企业信息系统的安全保障体系可以分为三个层次:一是基本安全环节,这是很多系统平台本身就提供的,如操作系统或者数据库,有效的发挥这些安全机制的作用有时候会起到意想不到的效果;其次是对基本安全要素的增强环节,可以对系统起到更可靠的保护作用;再次是扩充的安全机制,提供更强的安全监测和防御能力,是对安全有很高要求的信息系统应该考虑的成分。
基本安全环节
1、身份标识和鉴别
计算机信息系统的可信操作在初始执行时,首先要求用户标识自己的身份,并提供证明自己身份的依据,计算机系统对其进行鉴别。身份的标识和鉴别是对访问者授权的前提,并通过审计机制保留追究用户行为责任的能力。
2、访问控制
访问控制分为“自主访问控制”和“强制访问控制”两种。
自主访问控制(DAC)是商用系统中 常见的一种类型,Unix和Windows NT操作系统都使用DAC。
强制访问控制(DMC)可以防范特洛伊木马和用户滥用权限,具有更高的安全性。
3、审计
审计是一个被信任的机制。安全系统使用审计把它的活动记录下来。审计系统记录的信息应包括主题和对象的标识,访问权限请求、日期和时间、参考请求结果(成功或失败)。审计记录应以一种确保可信的方式存储。
上面这些安全要素是一个安全系统 基本的和不可缺少的安全机制,这些要素的缺乏意味着系统几乎没有可信赖的安全机制。但这些基本要素并不能提供系统的可信程度的信息。
任何软件中都可能存在缺陷,而部分系统中会留下未公开的特性。这些特性会导致安全体系中各种保护机制失效。
增强环节
可以采取一些可行的技术手段以强化基本的安全机制的作用,这些手段包括:
在普通操作系统中通过强化内核,增加强制访问控制能力,分解ROOT权限。
在网络上设置防火墙,由于防火墙可以在操作系统的外部增加一层防护,因而在商用操作系统安全性较弱的情况下,可以有效增加系统的安全性。
一个完善的信息安全体系,指明了安全管理者的工作目标和权限范围,可以让信息系统安全专业人员能够准确的按照组织高层领导的要求展开工作。企业建立一个完善的安全体系可以提高企业控制和管理的能力,组织安全危险,避免非法渗透,降低安全风险实现有效的风险管理,降低业务上的损失。同时也降低了信息基础架构和业务应用系统的安全制度的负责度,降低管理的负责度,提高企业安全管理效率,支持业务未来发展。而且一旦形成了全面的安全体系,就形成了有效的内控机制,形成管控测试评度以及测评指标体系,企业可以及时对公司的整体信息安全现状作出准确评估,从而建立起信息安全事件知识库,可以有效的对流程进行梳理与固化,加快服务响应速度。总而言之,就是为企业构建了一个信息安全网,既保护了企业的信息安全,也为提高了企业安全收益。
通过上述有关企业信息安全和数据安全等加密相同资讯的介绍,大家对于这此有一定的了解和认识,安腾加密软件希望您在日后的工作中,如有文件加密软件、文档加密软件、图纸加密软件、文件加密、数据加密、文档安全分发、数据安全、文件防泄密、信息反泄密、数据安全等需求,欢迎随时访问安腾加密软件的官网:http://www.iten.com.cn 或拨打热线:400-000-3720 联系我们。