信息安全就是防止黑客攻击吗
对于信息安全,大家听得最多恐怕就是哪个网站又被黑了,个人信息又被泄露了。
我也一直以为保证信息安全就是防止信息泄密,防止黑客攻击而已。
最近公司准备申请ISO27001安全认证,才了解到信息安全早已不是早前我了解的样子。
信息安全的目标
信息系统最终都是为业务服务的,信息安全的目标就是让系统安全可靠地运行以确保业务的连续性。
为达到这个目标,需要让信息系统(包括硬件,软件,数据,人员,物理环境及其基础设施)全面受到保护,数据不会出于意外或恶意原因,发生泄露、篡改、丢失的情况。
信息安全保护的手段
要达到上述目标,就要实现认证、权限、完整、加密、不可否认5大方面全面安全。具体可以分层次采取如下安全机制:
-
基础设施实体安全
首先要做好机房安全、包括机房环境,温湿度,防尘、防静电,门禁控制等。
保证场地安全,如建筑安全,防火防盗,防雷,等。
保证设施安全,包括设备可靠性,通信线路安全性,考辐射隔离。
动力系统安全,包括电力安全及空调等。
还包括灾难预防与恢复应对计划。 -
平台安全
操作系统漏洞检测与修复,包括Linux、Windows及其他各类网络操作系统。
网络基础设施漏洞检测与修复,包括路由器、交换机、防火墙等。
通用基础应用程序漏洞检测与修复,包括数据库、WEB,FTP,Email,DNS等服务。
网络安全产品部署,包括防火墙、入侵检测、防病毒产品。 -
数据安全
介质与载体安全保护,如硬盘,磁带等介质。
数据访问控制,包括数据访问控制及检查、标识与鉴别。
数据完整性,确保数据没有被篡改。
数据可用性,透过冗余等设计,保证数据高可用。
数据监控与审计,所有数据访问留下记录,随时可查。
数据存储与备份安全,数据有妥善备份,且备份安全可用。
-
通信安全
通信线路和网络基础设施安全性能测试与优化,提高网络可用性
安装网络加密设施通信加密,防止数据传输过程中被窃取。
设置身份鉴别机制,不能谁都能连上网络。
设置并测试安全通道,进一步保障网络链路安全。
测试各项网络协议运行漏洞,对于已知的协议漏洞,提前封堵。 -
应用安全
业务软件的程序安全性测试及Bug分析,避免程序Bug造成信息泄露或数据损坏。防sql注入,防xss, csrf 攻击等都是网站系统要测试的内容。
业务交往的防抵赖测试,保证数据的一致性。
业务资源的访问控制验证测试,确保没有权限外的资源被访问。
业务实体身份鉴别检测,系统要能准确识别谁在使用系统。
业务现场的备份与恢复机制检查,业务数据录入要留下Log记录,并可还原用户操作。
业务数据唯一性、一致性和防冲突检测,保证数据的质量。
业务数据的保密性测试。敏感信息不能明文保存。
业务系统的可靠性测试,异常数据录入或异常操作时,系统要能妥善回应。
业务系统的可用性测试,可以长时间提供服务。 -
运行安全
应急处置机制和配套服务,要有相关的应急处置方案。
网络系统安全性检测,运行过程中,要随时检测网络安全。
定期检查和评估,定期检查评估系统安全风险及相关制度是否还适用。
系统升级和补丁提供,基于新的安全风险,提供升级或补丁。
跟踪最新安全漏洞及通报。
灾难恢复机制与预防。
系统改造管理,系统改造时要注意相关安全措施。
网络安全专业技术咨询服务,必要时请外部专业顾问提供系统安全服务。 -
管理安全
包括人员管理,培训管理,应用系统管理,软件管理,设备管理,文档管理,数据管理,操作管理,运行管理,机房管理。 -
授权和审计安全
授权安全,各用户对系统权限的申请,都得到妥善的授权。
审计安全,监控网络内部的用户活动,侦查系统中存在的潜在威胁。
需要考虑的权衡点
信息安全包含整个系统的方方面面,涉及非常广泛,安全管理任务非常艰巨,具体应用过程中,需要考虑如下权衡点:
-
安全与应用依存
业务系统需要安全来保教护航,安全是为业务系统服务的,没有了业务系统,安全也失去了意义。 -
风险度
风险是随着时间变化的,信息安全非一蹴而就的工程,需要不断优化,随时监控,信息安全是贯穿整个系统生命周期的工作。 -
适度安全
不能一味追求高度安全,越高的安全往往意味着越高的成本,特别是到了一定高度后,再增加安全度需要付出巨大的成本。所以要根据自身情况,来获取一个可接受的适度安全。 -
木桶效应
信息安全遵循木桶效应,系统最薄弱环节决定了整个系统的安全水平,单一追求某一方面的高安全是没有意义的,要全面提升安全水平。 -
等级保护
根据风险发生时造成的危害大小,来对所需采取的安全保护水平分级。可能造成的危害越大,需要越高的安全保护。关于如何划分等级,及需要采取的安全保护措施,我们国家在《信息安全等级保护管理办法》有明确规定。
