版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/fullbug/article/details/78764137
一、什么是网络信息安全
诞生于20世纪六七十年代计算机互联网通讯技术,发展至今,自下而上架构了以基础“物理层”、数字“代码层”、信息“内容层”三个基本层面构成的闭合系统,塑造了世界范围内各行为体密切链接的网络空间。这一空间打通了“虚拟”与现实的联系。使信息流动加快,文化交往更加频繁,其发展状态与人类社会未来和文明走向息息相关。随着科技的迅猛发展,网络突破时间和空间,模糊了国家领土边界,对国家主权安全构成了挑战。
网络信息安全它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络与信息安全相关工作在整体上可以划分为四个层次:物理安全、运行安全、数据安全、内容安全
物理安全,主要包括环境安全、设备安全、媒体安全等方面。
运行安全,主要是指信息系统运转必要的安全措施包括备份与恢复、病毒的检测与消除、电磁兼容等。
数据安全,主要指数据的机密性、完整性。
内容安全,包括信息内容合法性、信息传播安全、信息内容分类、开放应用和保护等。
主要特征包括:
1、完整性
指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。
2、保密性
指信息按给定要求不泄漏给非授权的个人、实体或过程,或提供其利用的特性,即杜绝有用信息泄漏给非授权个人或实体,强调有用信息只被授权对象使用的特征。
3、可用性
指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。
4、不可以否认性
指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供的信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
5、可控性
指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外,最典型的如密码的托管政策,当加密算法交由第三方管理时,必须严格按规定可控执行。
二、当前的安全形势
新技术的发展使信息更加透明、公开、畅通,提高了社会效率,但给国家和企业也带来了严峻的信息安全挑战,使国家、企业信息面临安全威胁、个人面临隐私泄露危险。
信息更加透明
云计算、通信技术的智能化整合大量碎片信息,使更加透明清晰地信息呈现在后台操作系统中
信息更加公开
物联网使人与人,人与物相连,释放大量动态、非动态信息
新技术的操作系统掌握在国外,对其的运用导致国家、企业的重要信息对外公开。
信息更加畅通
新技术的互联化、智能化,让每个人都能轻松下载、转载整合的信息。
信息更加详细
整合、计算后的信息比未运用新技术之前更详细、清晰,更加详细的信息泄露给竞争对手,将带来难以估量的损失。
物联网的广泛应用带来了相应的安全问题
如:因为物联网部署的可扩展性、移动 性和复杂性,使得对物品的访问控制很难有效地进行。感知层采用无线通信,给攻击者带来了更多的机会。可穿带设备大量应用给用户隐私保护带来极大的困难。
云计算云服务等安全问题
虚拟运算平台的安全漏洞不断涌现,直接威胁云安全根基
云环境中用户数据安全与隐私保护难以实现
用户所享用的云服务间接涉及到多个服务提供商, 多层转包无疑极大地提高 了问题的复杂性,进一步增加了安全风险
大数据安全问题
大数据从概念走向实践,引发个人隐私安全问题。庞大海量的大数据涉及的方面之广,大数据也将为网络恐怖主义提供新的资源支持。大数据时代国家安全将受到信息战与网络恐怖主义的威胁。
三、安全技术发展趋势
资产、威胁、措施构成影响安全技术走向的三大要素
资产是安全技术保护的主体
资产包括以下两类:
基础ICT资产:软件、服务器、域名、Web系统、ERP管理系统、工业控制系统等
新ICT技术形态:云计算、虚拟化、大数据、工业互联网、物联网、社会网络、移动互联网等
威胁是安全技术对抗的对象
外部安全威胁:由攻击行为诱发,包括恶意代码、APT攻击、DDoS、数据泄露等
内生脆弱性:有底层设计缺陷引发的协议、软硬件、架构的已知或未知漏洞
措施使安全技术应用的具象化
从业务应用的角度:通过隔离、过滤、检测等附加的安全防御手段对抗攻击行为
从网络本身的角度:加强底层系统设计安全性,提高信息系统安全水平
安全技术随内外因不断发展变化,但其发展过程中,有些技术贯穿始终、一直存在(如访问控制、密码),有些从无到有、逐渐出现(如web防护、数据脱敏),有些从有到无、逐步退热(如安全域、隔离)
紧跟安全威胁的演变发展,安全措施的部署方式经历了对单点布防、物理隔离、协同防御、纵深防御等不同部署模式的探索,并逐渐向着动态防御的方向发展。
四、安全体系建设
面对日益严峻的网络与信息安全形势如何构建企业的安全体系呢?
1、确定信息安全管理总体原则
根据“谁主管谁负责,谁使用谁负责”的原则,建立信息安全分级责任制,各层级落实信息系统安全责任
2、明确信息安全管理策略
信息网络与信息系统必须在建设过程中进行安全风险评估,并根据评估结果制定安全策略;
对已投入运行且已建立安全体系的系统定期进行漏洞扫描,以便及时发现系统的安全漏洞;
对安全体系的各种日志(如入侵检测日志等)审计结果进行研究,以便及时发现系统的安全漏洞;
定期分析信息系统的安全风险及漏洞、分析当前黑客非常入侵的特点,及时调整安全策略;
制定安全资产、物理环境、访问控制、操作、备份、系统获取及维护、业务连续性等方面的安全策略,并实施。
每年应组织对信息安全策略的适应性、充分性和有效性进行评审,必要时组织修订;当公司的组织架构、生产经营模式等发生重大变化时也应进行评审和修订。
3、制定信息安全管理制度
针对信息系统的保密性、完整性、可用性带来的威胁,结合公司实际,制定信息安全管理制度。
制定信息安全考核办法,落实考核要求。
4、规范信息安全管理流程
明确各部门安全管理范围,将信息安全职责落实到部门和人员并加强督促检查和考核通报。
加强事前防范、强化事中监测和事后处理、健全管控支撑手段。
制定公司网络与信息安全应急预案,提升安全事件应急处理能力。
建立有效的跨部门、跨单位的沟通、协同机制。