大多數(shù)單位在進行風險分析時����,一般是針對標準逐條對照��,確保符合標準要求����。這種方法從合規(guī)性的角度來看是必要的����,但要注意標準—般都比較概括、原則�����,一些具體的要求需要自己去解讀�、分析。另外����,對同一項資產(chǎn)的要求分散在不同的條款里,從防護體系的完整性來看不一定很完善���。另一種方法是針對被保護的IT資產(chǎn)�,如存儲信息的服務器�、終端、介質(zhì),傳輸信息的網(wǎng)絡等��,從資產(chǎn)的脆弱性���,面臨的風險等方面進行全面細致的風險分析。這兩種辦法結合起來可以比較完善地分析面臨的風險����。針對風險,再研究采取哪些技術的�、管理的手段去解決,這些手段通過哪些產(chǎn)品����、哪些制度去實現(xiàn),最終形成完善的防護體系�。
以計算機終端為例,它面臨的風險主要包括:通過獲取賬號�、光盤引導等方式非法登錄;通過系統(tǒng)漏洞和不安全設置入侵通過病毒和木馬入侵非法設備接入網(wǎng)絡進行攻擊內(nèi)網(wǎng)計算機接入外網(wǎng)造成泄密����;通過存儲介質(zhì)泄密;通過電子郵件泄密涉密文件管理無序�����;通過對存儲介質(zhì)進行盜取、文件恢復竊密���;通過網(wǎng)絡進行監(jiān)聽����;通過電磁輻射竊密�;由于意外災害、硬件損壞等造成數(shù)據(jù)丟失等����。
以上這些問題有的通過防病毒軟件實現(xiàn),有的通過及時更新系統(tǒng)補丁����、下發(fā)域策略來實現(xiàn),有的通過防盜��、防電磁輻射技術實現(xiàn)��。有的通過對網(wǎng)絡設備的配置來實現(xiàn)����,有的通過身份認證系統(tǒng)來實現(xiàn),有的通過主機審計系統(tǒng)來實現(xiàn),有的則通過嚴格的管理制度和日常的檢查�,監(jiān)督來實現(xiàn)。
信息安全管理涉及到保密�����,信息化����,密碼���、保衛(wèi)�,人事��、業(yè)務等多個部門����,應各司其職,協(xié)同工作�����,不能一提起信息安全就認為是信息化部門的事����。尤其是保密部門和信息化部門的配合更為重要�,因為技術和管理是不可分的�����,哪些需要技術來解決�����,哪些需要管理來解決�,需要共周協(xié)商,發(fā)揮不同部門的優(yōu)勢����。信息化部門不能只考慮信息化應用和建設,不考慮安全管理���,保密部門也不能只管檢查�����、監(jiān)督���,只當“裁判員”���。
信息安全無止境,沒有絕對的安全��,那么如何來平衡安全與應用的關系就成為一個難題���。如果沒有網(wǎng)絡����、沒有信息化應用�����,當然可以不考慮信息安全���,用得越少,問題越少�。有的業(yè)務部門出于安全考慮。計算機不聯(lián)網(wǎng)�,給日常工作帶來了極大的不便,而單機的管理也存在很大的問題�。各軍工集團花費大量經(jīng)費建立的廣域網(wǎng)。卻不能和各單位相連����,造成巨大的浪費�����。因此如何去把握兩者的平衡��,就非常重要�。更何況安全問題是動態(tài)的��,新的問題會不斷出現(xiàn)�,只有積極地去面對問題、解決闖題�。才能促進我們的水乎不斷提高,不能出了問題就堵��,這樣只能暫時解決問題�,無益于增強自身的能力。
|
