保护网络信息的安全策略
安全策略是为发布、管理和保护敏感的信息资源而制订的一组法律、法规和措施的总和,是对信息资源使用.管理规则的正式描述,是企业内所有成员都必须遵守的规则。
一个完整的安全体系和安全解决方案要根据网络体系结构和网络安全形势的具体情况来确定,没有“以不变应万变”的通用的安全解决方案。信息安全关心的是保护信息资产免受威胁,绝对安全是不可能的,只能通过一定的措施把风险降低到一个可接受的程度。对一个系统来说,解决信息安全的首要问题就是明白信息与网络系统目前与未来的风险所在,充分评估这些风险可能引发的威胁与影响的程度,做到“对症下药”,这就是信息与网络系统的风险分析与评估。
风险评估是网络安全防御中的一项重要技术,也是信息安全工程学的重要组成部分。其原理是对采用的安全策略和规章制度进行评审,发现不合理的地方,即采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,确定存在的安全隐患和风险级别。风险分析针对系统的体系结构、指导策略、人员状况以及各类设备,例如工作站、服务器、交换机、数据库应用等各种对象,根据检查结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。
在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快,与网络的运行相对独立、安装运行简单,可以大规模减少安全管理员的手I劳动,有利于保持全网安全政策的统和稳定,是进行风险分析的有力工具。安全扫描技术基本上也可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上的风险与漏洞,而后者则是通过网络远程探测其他主机的安全风险与漏洞。
一、目标和原则
风险分析是有效保证信息安全的前提条件。只有准确地了解系统的安全需求、安全漏洞及其可能的危害,才能制定正确的安全策略。另外,风险分析也是制定安全管理措施的依据之-一。 风险分析与评估是通过一系列管理和技术手段来检测当前运行的信息系统所处的安全级别、安全问题、安全漏洞,以及当前安全策略和实际安全级别的差别,评估运行系统的风险,根据审计报告制定适合具体情况的安全寂略及其管理和实施规范,为安全体系的设计提供参考。
风险分析的目标是:了解网络的系统结构和管理水平,以及可能存在的安全隐患;了解网络所提供的服务和可能存在的安全问题,了解各应用系统与网络层的接口及其相应的安全问题;对网络攻击和电子欺骗进行检测.模拟和预防;分析信息网络系统对网络的安全需求,找出目前的安全策略和实际需求的差距,为保护信息网络系统的安全提供科学依据。
由于风险分析与评估的内容涉及很多方面,因此进行分析时要本着多层面、多角度的原则,从理论到实际,从软件到硬件,从物件到人员,要事先制定详细的分析计划和分析步骤,避免遗漏。另外,为了保证风险分析结果的可靠性和科学性,风险分析还要参考有关的信息安全标准和规定,如《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国计算机信息网络国际联网管理暂行规定》《计算机信息网络国际联网安全保护管理办法》《计算机信息系统安全专用产品检测和销售许可证管理办法》《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》《商用密码管理条例》等,做到有据可查。
二、对象和范围
风险分析的内容与范围应该涵盖信息网络系统的整个体系,包括网络安全组织、制度和人员情况,网络安全技术方法的使用情况,防火墙布控和外联业务安全状况,动态安全管理状况,链路、数据和应用加密情况,网络系统访问控制状况等。在网络系统的安全工作中,人是关键要素,无论网络系统的安全服务、安全机制和安全过程多么自动化和现代化,都需要人去启动、运行和管理。如果管理水平低下,人员素质不高,那么网络系统的安全性能就会减弱,漏洞就会增加。
具体来讲,风险分析的内容范围有以下几个方面。
1、网络基本情况分析:包括网络规模、网络结构、网络产品、网络出口、网络拓扑结构。
2、信息系统基本安全状况调查:系统是否遭到过黑客的攻击,是否造成了损失;系统内是否存在违规操作的行为,具体有哪些行为;系统内成员的安全意识如何,技术人员是否进行过安全技术培训,对一般职员是否进行过安全意识的教育工作,采用了什么样的形式,效果如何。
3、信息系统安全组织、政策情况分析:是否有常设的安全领导小组,其人员构成和职责是什么;现有的网络安全管理的相关制度有哪些;安全管理人员的编制、职能和责任落实情况怎样。
4、网络安全技术措施使用情况分析:网络资源(人员、数据、媒体、设备、设施和通信线路)是否进行了密级划分;对不同密级的资源是否采取了不同的安全保护措施,采取了哪些具体的措施;目前采取了哪些网络安全技术措施;哪些措施不能满足网络安全的需求;哪些安全措施没有充分发挥作用:网络防病毒体系的完整性和有效性如何。
