大多數單位在進行風險分析時�����,一般是針對標準逐條對照����,確保符合標準要求�。這種方法從合規(guī)性的角度來看是必要的�����,但要注意標準—般都比較概括�����、原則��,一些具體的要求需要自己去解讀��、分析���。另外���,對同一項資產的要求分散在不同的條款里,從防護體系的完整性來看不一定很完善���。另一種方法是針對被保護的IT資產�����,如存儲信息的服務器���、終端、介質�,傳輸信息的網絡等,從資產的脆弱性��,面臨的風險等方面進行全面細致的風險分析�。這兩種辦法結合起來可以比較完善地分析面臨的風險。針對風險����,再研究采取哪些技術的、管理的手段去解決����,這些手段通過哪些產品、哪些制度去實現���,最終形成完善的防護體系�����。
以計算機終端為例�����,它面臨的風險主要包括:通過獲取賬號��、光盤引導等方式非法登錄�;通過系統(tǒng)漏洞和不安全設置入侵通過病毒和木馬入侵非法設備接入網絡進行攻擊內網計算機接入外網造成泄密;通過存儲介質泄密��;通過電子郵件泄密涉密文件管理無序�����;通過對存儲介質進行盜取����、文件恢復竊密;通過網絡進行監(jiān)聽���;通過電磁輻射竊密�;由于意外災害�����、硬件損壞等造成數據丟失等��。
以上這些問題有的通過防病毒軟件實現,有的通過及時更新系統(tǒng)補丁��、下發(fā)域策略來實現�����,有的通過防盜�����、防電磁輻射技術實現��。有的通過對網絡設備的配置來實現��,有的通過身份認證系統(tǒng)來實現��,有的通過主機審計系統(tǒng)來實現�����,有的則通過嚴格的管理制度和日常的檢查��,監(jiān)督來實現�。
信息安全管理涉及到保密�,信息化��,密碼�����、保衛(wèi)����,人事����、業(yè)務等多個部門,應各司其職����,協(xié)同工作,不能一提起信息安全就認為是信息化部門的事��。尤其是保密部門和信息化部門的配合更為重要����,因為技術和管理是不可分的,哪些需要技術來解決��,哪些需要管理來解決�,需要共周協(xié)商�,發(fā)揮不同部門的優(yōu)勢��。信息化部門不能只考慮信息化應用和建設���,不考慮安全管理�����,保密部門也不能只管檢查、監(jiān)督�����,只當“裁判員”���。
信息安全無止境����,沒有絕對的安全����,那么如何來平衡安全與應用的關系就成為一個難題。如果沒有網絡�����、沒有信息化應用,當然可以不考慮信息安全�����,用得越少����,問題越少。有的業(yè)務部門出于安全考慮���。計算機不聯網��,給日常工作帶來了極大的不便�,而單機的管理也存在很大的問題���。各軍工集團花費大量經費建立的廣域網����。卻不能和各單位相連����,造成巨大的浪費���。因此如何去把握兩者的平衡,就非常重要���。更何況安全問題是動態(tài)的����,新的問題會不斷出現����,只有積極地去面對問題、解決闖題�����。才能促進我們的水乎不斷提高��,不能出了問題就堵�����,這樣只能暫時解決問題��,無益于增強自身的能力�。
..
|
