IT系統(tǒng)整體安全解決方案（一）

申請免費試用、咨詢電話：400-8352-114

一、信息系統(tǒng)安全的含義

信息系統(tǒng)安全包括兩方面的含義，一是信息安全，二是網絡安全，涉及到的試信息化過程中被保護信息系統(tǒng)的整體的安全，是信息系統(tǒng)體系性安全的綜合。具體來說，信息安全指的是信息的保密性、完整性和可用性的保持；網絡安全主要從通信網絡層面考慮，指的是使信息的傳輸和網絡的運行能夠得到安全的保障，內部和外部的非法攻擊得到有效的防范和遏制。

信息系統(tǒng)安全概括的講，根據保護目標的要求和環(huán)境的狀況，信息網絡和信息系統(tǒng)的硬件、軟件機器數(shù)據需要受到可靠的保護，通信、訪問等操作要得到有效保障和合理的控制，不受偶然的或者惡意攻擊的原因而遭受到破壞、更改、泄漏，系統(tǒng)連續(xù)可靠正常的運行，網絡服務不被中斷。信息化安全的保障涉及網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論，涉及到安全體系的建設，安全風險的評估、控制、管理、策略指定、制度落實、監(jiān)督審計、持續(xù)改進等方面的工作。

信息化安全與一般的安全范疇有許多不同的特點，信息化安全有其特殊性，首先，信息化安全使不能完全達到但有需要不斷追求的狀態(tài)，所謂的安全是相對比較而言的。其次，信息化安全是一個過程，是前進的方向，不是靜止不變的。只有將該過程針對保護目標資源不斷的應用于網絡和其支撐體系，才可能提高系統(tǒng)的安全性。第三，在信息系統(tǒng)安全中，人始終是一個重要的角色，由于人的動機、素質、品德、責任、心情等因素，在管理、操作、攻擊等方面有不同表現(xiàn)，可能造成信息系統(tǒng)的安全問題。第四，信息系統(tǒng)安全是一個不斷對付攻擊的循環(huán)過程，攻擊和防御是循環(huán)中交替的矛盾性角色。防御攻擊的技術、策略和管理并不是一勞永逸的，需要更新適應性的發(fā)展需求。第五，信息系統(tǒng)安全是需要定期進行風險評估的，風險存在和規(guī)避風險都是不斷變化的。

信息系統(tǒng)安全涉及的內容既有技術方面的問題，更重要的是管理方面的問題，兩方面相互補充，缺一不可。技術方面主要側重于防范、記錄、診斷、審計、分析、追溯各種攻擊，管理方面?zhèn)戎赜谙鄳诩夹g實現(xiàn)采取的人員、流程管理和規(guī)章制度。因此，從某種意義上講，信息系統(tǒng)安全不僅是技術難題，而且也是管理問題。

二、信息系統(tǒng)涉及的內容

信息系統(tǒng)安全所涉及到的主要內容包括：

·系統(tǒng)運行的安全：

主要側重于保證信息處理和通信傳輸系統(tǒng)的安全。其安全的要求是保證系統(tǒng)正常運行，避免因為系統(tǒng)的崩潰和損壞而對系統(tǒng)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失，避免物理的不安全導致運行的不正?；虬c瘓，避免由于電磁泄露而產生信息泄漏，干擾他人或受他人干擾。

·訪問權限和系統(tǒng)信息資源保護：

對網絡中的各種軟硬件資源（主機、硬盤、文件、數(shù)據庫、子網等）進行訪問控制，防止未授權的用戶進行非法訪問，訪問權限控制技術包括口令設置、身份識別、路由設置、端口控制等。系統(tǒng)信息資源保護包括身份認證、用戶口令鑒別、用戶存取權限控制、數(shù)據庫存取權限控制、安全審計、計算機病毒防治、數(shù)據保密、數(shù)據備份、災難恢復等。

·信息內容安全：

側重與保護信息的保密性、真實性和完整性。避免攻擊者利用系統(tǒng)的漏洞進行竊聽、冒充、詐騙等有損合法用戶的行為。信息內容安全還包括信息傳播產生后果的安全、信息過濾等，防止和控制非法、有害的信息進行傳播后的后果。

·作業(yè)和交易的安全：

網絡中的兩個實體之間的信息交流不被非法竊取、篡改和冒充，保證信息在通信過程中的真實性、完整性、保密性和不可否認性。作業(yè)和交易安全的技術包括數(shù)據加密、身份認證。數(shù)字簽名等，其核心是加密技術的應用。

·人員和安全的規(guī)章制度保障：

重大的信息化安全事故通常來自單位阻止的內部，所以對于人員的管理、確定信息系統(tǒng)安全的基本方針和相應的規(guī)章管理制度，是信息系統(tǒng)安全不可缺少的一個部分。在人員角色、流程、職責、考察、審計、聘任、解聘、辭職、培訓、責任分散等方面，建立可操作的管理安全防范體系。

·安全體系整體的防范和應急反應功能：

對于信息系統(tǒng)涉及到的安全問題，建立系統(tǒng)的防范體系，對可能出現(xiàn)的安全威脅和破壞進行預演，對出現(xiàn)的災難、意外的破壞能夠及時的恢復。

三、現(xiàn)有信息系統(tǒng)存在的突出問題

1、信息系統(tǒng)安全管理問題突出

信息系統(tǒng)安全管理包括三個層次的內容：組織建設、制度建設和人員意識。組織建設問題是指有關信息安全管理機構的設立。信息安全的管理包括安全規(guī)劃、風險管理、應急反應計劃、安全教育培訓、安全策略制定、安全系統(tǒng)的評估和審計等多方面的內容。安全管理雖然有一些機構成立，但是各個機構的職責并不是很明確，建立的規(guī)章制度可落實性差，甚至沒有規(guī)章制度。對人的管理，還需要解決多人負責、責任到人、任期有限的問題。領導對信息化還不夠重視，沒有形成群防群治的意識。信息安全的教育和培訓還不夠。

2、缺乏信息化安全意識與對策

管理層新在對信息資產所面臨威脅的嚴重性認識不足，或者只限于信息技術安全方面，沒有形成一個合理的信息化安全整體方針來指導和組織信息化安全管理工作，表現(xiàn)為缺乏完整的信息安全管理制度，缺乏對員工進行必要的安全法律法規(guī)和安全風險防范教育和培訓，現(xiàn)有的安全規(guī)章制度組織機構未能嚴格發(fā)揮作用。

3、重安全技術，輕安全管理

雖然現(xiàn)在使用計算機、內部辦公局域網來構建信息系統(tǒng)，但是相應的管理措施不到位，如系統(tǒng)運行、維護、開發(fā)等崗位不清，職責部分，存在一人身兼數(shù)職現(xiàn)象。信息化安全大約70％以上的問題是由于管理方面的原因造成的，也就是解決信息化安全問題，不僅僅從技術方面入手，同時更應該加強安全管理的工作。

4、系統(tǒng)管理意識淡薄

現(xiàn)有的安全管理模式仍是傳統(tǒng)的管理方法，出了問題才去想補救的辦法，頭疼醫(yī)頭，腳疼醫(yī)腳，是一種就事論事，靜態(tài)的管理辦法，不是建立唉安全風險評估基礎之上的動態(tài)的持續(xù)改進管理辦法。