8.4.3 信息系统安全保护策略
信息安全的内容不仅包括信息的保密性、完整性、可用性、可控性、信息行为的不可否认性等信息安全需求,还包括信息系统保护、信息系统的安全检测评估、检测报警和攻击后的系统恢复等方面。在制定信息安全保护策略时,可以从技术、法律、规范、道德、管理等诸方面着手,全面考虑,其中技术是最为客观和基本的,也是最具有可控性的。
从信息系统安全的描述来看,要实现安全保护包含两个方面的内容:一是防止实体和信息遭受破坏而导致系统不能正常运行;二是防止机密信息被泄露和窃取。因此,信息系统的安全保护策略主要分为非技术性和技术性两大类。非技术性安全策略是指利用法制保证、行政管理和其他措施等防止信息系统安全事故的发生;技术性安全策略是指通过采取与系统直接相关的技术手段防止信息系统安全事故的发生。
非技术性安全策略不受信息系统的控制,是施加于信息系统之上的,主要包括3方面的内容:法制保护、行政管理、人员培训。
(1)法制保护。目前针对信息系统的法律法规大体可分为社会规范和技术规范两类。这些法律和标准是保证信息系统安全的依据和主要保障。
社会规范是调整信息活动中人与人之间的行为准则。要结合专门的保护要求定义合法的信息活动,对不正当的信息活动要予以民法或刑法的限制或惩处。要发布阻止任何违反保护要求的禁令,明确用户和系统人员应履行的权利和义务。目前主要包括保密法、数据保护法、计算机安全法、计算机犯罪法等。
技术规范是指各种技术标准和规程,如计算机安全标准、网络安全标准、操作系统安全标准、数据和信息安全标准、电磁兼容性标准、电磁泄漏极限等。
(2)行政管理。行政管理是安全管理的一般行政措施,是依据系统的实践活动,为维护系统安全而建立和制定的规章制度和职能机构。这些制度与要求主要有:
①组织及人员制度。建立和加强各种安全机构,强化人员的安全意识和技术培训,严格人员选用,严格操作守则,严格分工原则,禁止工作交叉(如程序设计人员兼做系统操作员)。
②运行维护和管理制度。包括设备维护制度、软件维护制度、用户管理制度、密钥管理制度、出入门制度、值班守则、操作规程、行政领导定期检查和监督等制度。
③计算机处理的控制与管理制度。包括编程流程及控制、程序和数据的管理、存储介质的管理、文件标准化、通信和网络的管理。
④机房保卫制度。机要机房应该规定双人进出的制度,严禁单人在机房操作计算机等。
⑤对各种文档、资料、媒体数据要妥善保管,严格控制。
⑥对各类人员所掌握的资料要与其身份相适应。
(3)人员培训。对于信息系统的工作人员,如终端操作员、系统管理员、系统设计人员等,由于他们对系统的功能和结构比较熟悉,因此对系统安全的威胁很大,必须进行全面的安全保密教育,职业道德和法制教育。
技术性安全策略是信息系统安全的重要保障,实施安全技术,不仅要涉及计算机和外围设备及其通信和网络等实体,还涉及数据安全、软件安全、网络安全、运行安全等多个方面。实施安全技术保护要贯穿整个信息系统的分析、设计、运行、维护和管理的各个阶段。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
