其中人是信息安全最活跃的因素，人的行为是信息安全保障最主要的方面。人特别是内部员工既可以是对信息系统的最大潜在威胁，也可以是最可靠的安全防线。统计结果表明，在所有的信息安全事故中，只有30%是由于黑客入侵或其他外部原因造成得，70%是由于内部员工的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌，就会发现安全问题实际上都是人的问题，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。以往的各种安全模型，其最大的缺陷是忽略了对人的因素的考虑，在信息安全问题上，要以人为本，人的因素比信息安全技术和产品的因素更重要。与人相关的安全问题涉及面很广，从国家的角度考虑有法律、法规、政策问题；从组织角度考虑有安全方针政策程序、安全管理、安全教育与培训、组织文化、应急计划和业务持续性管理等问题；从个人角度来看有职业要求、个人隐私、行为学、心理学等问题。

　　在信息安全的技术防范措施上，可以综合采用商用密码、防火墙、防病毒、身份识别、网络隔离、可信服务、安全服务、备份恢复、PKI服务、取证、网络入侵陷阱、主动反击等多种技术与产品来保护信息系统安全，但不应把部署所有安全产品与技术和追求信息安全的零风险为目标。安全成本太高，安全也就失去其意义。组织实现信息安全应采用“适度防范”(Rightsizing)的原则，就是在风险评估的前提下，引入恰当的控制措施，使组织的风险降到可以接受的水平，保证组织的业务的连续性和商业价值最大化就达到了安全的目的。

　　信息安全不是一个孤立静止的概念，信息安全是一个多层面、多因素的、综合的、动态的过程。一方面，如果组织凭借一时的需要，想当然去制定一些控制措施和引入某些技术产品，难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干“短木块”，从而无法提高安全水平。 正确的做法是遵循国内外相关信息安全标准与最佳实践过程，考虑组织对信息安全的各个层面的实际需求，在风险分析的基本上引入恰当控制，建立合理安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性；另一方面，这个安全体系统还应当随着组织环境的变化、业务发展和信息技术提高而不断改进，不能一劳永逸，一成不变。因此实现信息安全是一个需要完整的体系来保证的持续过程。

　　根据国内信息安全建设的现状与特点并结合信息安全国际标准、行业标准以及通用最佳实践，并考虑实用性与易用性，提出以下实现信息的方法论及具体步骤。

　　信息安全的方法论：根据自顶向下，逐步求精的原则，根据组织的业务目标与安全要求，在风险评估的基础上，先建立并运行信息安全框架，初步达到粗粒度的信息安全；在完整的信息安全框架之上，建立“人力防火墙”与“技术防火墙”,在细粒度上保证信息安全；实施阶段性的信息系统审计，在持续不断的改进过程中保证信息的安全性、完整性、可用性，从而建立一套完整的信息安全管理体系。

上一页  [1] [2] [3] [4]  下一页