甜橘子,专注成都网站制作网站设计与营销型网站建设与优化
QQ :532337155
电话:028-86922220
信息安全管理的基本原理
你所需要的网站建设服务,我们均能行业靠前的水平为你提供.标准是产品质量的保证,主要从事成都网站建设、网站设计、企业网站建设、成都手机网站制作、网页设计、成都品牌网站建设、网页制作、做网站、建网站。创新互联拥有实力坚强的技术研发团队及素养的视觉设计专才。
为了确保网络系统安全,网络安全管理必须坚持以下基本原则:
(l)多人负责原则
为了确保安全严格管理职、责明确落实,对各种与系统安全有关事项,如同管理重要财物一样都应由多人负责并在现场当面认定签发。系统主管领导应指定忠诚可靠,且具有丰富实际工作经验、胜任工作的人员作为网络系统安全负责人,同时明确安全指标、岗位职责和任务,安全管理员应及时签署安全工作情况记录,表明安全工作保障落实和完成情况。
需要签发的与安全有关的主要事项包括:
1) 访问控制使用的证件发放与收回;
2)信息处理系统使用的媒介发放与收回;
3) 所有处理的保密信息;
4)业务应用软件和硬件的修改和维护;
5)系统软件的设计、实现、修改和维护;
6)重要程序和数据的增删改与销毁等。
(2) 有限任期原则
安全人员不应长期担任与安全有关的职务,以免产生占有或永久性保险职位观念,可以通过强制休假、培训或轮换岗位等方式进行调整。
(3) 职责分离原则
从事计算机网络系统的人员应当各司其职、各负其责、各有不同的业务权限,除了系统主管领导批准的特殊情况除外,不应询问或参与职责以外的任何与安全有关的事务。
以下内容中的两项具体工作应当分开,由不同人员完成:
1) 应用程序和系统程序的研发编制;
2) 实际业务系统的检查及验收;
3) 计算机及其网络信息的具体实际业务操作;
4) 计算机网络管理和系统维护工作;
5)各种机密资料的接收和传送;
6)具体的安全管理和系统管理;
7)系统访问证件的管理与其他工作;
8)计算机操作与信息处理系统使用存储介质的保管等。
计算机网络系统的安全管理部门应根据管理原则和系统处理数据的保密性,制定相应的管理制度,并采取相应的安全管理规范。具体工作包括:
1) 根据业务的重要程度,确定该系统的具体安全等级;
2) 根据安全等级,确定安全管理的具体范围;
3) 健全和完善“网络/信息中心”机房出入管理制度。
对于安全等级要求较高的系统,应实行分区管理与控制,限制工作人员出入与本职业务无直接关系的重要安全区域。
(4) 严格操作规程
根据规定的安全操作规程要求,严格坚持职责分离和多人负责的原则,所有业务人员都要求做到各司其职、各负其责,不能超越各自的管辖权限范围。特别是国家安全保密机构、银行证券等单位和财务机要部门等。
(5)系统安全监测和审计制度
建立健全系统安全监测和审计制度,确保系统安全,并能够及时发现、及时处理。有关具体防范技术和方法,将在第4章和第5章进行具体介绍。
(6)建立健全系统维护制度
系统维护人员在系统维护之前必须经过主管部门批准,并采取数据保护措施,如数据备份等。在进行系统维护时,必须有安全管理人员在场,对于故障的原因、维护内容和维护前后的情况应详细认真记录并进行签字。
(7)完善应急措施
主要制定并完善业务系统在出现意外的紧急情况下,能够尽快恢复的应急对策和措施,将损失减到最小程度。同时建立健全相关人员聘用和离职调离安全保密制度,对工作调动和离职人员要及时调整相应的授权。
(见:机械工业出版社《网络安全管理及实用技术》贾铁军主编)
“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端(瑞星卡卡用户)对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
(一)原理:
云计算(Cloud Computing)是分布式处理(Distributed Computing)、并行处理(Parallel Computing)和网格计算(Grid Computing)的发展,或者说是这些计算机科学概念的商业实现。
云计算的基本原理是,通过使计算分布在大量的分布式计算机上,而非本地计算机或远程服务器中,企业数据中心的运行将更与互联网相似。这使得企业能够将资源切换到需要的应用上,根据需求访问计算机和存储系统。
