计算机业务应用信息系统的安全策略,以下简称“安全策略”,指得是:人们为保护因为计算机业务应用信息系统可能招致的对单位资产造成损失而进行保护的各种措施、手段,以及建立的各种管理制度、法规等。
安全策略一个企业的安全策略不能照搬其他人的,这个安全策略是对本企业的计算机业务应用信息系统的安全风险(安全威胁)进行有效的识别、评估后,为避免企业的资产损失所采取的一切,包括各种措施、手段,以及建立的各种管理制度、法规等。安全策略涉及技术的和非技术的、硬件的和非硬件的、法律的和非法律的各个方面。安全策略的立脚点是从企业的资产得到充分的保护。在制定安全策略的过程中,牢牢抓住以下七点:定方案、定岗、定位、定员、定目标、定制度、定工作流程。企业的安全策略一旦宣布并实现后,安全策略就是企业内部的一个重要法规,任何人都不得违反。
安全和应用是一对矛盾的关系,有了应用就会产生相应的安全需求,不能够很好的解决安全问题往往会限制应用的发展,并且安全会给应用增加系统建设成本和运行费用,增加一些其他方面的开销,对应用进行使用上的限制。现代的信息系统总是会存在漏洞,就像windows系统经常提醒计算机用户进行漏洞更新和修复,系统的漏洞不可避免,使用系统的人员也会犯错误,这会被黑客利用这些漏洞进行安全攻击,从而造成企业的损失。这是一个没用尽头的话题,你的系统有可能今天安全了,明天可能不够安全,因为明天出现了一个新的漏洞,或者黑客研究了新的攻击技术,病毒制造者设计了新的病毒程序,甚至是我们对系统进行更新而引起的漏洞等等。
影响安全的因数因此,安全是相对的,它是一个动态的过程,我们做不到绝对的安全,但是可以把安全风险控制在合理的程度和可允许的范围内。在制定安全策略的过程中,可以进行围绕威胁、资产、脆弱性、安全措施等方面评估风险,考虑现有环境因数、近期或远期发展变化趋势,控制风险需要付出的安全代价,制定合理的方案。
安全风险关于安全等级保护这块,1999年9月13日,国家质量技术监督局发布了强制性国家标准——《计算机信息安全保护等级划分标准》。该标准建立安全等级保护制度,实施安全等级管理的重要基础性标准,并将计算机信息系统分为5个安全保护等级:第一级为用户自主保护级;第二级为系统审计保护级;第三级为安全标记保护级;第四级为结构化保护级;第五级为访问验证保护级。不管企业或单位,信息网是覆盖全国乃至全球的巨型网络,都应该按照国家有关标准分别确定其计算机信息系统的安全保护等级。
系统安全方案会直接影响到信息系统安全实施与效果,为此,在制定系统安全策略方案可以从以下几方面来考虑:主要硬件设备的选型;操作系统和数据库的选型;网络拓扑结构的选型;数据存储方案和存储设备的选型;安全设备的选型;应用软件开发平台的选型;应用软件的系统结构的确定;供货商和集成商的选择;业务运营与安全管理的职责或岗位划分;应急处理方案的确定及人员的落实。还需要分析业务和数据存储的方案等,信息系统方案确定后,最后进行系统资金和专业技术人员的投入。
系统安全方案和安全策略是密不可分的,系统安全是一个在网络上,集成各种硬件、软件和密码设备,以及保障其他业务应用信息系统正常运行的专用信息应用系统,以及与之相关的岗位、人员、策略、制度和规程的总和。关于系统安全策略可以从以下几方面来考虑:机房设备安全管理策略;主机和操作系统管理策略;网络和数据库管理策略;应用和输入输出管理策略;应用开发管理策略;应急开发管理策略;密码和安全设备管理策略;信息审计管理策略等。
最后,希望本文可以帮助大家,在制定安全策略、写投标文件的、一些奖项申报和安全证书认证等的可以来看看。大家共同学习进步哈。
夜金南玲当前浏览器暂不支持播放