网络信息安全规划

2013-12-30 13:48:39 北极星电力网  点击量: 评论 (0)
网络是现代社会中信息传输的主要载体,包括计算机网络和电信网络两大部分,其中计算机网络的典范是Internet,而电信网络则包括有线电话网和移动通信网。随着技术的发展,这两种网络之间的差异正在逐步缩小,未

       3)观念上的重视不够:目前政府部门、金融部门、企事业单位的大量业务依赖于信息系统安全运行,信息安全重要性日益凸显。大多数单位已经意识到了网络及信息安全问题的重要性,但往往由于部门负责人的信息化水平本身不高导致其对信息安全管理认知水平仍停留在较粗浅的低层次上。这主要表现在,没有配备专职的网络安全管理员或其业务素质不高,没有建立和落实完整的网络系统安全防范制度,没有对网络系统和安全产品的配置进行有效的管理等方面。

        4、网络及信息安全的规划

       从网络信息系统的稳定与安全、社会经济的有序发展和保护企业利益的角度来看,一定要高屋建瓴地进行网络信息安全保障体系建设规划工作,做好基础性工作和基础设施建设,建立信息安全保障。下面主要介绍如何进行有效的网络及信息安全规划工作。

        4.1 风险分析和评估

        安全规划的第一步是对用户内部网络所面临的安全风险进行分析和评估。根据现代的经济运作理论,对于网络及信息安全方面的投资将被视为一种投资方式,这种投资将带来企业在运行管理成本、安全事故损失以及企业形象等方面的收益。在市场经济领域中任何一种投资都必须有相应的回报,因此投资前的一个重要措施就是风险分析和评估,用以确定所需的资金投入。

        安全风险分析和评估主要应从以下二个方面入手:

        1)安全威胁及其可见性分析:对用户企业所面临的各种潜在的安全威胁因素及其对外的可见性进行全面分析。安全威胁的存在不一定会造成事实的安全事故,安全威胁对外部是可见的,才有可能引发安全事故。可能的安全威胁应包括软、硬件以及用户自身。

        2)组织对潜在安全风险的敏感性分析:这里的敏感性包括对安全事故造成的直接经济损失以及政治上和商业形象上的损失的敏感程度。敏感性分析的结果将直接关系到安全规划过程中对各类安全措施的投入比重和优先级问题。

        4.2 安全策略制定

       在安全风险分析和评估的基础上,应进一步制定网络系统的安全策略。在制定安全策略过程中应充分权衡安全性和方便性,并应注意使安全策略切实可行,与企业的技术和资金能力现状相适应。

       安全策略应包括一下两个层次的内容:

       1)整体安全策略制定:主要用于确立企业级的网络安全防范管理体制,并落实与之相配套的具体事实规划和所需人力、物力的落实计划,并应明确违反安全策略行为的处理措施。整体的安全策略主要用于领导高层决策和管理使用。

       2)系统级的安全策略:在整体安全策略所确定的框架之上进一步从技术角度针对特定的系统专门制定详细的安全策略,主要用于具体的技术实施使用。

       在安全策略的制定和实施并不只是单纯的管理层的任务,而是应充分发挥技术人员的作用。

       4.3 系统的管理与维护

       在系统的运行过程中应进行一下几方面的管理与维护工作:

       1)数据备份:对系统中关键性的信息根据应用的特点确定备份的方式和备份策略。

       2)安全审计:对系统中的资源访问和各种异常情况进行安全审计,及时地发现系统配置中的安全漏洞并加以补救,并对已发生的安全事故进行责任追查。

        4.4 技术不是一切

       对于网络及信息安全问题,需要着重指出的一个问题是:“技术不是一切”。某种程度上说,网络技术及信息技术本身就是技术含量很高的高科技,因此在网络及信息领域的整体安全解决方案中,技术因素必然是起着决定性作用的,这一点是不可否认的。事实上任何一种技术都是在正、反两方面的应用和较量的过程中逐步完善和发展起来的,对于网络及信息安全问题则更将是一场智慧与技术的反复较量。

       但同时也应该看到,网络及信息安全问题涉及到了人的因素。与任何其它涉及到人的问题一样,网络及信息安全领域中并不是只依靠单纯的技术力量就能有效解决一切问题的。

       1) 功能再强大的网络及信息安全产品,若使用者没有进行合理地配置或者正确地操作,其安全性能不但无法得到有效利用,还有可能形成许多新的安全漏洞。

       2)再完善的安全管理制度,只为了贪图一时方便而不去执行它,那么所有的安全措施都有可能形同虚设。最简单的例子是用户违反口令管理的规定选取过于简单的口令或干脆直接采用系统缺省口令就足以给网络黑客敞开大门。

       3)只要用户个人出于对工作条件的不满或其它情感因素,完全有可能利用其合法的用户身份从系统内部发起攻击或将系统内部信息透露给其它恶意用户。而根据美国FBI的统计,80%以上(奏效)的网络攻击都属于这种“后院起火”的类型。因此,在从技术角度加强网络及信息安全防范的同时,还必须加强对企业内部网络系统的安全管理,才能使公司在安全产品和技术方面的投资发挥其应有的作用。


大云网官方微信售电那点事儿

责任编辑:黎阳锦

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