《计算机安全的八大要素.docx》由会员分享,可在线阅读,更多相关《计算机安全的八大要素.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机安全的八大要素计算机安全的八大要素1.计算机安全应该支持机构的责任计算机安全的目的是保护机构有价值的资源,如信息、硬件、软件。通过选择和施行适当的保护措施,安全能够通过保护其物理的和金融的资源、信誉、合法地位、员工和其它有形及无形资产为机构的责任提供帮助。遗憾的是,有时由于影响恶劣的选择、给用户、管理人和系统带来费事的规则和规程使安全被视为机构责任的绊脚石。相反的,选择良好的安全规则和规程不是为本身而存在的,它们的使用保护了重要资产进而支持整个机构的责任。所以不应该为了安全而安全。举例来讲,在私营机构的业务中,良好的安全通常要让位于创造利润。所以,安全就应该提高企业创造利润的能力。在公共
2、机构中,安全通常要让位于为公民提供机构的服务。所以,安全就应该帮助改善为公民提供的服务。为了到达这个目的,管理人既应该了解机构的责任也应该了解信息系统是怎样支持责任的。在系统的角色被确定后,应该明确所定义的角色下的安全需求。这样安全就能够在机构责任中得以明确。系统的角色和功能可能不仅被用于一个机构。在机构间的系统中,保护系统能够使每一个机构获益。例如,为了进行成功的电子交易,介入各方都需要安全控制来保护其资源。但是,买方系统的良好安全也会使卖方受益;假如买方系统遭到欺诈或无法使用就会对卖方产生不利影响。反过来也一样。2.计算机安全是良好管理不可分割的一部分信息和计算机系统通常是支持机构责任的关
3、键资产。保护这些资产对于保护机构其它资源如金钱、物理资产或员工是至关重要的。但是,信息和计算机管理的安全考虑并不能完全消除这些资产遭到伤害的可能性。最终,机构管理者不得不决定其原因接受的风险等级,以便考虑安全控制的成本。与其它很多资源一样,信息和计算机的管理可能会穿越机构的边界。当机构的信息和计算机系统与外部系统相连时,管理的责任也延伸到机构以外。这可能会需要管理层1外部系统所使用的主要安全级别或类型,或者2寻求外部系统为使用机构的需要提供充分的安全保证。3.计算机安全应该是有成本效益的应该以货币和非货币的形式对安全的成本和效益进行仔细地研究以确保控制的费用不会超出预期的效益。安全应该是适当的
4、并与相关计算机系统的价值和地位以及潜在损害程度、可能性和范围相称。根据特定系统的不同,安全的需求是多种多样的。通常,安全是精明的商业措施。通过对安全方法的投资,机构能够减少与计算机安全相关的损失的频率和程度。例如,机构通过评估发现由于计算机系统遭到欺诈而导致每年有很严重的财产损失。安全方法如改良访问控制系统可能会大量减少这种损失。此外,良好的安全项目能够阻止黑客并减少感染病毒的几率。消减这些威胁能够减少不良的公众影响、鼓舞士气和提高生产率。获得安全效益既需要直接费用也需要间接费用。直接费用包括购买、安装和管理安全方法,如访问控制软件或消防系统。另外,安全方法有时会影响系统的性能、员工的士气或需
5、要进行培训。所有这些被以为是附加在控制初始费用通常被视为诸如管理访问控制软件包的费用之外的费用。假如安全问题方案的直接或间接成本高于容忍问题造成的损失,则不会采用该方案。4.计算机安全的责任和职责应该得到明确计算机系统的拥有者、提供者和用户以及其它与计算机系统安全有关的其他介入者的责任和职责应该得到明确。职责的设定能够是针对机构内部的可以以扩展到机构以外。根据机构的规模不同,项目可大可小,甚至能够是一个管理人员的附属工作。但是,即使是小机构也要准备叙述机构政策的文件以明确计算机安全责任。这个要素不设定必须为所有系统提供的个人职责。例如,很多信息发布系统不要求进行用户识别,所以也就无法确定用户责
6、任。5.系统拥有者对机构外负有责任假如系统有外部用户,其拥有者有责任让其它用户了解安全方法的基本情况以便用户确定系统得到了充分的保护。这不暗示所有的系统必须知足最小的安全等级,但是暗示系统的拥有者应该将安全的基本情况告知其客户或用户。另外为了分享安全信息,机构的管理人“应该采取及时、协调一致的行动来防止和响应对安全的毁坏以便帮助保护其他方面免遭损害。但是采取这些行动不应该危害系统的安全。6.计算机安全需要广泛和集成的方法为了提供有效的计算机安全需要考虑到计算机安全领域内外的各种领域的广泛的方法。这些广泛的方法延伸到整个信息生命周期。1安全控制的互相关系为了有效的工作,安全控制通常依靠于其它控制
7、功能的正确运行。事实上这种依靠性广泛存在。假如选择适当,管理、操作和技术控制能够协调一致的工作。另一方面,缺乏对安全控制互相关系的透彻理解,这些控制就可能相互干扰。例如,缺乏对病毒探测软件包使用方法和机会的培训,用户就可能会错误地使用软件包进而导致其没有效果。结果,用户可能会错误地以为其系统永远不会有病毒进而在无意中传播病毒。在真实环境中,这些互相关系经常是非常复杂而难以确定的。2其它互相关系安全控制的有效性还依靠于诸如系统管理、法律问题、质量保证以及内部和管理控制等因素。计算机安全需要与包括物理和人员安全在内的传统的安全原则一起协调运作。还有很多机构或系统环境特有的重要依靠性。管理人应该清楚
8、计算机安全与系统和机构管理的哪些领域相关联。7.计算机安全应该得到定期的重新评估计算机及其运行环境是动态的。系统技术和用户、系统中的数据和信息、系统相关的风险在不断变化,进而安全需求也在不断变化。有很多类型的变化影响到系统安全:技术的发展无论是系统拥有者采用的还是其别人能够使用的、与外部网络的连接、信息价值或使用的变化或新威胁的出现。另外,系统被施行的时侯安全决不会是完美的。系统用户和操作员会有意无意地发现绕过或毁坏安全的新方法。系统或环境的改变会造成新的缺陷。严格忠实于规程的情况很少见,规程会随着时间的推移变得过时。所有这些问题都需要对计算机系统的安全进行重新评估。8.计算机安全遭到社会因素
9、的制约支持机构责任的安全能力会遭到各种因素的限制,如社会问题。例如,安全和工作场所的隐私可能存在冲突。通常,系统通过识别用户和追踪用户的行动来施行安全。但是,隐私保护的多样性会造成一些安全措施会侵犯到隐私。在一些情况下,隐私遭到法律的保护。固然隐私是极其重要的社会问题但却不是唯一的。信息的流动,十分是政府与其公民之间的信息流动是安全可能需要得到修改以支持社会目的的另一种情况。另外,有些认证方法如视网膜扫描在有些环境和文化中可能会被以为是具有侵犯性的。解决办法是在选择和施行安全措施的时侯仔细了解各方的权利和合法利益。这涉及到信息拥有者对安全的需要与用户的社会目的之间的平衡。但是,与正确使用安全控制相关的规则和期望处于变化之中。这种变化可能会有助于安全可以能对安全不利。安全和社会规范之间的关系不一定是对立的