安全文化在信息安全方面作用的探討_第1頁
安全文化在信息安全方面作用的探討_第2頁
安全文化在信息安全方面作用的探討_第3頁
安全文化在信息安全方面作用的探討_第4頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

安全文化在信息安全方面作用的探討平安文化這一概念是國際核平安詢問組在《關于1986年切爾諾貝利事故的事故后會議總結報告》中引入的。平安文化概念定義是“平安文化是組織和個人所具有的特征和態(tài)度的這樣一個組合體:它保證作為首要事情的核設施的平安問題受到與其重要性相稱的重視”。平安文化必需扎根于組織中每個層次的全部個人的思想和行動中,最高層管理部門的領導至關重要。平安文化的概念在核行業(yè)中得到了普遍的接受和認可,目前已成為從事平安工作人員最重要的工作內容之一。隨著計算機信息技術的應用越來越普遍,計算機信息系統(tǒng)的平安問題越來越引起各方面的重視,平安已成為建設計算機信息系統(tǒng)首先要解決的問題,但從這些年的實踐來看,雖然各種各樣的平安解決方案和技術不斷推出,但好像對信息系統(tǒng)平安問題的擔憂卻越來越大。問題究竟出在哪里呢?本文試圖從平安文化的角度來尋求問題的答案。1.問題的提出我們對平安的理解往往是和威逼、風險等概念相關聯(lián)的,對信息平安的定義是這樣的:信息的機密性、完整性和可用性的保持。問題是我們靠什么來做到這一點呢?目前,普遍的熟悉是主要從制度、人員、產(chǎn)品和技術來解決信息平安問題,其中技術和產(chǎn)品主要有密碼、防火墻、防病毒、身份識別、網(wǎng)絡隔離、可信服務、平安服務、備份恢復、PKI技術等手段,毋庸質疑,這些手段在保障信息平安中起到了很大作用。但同時也發(fā)覺,平安問題或平安隱患卻依舊層出不窮,平安管理部門、運行維護人員疲于奔命,管理層人員的擔憂不斷增加。這形成了一個驚奇的局面,一方面我們在平安方面的投入越來越大,而另一方面我們對平安的擔憂卻并沒有削減。這并不意味著我們在平安上的投入是徒勞的,而是說明平安不是簡潔地通過投入就可以解決的,更不是現(xiàn)有技術、產(chǎn)品的積累就能達到效果的。針對這樣的局面,我們應當如何應對呢?2.如何理解平安探討這個問題的重要性在于你對平安實行什么態(tài)度,而你的態(tài)度將打算你的行為,或行為方式,而你的行為將對你所負責的系統(tǒng)產(chǎn)生關鍵影響,也就是你對平安的態(tài)度是打算你所負責的系統(tǒng)的平安狀態(tài)的最基本的要素。所以說,如何理解平安是非常重要的。從對信息平安的定義可以得出一個結論,那就是平安是一個過程,而不是一個結果,它是隨著時間的進展,隨著系統(tǒng)環(huán)境、人文環(huán)境的變化而動態(tài)變化的,某一時刻的平安,并不代表全部。另一個結論是平安是整體性的,系統(tǒng)性的,它取決于多個部分共同的努力,也就是我們常提到的木桶效應,問題是我們需要找出全部影響平安的因素,才能找到影響平安的關鍵環(huán)節(jié),而這幾乎是很難做到的。雖然我們可以通過風險分析來彌補這方面的不足,但仍舊可能忽視掉影響平安的重要因素,這就造成我們對平安的持續(xù)不斷的擔憂。平安的另一個特點是它是相對的,不是肯定的,這主要指兩個方面,一個是它的時間性,它可能隨著技術的進展等因素,平安與風險之間的平衡打破了,原先平安的可能變?yōu)閾娜?另一個方面是你所能承受的損失的力量的變化,我們可稱其為可承受的損失或代價,我們一般所理解的平安是在我們所承受的損失范圍內,當你的承受力量變小或帶來的損失增大到無法承受時,平安的就可能變?yōu)閾娜?。所以在理解平安時,要弄清晰你所要愛護的對象和所承受的損失。正確的理解是你為得到平安所付出的代價應小于你所愛護對象的價值。弄清晰了這一點,對于你預備在平安上要投入多少,就有一個比較簡單衡量的方法了。3.信息平安的現(xiàn)狀隨著信息技術的進展,信息技術給人們帶來便利的同時,也同時帶來了隱患,病毒、后門、惡意攻擊等花樣翻新的手段給信息系統(tǒng)的正常使用帶來了很大威逼。人們?yōu)榉婪哆@些風險,開發(fā)了一系列的工具,防病毒軟件、防火墻、入侵檢測,還有其它的工具。針對國防涉密系統(tǒng),比較有效的手段主要是物理隔離、加密、訪問掌握、身份認證等措施。好像我們已經(jīng)有了許多的手段來應付各種威逼,但認真分析就可以看出來,這些手段的有效實施,離不開一個重要因素——人,而且防范的對象主要是人,人的作用在整個防范體系中既是核心又是最大的缺陷。我們都清晰,內網(wǎng)主要是防內,即所謂70%的威逼來自內部,這些人具有合法的身份,但卻可能做非法的事情,由于人的不確定性,這使得防范工作非常困難,假如對人的掌握非常嚴峻,將不行避開地帶來工作效率的降低,這和信息系統(tǒng)便于工作的初衷相違反或至少抵消了一部分信息系統(tǒng)建設所帶來的便利性。目前各種防范手段許多,但往往是針對某一種或某幾中威逼來建立的,甚至某一種工具都有眾多的方法和品牌,而且各種防范手段之間缺少相互的關聯(lián),這就好比我們要建立一條完整的防線,但各部隊之間卻沒有協(xié)作,更不用說它

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論