大多數(shù)單位在進(jìn)行風(fēng)險(xiǎn)分析時(shí)����,一般是針對(duì)標(biāo)準(zhǔn)逐條對(duì)照����,確保符合標(biāo)準(zhǔn)要求。這種方法從合規(guī)性的角度來看是必要的�,但要注意標(biāo)準(zhǔn)—般都比較概括、原則,一些具體的要求需要自己去解讀����、分析。另外���,對(duì)同一項(xiàng)資產(chǎn)的要求分散在不同的條款里��,從防護(hù)體系的完整性來看不一定很完善����。另一種方法是針對(duì)被保護(hù)的IT資產(chǎn)���,如存儲(chǔ)信息的服務(wù)器��、終端��、介質(zhì)��,傳輸信息的網(wǎng)絡(luò)等�����,從資產(chǎn)的脆弱性��,面臨的風(fēng)險(xiǎn)等方面進(jìn)行全面細(xì)致的風(fēng)險(xiǎn)分析����。這兩種辦法結(jié)合起來可以比較完善地分析面臨的風(fēng)險(xiǎn)。針對(duì)風(fēng)險(xiǎn)�����,再研究采取哪些技術(shù)的���、管理的手段去解決��,這些手段通過哪些產(chǎn)品��、哪些制度去實(shí)現(xiàn)����,最終形成完善的防護(hù)體系�����。
以計(jì)算機(jī)終端為例����,它面臨的風(fēng)險(xiǎn)主要包括:通過獲取賬號(hào)、光盤引導(dǎo)等方式非法登錄�����;通過系統(tǒng)漏洞和不安全設(shè)置入侵通過病毒和木馬入侵非法設(shè)備接入網(wǎng)絡(luò)進(jìn)行攻擊內(nèi)網(wǎng)計(jì)算機(jī)接入外網(wǎng)造成泄密�;通過存儲(chǔ)介質(zhì)泄密;通過電子郵件泄密涉密文件管理無序�;通過對(duì)存儲(chǔ)介質(zhì)進(jìn)行盜取、文件恢復(fù)竊密��;通過網(wǎng)絡(luò)進(jìn)行監(jiān)聽���;通過電磁輻射竊密�����;由于意外災(zāi)害���、硬件損壞等造成數(shù)據(jù)丟失等。
以上這些問題有的通過防病毒軟件實(shí)現(xiàn)����,有的通過及時(shí)更新系統(tǒng)補(bǔ)丁、下發(fā)域策略來實(shí)現(xiàn)�,有的通過防盜���、防電磁輻射技術(shù)實(shí)現(xiàn)。有的通過對(duì)網(wǎng)絡(luò)設(shè)備的配置來實(shí)現(xiàn)�,有的通過身份認(rèn)證系統(tǒng)來實(shí)現(xiàn),有的通過主機(jī)審計(jì)系統(tǒng)來實(shí)現(xiàn)�,有的則通過嚴(yán)格的管理制度和日常的檢查,監(jiān)督來實(shí)現(xiàn)���。
信息安全管理涉及到保密���,信息化,密碼��、保衛(wèi)�,人事、業(yè)務(wù)等多個(gè)部門����,應(yīng)各司其職,協(xié)同工作����,不能一提起信息安全就認(rèn)為是信息化部門的事。尤其是保密部門和信息化部門的配合更為重要��,因?yàn)榧夹g(shù)和管理是不可分的,哪些需要技術(shù)來解決�����,哪些需要管理來解決��,需要共周協(xié)商����,發(fā)揮不同部門的優(yōu)勢(shì)�����。信息化部門不能只考慮信息化應(yīng)用和建設(shè)�����,不考慮安全管理����,保密部門也不能只管檢查、監(jiān)督�,只當(dāng)“裁判員”。
信息安全無止境��,沒有絕對(duì)的安全,那么如何來平衡安全與應(yīng)用的關(guān)系就成為一個(gè)難題�。如果沒有網(wǎng)絡(luò)、沒有信息化應(yīng)用�����,當(dāng)然可以不考慮信息安全�,用得越少,問題越少�。有的業(yè)務(wù)部門出于安全考慮。計(jì)算機(jī)不聯(lián)網(wǎng)�,給日常工作帶來了極大的不便,而單機(jī)的管理也存在很大的問題��。各軍工集團(tuán)花費(fèi)大量經(jīng)費(fèi)建立的廣域網(wǎng)����。卻不能和各單位相連,造成巨大的浪費(fèi)����。因此如何去把握兩者的平衡,就非常重要�。更何況安全問題是動(dòng)態(tài)的,新的問題會(huì)不斷出現(xiàn),只有積極地去面對(duì)問題��、解決闖題�。才能促進(jìn)我們的水乎不斷提高,不能出了問題就堵����,這樣只能暫時(shí)解決問題��,無益于增強(qiáng)自身的能力����。
..
|
