信息安全是一个广泛的主题,它涉及到许多不同的信息领域(物理设备、网络、系统平台、应用系统等),每个领域都有其相关的风险、威胁及解决方法。当我们讨论信息安全的时候,经常只关心黑客和操作系统的漏洞。尽管它们是安全的重要部分,但其只是安全广义概念上的两个组件而已。
对于通过网络连接起来的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程,不仅仅是纯粹的技术,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、技术等多种因素相结合使之成为一个可持续的动态发展的过程。 绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险。这种程度是可以接受的。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。信息系统的安全往往取决于系统中最薄弱的环节:人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。
信息安全起源于计算机安全。计算机安全就是计算机硬件的物理位置远离外部威胁,同时确保计算机软件正常、可靠地运行,随着网络技术不断地发展,计算机安全的范围也在不断地扩大,其中涉及到数据的安全、对数据的随机访问限制和对未授权访问的控制等问题。由此,单纯的计算机安全开始向信息安全演进。互联网的出现使得这种通信更加频繁,由此而衍生出来的信息安全问题层出不穷。
|