返回
信息安全需求分析

信息安全需求分析

ID:42342791

大小:872.50 KB

页数:42页

时间:2019-09-13

信息安全需求分析_第1页
信息安全需求分析_第2页
信息安全需求分析_第3页
信息安全需求分析_第4页
信息安全需求分析_第5页
资源描述:

《信息安全需求分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息系统安全分析概述绿盟科技于慧龙yuhuilong@nsfocus.com010-68438880-8108提纲信息安全的涵义和事实当前安全现状分析信息系统的安全风险信息安全的涵义和事实信息系统的广泛应用社会发展的必然业务的发展和扩张网络信息的共享Internet上网生产、销售、管理、办公自动化可信网络系统的基本要求业务、应用功能的实现安全、可靠、稳定信息安全三要素员工和客户访问资源可用性客户和业务信息的保护机密性客户和业务信息的可信赖性完整性Confidentiality:阻止未经授权的用户读取数据Integrity:阻止未经

2、授权的用户修改或删除数据Availability:保证授权实体在需要时可以正常地使用系统信息安全的基本特征相对性只有相对的安全,没有绝对的安全系统时效性新的漏洞与攻击方法不断发现(NT4.0已从SP1发展到SP6)配置相关性日常管理中的不同配置会引入新的问题(安全测评只证明特定环境与特定配置下的安全)新的系统组件会引入新的问题信息安全的基本特征攻击的不确定性攻击发起的时间、攻击者、攻击目标和攻击发起的地点都具有不确定性复杂性信息安全是一项系统工程,需要技术的和非技术的手段,涉及到安全管理、教育、培训、立法、国际合作与互不侵犯协定、

3、应急恢复等信息安全风险管理风险RISKRISKRISKRISK风险风险的构成风险的降低资产威胁漏洞资产威胁漏洞风险永远存在总是存在有价值的资产威胁不会消失国家间,对手间的竞争永远不会消失间谍、恶意攻击者、内部破坏者永远不会消失新的威胁不断出现脆弱性客观存在不可避免的因素没有避免的因素技术发展和环境变化信息安全管理由于许多信息系统并非在设计时就考虑了安全,依靠技术手段实现安全很有限,则应该由适当的管理来支持。信息安全管理是通过保证维护信息的机密性、完整性和可用性来管理和保护组织的所有信息资产的一项体制。保护和管理的对象人内部员工、外

4、部客户、服务供应商、产品供应商等。物网络设备、系统主机、工作站、PC机等;业务系统、应用系统等;商业涉密数据、个人隐私数据、文档数据等。信息安全的事实安全是一个广泛的主题,它涉及到许多不同的区域(物理设备、网络、系统平台、应用程序等),每个区域都有其相关的风险、威胁及解决方法。对于连网的企业组织来说风险与威胁是没有终止的。信息安全是一个动态发展的过程,不仅仅是纯粹的技术,仅仅依赖于安全产品的堆积来应对迅速发展变化的各种攻击手段是不能持续有效的。信息安全建设是一项复杂的系统工程,要从观念上进行转变,规划、管理、技术等多种因素相结合使

5、之成为一个可持续的动态发展的过程。信息安全的事实绝对的信息安全是不存在的,每个网络环境都有一定程度的漏洞和风险。这种程度是可以接受的。信息安全问题的解决只能通过一系列的规划和措施,把风险降低到可被接受的程度,同时采取适当的机制使风险保持在此程度之内。当信息系统发生变化时应当重新规划和实施来适应新的安全需求。信息系统的安全往往取决于系统中最薄弱的环节-人。人是信息安全中最关键的因素,同时也应该清醒的认识到人也是信息安全中最薄弱的环节。当前安全现状分析安全现状随着金融电子化和网络化的巨大发展,传统的封闭性的业务网络将逐渐与公开网络相融

6、合或连接,在这种情况下,如何保障业务网络的安全性成为信息安全的重要问题。计算机产业的发展,网络知识的普及特别是Internet的广泛应用,为计算机网络和金融犯罪创造了更先进的技术条件,因此原有的安全设计已不能完全满足现有的安全需求,信息安全的风险增高了。安全现状针对互联网的应用目前还缺乏有效的安全措施和手段,影响了信息系统通过互联网对外提供服务的范围和种类。只重视单一或几个安全产品的部署,而忽视整体安全系统建设;部分企业信息系统的安全防范只能防范外部的非法入侵者,不能监控内部的破坏者;只能消极地发现黑客攻击的后果,而不能主动、智能

7、地对黑客进行反攻击;只能采用分散的、不可集中管理的安全产品,而不能采用全面的、集中的安全管理平台。安全现状管理部门众多,没有统一的标准,人才不够等情况也是整个信息安全产业健康发展的制约因素。建立完善的信息安全体系,既要有适应社会信息化安全管理的配套政策、法律、法规和技术标准,又要有先进实用的技术手段,还要有大量的专门人才。安全现状兼职的安全管理员物理安全保护基本的安全产品简单的系统升级机房安全管理制度资产管理制度……安全现状空口令、简单口令、默认口令设置、长期不更换;点击进入危险的网站或链接;接收查看危险的电子邮件附件;系统默认安

8、装,从不进行补丁升级;拨号上网,给个人以及整个公司建立了后门;启动了众多的不用的服务;个人重要数据没有备份;……安全现状总结(1)没有有效、独立的安全管理组织,安全管理人员不足,岗位权责不明确,不能有效实施和执行某些安全措施。部分公司的信息技术部门

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。