論信息安全的風險防范與管理措施_第1頁
論信息安全的風險防范與管理措施_第2頁
論信息安全的風險防范與管理措施_第3頁
論信息安全的風險防范與管理措施_第4頁
論信息安全的風險防范與管理措施_第5頁
已閱讀5頁,還剩2頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

論信息安全的風險防范與管理措施本文結(jié)合各企事業(yè)單位信息安全管理現(xiàn)狀與本單位的信息安全管理實踐,重點論述了信息安全風險防范措施以及管理手段在信息安全建設(shè)中的重要性。隨著大數(shù)據(jù)時代的到來,互聯(lián)網(wǎng)業(yè)務的飛速發(fā)展,人們對信息和信息系統(tǒng)依賴程度日益加深,同時,信息系統(tǒng)承載業(yè)務的風險上升,每天都會發(fā)生入侵、數(shù)據(jù)泄露、服務癱瘓和黑客攻擊等安全事件。因此,信息安全已成為信息系統(tǒng)建設(shè)中急需解決的問題,人們對信息安全的需求前所未有地高漲起來。一、信息安全建設(shè)中存在的問題一直以來,許多企事業(yè)、機關(guān)政府在信息安全建設(shè)中,都存在以下2個方面的問題。(1)存在重技術(shù)輕管理,重產(chǎn)品功能輕安全管理的問題。信息安全技術(shù)和產(chǎn)品的應用,在一定程度上可以解決部分信息安全問題,但卻不是簡單的產(chǎn)品堆砌,即使采購和使用了足夠先進、數(shù)量充足的信息安全產(chǎn)品,仍然無法避免一些信息安全事件的發(fā)生。例如,在網(wǎng)絡安全控制方面,如果在機房中部署了防火墻也配備了入侵檢測設(shè)備,但配置卻是”全通”策略,那么防火墻及檢測設(shè)備形同虛設(shè)。因此,安全技術(shù)需要有完備的安全管理來支持,否則安全技術(shù)發(fā)揮不了其應有的作用。(2)欠缺信息安全管理體系的建設(shè)。有相當一部分單位的最高管理層對信息資產(chǎn)所面臨威脅的嚴重性認識不足,缺乏信息安全意識及政策方針,以至于信息安全管理制度不完善,安全法律法規(guī)意識淡薄,防范安全風險的教育與培訓缺失,或者即使有制度也執(zhí)行不利。大部分單位現(xiàn)有的安全管理模式仍是傳統(tǒng)的被動的靜態(tài)的管理方法,缺少未雨綢繆的預見性,不是建立在安全風險評估基礎(chǔ)上的動態(tài)的系統(tǒng)管理。二、信息安全管理的含義與作用信息安全管理是指整個信息安全體系中,除了純粹的技術(shù)手段以外,為完成一定的信息安全目標,遵循安全策略,按照規(guī)定的程序,運用恰當?shù)姆椒ǘM行的規(guī)劃、組織、指導、協(xié)調(diào)、控制等活動,既經(jīng)過管理而解決一些安全隱患的手段,信息安全管理是信息安全技術(shù)的重要補充。信息安全管理包括三個方面的內(nèi)容,一是在信息安全問題的解決過程中,針對信息安全技術(shù)管理內(nèi)容;二是信息安全問題的解決過程中需要對人進行約束和規(guī)范的管理,如各?N規(guī)章制度、權(quán)限控制等內(nèi)容;三企業(yè)中,信息安全基本處于無人關(guān)心的狀態(tài),最多也就只是配備1名網(wǎng)管的狀態(tài),或者管理人員水平無法滿足需求。三員分離設(shè)計主要是對管理員的權(quán)限進行控制,設(shè)置系統(tǒng)管理員、用戶管理員和安全審計員3個角色,采用最小授權(quán)原則對系統(tǒng)三員進行系統(tǒng)權(quán)限賦予,使三者相互間制約。系統(tǒng)管理員負責根據(jù)用戶申請完成系統(tǒng)角色的創(chuàng)建、修改與刪除,用戶身份標識的生成與刪除、初始口令的設(shè)置及用戶信息的錄入,并對標識進行唯一性檢查。用戶管理員是完成用戶與角色授權(quán)、用戶審計和應用系統(tǒng)數(shù)據(jù)備份,對系統(tǒng)進行嚴格的訪問控制策略,添加用戶角色,分派角色權(quán)限,要求用戶定期更換口令,保障系統(tǒng)安全。安全審計員主要完成與安全有關(guān)的活動的相關(guān)信息的識別、記錄、存儲與分析。通過采集審計數(shù)據(jù),分析結(jié)果。(4)定期進行風險評估與等級保護測評。風險評估是信息安全管理的關(guān)鍵環(huán)節(jié),就是對信息系統(tǒng)面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性評估,風險管理就是用可以接受的代價,識別、控制、減少或消除可能影響信息系統(tǒng)的安全風險的過程并達到安全目標與安全成本的平衡。信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作,是在中國、美國等很多國家都存在的一種信息安全領(lǐng)域的工作,單位重要的信息系統(tǒng)應該每年都要進行一次系統(tǒng)的等保測評,這本身就是一種動態(tài)式的信息安全管理模式。以上只是筆者一些信息安全管理經(jīng)驗,實際工作中還要更加細致深入地加強防范,并且要不斷進行相關(guān)人員的知識更新,尤其

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論