丞昊信息:信息安全的基本内容
信息安全管理主要包括信息安全风险管理、设备安全管理、信息安全管理和运行安全管理。
1、信息安全风险管理。
信息安全管理是一个过程,不是产品,其本质是风险管理。信息安全风险管理可以看作是一个不断降低安全风险的过程,最终目的是将安全风险降低到一个可接受的程度,使用户和决策者能够接受的风险。信息安全风险管理贯穿信息系统生命周期的全过程。信息系统的生命周期包括计划、设计、实施、运输和废弃五个阶段。每个阶段都有相关的风险,需要采用相同的信息安全风险管理方法来控制。
信息安全风险管理是为了保护信息及其相关资产,指导和控制组织信息安全风险的协调活动。我国《信息安全风险管理指南》指出,信息安全风险管理包括对象确立、风险评价、风险管理、审查批准、监视与审查、交流与咨询6个方面,前4个是信息安全风险管理的4个基本步骤,监视与审查与交流与咨询贯穿于这4个步骤。
2、设施安全管理。
设施安全管理包括网络安全管理、保密设备安全管理、硬件设施安全管理、现场安全管理等。
信息化管理网络是用于收集、传输、处理和存储相关信息系统和网络的维护、运行和管理信息、高度自动化网络化的综合管理系统,包括性能管理、配置管理、故障管理、收费管理、安全管理等功能。安全管理包括系统安全管理、安全服务管理、安全机制管理、安全事件处理管理、安全审计管理、安全恢复管理等。
硬件设施的安全管理主要考虑配置管理、使用管理、维护管理、存储管理、网络连接管理。常见的网络设备需要防止电磁辐射、电磁泄漏和自然老化。对于集线器、开关、网关设备或路由器,我们还需要防止受到拒绝服务、访问控制、后门缺陷等威胁。传输介质需要防止电磁干扰、电线窃听和人为破坏,卫星通道、微波接力通道等需要防止通道窃听和人为破坏。保密设备主要包括保密性能指标的管理、工作状态的管理、保密设备的类型、数量、分配、用户状况的管理、密钥的管理。网站设施的安全管理。机械室和现场设施的安全管理需要满足防水、防火、防静电、防雷、防辐射、防盗等国家标准。人员进出控制需要根据安全等级和关系范围采取必要的技术和行政措施,登记人员进出时间和进出理由等。电磁辐射防护需要根据技术可行性和经济合理性,采用设备防护、建筑防护、区域防护、磁场防护。
3、信息安全管理。
根据信息化建设的发展需要,信息包括在网络和系统中收集、传输、处理、存储的对象,如技术文件、存储介质、各种信息等3个层次的内容,第二是使用的各种软件,第三是安全管理手段的密钥和密码等信息。软件设施的安全管理。软件设施的安全管理主要考虑配置管理、使用和维护管理、开发管理、病毒管理。软件设施主要包括操作系统、数据库系统、应用软件、网络管理软件、网络协议等。操作系统是整个计算机系统的基石,由于其安全等级不高,需要提供不同的安全等级保护。数据库系统需要加强数据库的安全性,采用加密技术加密数据库中的敏感数据。目前使用最广泛的网络通信协议是TCP/IP协议。由于安全设计存在许多缺陷,经常面临许多威胁。网络管理软件是安全管理的重要组成部分,常用的有HP公司OpenView、IBM公司NetView、SUN公司NetManager等,还需要额外的安全措施。
①存储介质的安全管理。存储介质包括纸质介质、磁盘、磁盘、磁带、录音/视频等,其安全对信息系统的恢复、信息的保密、病毒的预防起着非常重要的作用。不同类别的存储介质,安全管理要求也不同。存储介质的安全管理主要考虑存储管理、使用管理、复印和销毁管理、涉密介质的安全管理。
②技术文档的安全管理。技术文档是系统或网络在设计、开发、运行和维护中所有技术问题的文字描述。技术文档按其内容涉密度进行分级管理,一般分为绝密级、机密级、秘密级和公开级。技术文档的安全管理主要考虑文档的使用、备份、借用、销毁等方面,需要建立严格的管理制度和相关负责人。
③密钥和密码的安全管理。密钥是加密解密算法的关键,密钥管理是密钥的生成、检查、分配、保存、使用、注入、更换和销毁等过程的管理。密码是管理设备的有效手段,密码的产生、传输、使用、存储、更换需要有效的管理和控制。
4、运行的安全管理。
信息系统和网络在运行过程中的安全状态也是一个需要考虑的问题,目前常常关注安全审计和安全恢复两个安全管理问题。
安全审计是指记录、分析和分析系统或网络运行中的安全情况和事件,采取相应措施的管理活动。目前主要审计操作系统和各种重要应用程序。安全审计工作应由各级安全机构负责实施管理,安全审计可采用人工、半自动或自动智能三种方式。人工审计一般由审计人员看、分析、处理审计记录的半自动审计一般由计算机自动分析处理,由审计人员决定和处理的自动智能审计一般由计算机完成分析处理,通过专家系统进行判断,可以满足不同的应用环境需求。
安全恢复是指网络和信息系统在到灾害性的打击或破坏时,为了使网络和信息系统迅速恢复正常,将损失降到最低而进行的一系列活动。安全恢复的管理主要包括安全恢复战略的确立、安全恢复计划的制定、安全恢复计划的测试和维护、安全恢复计划的执行。