欢迎来到天天文库
浏览记录
ID:18221860
大小:62.00 KB
页数:7页
时间:2018-09-15
《信息安全 策略先行new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息安全策略先行 山东科飞管理咨询有限公司吴昌伦王毅刚随着社会信息化的深入和竞争的日益激烈,信息对组织的运作和发展所起到的作用越来越大,信息安全问题备受关注。目前关于信息安全的理论研究、方法研究和实践研究都取得可喜的成就,其中两个观点被本文所接受,作为本文所讨论问题的基点。一个是信息安全问题不仅仅是保密问题,信息安全(Informationsecurity)是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,其终极目标是降低组织的业务风险,保持可持续发展;另一个观点是,信息安全问题不单
2、纯是技术问题,它是涉及很多方面(历史、文化、道德、法律、管理、技术等)的一个综合性问题,单纯从技术角度考虑是不可能得到很好解决的。我们在这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织,其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。作为这样一个组织实体,如何确定自己的对策来解决信息安全这个复杂的课题呢?一、组织应该有一个完整的信息安全策略信息安全策略(InformationSecurityPolicies)也叫信息安全方针,是组织对信息和信息处理设施进行管理、保护和分配的原则,它告诉组织成员在日常的工作中什么是可以做的,什么是必须做的,什么是不能做的,
3、哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全的行为规范。如果问什么是一个好的安全策略,不是很好回答,但是可以肯定的说没有一个统一一致的信息安全策略是最差的策略。如果组织中没有关于信息安全问题的一个策略,组织的成员在使用信息或者处理信息安全问题时候缺乏正面的引导,很容易造成信息的滥用,也容易被用心不良的人钻空子,我们可以通过下面一个例子来理解这种情况。某建筑设计院在所在城市小有名气,共有工作人员二十五人,每人一台计算机,Windows98对等网络通过一台集线器连接起来,公司没有专门的IT管理员。公司办公室都在二楼,同一楼房内还有多家公司,
4、在一楼入口处赵大爷负责外来人员的登记,但是他经常分辨不清楚是不是外来人员。设计院由市内一家保洁公司负责楼道和办公室的清洁工作。总经理陈博士是位老设计师,他经常拨号到Internet访问一些设计方面的信息,他的计算机上还安装了代理软件,其他人员可以通过这个代理软件访问Internet。如果该设计院的信息安全管理停留在一种放任的状态,会发生什么问题呢?下列情况都是有可能的:l小偷顺着一楼的防护栏潜入办公室偷走了……l保洁公司人员不小心弄脏了准备发给客户的设计方案;错把掉在地上的合同稿当废纸收走了;不小心碰掉了墙角的电源插销……l某设计师张先生是公司的骨干,他嫌公司提供的设计软件
5、版本太旧,自己安装了盗版的新版本设计程序。尽管这个盗版程序使用一段时间就会发生莫名其妙的错误导致程序关闭,可是张先生还是喜欢新版本的设计程序,并找到一些办法避免错误发生时丢失文件。l后来张先生离开设计院,新员工小李使用原来张先生的计算机。小李抱怨了多次计算机不正常,没有人理会,最后决定自己重新安装操作系统和应用程序。l小李把自己感觉重要的文件备份到陈博士的计算机上,听朋友介绍Windows2000比较稳定,他决定安装Windows2000,于是他就重新给硬盘分区,成功完成了安装。l陈博士对张先生的不辞而别没有思想准备,甚至还没来得及交接一下张先生离开时正负责的几个设计项目。
6、这几天他一闲下来就整理张先生的设计方案,可是突然一天提示登录原来张先生的那台计算机需要密码了。小李并不熟悉Windows2000,只是说自己并没有设置密码。l尽管小李告诉陈博士已经把文件备份在陈博士的计算机上,可是陈博士没有找到自己需要的文件。l大家通过陈博士的计算机访问Internet,收集了很多有用的资料。可是最近好几台计算机在启动的时候就自动连接上Internet,陈博士收到几封主题不同的电子邮件,内容竟然包括几个还没有提交的设计稿,可是员工都说没有发过这样的信。……这些不是发生过并发生着么?这还没有提及蓄谋的情况,也没有提及98年洪水或者911事件这样的灾难情况下会
7、是什么样子。这些现象的直接原因并不复杂,所产生的后果可小可大。作为一个置身于激烈竞争环境下的现代组织,其所面临或者将要面临的情况要复杂得多,或者其组织本身就复杂得多,如何在这种背景下解决信息安全问题呢?笔者认为组织要做好信息安全工作,首要任务是要表明组织在信息安全问题上的基本态度,实践证明信息安全策略是表达这种态度的一个好途径。一个详尽的专业化的信息全策略可以避免上面所提到的很多问题的发生。二、怎样才算一个成功的信息安全策略因为组织的性质、规模、环境各不相同,要彻底的回答这个问题几乎是不可能的。但是我们也不是无章可
此文档下载收益归作者所有