福建厦门福州泉州ISO27001信息安全管理体系认证注意三个方面因素
计算机系统安全工作的目的就是为了在法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,维护计算机信息安全。我们应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。计算机安全主要涉及:计算机安全、信息安全和网络安全三个方面因素。
1.计算机安全
计算机安全包括实体安全(硬件安全)、软件安全、数实体安全指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。特别是避免由于电磁泄漏产生信息泄露,从而干扰他人或受他人干扰。保证计算机系统硬件安全、可靠地运行。确保它们在对信息的采集、处理、传送和存储过程中,不会受到人为或者其他因素造成的危害。实体安全包括环境安全,设备安全和媒体安全三个方面。
数据安全主要是保护数据的完整性、可靠性、保密性,防止被非法修改、删除、使用和窃取。
运行安全指对运行中的计算机系统的实体和数据进行保护。保护范围包括计算机的软件系统和硬件系统。为保障系统功能的安全实现,提供一套安全措施(如风险分析,审计跟踪,备份与恢复,应急等)来保护信息处理过程的安全。它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。运行安全包括风险分析,审计跟踪,备份与恢复,应急四个方面。
软件安全是指使用的软件(包括操作系统和应用软件)本身是正确、可靠的。即不但要确保它们在正常的情况下,运行结果是正确的,也不会因某些偶然的失误或特殊的条件而得到错误的结果。软件安全还指对软件的保护,即软件应当具有防御非法使用、非法修改和非法复制的能力(例如,操作系统本身的用户账号、口令、文件、目录存取权限的安全措施)。
2.信息安全
防止信息资源被故意地或偶然地非授权泄露、更改、破坏或使信息被非法阅读。即确保信息的完整性、保密性、可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。
3.网络安全
网络安全是指通过采取各种技术的和管理的安全措施,确保网络数据的可用性、完整性和保密性,其目的是确保经过网络厂商和交换的数据不会发生增加、修改、丢失和泄漏等。网络安全性涉及的因素很多,主要可以分为如下图几种。物理因素主要是指自然灾害、人为破坏、设备自然损坏等原因造成了网络的中断、系统的破坏、数据的丢失等安全上的威胁。
管理因素主要是因为管理人员对信息系统管理不当带来的安全问题。
应用因素指在信息系统使用中,不正确的操作或人为破坏所带来的安全问题。
系统因素主要指计算机软件程序的复杂性、编程的多样性,以及程序本身安全的局限性,使得信息系统软件中存在着漏洞。
网络因素主要指网络自身存在安全缺陷,如网络协议和服务机制存在问题,Internet本身是一个开放的、无控制机构的网络,黑客经常会侵入网络中的计算机系统。
4.安全评估标准
对计算机系统安全的评估,目前常用的是计算机安全中心发布的《橘皮书》,即"可信计算机系统评估标准"(TrustedComputer System EvaluationCriteria,简称TCSEC)。其评估标准主要是基于系统安全策略的制定、系统使用状态的可审计性及对安全策略的准确解释和实施的可靠性等方面的要求。
在标准中,系统安全程度被分为A、B、C、D四类,每类又分为若干等级,共8个等级,它们从低到高分别是D、C1、C2、B1、B2、B3、A1、A2,其中以D级系统为低保护等级,C1、C2为自主保护等级,B1、B2、B3为强制保护等级,A1、A2验证保护等级。
随着互联网的飞速发展,网络信息安全问题日渐成为全球瞩目的焦点。作为名副其实的互联网大国,中国PC互联网的网民数超过6亿,移动互联网的网民数超过5亿,网民数量大增、系统应用不断产生,网络信息安全事件近年来频发,我国信息安全正面临巨大的威胁。关键信息系统主要面临的威胁有三类:设备被控、数据被窃及业务被瘫。仅仅2012年中国被境外控制的计算机就达1420余万台,其中涉及金融、交通、能源等多个关键部门,侵入信息系统基础设施如服务器、存储,即可盗取关键业务情报,甚至瘫痪核心业务,影响国家机器正常运转。我国信息安全在七大方面面临严峻形势:
1、信息与网络的安全防护能力差。
随着1999年“政府上网工程”的全面启动,我国各级政府将陆续设立自己的网站,电子商务也正以前所未有的速度迅速发展,但许多应用系统却处于不设防状态,存在着极大的信息安全风险和隐患。
2、对引进技术和设备缺乏安全检测
在信息化过程中,对发达国家或跨国公司提供的关键装备中无从检测和排除可能存在的后门和漏洞,这将造成既花费了大量资金又买来了经济运行中的隐患、买来国家不安全的严重后果。
3、基础信息产业严重依赖国外
科技创新能力不足,自主的信息安全设备不能满足国家信息化癿需求。受制于国外高安全等级的安全产品,一旦国际形势影响产品交易,我国的信息产品市场就会严重受挫。
4、信息安全管理机构缺乏quanwei
目前,国家经济信息安全管理条块分割、各行其是、相互隔离,极大地妨碍了国家有关法规的贯彻执行,难以防范境外情报机构和“黑客”的攻击。
5、信息犯罪有快速蔓延之势
根据我国安全部门掌握的情况,外国情报机关的情报手段现代化的程度越来越高。调查表明每年计算机犯罪发案率递增30%。
6、全社会的信息安全意识淡薄
社会关注度近几年虽有较大提升,但仍没有刺激市场需求,从而没法带动整个行业的发展。
7、信息安全产业化投入少
涉足信息安全这个相对较新的领域的企业较少,资金投入远远不止,国家扶持政策不足。
未来,随着互联网宽带、移动技术的高速发展和普及,我国将继续面临着日趋严重的网络信息安全威胁和隐患。全面构建信息安全防御体系,打造自主信息安全产业生态体系将成为我国信息安全发展的重要战略任务。
