大多數(shù)單位在進行風險分析時,一般是針對標準逐條對照����,確保符合標準要求。這種方法從合規(guī)性的角度來看是必要的��,但要注意標準—般都比較概括�����、原則�����,一些具體的要求需要自己去解讀、分析��。另外�����,對同一項資產(chǎn)的要求分散在不同的條款里�����,從防護體系的完整性來看不一定很完善���。另一種方法是針對被保護的IT資產(chǎn)�����,如存儲信息的服務(wù)器���、終端、介質(zhì)����,傳輸信息的網(wǎng)絡(luò)等����,從資產(chǎn)的脆弱性��,面臨的風險等方面進行全面細致的風險分析�����。這兩種辦法結(jié)合起來可以比較完善地分析面臨的風險����。針對風險����,再研究采取哪些技術(shù)的、管理的手段去解決����,這些手段通過哪些產(chǎn)品、哪些制度去實現(xiàn)��,最終形成完善的防護體系�。
以計算機終端為例,它面臨的風險主要包括:通過獲取賬號、光盤引導等方式非法登錄����;通過系統(tǒng)漏洞和不安全設(shè)置入侵通過病毒和木馬入侵非法設(shè)備接入網(wǎng)絡(luò)進行攻擊內(nèi)網(wǎng)計算機接入外網(wǎng)造成泄密;通過存儲介質(zhì)泄密���;通過電子郵件泄密涉密文件管理無序��;通過對存儲介質(zhì)進行盜取�����、文件恢復竊密�;通過網(wǎng)絡(luò)進行監(jiān)聽���;通過電磁輻射竊密�;由于意外災(zāi)害����、硬件損壞等造成數(shù)據(jù)丟失等。
以上這些問題有的通過防病毒軟件實現(xiàn)���,有的通過及時更新系統(tǒng)補丁��、下發(fā)域策略來實現(xiàn)�,有的通過防盜、防電磁輻射技術(shù)實現(xiàn)�。有的通過對網(wǎng)絡(luò)設(shè)備的配置來實現(xiàn),有的通過身份認證系統(tǒng)來實現(xiàn)�����,有的通過主機審計系統(tǒng)來實現(xiàn)����,有的則通過嚴格的管理制度和日常的檢查���,監(jiān)督來實現(xiàn)�。
信息安全管理涉及到保密����,信息化,密碼��、保衛(wèi)����,人事、業(yè)務(wù)等多個部門,應(yīng)各司其職����,協(xié)同工作,不能一提起信息安全就認為是信息化部門的事���。尤其是保密部門和信息化部門的配合更為重要�,因為技術(shù)和管理是不可分的��,哪些需要技術(shù)來解決�����,哪些需要管理來解決��,需要共周協(xié)商�����,發(fā)揮不同部門的優(yōu)勢�。信息化部門不能只考慮信息化應(yīng)用和建設(shè),不考慮安全管理�����,保密部門也不能只管檢查、監(jiān)督��,只當“裁判員”��。
信息安全無止境�,沒有絕對的安全,那么如何來平衡安全與應(yīng)用的關(guān)系就成為一個難題��。如果沒有網(wǎng)絡(luò)�、沒有信息化應(yīng)用�����,當然可以不考慮信息安全�,用得越少,問題越少���。有的業(yè)務(wù)部門出于安全考慮���。計算機不聯(lián)網(wǎng),給日常工作帶來了極大的不便�����,而單機的管理也存在很大的問題。各軍工集團花費大量經(jīng)費建立的廣域網(wǎng)�����。卻不能和各單位相連�,造成巨大的浪費。因此如何去把握兩者的平衡�����,就非常重要�。更何況安全問題是動態(tài)的,新的問題會不斷出現(xiàn)����,只有積極地去面對問題、解決闖題���。才能促進我們的水乎不斷提高����,不能出了問題就堵�,這樣只能暫時解決問題,無益于增強自身的能力��。
擴展閱讀:OA辦公系統(tǒng)_協(xié)同辦公系統(tǒng);免費辦公自動化系統(tǒng)專題�����;在線辦公自動化系統(tǒng)專題���;..網(wǎng)絡(luò)等���,從資產(chǎn)的脆弱性,面臨的風險等方面進行全面細致的風險分析����。這兩種辦法結(jié)合起來可以比較完善地分析面臨的風險。針對風險����,再研究采取哪些技術(shù)的�����、管理的手段去解決����,這些手段通過哪些產(chǎn)品�、哪些制度去實現(xiàn)�,最終形成完善的防護體系。 以計算機終端為例�,它面臨的風險主要包括:通過獲取..
|
