《信息安全十大原则》由会员分享,可在线阅读,更多相关《信息安全十大原则(4页珍藏版)》请在金锄头文库上搜索。
1、信息安全十大原则虽然任何人都不可能设计出绝对安全的网络系统,但是,如果在设计之初就遵从一些合 理的原则,那么相应的食品药品监管网络系统的安全性就更加有保障。第一代互联网的教训 已经告诉我们:设计时不全面考虑,消极地将安全措施寄托在事后“打补丁”的思路是相当 危险的!从工程技术角度出发,在设计食品药品监管网络系统时,至少应该遵守以下安全设 计原则:原则1: “木桶原则”,即,对信息均衡、全面地进行保护。“木桶的最大容积取决于最短的一块木板”,攻击者必然在系统中最薄弱的地方进行攻 击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括 模拟攻击),是设计信息安全系统的必要
2、前提条件。安全机制和安全服务设计的首要目的是 防止最常用的攻击手段;根本目标是提高整个系统的“安全最低点”的安全性能。原则2: “整体性原则”,即,安全防护、监测和应急恢复。没有百分之百的网络系统信息安全,因此要求在网络被攻击、破坏事件的情况下,必须 尽可能快地恢复网络的服务,减少损失。所以信息安全系统应该包括三种机制:安全防护机 制;安全监测机制;安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安 全威胁采取相应的防护措施,避免非法攻击的进行;安全监测机制是监测系统的运行情况, 及时发现和制止对系统进行的各种攻击;安全恢复机制是在安全防护机制失效的情况下,进 行应急处理和尽量、及
3、时地恢复信息,减少攻击的破坏程度。原则3: “有效性与实用性”,即,不能影响系统的正常运行和合法操作。如何在确保安全性的基础上,把安全处理的运算量减小或分摊,减少用户记忆、存储工 作和安全服务器的存储量、计算量,应该是一个网络系统信息安全设计者主要解决的问题。原则4: “安全性评价”原则,即,实用安全性与用户需求和应用环境紧密相关。评价系统是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具 体的应用环境,比如,1)系统的规模和范围(比如,局部性的中小型网络和全国范围的大 型网络对信息安全的需求肯定是不同的);2)系统的性质和信息的重要程度(比如,商业性 的信息网络、电子金融性
4、质的通信网络、行政公文性质的管理系统等对安全的需求也各不相 同)。另外,具体的用户会根据实际应用提出一定的需求,比如,强调运算实时性或注重信 息完整性和真实性等等。原则5: “等级性”,即,安全层次和安全级别。良好的信息安全系统必然是分为不同级别的,包括:对信息保密程度分级(绝密、机密、 秘密、普密);对用户操作权限分级(面向个人及面向群组)对网络安全程度分级(安全子 网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等)从而针对不同级别 的安全对象,提供全面的、可选的安全算法和安全体制,以满足网络中不同层次的各种实际 需求。原则6: “动态化”原则,即,整个系统内尽可能引入更多的可
5、变因素,并具有良好的 扩展性。被保护的信息的生存期越短、可变因素越多,系统的安全性能就越高。安全系统要针对 网络升级保留一定的冗余度,整个系统内尽可能引入更多的可变因素。原则7:设计为本原则,即,安全系统的设计应与网络设计相结合。在网络进行总体设计时考虑安全系统的设计,二者合二为一。避免因考虑不周,出了问 题之后拆东墙补西墙,不仅造成经济上的巨大损失,而且也会对国家、集体和个人造成无法 挽回的损失。由于安全问题是一个相当复杂的问题,因此必须群策群力搞好设计,才能保证 安全性。原则8:自主和可控性原则。安全问题关系着一个国家的主权和安全,所以网络安全不可能依赖于国外,必须解决网 络安全的自主权和
6、自控权问题。原则9:权限分割、互相制约、最小化原则。在很多系统中都有一个系统超级用户或系统管理员,拥有对系统全部资源的存取和分配 权,所以它的安全至关重要,如果不加以限制,有可能由于超级用户的恶意行为、口令泄密、 偶然破坏等对系统造成不可估量的损失和破坏。因此有必要对系统超级用户的权限加以限 制,实现权限最小化原则。管理权限交叉,有几个管理用户来动态地控制系统的管理,实现 互相制约。而对于非管理用户,即普通用户,则实现权限最小原则,不允许其进行非授权以 外的操作。原则10:有的放矢、各取所需原则。在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的网络系统所要求的安 全侧重点各不相同。必
