返回
信息化建设中信息安全的定位和构筑策略

信息化建设中信息安全的定位和构筑策略

ID:33626878

大小:57.50 KB

页数:12页

时间:2019-02-27

信息化建设中信息安全的定位和构筑策略_第1页
信息化建设中信息安全的定位和构筑策略_第2页
信息化建设中信息安全的定位和构筑策略_第3页
信息化建设中信息安全的定位和构筑策略_第4页
信息化建设中信息安全的定位和构筑策略_第5页
资源描述:

《信息化建设中信息安全的定位和构筑策略》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息化建设中信息安全的定位和构筑策略摘要:信息安全事件的不断增多使得在信息化建设中信息安全受到越来越多的重视。如何在信息化建设中更好的规划和应用信息安全,确保信息化建设的成功是本文关注的重点。本文从技术和管理两个方面对信息安全涉及到的内容进行了阐述,并结合信息系统等级保护,探讨了在信息化建设中如何从宏观和微观两个角度进行信息安全建设。关键词:信息化建设;信息安全;信息系统等级保护中图分类号:P23文献标识码:A文章编号:1674-3695-(2009)05-19-051引言随着信息化建设的不断深人,信息安全问题日益突显。目前,世界各国都将信息安全、网络安全作

2、为事关国家安全的大事来抓。2009年5月29日,美国总统奥巴马公布了一份由安全部门官员完成的网络安全评估报告,表示来自网络空间的威胁已经成为美国面临的最严重的经济和军事威胁之一,宣布在白宫成立网络安全办公室。在中共十六届四中全会上,中央将信息安全与政治安全、经济安全、文化安全并列为四大“国家安全”,明确提出了完善信息安全的战略目标。由此可见,信息安全对保障一个国家的政治、经济、军事安全发挥着越来越重要的作用。因此,信息化建设中信息安全问题的深入探讨很有意义。2信息安全的定位我国的信息化建设始于20世纪80年代,最初的建设主要集中于纸质信息的数字化以及单机应用

3、系统的开发。随着网络技术的不断发展,应用系统的开发也逐渐转向以网络为依托,实现电子政务、电子商务、网上办公等。不仅节约了资源,提高了办事效率,而且扩大了资源共享范围。由于在微型计算机发展之初,对安全的考虑不够,导致微型计算机软、硬件设计上的简化,致使信息资源及其依托的软硬件极易遭到破坏,产生了安全隐患。计算机网络的主要目标是实现资源共享,因此在设计之初也未过多考虑安全问题,从而造成网络协议的安全缺陷。而且随着应用软件功能的不断完善,代码量越来越大,存在的软件漏洞也越来越多。正是由于这些原因,导致计算机病毒、木马、后门泛滥,严重威胁信息的安全。随着信息化建设的

4、不断推进,信息化建设的重点由只关注应用系统开发,逐渐转变为系统开发与信息安全建设并重,信息安全被提高到了一个前所未有的高度。按照目前的观念,信息化建设涉及的内容可划分为三个方面:网络基础设施建设、应用系统开发和信息安全保障,这些称为信息化建设的“三大支柱”,缺一不可。如果把网络基础设施比喻成高速公路,把应用系统看作是高速公路上行驶的车辆,那么信息安全就是保障道路和车辆安全所必须遵循的交通法规。我们都知道在没有交通法规的高速公路上行驶车辆会造成什么样的后果,因而我们不难想象,在没有信息安全保障的网络基础设施上运行应用系统将会造成什么样的后果!信息安全是网络基础

5、设施和应用系统的安全保障,其重要性将随着信息化建设的不断推进而更加凸显。3信息安全的范围信息安全的主要目标是实现机密性、完整性和可用性。信息技术安全评估准则(ISO/IEC15408)将信息安全定义为:被评估的信息系统或产品的安全策略、安全功能、安全管理、安全开发、安全维护、安全检测、安全恢复和安全评测等概念的总称。信息系统安全保障评估框架(GB/T20274)中将信息系统安全保障定义为:在信息系统的整个生命周期中,通过对信息系统的风险分析,制定并执行相应的安全保障策略,从技术、管理、工程和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降

6、低安全风险到可接受的程度,从而保障系统实现机构组织的使命。综合已有的标准和实际工作,我们认为信息安全涉及到整个信息化建设的方方面面,必须融入到信息化建设的全过程。只有在整个信息化建设过程中,通过技术和管理两个方面的考虑,把信息安全作为信息化建设的一个重要目标,才能保障信息化建设的成功。只重视技术不重视管理,信息安全是无本之木;只注重管理不注重技术,信息安全是“空口政治”;只有技术和管理并重,才能最大程度的提供安全保障。以系统口令为例,口令安全策略要求口令需要定期修改。如果只是把其作为一项安全策略让各部门员工熟知,而不从技术上进行控制,则很难达到效果。因为无论

7、口令改与不改,我们都无从知晓,而且对于大多数人来说,一般观念都是怎么方便怎么来,这样,这项安全策略根本无法贯彻。如果我们通过技术手段,确保若不定期更改密码则无法登陆系统,用户只能定期更改密码。只注重技术不注重管理同样很难保证安全。依然以系统口令为例,如果我们只是通过技术手段要求员工必须按照要求定期修改口令,而不从管理上进行要求,则很多员工会为了方便,将复杂的口令写下来,贴在电脑旁或记在本子上,这同样不安全。权威机构统计表明:在所有的信息安全事故中,70%以上的信息安全问题是由于内部员工的疏忽或有意泄密这些管理方面的原因造成的,而这些安全问题中的绝大多数是可以

8、通过科学的信息安全管理能够避免或解决。只有员工都树立

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。