当前位置: > pos机办理 >

汉中pos机:保护信息系统安全的需求分析

发布日期:2019-08-15  作者:西安pos机 来源:www.xaposji.cn
 

  安全需求是一个企业为保护其信息系统的安全对必须要做的工作的全面描述,是一个详细、全面、系统的工作规划,是需要经过仔细的研究和分析才能得出的一份技术成果。为一个企业设计一个安全体系时,对企业的安全需求进行分析是必不可少的,这是对企业的信息财产进行保护的依据。安全需求分析工作基于安全风险分析与评估工作,是安全工程学中的一个重要阶段。

  一、需求分析的原则

  1、遵照法律。信息安全工作不仅仅是某个企业单位的工作,也是-个国家性的工作,必须把局部的安全工作与全局的工作协调起来,必须按照有关的法律和规定实施安全工程。

  2、依据标准。为了保证需求分析的质量,必须做到“ 有据可查”.必须用有关的技术标准来衡量,因此要充分参考、利用现有的标准。

  3、分层分析。安全工程涉及策略、体系结构、技术、管理等各个层次的工作,安全工程的层次性也就决定了需求分析的层次性,这样得出的结果才是完备的、可靠的。

  4、结合实际。安全工程的实施针对的是-个具体的信息系统环境,所有工作的开展必须建立在这个实际基础之上,不同环境需求分析的结果是不同的。

  二、需求分析的内容

  对安全需求的理解可以从多侧面、多角度入手,安全工程应该是全方位的,应从安全性、可靠性、高效性、可控性和持续性等方面落实。

  在结合国家政策法规、企业性质和规章制度的基础上,考虑安全生产的方方面面要求,提出安全要求与安全级别;根据对象单位资产的确认情况,提出不同资产的安全级别需求,这样,安全问题就可以有的放矢。因为信息与网络系统是分层的,所以,在进行需求分析时也应该根据各层的具体情况分级别提出安全需求。一般情况下, 要考虑以下五个层次的安全需求。

  1、管理层。信息安全是一个管理和技术结合的问题。就信息安全面言,管理与技术的关系就如同人与武器的关系一样。一个严密、完整的管理体制,不但可以最大限度地在确保信息安全的前提下实现信息资源共享,而且可以弥补技术性安全隐患的部分弱点。管理包括行政性管理和技术性管理。信息网络系统能否正常高效地运行,在很大程度上取决于是否发挥了它的最大功效,这依赖于系统的管理策略。管理层的安全需求分析就是研究为了保证系统的安全,应该建立一个怎样的管理体制。具体来讲,就是成立什么样的管理机构或部门;负责什么任务;完成什么功能;遵循什么原则:达到什么要求。

  2、物理层。物理层的安全就是保证实体财产的安全。实体安全是信息网络安全的低层安全,也是保证上层安全的基础。物理层的安全需求分析就是根据单位的实际情况,确定单位各实体财产的安全级别;需要什么程度的安全防护;达到什么样的安全目的。

  3、系统层。这里的系统指的是操作系统。操作系统是信息网络系统的基础平台,它的安全也是保证上层安全的基础。系统层的安全需求分析就是研究为保证安全,应该要求操作平台达到什么样的安全级别;为达到所要求的级别,应该选用什么样的操作系统;如何使用、管理.配置操作系统。

  4、网络层。网络层是Intemet 的核心,是为上层应用提供网络传输的基础,也是局城网和广域网连接的接口。因此,针对网络层的攻击和破坏很多。现在经常采取的安全防护措施是在网络的边界上,通过使用防火墙的IP过滤和应用代理等功能来实现安全连接。一种简单有效的方法是在路由器上采用IP过滤技术,由硬件实现,效率相当高。对于网络层所传输的数据的保护可以采用加密技术来实现,新一代的安全网络协议正在设计和实验阶段。一般是根据信息系统的业务方向,分析系统的网络安全需求,再确定应该采用什么样的防护方式。

  5、应用层。应用层是网络分层结构的最上层,是用户直接接触的部分。由于基于网络的应用很多,供应商也很多,所以存在的安全问题也很多,相应的安全防护技术也很多,需要根据实际情况来衡量对它们的需求程度。

  安全需求分析也是一个不断发展的过程,不存在一个一成不变的分析结果。随着系统环境的发展以及外部形势的改变,安全需求也会改变。要想保持分析结果的有效性,必须时刻更新结果,安全需求分析的过程也必须与系统同步发展。

  三、网络安全系统的设计原则

  虽然任何人都不可能设计出绝对安全和保密的网络信息系统,但是,如果在设计之初就遵从一些合理的原则,那么相应的网络系统的安全和保密就会更加有保障。如果设计时考虑不全面,消极地将安全和保密措施寄托在事后“打补丁”上,这样的思路是非常危险的。从工程技术角度看,应遵循以下原则。

  1、木桶原则。对信息均衡、全面地进行保护。

  2、整体性原则。进行安全防护、监测和应急恢复。

  3、用性原则。不影响系统的正常运行和合法用户的操作。

  4、级性原则。区分安全层次和安全级别。

  5、态化原则。安全需要不断更新。

  6、设计为本原则。安全设计与网络设计同步进行。


本文地址:http://www.xaposji.cnhttp://www.xaposji.cn/3027.html