我国信息化安全建设任务非常艰巨, 主要包括各种业务的社会公网、行业专网、互联网等信息基础设施运营、管理和服务的安全自主保障、安全监管、安全应急和打击信息犯罪为核心的威慑体系的建设, 其内容包括网络系统安全建设、领域和企业的业务信息化安全建设、网络内容与行为的安全建设和用户关注的网络安全建设等方面。这些安全建设对于不同的领域和领导层面关注的内容、对象和程度各不相同。网络信息安全是一个完整的、系统的概念。它既是一个理论问题, 同时又是一个工程实践问题。由于互联网的开发性、复杂性和多样性, 使得网络安全系统需要有一个完整的、严谨的体系结构来保证网络中信息的安全。
信息的定义, 从广义上讲, 信息是任何一个事物的运动状态以及运动状态形式的变化, 它是一种客观存在。狭义的信息的含义是指信息接受主体所感觉到并能理解的东西。ISO 13335《信息技术安全管理指南》定义:信息是通过在数据上施加某此约定而赋予这此数据的特殊含义。信息是无形的, 借助于信息媒体以多种形式存在和传播, 同时。信息也是一种重要资产, 具有价值, 需要保护。信息安全的目标是信息资产被泄露意味着保密性受到影响, 被更改意味着完整性受到影响, 被破坏意味着可用性受到影响。而保密性、完整性和可用性三个基本属性是信息安全的最终目标。信息安全的保护对象包括了计算机硬件、软件和数据。就本质而言, 信息安全所针对的均是“信息”这种资源的“安全”, 对信息安全的理解应从信息化背景出发, 最终落实在信息的安全属性上。
能否有效地保护信息资源, 保护信息化进程健康、有序、可持续发展, 直接关乎国家安危, 关乎民族兴亡, 是国家、民族的头等大事。没有信息安全, 就没有真正意义上的政治安全, 就没有稳固的经济安全和军事安全, 更没有完整意义上的国家安全。信息安全是信息技术发展过程之中提出的课题, 在信息化的大背景下被推上了历史舞台。信息安全不是最终目的, 它只是服务于信息化的一种手段, 其针对的是信息化这种战略资源的安全, 其主旨在于为信息化保驾护航。
信息安全的概念与信息的本质属性有着必然的联系, 它是信息的本质属性所体现的安全意义。说安全属性研究首先要从安全定义讲起, 安全定义分很多的层次, 为什么分层次, 我们随着它的演变来看的, 信息安全最初目标, 叫数据安全, 它关心的是数据自身, 所以是一个狭义的数据安全, 是保护信息自身的安全。
在传统信息环境中, 普通人通过邮政系统发信件时, 为了个人隐私要装上信封。可是到了信息化时代, 信息在网上传播时, 如果没有这个“信封”, 那么所有的信息都是“明信片”, 不再有秘密可言, 这便是信息安全中的保密性需求。保密性是指信息不被泄露给非授权的用户、实体或进程, 或被其利用的特性。保密性不但包括信息内容的保密, 还包括信息状态的保密。
完整性是指信息未经授权不能进行更改的特性。即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性与机密性不同, 机密性要求信息不被泄露给未授权的人, 而完整性则要求信息不致受到各种原因的破坏。
易用性是信息可被授权实体访问并按需求使用的特性。在授权用户或实体需要信息服务时, 信息服务应该可以使用, 或者是信息系统部分受损或需要降级使用时, 仍能为授权用户提供有效服务。易用性一般用系统正常使用时间和整个工作时间之比来度量。
在面向网络信息的安全系统中, 安全管理是应得到高度重视的。这是因为, 据相关部门统计, 在所有的计算机安全事件中, 约有52%是人为因素造成的, 25%是由火灾、水灾等自然灾害引起的, 技术错误占10%, 组织内部人员作案占10%, 仅有3%左右是由外部不法人员攻击造成的。简单归类, 属于管理方面的原因比重高达70%以上, 这正应了人们常说的“三分技术, 七分管理”的笺言。因此, 解决网络与信息安全问题, 不仅应从技术方面着手, 更应加强网络住所的管理工作。
好的网络信息化安全管理体现在以下几个方面:在组织内部建立全面的信息安全管理体系, 强调信息安全是一个管理过程, 而非技术过程;强调信息保密性、完整性、易用性三者在关键流程中运用的平衡;把信息提高到组织资产的高度, 强调对组织信息资产进行价值及影响评估, 对信息资产的脆弱性及其面临的威胁进行分析, 运用风险评估、风险管理手段管理信息安全, 使组织风险降低到可接受的水平;从法律和最好的实践经验角度, 实施全面的控制措施, 使组织信息安全威胁的方方面面置于严密控制之下;强调领导在信息安全管理中的作用;强调信息安全方针在管理体系中的作用;强调对信息技术及工具的实时和有效管理;强调组织运作的连续性及业务连续性的管理;强调信息安全管理水平的不断提高及对流程的策划、实施、检查和改进的过程;信息安全应该是一个以“价值”为基础的过程, 即信息安全管理应是一个有附加价值, 并讲究投入产出比的过程。
信息安全产业有其鲜明的特点, 虽然产生于信息化和信息系统, 依然与通常的IT服务有许多区别。信息化安全的基本特征是服务性的。这种服务性与一般软件的服务性是不同的。一般应用系统或产品的服务主要是维护和培训, 通常服务是非对策性的、非动态的和比较固定的。信息化安全服务是对策性的、动态性的、不断产生新内容的和似乎永远不能成熟等特性。信息化安全服务范畴几乎包括了整个信息化所包括的所有产品和系统, 其服务的综合性和复杂性是显而易见的。信息化安全服务是最高技术的服务, 无论从设计角度和使用的角度都要求深入、熟练和非常专业。我们可以骄傲地说, 信息化安全服务是世界上最伟大的服务业, 也是最困难的服务业。信息化安全服务的复杂性、高成本特性要求信息化安全企业必须在安全服务的远程化和代理化的推进方面做出不懈努力, 不断降低服务成本。
网络信息安全不仅仅是一个纯技术层面的问题, 单靠技术因素不足以保证网络中信息的安全。网络信息安全还涉及到法律、管理、标准等多方面的问题。因此, 信息安全是一个相当复杂的问题, 只有协调好这些体系之间的关系, 才能有效保证系统的安全。
摘要:随着网络和信息技术的发展, 信息安全建设已经成为信息化建设的重要组成部分。网络信息安全问题已经上升为一个关系到国家前途的战略高度的问题, 必须引起我们足够的重视。信息安全这门处于蓬勃发展中的科学, 将会越来越密切地关系到社会的各行各业。
关键词:信息安全,安全属性,安全建设
[1] 王宝会, 王大印.计算机信息安全教程[M].电子工业出版社, 2006, 1.
[2] 陈斌.计算机网络安全与防御[J].信息技术与网络服务, 2006 (4) .
推荐阅读:
浅析网络时代信息传播06-26
市县国土资源管理网络化浅析05-24
浅析智能光网络技术及发展06-10
浅析高校校园网信息安全的现状与防范06-01
企业档案信息资源管理问题浅析05-31
浅析现代财务预算体系06-15
网络与信息安全技术小结06-06
校园网络建设管理制度05-26
地税局税收信息化网络安全管理考核办法05-31
浅析如何加强作风建设06-28