这可是一种革命性的举措,打个比方,这就好比是从古老的单台发电机模式转向了电厂集中供电的模式。它意味着计算能力也可以作为一种商品进行流通,就像煤气、水电一样,取用方便,费用低廉。最大的不同在于,它是通过互联网进行传输的。
云计算的蓝图已经呼之欲出:在未来,只需要一台笔记本或者一个手机,就可以通过网络服务来实现我们需要的一切,甚至包括超级计算这样的任务。从这个角度而言,最终用户才是云计算的真正拥有者。
云计算的应用包含这样的一种思想,把力量联合起来,给其中的每一个成员使用。
(二)“云”时代
目前,PC依然是我们日常工作生活中的核心工具——我们用PC处理文档、存储资料,通过电子邮件或U盘与他人分享信息。如果PC硬盘坏了,我们会因为资料丢失而束手无策。
而在“云计算”时代,“云”会替我们做存储和计算的工作。“云”就是计算机群,每一群包括了几十万台、甚至上百万台计算机。“云”的好处还在于,其中的计算机可以随时更新,保证“云”长生不老。Google就有好几个这样的“云”,其他IT巨头,如微软、雅虎、亚马逊(Amazon)也有或正在建设这样的“云”。
届时,我们只需要一台能上网的电脑,不需关心存储或计算发生在哪朵“云”上,但一旦有需要,我们可以在任何地点用任何设备,如电脑、手机等,快速地计算和找到这些资料。我们再也不用担心资料丢失。
(三)云计算的几大形式
1、SAAS(软件即服务)
这种类型的云计算通过浏览器把程序传给成千上万的用户。在用户眼中看来,这样会省去在服务器和软件授权上的开支;从供应商角度来看,这样只需要维持一个程序就够了,这样能够减少成本。Salesforce.com是迄今为止这类服务最为出名的公司。SAAS在人力资源管理程序和ERP中比较常用。 Google Apps和Zoho Office也是类似的服务
2、实用计算(Utility Computing)
这个主意很早就有了,但是知道最近才在Amazon.com、Sun、IBM和其它提供存储服务和虚拟服务器的公司中新生。这种云计算是为IT行业创造虚拟的数据中心使得其能够把内存、I/O设备、存储和计算能力集中起来成为一个虚拟的资源池来为整个网络提供服务。
3、网络服务同SAAS关系密切,网络服务提供者们能够提供API让开发者能够开发更多基于互联网的应用,而不是提供单机程序。
4、平台即服务另一种SAAS,这种形式的云计算把开发环境作为一种服务来提供。你可以使用中间商的设备来开发自己的程序并通过互联网和其服务器传到用户手中。
5、MSP(管理服务提供商)
最古老的云计算运用之一。这种应用更多的是面向IT行业而不是终端用户,常用于邮件病毒扫描、程序监控等等。
6、商业服务平台SAAS和MSP的混合应用,该类云计算为用户和提供商之间的互动提供了一个平台。比如用户个人开支管理系统,能够根据用户的设置来管理其开支并协调其订购的各种服务。
7、互联网整合将互联网上提供类似服务的公司整合起来,以便用户能够更方便的比较和选择自己的服务供应商。
信息安全的“木桶原理”是指整体安全水平由安全级别最低的部分所决定。
信息安全的建设是一个系统工程,它需求对信息系统的各个环节进行统一的综合考虑、规划和构架,并要时时兼顾组织内外不断发生的变化,任何环节上的安全缺陷都会对系统构成威胁。
由于信息安全是一个多层面、多因素的、综合的、动态的过程,如果组织凭着一时的需要,想当然去制定一些控制措施和引入某些技术产品,都难免存在挂一漏万、顾此失彼的问题,使得信息安全这只“木桶”出现若干“短木块”,从而无法提高安全水平。
正确的做法是遵循国内外相关信息安全标准与最佳实践过程,考虑到组织对信息安全的各个层面的实际需求,在风险分析的基础上引入恰当控制,建立合理安全管理体系,从而保证组织赖以生存的信息资产的安全性、完整性和可用性。
扩展资料
木桶原理
木桶定律是讲一只水桶能装多少水取决于它最短的那块木板。一只木桶想盛满水,必须每块木板都一样平齐且无破损,如果这只桶的木板中有一块不齐或者某块木板下面有破洞,这只桶就无法盛满水。
一只木桶能盛多少水,并不取决于最长的那块木板,而是取决于最短的那块木板。也可称为短板效应。任何一个组织,可能面临的一个共同问题,即构成组织的各个部分往往是优劣不齐的,而劣势部分往往决定整个组织的水平。