|
信息系统的安全体系
一、信息安全
广义的信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法辩识、控制。即确保信息的保密性、可用性、完整性、可控性。信息安全包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别等七个方面。
信息安全的定义随着应用环境的改变也有不同的诠释。在用户来看,个人隐私和机密数据的传输受到机密性、完整性和安全性的保护,避免他人窃取资料是他们的安全要求。而对安全保密部门来说,过滤非法、有害或涉及国家机密的信息,成为其安全的重点。
网络安全和其保护的信息对象有关。本质是在信息的安全期内保证其在网络上流动或静态存放时不被非授权用户非法访问,但允许授权用户访问。显然,网络安全,信息安全和系统安全的研究领域是相互交错和联系的。
安全的基本特征:
保密性:信息不泄露给非授权访问的用户、实体,或被非法利用。保密性实质上就是信息只给合法授权用户使用,而限制其他人访问。保密性按性质又可以分为传输保密性和存储保密性。前者是对传输中的数据信息的保密,解决方法一般是加密传输;后者是指在存储数据时的数据保密,通常通过访问控制来实现。在这一过程中,我们一般会将数据信息分成若干类,如普通数据、私有数据、机密数据等,再根据不同的数据类型制定不同的访问控制。?
完整性:完整性指数据未经授权不能被改变的特性。通俗的说,就是保证计算机信息数据不会受外界事件的干扰而被改变或丢失。数据完整性的破坏有很多因素,具体的可以包括蓄意破坏、无意破坏、软/硬件失效、自然灾害等。无论是哪种形式的破坏,最好的应对方法就是数据备份。
可用性:可授权访问实体的特性。即当需要时能否正常存取和访问信息。各种对网络的破坏,身份否认,拒绝以及延迟使用都破坏了信息的可用性。
可控性:指对信息的传播和内容具有可以控制的能力。
二、信息系统安全体系
信息系统(如ERP、CRM等)安全主要包括实体安全、信息安全、运行安全和人员安全等几个部分。其中人员安全主要包括计算机使用人员的安全意识、法律意识、安全技能等。
1) 实体安全
在计算机信息系统中,计算机及相关设备、设施(含网络)统称为计算机信息系统的“实体”。实体安全是指保护计算机设备、设施以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁辐射等)破坏的措施、过程。实体安全又分为环境安全、设备安全和媒体安全三个方面。对计算机信息系统实体的破坏,不仅可以造成巨大的经济损失,也会导致系统中的机密信息数据丢失和破坏。
2) 运行安全
运行安全包括系统风险管理、审计跟踪、备份与恢复、应急等四个方面的内容。运行安全是计算机信息系统安全的重要环节,其实质是保证系统的正常运行,不因偶然的或恶意的原因而遭到破坏,使系统可靠连续的运行,服务不受中断。
3) 信息安全
信息安全指防止系统中的信息被故意或偶然的非法授权访问、更改、破坏或使信息被非法系统识别、控制等。就是确保信息的保密性、完整性、可用性、可控性。针对信息存在的形式和特点,可分为操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别等七个方面。
最后更新时间:2008-8-20 12:59:51 来源:amteam
|
打印
到顶部