1.信息安全概要
信息安全的内涵在不断地延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。
信息系统安全是保证信息系统正常生存和运行的基本条件,保障信息系统安全的各个工程部分构成信息安全系统。
信息系统安全的内容包括:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、管理安全(安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等)等,这六大方面共同构建了信息系统的安全支撑平台。
信息安全系统,指为保护信息系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏、篡改和泄露,保证信息系统正常运行和网络服务不中断的安全防范体系。
信息安全系统的构成主要是各类保证信息系统安全的软件工具(如防火墙软件、病毒检查和防治软件)和具有安全防护功能的硬件设备(如有防火墙功能的集线器)。
信息安全属于信息技术服务范畴,信息安全服务可分为顾问咨询类服务和技术实施类服务。
顾问咨询类服务包括:信息安全规划、安全体系咨询、信息安全审计、保密管理咨询、应急预案咨询等。
技术实施类服务包括:信息安全风险评估、信息安全等级保护、安全运维保障服务、信息系统修复加固、密码测评服务、网站安全专项服务、信息安全工程实施服务、安全产品维保服务等。
2.信息安全技术类型
信息安全技术针对信息化系统的功能架构和分部工程特点划分为六个技术类型,即:物理安全、网络安全、主机安全、应用安全、数据安全和管理安全。
(1)物理安全。物理安全是整个信息系统安全的前提。物理安全也称实体安全,是指包括环境、设备和记录介质在内的所有支持信息系统运行的硬件设备的安全。
物理环境安全在建设时不仅要考虑地震、水灾、火灾等自然灾害的预防措施,还应包括场地安全、空气净化、安全防范措施、防静电、防电磁辐射、抗电磁干扰、线路安全、防水防潮、防雷击、防火、防尘等诸多方面。
(2)网络安全。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露;保证系统连续可靠正常地运行;网络服务不中断。
网络安全要求中,对广域网络、城域网络等通信网络的要求,由构成通信网络的网络设备、安全设备等的网络管理机制提供的功能来满足。
对局域网安全的要求主要通过采用防火墙、入侵检测系统、恶意代码防范系统、安全管理中心等设施提供的安全功能来满足安全需求。
(3)主机安全。主机包括应用服务器、数据库服务器、安全软件所安装的服务器及管理终端、业务终端、办公终端等。
主机安全要求通过对操作系统、数据库管理系统进行安全加固或其他安全措施(包括防病毒、防入侵、木马检测等软件)的部署来提高主机安全防范能力。
基于主机安全的安全因素包含但不仅限于:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。
(4)应用安全。应用安全,顾名思义就是保障应用程序使用过程和结果的安全。
简言之,就是针对应用程序或工具在使用过程中可能出现的计算、传输数据的泄露和失窃等风险,通过其他安全工具或策略来控制和消除隐患。
基于应用安全的安全因素包含但不仅限于以下方面:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等。
(5)数据安全及备份恢复。信息系统的安全保护能力由“对抗能力”和“恢复能力”共同构成。
在某些情况下,信息系统的对抗能力有限,即使对系统(包括数据、代码、设备、网络等)进行了种种保护,可能仍然无法阻挡所有威胁(如磁盘损坏、软件损坏、人为误操作、病毒木马破坏、黑客攻击等)对系统的破坏,仍然无法绝对保证敏感数据或要害数据的安全。
因此,对业务数据和重要设备进行备份,防患于未然,成为及时恢复的重要基础和确保业务连续性的关键环节之一。
完善应急防护手段,构筑信息系统的备份与恢复体系,将有效消除不可预见的隐患,在紧急情况下将损失降到最低。
(6)安全管理。信息安全早已不是一个单纯的技术问题,除了先进的技术和设备外还需要有一套科学、完善的管理方法。
安全管理主要包括:安全管理机构、安全管理制度、安全人员管理、系统建设管理和系统运维管理等五个方面。
只有技术和管理相结合,才有可能真正实现信息系统防护能力的提升,从而对可能存在和发生的风险进行规避和管控,减少设备或数据损失。
