采用异地适时备份会有效的防治灾难发生时可能造 成的系统危害 保证数据安全和备份恢复主要从 数据完整性 数据保密 性 备份和恢复等三个方面来考虑 所谓 防患于未然 即使对数据进行了种种保护 但仍无 法绝对保证数据的安全 对数据进行备份 是防止数据遭到破 坏后无法使用的最好方法 通过对数据采取不同的备份方式 备份形式等 保证系统 重要数据在发生破坏后能够恢复 硬件的不可用同样也是造成 系统无法正常运行的主要原因 因此 有必要将一些重要的设 备 服务器 网络设备 设置冗余 当主设备不可用时 及时 切换到备用设备上 从而保证了系统的正常运行 如果有能力 的话 对重要的系统也可实施备用系统 主应用系统和备用系 统之间能实现平稳及时的切换 六 安全管理制度 在信息安全中 最活跃的因素是人 对人的管理包括法律 法规与政策的约束 安全指南的帮助 安全意识的提高 安全 技能的培训 人力资源管理措施以及企业文化的熏陶 这些功 能的实现都是以完备的安全管理政策和制度为前提 这里所说 的安全管理制度包括信息安全工作的总体方针 策略 规范各 种安全管理活动的管理制度以及管理人员或操作人员日常操作 的操作规程 安全管理制度主要包括 管理制度 制定和发布 评审和 修订三个方面 不同等级的基本要求在安全管理制度方面所体 现的不同如 3 1 节和 3 2 节所描述的一样 在三个方面都有所体 现 七 关于应急预案管理 相比于其他机构和领域