大多数单位在进行风险分析时,一般是针对标准逐条对照,确保符合标准要求。这种方法从合规性的角度来看是必要的,但要注意标准—般都比较概括、原则,一些具体的要求需要自己去解读、分析。另外,对同一项资产的要求分散在不同的条款里,从防护体系的完整性来看不一定很完善。另一种方法是针对被保护的IT资产,如存储信息的服务器、终端、介质,传输信息的网络等,从资产的脆弱性,面临的风险等方面进行全面细致的风险分析。这两种办法结合起来可以比较完善地分析面临的风险。针对风险,再研究采取哪些技术的、管理的手段去解决,这些手段通过哪些产品、哪些制度去实现,最终形成完善的防护体系。
以计算机终端为例,它面临的风险主要包括:通过获取账号、光盘引导等方式非法登录;通过系统漏洞和不安全设置入侵通过病毒和木马入侵非法设备接入网络进行攻击内网计算机接入外网造成泄密;通过存储介质泄密;通过电子邮件泄密涉密文件管理无序;通过对存储介质进行盗取、文件恢复窃密;通过网络进行监听;通过电磁辐射窃密;由于意外灾害、硬件损坏等造成数据丢失等。
以上这些问题有的通过防病毒软件实现,有的通过及时更新系统补丁、下发域策略来实现,有的通过防盗、防电磁辐射技术实现。有的通过对网络设备的配置来实现,有的通过身份认证系统来实现,有的通过主机审计系统来实现,有的则通过严格的管理制度和日常的检查,监督来实现。
信息安全管理涉及到保密,信息化,密码、保卫,人事、业务等多个部门,应各司其职,协同工作,不能一提起信息安全就认为是信息化部门的事。尤其是保密部门和信息化部门的配合更为重要,因为技术和管理是不可分的,哪些需要技术来解决,哪些需要管理来解决,需要共周协商,发挥不同部门的优势。信息化部门不能只考虑信息化应用和建设,不考虑安全管理,保密部门也不能只管检查、监督,只当“裁判员”。
信息安全无止境,没有绝对的安全,那么如何来平衡安全与应用的关系就成为一个难题。如果没有网络、没有信息化应用,当然可以不考虑信息安全,用得越少,问题越少。有的业务部门出于安全考虑。计算机不联网,给日常工作带来了极大的不便,而单机的管理也存在很大的问题。各军工集团花费大量经费建立的广域网。却不能和各单位相连,造成巨大的浪费。因此如何去把握两者的平衡,就非常重要。更何况安全问题是动态的,新的问题会不断出现,只有积极地去面对问题、解决闯题。才能促进我们的水乎不断提高,不能出了问题就堵,这样只能暂时解决问题,无益于增强自身的能力。
扩展阅读:OA办公系统_协同办公系统;免费办公自动化系统专题;在线办公自动化系统专题;..网络等,从资产的脆弱性,面临的风险等方面进行全面细致的风险分析。这两种办法结合起来可以比较完善地分析面临的风险。针对风险,再研究采取哪些技术的、管理的手段去解决,这些手段通过哪些产品、哪些制度去实现,最终形成完善的防护体系。 以计算机终端为例,它面临的风险主要包括:通过获取..
|