服务器数据系统信息安全 服务器安全的重要性

什么是信息安全？信息安全有什么意义

信息安全

成都创新互联公司"三网合一"的企业建站思路。企业可建设拥有电脑版、微信版、手机版的企业网站。实现跨屏营销，产品发布一步更新，电脑网络+移动网络一网打尽，满足企业的营销需求！成都创新互联公司具备承接各种类型的网站建设、成都网站设计项目的能力。经过10余年的努力的开拓，为不同行业的企事业单位提供了优质的服务，并获得了客户的一致好评。

息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息团瞎安全体系是保证信息安全的关键，包括迟岩计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

信息安全学科可分为狭义安全与广义安全两个层次，狭义的安全是建立在以密码论为基础的计算机安全领域，早期中国信息安全专业通常以此为基准，辅以计算机技术、通信网络技术与编程等方面的内容；广义的信息安全是一门综合性学科，从传统的计算机安全到信息安全，不但是名称的变更也是对安全发展的延伸，安全再是单纯的技术问题，而是将管理、技术、法律等问题相结合的产物。本专业培养能够从事码或御计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。

怎样实现信息安全？

为了消减信息和信息系统面临的众多风险，满足既定的信息安全需求，人们能想到的最直接做法，就是选择并使用各种能够解决信息安全问题的技术和产品。

与信息安全的发展历程一样，信息安全技术在不同的阶段也表现出不同的特点。在通信安全阶段，针对数据通信的保密性需求，人们对密码学理论和技术的研究及应用逐渐成熟了起来。随着计算机和网络技术的急遽发展，信息安全阶段的技术要求集中表现为ISO 7498-2 标准中陈述的各种安全机制上面，这些安全机制的共同特点就是对信息系统的保密性、完整性和可用性进行静态的防护。到了互联网遍布全球的时期，以IATF（信息保障技术框架）为代表的标准规范为我们勾画出了更全面更广泛的信息安全技术框架，这时的信息安全技术，已经不再是以单一的防护为主了，而是结合了防护、检测御激、响应和恢复这几个关键环节在一起的动态发展的完整体系。归纳起来，典型的信息安全技术包括：

1).物理安全技术：环境安全、设备安全、媒体安全；

2).系统安全技术：操作系统及数据库系统的安全性；

3).网络安全技术：网络隔离、访问控制、VPN、入侵检测、扫描评估；

4).应用安全技术：Email 安全、Web 访问安全、内容过滤、应用系统安全；

5).数据加密技术：硬件和软件加密，实现身份认证和数据信息的CIA 特性；

6).认证授权技术：口令认证、SSO 认证（例如Kerberos）、证书认证等；

7).访问控制技术：防火墙、访问控制列表等；

8).审计跟踪技术：入侵检测、日志审计、辨析取证；

9).防病毒技术：单机防病毒技术逐渐发展成整体防病毒体系；

10).灾难恢复和备份技术：业务连续性技术，前提就是对数据的备份。

解决信息及信息系统的安全问题不能只局限于技术，更重要的还在于管理。安全技术只是信息安全控制的手段，要让安全技术发挥应有的作用，必然要有适当的管理程序的支持，否则，安全技术只镇扒袜能趋于僵化和失败。如果说安全技术是信息安全的构筑材料，那信息安全管理就是真正的粘合剂和催化剂，只有将有效的安全管理从始至终贯彻落实于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证。

现实世界里大多数安此或全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。我们常说，信息安全是三分技术七分管理，可见管理对于信息安全的重要性。

从概念上讲，信息安全管理（Information Security Management）作为组织完整的管理体系中一个重要的环节，构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。

安全管理牵涉到组织的信息评估、开发和文档化，以及对实现保密性、完整性和可用性目标的策略、标准、程序及指南的实施。安全管理要求识别威胁、分类资产，并依据脆弱性分级来有效实施安全控制。

同其他管理问题一样，安全管理也要解决组织、制度和人员这三方面的问题，具体来说就是：建设信息安全管理的组织机构并明确责任，建立健全的安全管理制度体系，加强人员的安全意识并进行安全培训和教育，只有这样，信息安全管理才能实现包括安全规划、风险管理、应急计划、意识培训、安全评估、安全认证等多方面的内容。

应该注意的是，人们对信息安全管理的认识是在信息安全技术之后才逐渐深入和发展起来的，关于信息安全管理的标准和规范也没有安全技术那么众多，最有代表性的，就是BS 7799 和ISO 13335。