企业信息安全威胁与层次性解决方案 1 企业信息安全需求的多层次性 信息技术快速的发展和广泛的应用,信息化已成为全球经济社会发展的显著特征,并逐步向全方位的社会变革演进
当前,信息技术已深入到各行各业,甚至影响并改变着普通百姓的生活方式,信息资源也日益成为重要生产要素、无形资产和社会财富
那么究竟什么是信息安全呢
关于信息安全的定义有很多不同的说法,但其含义都是相似的
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断
信息安全的保障往往遵循一个原理即木桶原理,其核心内容为:一只水桶盛水的多少,并不取决于桶壁上最高的那块木块,而恰恰取决于桶壁上最短的那块
根据这一核心内容,“水桶理论”还有两个推论: (1)只有桶壁上的所有木板都足够高,那水桶才能盛满水
(2)只要这个水桶里有一块不够高度,水桶里的水就不可能是满的
信息安全划分为数据安全层、应用安全层、用户安全层、系统安全层、网络安全层和物理安全层
他们之间是相互关联相互影响的,任何一个层次出现问题都可能导致信息安全大厦的倒塌,因此针对不同的安全层我们应用不同的机制保证其安全性
保障信息安全不仅仅是一个静态的过程,而是如P2DR 模型所示的动态过程
P2DR 是在整体的安全策略的控制和指导下
在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态
防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全
各部分的解释
( 1)策略:策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的
网络安全策略一般包括总体安全策略和具体安全策略2 个部分组成
