欢迎来到天天文库
浏览记录
ID:15536167
大小:1.39 MB
页数:42页
时间:2018-08-03
《信息安全管理概论》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第一章 信息安全管理概论引论信息安全治理 一、信息安全治理的产生背景 在当今的全球商业环境中,信息的重要性被广泛接受,信息系统在各类组织中得到了广泛应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使IT治理成为公司治理越来越关键的一部分。最高管理层(董事会)和执行管理层需要确保IT适应企业战略,同时企业战略也恰当利用IT的优势。现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在。没有一个
2、系统是完美的,没有一项技术是灵丹妙药。事实上针对系统安全的攻击越来越普遍。早在1996年,美国会计总署(GAO)报告指出,美国国防部一年有15000个系统遭到高达250000次攻击,其中65%攻击成功,防范和弥补损失的费用高达数亿美元。更值得注意的是,这些攻击中只有400个被查明,20个被报告。如果说1996年受到攻击很大程度上是一种系统的弱点,那么今天,它已成为一种威胁,正如美国联邦调查局对100个针对电子商务网站的敲诈案件调查表明,攻击者不仅威胁公开客户信息,并且实际上在要求得不到满足时实现这种威胁。许多国家的政府已经认识到安全
3、的重要性,并积极采取措施提高信息安全,如根据敏感度隔开信息基础设施,投资于更好的认证方法,以及使信息基础设施使用者对其行为负责等。以美国政府为例,“9·11事件”后美国信息基础设施保护委员会(PCIPB)列出了53个信息安全重点问题,把信息安全列入国家战略。在这个战略中,信息安全被分成5个等级:第1级是家庭用户和小型商业机构,第2级是大型企业,第3级是高等教育、联邦政府、州与地方政府等关键部门,第4级是国家优先任务,第5级是全球性合作网络。但是,在2002年Gartner举办的研讨会上,与会人士普遍认为9·11后企业依然没有提高警惕
4、,这一点从Gartner研究主管DonnaScott进行的调查中就可以明显地反映出来,这次调查是Scott在2002年关于保持业务持续性发展问题的陈述报告的一部分。该报告显示全球2000强企业中只有不到25%的企业在全面的业务持续性计划上进行了投资,而就在这些进行了投资的企业当中,只有50%对自己的持续性计划进行了全面的测试。针对严峻的现状,Scott警告说:“随着实时企业观念的推进,即使是最小的中断——关键业务系统几分钟或是几小时的储运损耗、关键供应商或是外部服务供应商服务的中断对整个经济形势可能引发的潜在业务冲击及对客户或供应商
5、所产生的影响——都可能带来极为严重的商业后果。”美国政府在2003年投资500多亿美元,用于改造IT基础设施及其性能。其中政府机构用于网络安全的支出将增长64%,达到约30亿美元。看到上面的数字,你一定会认为,随着网络安全支出的增长,政府部门的计算机安全环境将会得到极大的改善,能够抵御任何形式的网络威胁。然而事实可能并非如此。Gartner的副总裁JohnPescatore预言,政府网络安全的显著改善至少需要花费3年的时间。他认为,与个人网络安全相比,政府网络安全现在还处于远远落后的状态,要想解决一些比较大的问题,必须先要建立网络安
6、全的基础和机制。目前业界普遍认为,信息安全是政府和企业必须携手面对的问题。政府和企业管理执行层(董事会)有责任确保为所有使用者提供一个安全的信息系统环境,而且,政府部门和企业在认识到安全的信息系统好处的同时,应该自我保护以避免信息系统的固有风险。中国工程院院长徐匡迪曾指出:“没有安全的工程就是豆腐渣工程”。2003年我国接连不断地出现程度不同的信息系统安全事故,这些事故不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络的脆弱性而引起的公众对网络社会的诚信
7、危机则不是短时期内可能恢复的。我国政府主管部门以及各行各业已经认识到了信息安全的重要性。2004年1月9日至10日,全国信息安全保障工作会议在北京召开。中共中央政治局常委、国务院副总理黄菊出席会议并作重要讲话。他指出,必须充分认识做好信息安全保障工作的极端重要性,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化健康发展。为了切实加强金融信息安全保障工作,认真学习和贯彻落实全国信息安全保障工作会议精神,人民银行、银监会、证监会、保监会联合组织的全国金融信息安全保障工作会议在于2
8、004年4月21日在京召开。会议结合当前金融信息安全保障工作实际,研究部署了新时期金融信息安全保障工作。 我们回头来看,政府和各行各业对信息安全的重要性有了认识,相关的标准规范正在形成,投资力度在加大,安全技术、产品、市场在发展,多数
此文档下载收益归作者所有