信息安全:中国中小企业值得关注的话题
当前危及信息系统安全的事例时有发生,导致人们开始注意保护自己的数据库或网络信息不致因为安全问题而泄密或被人非法侵入或遭受毁灭性攻击。信息安全的问题不仅对于一个企业或集团乃至国家尤为重要,而且对于国民经济和社会发展的稳定关系极大。本文仅就当前有关网络信息安全存在的缺陷或问题提出一些看法。据调查,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部;只有17%的公司愿意报告黑客入侵,其他的由于担心负面影响而未声张。59%的损失可以定量估算。平均每个组织损失40.2万美元。
据统计,我国企业因防止泄密多数据而休整信息网络安全漏洞的投入多达7000万元。
来自网络系统的安全威胁有:操作系统的安全性、防火墙的安全性、来自内部网用户的安全威胁、缺乏有效的监督机制和评估网络系统安全性手段、采用的TCP/IP协议族软件缺乏安全性、网络不能对来自电子邮件携带的病毒以及WEB 浏览可能存在的恶意Java/ActiveX控件进行有效控制以及应用服务的安全隐患。
ISO 将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”此概念偏重于静态信息保护。动态信息“计算机安全”应在前面定义的基础上再加上“保证系统连续正常运行”。
计算机安全的内容应包括两个方面:即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。保密性指高级别信息仅在授权情况下流向低级别的客体与主体;完整性指信息不会被非授权修改并且信息保持一致性等;可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。
一个系统存在的安全问题主要来源于两个方面:或是安全控制机构有故障;或是系统安全定义有缺陷。美国国防部(DOD)于1985年出版了《可信计算机系统的评价准则》使计算机系统的安全性评估有了一个权威性的标准。DOD将计算机系统的可信程度划分为 D、C1、C2、B1、B2、B3和A1七个层次。
页:
[1]