文档介绍:没有安全的工程就是豆腐渣工程”。这几年来我国接连不断地出现程度不同的信息系统安全事故,这些事故不仅仅是简单的信息系统瘫痪的问题,其直接后果是导致巨大的经济损失,还造成了不良的社会影响。如果说经济损失还能弥补,那么由于信息网络系统在安全防范和管理方面体现出的脆弱性而引起的公众对信息系统工程的诚信危机则不是短时期内可以恢复的。我国政府主管部门以及各行各业已经认识到了信息安全的重要性。政府部门开始出台一系列相关策略,直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业,也开始出台对信息安全技术产品的应用标准和规范。国务院信息化领导小组颁布的《关于我国电子政务建指导意见》强调指出了电子政务建设中信息系统安全的重要性;中国人民银行在加紧制定网上银行系统安全性评估指引,并明确提出对信息安全的投资要达到总投资的10%以上,而在其他些关键行业,信息安全的投资甚至已经超过了总预算的30%-50%信息系统安全的定义确保以电磁信号为主要形式的、在信息网络系统进行通信处理和使用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,处于动态和静态过程中的保密性、完整性和可用性,以及与人、网络、环境有关的技术安全、结构安全和管理安全的总和。信息的主体?各类用户支持人员技术管理人员行政管理人员等信息系统安全的属性信息系统安全的属性信息系统安全属性分为三个方面:可用性、保密性和完整性。1可用性可用性是信息系统工程能够在规定条件下和规定的时间内完成规定的功能的特性。可用性是信息系统安全的最基本要求之指信息及相关的信息资产在授权人需要的时候,可以立即获得。2保密性保密性是信息不被泄露给非授权的用户、实体或过程,信息只为授权用户使用的特性信息系统安全的属性3完整性完整性定义为保护信息及其处理方法的准确性和完整性。信息完整性一方面是指信息在利用、传输、存储等过程中不被删除、修改、伪造、乱序、重放、插入等,另一方面是指信息处理的方法的正确性。不适当的操作,如误删除文件,有可能造成重要文件的丢失。完整性与保密性不同,保密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏架构安全管理体系架构安全管理体系为了系统地、完整地构建信息系统的安全体系框架,信息系统安全体系应当由技术体系、组织机构体系和管理体系共同构建。1技术体系技术体系是全面提供信息系统安全保护的技术保障系统。该体系由两大类构成1)物理安全技术物理安全技术包括机房安全和设施安全。(1)机房安全是信息系统主要设备的物理存放的位置,主要是保证机房场地的安全,主要包括机房环境、温度、湿度的控制,电磁、噪声、静电、震动和灰尘的防护,同时要有防火灾、防雷电以及门禁等安全措施2)设施安全主要是考虑各种硬件设备的可靠性问题,所有的设备应当更具不同安全级别的信息系统工程,同时要保证通信线路物理上的安全性1技术体系2)系统安全技术系统安全技术包括平台安全、数据安全、通信安全、应用安全和运行安全平台安全泛指操作系统和通用基础服务安全,主要用于防范黑客攻击手段,目前市场上大多数安全产品均限于解决平台安全,包括以下内容操作系统漏洞检测与修复,包括UNX系统、Windows系统、网络协议网络基础设施漏洞检测与修复,包括路由器、交换机、防火墙等。通用基础应用程序漏洞检测与修复,包括数据库Web/ftp/mail!DNS/其他各种系统守护进程。网络安全产品部署、平台安全实施需要用到市场上常见的网络安全产品,包括防火墙、入侵检测、脆弱性扫描和防病毒产品。整体网络系统平台安全综合测试/模拟入侵与安全优化。