| 什么是信息安全
信息是一种资产,与其他重要的商业资产一样,它对一个组织而言具有一定的价值,因此需要适当地加以保护。信息安全就是要在很大范围内保护信息免受或少受各种威胁,从而确保业务的连续性,减少业务损失。
信息可以多种形式存在。它可以打印或者写在纸上、以数字化方式存储,通过邮局邮寄或电子手段发送、表现在胶片上或以谈话方式说出来。信息无论以什么形式存在,以什么方式存储、传输或共享,都应得到恰当的保护。
在这里,信息安全是指信息具有下列特征:
保密性:确保信息只能够由得到授权的人访问;
完整性:保护信息及处理方法的准确性和完备性;
可用性:确保已授权用户可以访问到信息。
信息安全可以通过实施一整套恰当的控制措施而获得,它们是策略、实用做法、规程、组织结构和软件功能。通过建立这几个面的控制措施,达到安全目标的实现。
TOP
为什么需要信息安全
信息和支持处理信息的系统及网络都是重要的业务资产。随着计算机信息网络的迅猛发展和日益广泛的应用,人类对它的依赖程度也越来越高。信息的保密性、完整性和可用性对小到一个机构,大到一个行业、一个国家的影响有时是不可想象的和难以估量的。
进入网络时代,计算机网络是信息的主要载体。信息系统及其网络资源日益面临着来自四面八方的安全威胁。这些威胁的来源有计算机诈骗、间谍活动、蓄意破坏、火灾或水灾等。威胁方式多种多样:计算机病毒、计算机黑客入侵和误操作等,而且出现更频繁、更富挑战性和日益高科技的势头。
许多信息系统的设计并不安全。通过技术手段获得的安全是有限的,还应当有适当的管理的支持。如果在要求分析和设计阶段就把信息安全控制考虑进去,那么,信息安全的成本就会大大降低而且更加有效。信息安全需要全方位的考虑、全员参与。
TOP
如何确定信息安全需求
对于任何一个信息网络而言,明确信息安全需求是非常重要的。安全需求应从三个主要方面来考虑:第一、信息安全风险评估。通过风险评定,标识出对信息资产的威胁,评价可能出现的脆弱性,预测潜在的影响;第二、机构及其合作伙伴、服务提供者各方必须满足相关法律、法规和合约的要求;第三、信息网络自身和环境的特点。
TOP
评估信息安全风险
信息安全需求是通过系统的安全风险评估确定的。用于安全管理上的投资要同安全故障可能导致的利益损失相平衡。风险评估方法既可适用于整个网络,也适用于网络的某些部分。
风险评估要系统地考虑以下内容:a)把安全故障可能导致的损失,并把信息和其它资产的保密性、完整性或可用性丧失的潜在后果也考虑进去;
b)把常见的威胁、脆弱性与实际采取的控制措施综合考虑后,某种故障发生的可能性。
这样产生的评估结果有助于指导和确定适当的安全管理行为,并有助于确定管理信息安全风险的优先权和执行抵御这些风险的安全措施的优先级。对安全风险和采取的安全管理措施应定期进行复查,以验证安全措施对变化后的业务、新的威胁和脆弱性是否仍然有效、适合,即是否满足安全需求。作为高风险区域优化资源的一种手段,风险评定通常首先在高级别进行,然后在更细的级别进行,以确定具体的风险。
(摘自《网络安全》杂志2002,9)
TOP
|
招聘信息
| 信息安全常识