IT法规与信息安全.docVIP

IT法规与信息化安全 信息化安全及其威胁 信息化安全的含义 信息安全的概念 信息安全是指信息的保密性、完整性和可用性的保持。网络安全主要从通信网络层面考虑，它指的是使信息的传输和网络的运行能够得到安全的保障，内部和外部的非法攻击得到有效的防范和遏制。 信息化安全，它集合了信息安全和网络安全的全部内涵，涉及到的是信息化过程中被保护信息系统的整体的安全，是信息系统体系性安全的总和。 对信息化安全需求的罗列： 从网络信息提供商和享受服务者（角色有个人、企业、政府等）的角度来说，他们希望涉及个人隐私和集团利益、商业利益甚至国家利益的信息在网络上传输时受到保密性、完整性和真实性的保护。 从网络运行和管理者的角度来说，他们希望对本地网络信息的访问、读写等操作受到保护和控制。 对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵。 从社会教育和意识形态角度来说，网络上不文明、不道德的行为，必须对其进行控制。要采取相应的措施加以防范和治理。 信息化安全概括地讲，根据保护目标的要求和环境的状况，信息网络和信息系统的硬件、软件及其数据需要受到可靠的保护，通信、交易、作业、访问得到有效保障和合理的控制，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不被中断。信息化安全的保障涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，涉及到安全体系的建设，涉及到安全风险评估、控制、管理、策略制定、制度落实、监督审计、持续改进等方面的工作。 信息化安全的特殊性 信息化安全有其特殊性： 首先，它是不能完全达到但又需要不断追求的状态，所谓的安全是相当比较而言的。 其次、信息化安全是一个过程，是前进的方向，不是静止不变的。 第三、在信息化安全中，人始终是一个重要的角色，人的动机、素质、品德、责任、心情等因素，在管理、操作、攻击等方面的不同表现，可能造成信息化安全的问题。 第四、信息化安全是一个不断对付攻击的循环过程，攻击和防御是循环中交替的矛盾性角色。 第五、信息化安全是需要定期进行风险评估的、风险的存在和规避风险都是不断变化的。 信息化安全涉及技术方面的问题，更重要的是管理方面的问题。 信息化安全涉及的内容 信息化安全涉及的内容包括： 系统运行的安全：它主要侧重于保证信息处理和通信传输系统的安全。 访问权限控制和系统信息资源保护：指对网络中的各种软硬件资源（主机、硬盘、文件、数据库、子网等）进行访问控制，防止未授权的用户进行非法访问。 信息内容的安全：它侧重于保护信息的保密性、真实性和完整性。 作业和交易的安全：是指网络中的两个实体之间的信息交流不被非法窃取、篡改和冒充，保证信息在通信过程中的真实性、完整性、保密性和不可否认性。作业和交易安全的技术包括数据加密、身份认证、数字签名等，其核心是加密技术。 人员安全和安全的规章制度的保障。 安全体系整体的防范和应急反应能力，对出现的灾难、意外的破坏能够及时地恢复。 我国信息化安全存在的突出问题 我国的信息化安全存在的共性的突出问题： 信息化安全的法律法规不健全。 信息化安全管理问题突出。信息化安全管理包括三个层次的内容：组织建设、制度建设和人员意识。 国家信息安全基础产业和基础设施建设问题。 缺乏信息化安全意识与对策。这表现为缺乏完整的信息安全管理制度，缺乏对员工进行必要的安全法律法规和安全风险防范教育和培训，现有的安全规章制度组织机构未必能严格发挥作用。 重安全技术、轻安全管理。信息化安全大约70%以上的问题是由于管理方面的原因造成的。 缺乏系统管理的思想。 信息化安全中的“5710失误” 5710失误： 终端用户安全的5大失误： 打开来历不明的电子邮件附件。 忘记及时安装操作系统和应用软件的安全补丁程序。 下载来历不明的程序，如屏幕保护程序、游戏等。 没有生产备份或测试备份。 与本地局域网连接时，与外网也保持着联系。 单位用户使信息安全出现漏洞的7大失误 没有对维护安全的工作人员进行公司内部培训。 只重视物理安全，忽略信息安全和网络安全。 只临时性解决一些问题，而没有采取必要的措施保证这些问题确实已经得到控制和解决。 把安全寄托和依靠在防火墙上。 没有对需要保护的资源进行评估，如保护对象的知识产权、商业品牌、声誉的价值。 只批准解决燃眉之急的问题，以至于同样的问题反复出现。 对安全问题视而不见，侥幸过关。 IT技术人员的10大失误。 在没有稳固防护的前提下，将系统直接连到互联网。 用缺省的登录方式（用户名、口令）直接将测试系统连到互联网。 不定期扫描漏洞，在发现系统漏洞后不及时修补和更新。 在管理系统、路由器、防火墙以及PKI时、没有采用加密的协议。 在还没有确认对方身份的情况下，通过电话、网络明文传输用户口令，或直接改变口令。 不维护