POS机办理中心全网最靠谱的选择,专业一清机办理,带给你最安全的支付体验保护信息系统安全的需求分析
安全需求是一个企业为保护其信息系统的安全对必须要做的工作的全面描述,是一个详细、全面、系统的工作规划,是需要经过仔细的研究和分析才能得出的一份技术成果。
5、防火墙布控及外联业务安全状况分析:目前防火墙的布控方式是否合理,发挥的作用如何;信息系统对外提供的服务有哪些;以何种形式对外连接,是否采取了安全防护措施及采取了什么样的安全措施。
6、动态安全管理状况分析:是否使用过网络扫描软件对网络主机和关键设备进行安全性分析和风险评估;操作系统和关键网络设备的软件补丁是否及时安装,目前是否使用入侵检测系统对网络系统进行数据流监控和行为分析;是否对系统日志进行周期性审计和分析。
7、链路、数据及应用加密情况分析:系统中关键的应用是否采取了应用加密措施;网络综合布线是否符合安全标准;对关键线路是否有备份,启用频度如何;在广域网线路方面是否采取了链路层或网络层加密措施,应用系统对其有无加密需求。
8、网络系统访问控制状况分析:系统用户通过何种方法手段进行控制;关键服务器和设备的用户是否得到严格的控制和管理;在访问控制方面除了简单的user用户和password口令认证外,有无采取其他的访问控制措施;主要服务器和关键设备的管理员的权限是否得到了分离;是否有内部拨号服务;访问控制措施是否得当;对网络资源的访问,是否有完整的日志和审计功能。
9、白盒测试:分析系统的抗攻击能力,测试系统能否经得住常见的拒绝服务攻击、渗透入侵攻击;是否有缓冲区漏洞缺陷;对各种攻击的反应如何。
三、方法与手段
网络安全是-一种特殊的质量体系,这种安全是动态的,即使在网络建设时达到了预定的安全性能,但随着网络设备的升级、网络服务的增加以及应用系统的更新,对网络安全的威胁也会不断增加。只有对网络系统进行长期的精心维护和科学管理,才可能保持网络系统的安全系数。为了掌握网络信息系统的安全状况,检查发现系统中的安全隐患,需要从制度、管理和技术三个角度对网络系统进行综合性分析评估。在分析过程中,要时刻把握多角度、多层次的原则,首先要根据相关政策法规,查找被分析对象在管理上的疏忽和漏洞,如备份与恢复方案、紧急响应机制等;再从技术层面评测网络系统的安全性,如通信加密、用户访问控制、安全认证体系、攻击监控等。
风险分析可以使用以下方式实现:问卷调查、访谈、文档审查、黑盒测试、操作系统的漏洞检查和分析、网络服务的安全漏洞和隐患的检查和分析、抗攻击测试、综合审计报告等。
风险分析的过程可以分为以下四步。
1、确定要保护的资产及价值。如果不知道要保护什么内容,或者不知道要保护内容的情况,那就谈不上安全了。明确要保护的资产、资产的位置以及资产的重要性是安全风险分析的关键。
2、分析信息资产之间的相互依赖性。由于某项资产的损失可能会导致其他资产的失效,因此,在确定资产的时候还要考虑资产之间的关联性。
3、确定存在的风险和威胁。确定了要保护的资产后,就应该分析对资产的潜在威胁以及受此威胁的可能性。威胁可以是任何可能对资产造成损失的个人、对象或事件,威胁也可能是故意的或偶然的。明确存在哪些弱点漏洞及这些弱点漏洞的风险级别,分析资产所面临的威胁、发生的可能性以及一旦出现安全问题,可能造成什么样的影响等。
4、分析可能的入侵者。即分析其存在的数量,进行攻击的可能性,进行攻击时威胁有多大等。
四、结果与结论
为了便于对风险分析的结果进行评审,结果能够量化的尽可能地量化,不能量化的做出形式化描述。如果某个设备的价格、存在的漏洞缺陷的数量等是可以量化的,就必须给出量化后的结果;如果某-系统应用的安全级别不好量化,就应根据相关的评估标准来确定它的安全级别(如A级、B级或C级),这样得出的分析结果就是大量的表格数据,这些数据就是以后各项工作的依据,应妥善地保存。
如何根据分析的数据结果得出最终的评估结论也是一项重要的工作,需要安全专家进行总结。对结果进行分析时一定要有所比较,要将所得到的结果与以前的结果进行比较,或要与其他信息系统的评估结果进行比较,还要与有关的标准进行比较。严格的比较有助于为信息系统的安全性定级,因此,参照物的选择很关键。在比较之后,通过总体的权衡,给出整个系统安全性的概述说明,并将结论与测试结果上报主管部广]或人员。
本文由POS机办理中心整理,未经许可不允许任何形式的转载,本文唯一地址:https://www.cdkft.cn/xinwenzixun/5401.html,其他地址不完整的均为抄袭!POS机申请办理请添加客服微信号:shandianpos金融信息的安全管理策略
金融信息安全的组织管理策略包括信息安全的规章制度策略和信息安全的运行管理策略。
