【赛迪网整理报道】互联网和IT技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,网页篡改、计算机病毒、系统非法入侵、数据泄密、网站欺骗、服务瘫痪、漏洞非法利用等信息安全事件时有发生。据公安部公共信息网络安全监察局的调查结果显示,2005年5月至2006年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序的安全事件为84%,遭到端口扫描或网络攻击的占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
信息安全建设是一个复杂的系统工程 ,一般来说,信息安全工程包含八个基本环节和步骤。
第一步,分析信息网络系统所承载的业务和基本安全目标。
第二步,在所管辖的信息网络范围内,进行信息网络安全风险评估,建立信息网络资产清单,识别信息网络资产的威胁和脆弱性,确定信息网络资产的风险类型和保护等级。
第三步,根据信息网络资产的风险类型和保护等级,制定合适的安全策略和安全防护体系。
第四步,根据信息网络的安全策略,设计安全防范机制,选择风险控制的目标,实现风险控制管理。
第五步,将信息安全建设工作分解为若干个信息安全工程项目。典型项目有漏洞扫描和安全风险评估项目、用户统一认证和授权管理项目、网络防病毒项目、桌面机集中安全管理项目、服务器安全增强项目、网络安全监控项目、网络边界防护项目、远程安全通信项目、网络内容管理项目、补丁管理项目、系统和数据容灾备份项目。
第六步,根据信息安全工程项目要求,制定实施计划,调整信息网络结构和重新安全配置,部署选购合适的安全产品;制定相应信息网络安全管理制度、操作规程以及法律声明。
第七步,对信息安全工程项目进行验收,检查信息网络的安全风险是否已经得到有效控制; 检查信息网络的安全保障能力是否达到业务安全要求。
第八步,验收后,工程项目建设成果正式交付运行; 并根据安全控制系统的实际运行情况,及时调整安全策略,改进安全控制措施。 (责任编辑:朱晶)
