福建厦门福州泉州ISO27001信息安全管理体系认证注意三个方面因素
计算机系统安全工作的目的就是为了在法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,维护计算机信息安全。我们应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。计算机安全主要涉及:计算机安全、信息安全和网络安全三个方面因素。
1.计算机安全
计算机安全包括实体安全(硬件安全)、软件安全、数实体安全指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施、过程。特别是避免由于电磁泄漏产生信息泄露,从而干扰他人或受他人干扰。保证计算机系统硬件安全、可靠地运行。确保它们在对信息的采集、处理、传送和存储过程中,不会受到人为或者其他因素造成的危害。实体安全包括环境安全,设备安全和媒体安全三个方面。
数据安全主要是保护数据的完整性、可靠性、保密性,防止被非法修改、删除、使用和窃取。
运行安全指对运行中的计算机系统的实体和数据进行保护。保护范围包括计算机的软件系统和硬件系统。为保障系统功能的安全实现,提供一套安全措施(如风险分析,审计跟踪,备份与恢复,应急等)来保护信息处理过程的安全。它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。运行安全包括风险分析,审计跟踪,备份与恢复,应急四个方面。
软件安全首先是指使用的软件(包括操作系统和应用软件)本身是正确、可靠的。即不但要确保它们在正常的情况下,运行结果是正确的,而且也不会因某些偶然的失误或特殊的条件而得到错误的结果。软件安全还指对软件的保护,即软件应当具有防御非法使用、非法修改和非法复制的能力(例如,操作系统本身的用户账号、口令、文件、目录存取权限的安全措施)。
2.信息安全
防止信息资源被故意地或偶然地非授权泄露、更改、破坏或使信息被非法阅读。即确保信息的完整性、保密性、可用性和可控性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。
3.网络安全
网络安全是指通过采取各种技术的和管理的安全措施,确保网络数据的可用性、完整性和保密性,其目的是确保经过网络厂商和交换的数据不会发生增加、修改、丢失和泄漏等。网络安全性涉及的因素很多,主要可以分为如下图几种。物理因素主要是指自然灾害、人为破坏、设备自然损坏等原因造成了网络的中断、系统的破坏、数据的丢失等安全上的威胁。
管理因素主要是因为管理人员对信息系统管理不当带来的安全问题。
应用因素指在信息系统使用中,不正确的操作或人为破坏所带来的安全问题。
系统因素主要指计算机软件程序的复杂性、编程的多样性,以及程序本身安全的局限性,使得信息系统软件中存在着漏洞。
网络因素主要指网络自身存在安全缺陷,如网络协议和服务机制存在问题,Internet本身是一个开放的、无控制机构的网络,黑客经常会侵入网络中的计算机系统。
4.安全评估标准
对计算机系统安全的评估,目前常用的是计算机安全中心发布的《橘皮书》,即"可信计算机系统评估标准"(Trusted Computer System Evaluation Criteria,简称TCSEC)。其评估标准主要是基于系统安全策略的制定、系统使用状态的可审计性及对安全策略的准确解释和实施的可靠性等方面的要求。
在标准中,系统安全程度被分为A、B、C、D四类,每类又分为若干等级,共8个等级,它们从低到高分别是D、C1、C2、B1、B2、B3、A1、A2,其中以D级系统为最低保护等级,C1、C2为自主保护等级,B1、B2、B3为强制保护等级,A1、A2验证保护等级。