防止黑客入侵技術之安全管理
1.信息安全管理的內涵
根據我國計算機信息系統安全等級保護管理要求(GA/T391—2002)中的描述,信息安全管理的內涵是對一個組織或機構中信息系統的生命周期全過程實施符合安全等級責任要求的科學管理,它包括:
(1)落實安全組織及安全管理人員,明確角色與職責,制定安全規劃;
(2)開發安全策略;
(3)實施風險管理;
(4)制定業務持續性計劃和災難恢復計劃;
(5)選擇與實施安全措施;
(6)保證配置、變更的正確與安全;
(7)進行安全審計;
(8)保證維護支持;
(9)進行監控、檢查,處理安全事件;
(10)安全意識與安全教育;
(11)人員安全管理。
一般意義上講,安全管理就是指為實現信息安全的目標而采取的一系列管理制度和技術手段,包括安全檢測、監控、響應和調整的全部控制過程。而對整個系統進行風險分析和評估是明確信息安全目標要求的重要手段。
2.信息安全管理的基本原則
需要明確指出的一點是:不論多么先進的安全技術,都只是實現信息安全管理的手段而已。信息安全源于有效的管理,要使先進的安全技術發揮較好的效果,就必須建立良好的信息安全管理體系,這是一個根本問題。一直以來人們(特別是高層領導者)總是認為信息安全是一個技術上的問題,并將信息安全管理的責任限制在技術人員身上,事實上這種觀點和做法是十分錯誤的。
現在,信息已成為企業發展的重要資產,企業高層領導必須重視信息安全管理,必須參與信息安全管理工作,將信息安全管理視為現有管理措施的一個重要組成部分。
在我國,加強對信息安全工作的領導,建立、健全信息安全管理責任制,通常以誰主管誰負責、誰運營誰負責和誰使用誰負責為基本要求,堅持的總原則是:主要領導人負責原則;規范定級原則;依法行政原則;以人為本原則;適度安全原則;全面防范、突出重點原則;系統、動態原則;以及控制社會影響原則。而信息安全管理的主要策略是:分權制衡、最小特權、選用成熟技術和普遍參與。
3.信息安全管理的基本過程
安全管理是一個不斷發展、不斷修正的動態過程,貫穿于信息系統生命周期,涉及信息系統管理層面、物理層面、網絡層面、操作系統層面、應用系統層面和運行層面的安全風險管理。在這些層面上的安全管理是保證信息系統安全技術、安全工程運行正確、安全、有效的基礎。總的安全目標是防止國家秘密和單位敏感信息的失密、泄密和竊密,防止數據的非授權修改、丟失和破壞,防止系統能力的喪失、降低,防止欺騙,保證信息及系統的可信度和資產的安全。
【編輯推薦】
