對(duì)于信息安全,大家聽(tīng)得最多恐怕就是哪個(gè)網(wǎng)站又被黑了吠冤,個(gè)人信息又被泄露了相味。
我也一直以為保證信息安全就是防止信息泄密,防止黑客攻擊而已爷狈。
最近公司準(zhǔn)備申請(qǐng)ISO27001安全認(rèn)證植影,才了解到信息安全早已不是早前我了解的樣子。
信息安全的目標(biāo)
信息系統(tǒng)最終都是為業(yè)務(wù)服務(wù)的涎永,信息安全的目標(biāo)就是讓系統(tǒng)安全可靠地運(yùn)行以確保業(yè)務(wù)的連續(xù)性思币。
為達(dá)到這個(gè)目標(biāo),需要讓信息系統(tǒng)(包括硬件羡微,軟件谷饿,數(shù)據(jù),人員妈倔,物理環(huán)境及其基礎(chǔ)設(shè)施)全面受到保護(hù)博投,數(shù)據(jù)不會(huì)出于意外或惡意原因,發(fā)生泄露盯蝴、篡改毅哗、丟失的情況。
信息安全保護(hù)的手段
要達(dá)到上述目標(biāo)捧挺,就要實(shí)現(xiàn)認(rèn)證虑绵、權(quán)限、完整松忍、加密蒸殿、不可否認(rèn)5大方面全面安全。具體可以分層次采取如下安全機(jī)制:
基礎(chǔ)設(shè)施實(shí)體安全
首先要做好機(jī)房安全鸣峭、包括機(jī)房環(huán)境宏所,溫濕度,防塵摊溶、防靜電爬骤,門(mén)禁控制等。
保證場(chǎng)地安全莫换,如建筑安全霞玄,防火防盜,防雷拉岁,等坷剧。
保證設(shè)施安全,包括設(shè)備可靠性喊暖,通信線路安全性惫企,考輻射隔離。
動(dòng)力系統(tǒng)安全,包括電力安全及空調(diào)等狞尔。
還包括災(zāi)難預(yù)防與恢復(fù)應(yīng)對(duì)計(jì)劃丛版。平臺(tái)安全
操作系統(tǒng)漏洞檢測(cè)與修復(fù),包括Linux偏序、Windows及其他各類(lèi)網(wǎng)絡(luò)操作系統(tǒng)页畦。
網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞檢測(cè)與修復(fù),包括路由器研儒、交換機(jī)豫缨、防火墻等。
通用基礎(chǔ)應(yīng)用程序漏洞檢測(cè)與修復(fù)殉摔,包括數(shù)據(jù)庫(kù)州胳、WEB,F(xiàn)TP逸月,Email,DNS等服務(wù)遍膜。
網(wǎng)絡(luò)安全產(chǎn)品部署碗硬,包括防火墻、入侵檢測(cè)瓢颅、防病毒產(chǎn)品恩尾。數(shù)據(jù)安全
介質(zhì)與載體安全保護(hù),如硬盤(pán)挽懦,磁帶等介質(zhì)翰意。
數(shù)據(jù)訪問(wèn)控制,包括數(shù)據(jù)訪問(wèn)控制及檢查信柿、標(biāo)識(shí)與鑒別冀偶。
數(shù)據(jù)完整性,確保數(shù)據(jù)沒(méi)有被篡改渔嚷。
數(shù)據(jù)可用性进鸠,透過(guò)冗余等設(shè)計(jì),保證數(shù)據(jù)高可用形病。
數(shù)據(jù)監(jiān)控與審計(jì)客年,所有數(shù)據(jù)訪問(wèn)留下記錄,隨時(shí)可查漠吻。
數(shù)據(jù)存儲(chǔ)與備份安全量瓜,數(shù)據(jù)有妥善備份,且備份安全可用途乃。
通信安全
通信線路和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性能測(cè)試與優(yōu)化绍傲,提高網(wǎng)絡(luò)可用性
安裝網(wǎng)絡(luò)加密設(shè)施通信加密,防止數(shù)據(jù)傳輸過(guò)程中被竊取欺劳。
設(shè)置身份鑒別機(jī)制唧取,不能誰(shuí)都能連上網(wǎng)絡(luò)铅鲤。
設(shè)置并測(cè)試安全通道,進(jìn)一步保障網(wǎng)絡(luò)鏈路安全枫弟。
測(cè)試各項(xiàng)網(wǎng)絡(luò)協(xié)議運(yùn)行漏洞邢享,對(duì)于已知的協(xié)議漏洞,提前封堵淡诗。應(yīng)用安全
業(yè)務(wù)軟件的程序安全性測(cè)試及Bug分析骇塘,避免程序Bug造成信息泄露或數(shù)據(jù)損壞。防sql注入韩容,防xss, csrf 攻擊等都是網(wǎng)站系統(tǒng)要測(cè)試的內(nèi)容款违。
業(yè)務(wù)交往的防抵賴(lài)測(cè)試,保證數(shù)據(jù)的一致性群凶。