7、须有的放矢,具体问题具体分析,把有限的经费花在刀刃上。总结社会要进步,技术要发展。纵然NGN面临诸多的安全问题,但我们不能因噎废食,畏 缩不前;也绝不能掉以轻心,一劳永逸。信息安全是一门高智商的对抗性学科,作为矛盾主体的“攻”与“守”双方,始终处于 “成功”和“失败”的的轮回变化之中,没有永远的胜利者,也不会有永远的失败者。“攻” 与“守”双方当前斗争的暂时动态平衡体系了网络安全的现状,而“攻”与“守”双方的“后 劲”则决定了网络安全今后的走向。“攻”与“守”双方既相互矛盾又相互统一。他们始终 都处于互相促进、循环往复的状态之中。更具体地说,安全是相对的,不安全才是绝对的。信息安全是一个涉及面
8、很广的问题,要想确保安全,必须同时从法规政策、管理、技术 这三个层次上采取有效措施。高层的安全功能为低层的安全功能提供保护。任何单一层次上 的安全措施都不可能提供真正的全方位安全。先进的技术是信息安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需 要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安 全系统。严格的安全管理至关重要。各用户单位应建立相应的网络安全管理办法,加强内部管理, 建立合适的网络安全管理系统,建立安全审计和跟踪体系,提高整体网络安全意识。明确的法律和法规是安全的“靠山”。国家和行业部门制订严格的法律、法规,使非法 分子慑于法律,不敢轻
9、举妄动。由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6 月1日起施行的中华人民共和国网络安全法,是为保障网络安全,维护网络 空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益, 促进经济社会信息化健康发展制定。网络安全事关国家安全、事关经济社会发展、 事关社会稳定,事关亿万网民的切身利益。我们现在长期存在的问题,最突出的 是我们网民网络安全的知识缺乏、技能缺乏、意识缺乏,所以要加强网络安全教 育,普及网络安全知识,提高亿万网民网络安全的技能,增强网络安全的意识。当前,我国网民超过6亿,手机用户近13亿,位居世界第一;网络走入 千家万户,固定宽带接入用户
10、达2亿户,移动宽带用户5.3亿;互联网产业取得 飞速发展,互联网上市企业市值突破3.95万亿人民币,阿里巴巴、腾讯、百度、 京东4家企业进入全球互联网公司十强。我国已成为名副其实的网络大国,但大 而不强也很明显:我国的技术还不够过硬、信息基础设施还不够完善、人才队伍 还不够强大,最为突出的是社会公众网络安全意识不强,这已成为制约我国网络 安全水平提升的一大短板。与此同时,我国面临严峻的网络安全形势,网络病毒数量呈现几何级数增 长态势,每天新增515万个病毒和6030个钓鱼网站,“网游大盗”、“熊猫烧 香”、“QQ木马”、“灰鸽子”、“僵尸木马”、“XX神器”等病毒在网上肆 意泛滥,纷纷入侵用户
11、电脑,盗取密码账号、个人隐私、商业秘密、网络财产甚 至国家机密等;2013年新增恶意程序病毒样本超过18.8亿个,新增钓鱼网站超 过220.1万个,我国境内感染木马僵尸网络的主机1135万个,609.5万户手机 用户感染移动互联网恶意程序;2013年我国网购用户规模超过3亿,而网络欺 诈高达22259例,人均损失1449元。从上面的数据可以看出,在病毒漏洞数量激增、网络攻击愈演愈烈、网络 犯罪日益猖獗的网络安全形势下,广大人民群众对网络安全重要性的认识不足、 网络安全知识缺乏、网络安全技能薄弱、网络安全意识淡薄,不但不利于防范网 络风险、应对网络威胁,甚至可能遭受名利和财产损失。提高全民网络安
12、全的意识技能,特别是提升亿万网民依法上网、文明上网、 安全上网的意识,来共同维护网络安全和国家安全、维护网民的切身利益已成为 全社会的重大课题。开展首届国家网络安全宣传周活动是我国网络安全意识培养 工作的突破性之举,为加强全民网络安全宣传教育、提升网民的网络安全防范意 识和技能提供了一个良好的途径。广大网民可通过积极参与国家网络安全宣传周 各项活动,获取网络安全知识和技能,做好个人数据资料的保护,谨慎进行电子 交易、网上支付等涉及经济利益的操作,及时修复安全漏洞,防范个人主机或移 动终端被木马或僵尸网络操控,防范个人信息泄露和财产损失。建设为民、文明、诚信、法治、安全、创新的网络空间需要各方同心共智、 同频共振、同力共举。国家依法管网,维护互联网秩序,加强顶层设计,推动立 法;企业依法办网,提升自主创新能力,发挥技术优势,勇担共建网络安全社会 责任。民众依法上网,增强网络安全防范意识,提升网络安全防护技能,传播正 能量。让网络真正成为工作的载体、学习的平台、生活的帮手。让我们心中常存 网络安全意识,依法上网、文明上网、安全上网,共同向着网络健康发展、网络 运行有序、网络文化繁荣、网络生态良好、网络空间清朗的目标迈进。(工业和 信息化部电子科学技术情报研究所 刘京娟)