業(yè)務(wù)資源的訪問(wèn)控制驗(yàn)證測(cè)試插爹,確保沒(méi)有權(quán)限外的資源被訪問(wèn)。
業(yè)務(wù)實(shí)體身份鑒別檢測(cè)请梢,系統(tǒng)要能準(zhǔn)確識(shí)別誰(shuí)在使用系統(tǒng)赠尾。
業(yè)務(wù)現(xiàn)場(chǎng)的備份與恢復(fù)機(jī)制檢查,業(yè)務(wù)數(shù)據(jù)錄入要留下Log記錄毅弧,并可還原用戶(hù)操作气嫁。
業(yè)務(wù)數(shù)據(jù)唯一性、一致性和防沖突檢測(cè)够坐,保證數(shù)據(jù)的質(zhì)量寸宵。
業(yè)務(wù)數(shù)據(jù)的保密性測(cè)試。敏感信息不能明文保存元咙。
業(yè)務(wù)系統(tǒng)的可靠性測(cè)試梯影,異常數(shù)據(jù)錄入或異常操作時(shí),系統(tǒng)要能妥善回應(yīng)蛾坯。
業(yè)務(wù)系統(tǒng)的可用性測(cè)試光酣,可以長(zhǎng)時(shí)間提供服務(wù)。運(yùn)行安全
應(yīng)急處置機(jī)制和配套服務(wù)脉课,要有相關(guān)的應(yīng)急處置方案救军。
網(wǎng)絡(luò)系統(tǒng)安全性檢測(cè),運(yùn)行過(guò)程中倘零,要隨時(shí)檢測(cè)網(wǎng)絡(luò)安全唱遭。
定期檢查和評(píng)估,定期檢查評(píng)估系統(tǒng)安全風(fēng)險(xiǎn)及相關(guān)制度是否還適用呈驶。
系統(tǒng)升級(jí)和補(bǔ)丁提供拷泽,基于新的安全風(fēng)險(xiǎn),提供升級(jí)或補(bǔ)丁。
跟蹤最新安全漏洞及通報(bào)司致。
災(zāi)難恢復(fù)機(jī)制與預(yù)防拆吆。
系統(tǒng)改造管理,系統(tǒng)改造時(shí)要注意相關(guān)安全措施脂矫。
網(wǎng)絡(luò)安全專(zhuān)業(yè)技術(shù)咨詢(xún)服務(wù)枣耀,必要時(shí)請(qǐng)外部專(zhuān)業(yè)顧問(wèn)提供系統(tǒng)安全服務(wù)。管理安全
包括人員管理庭再,培訓(xùn)管理捞奕,應(yīng)用系統(tǒng)管理,軟件管理拄轻,設(shè)備管理颅围,文檔管理,數(shù)據(jù)管理恨搓,操作管理院促,運(yùn)行管理,機(jī)房管理奶卓。授權(quán)和審計(jì)安全
授權(quán)安全一疯,各用戶(hù)對(duì)系統(tǒng)權(quán)限的申請(qǐng),都得到妥善的授權(quán)夺姑。
審計(jì)安全,監(jiān)控網(wǎng)絡(luò)內(nèi)部的用戶(hù)活動(dòng)掌猛,偵查系統(tǒng)中存在的潛在威脅盏浙。
需要考慮的權(quán)衡點(diǎn)
信息安全包含整個(gè)系統(tǒng)的方方面面,涉及非常廣泛荔茬,安全管理任務(wù)非常艱巨废膘,具體應(yīng)用過(guò)程中,需要考慮如下權(quán)衡點(diǎn):
安全與應(yīng)用依存
業(yè)務(wù)系統(tǒng)需要安全來(lái)保教護(hù)航慕蔚,安全是為業(yè)務(wù)系統(tǒng)服務(wù)的丐黄,沒(méi)有了業(yè)務(wù)系統(tǒng),安全也失去了意義孔飒。風(fēng)險(xiǎn)度
風(fēng)險(xiǎn)是隨著時(shí)間變化的灌闺,信息安全非一蹴而就的工程,需要不斷優(yōu)化坏瞄,隨時(shí)監(jiān)控桂对,信息安全是貫穿整個(gè)系統(tǒng)生命周期的工作。適度安全
不能一味追求高度安全鸠匀,越高的安全往往意味著越高的成本蕉斜,特別是到了一定高度后,再增加安全度需要付出巨大的成本。所以要根據(jù)自身情況宅此,來(lái)獲取一個(gè)可接受的適度安全机错。木桶效應(yīng)
信息安全遵循木桶效應(yīng),系統(tǒng)最薄弱環(huán)節(jié)決定了整個(gè)系統(tǒng)的安全水平父腕,單一追求某一方面的高安全是沒(méi)有意義的弱匪,要全面提升安全水平。等級(jí)保護(hù)
根據(jù)風(fēng)險(xiǎn)發(fā)生時(shí)造成的危害大小侣诵,來(lái)對(duì)所需采取的安全保護(hù)水平分級(jí)痢法。可能造成的危害越大杜顺,需要越高的安全保護(hù)财搁。關(guān)于如何劃分等級(jí),及需要采取的安全保護(hù)措施躬络,我們國(guó)家在《信息安全等級(jí)保護(hù)管理辦法》有明確規(guī)定尖奔。
