Cómo gestionar la seguridad de los sistemas de información
(A) Descripción general de los sistemas de información y sus características
Los sistemas de información son redes modernas de recursos de información muy complejas basadas en sistemas informáticos y sistemas de comunicación. . El sistema informático es el núcleo del sistema de información, compuesto por software y hardware, y completa el procesamiento automático de la información. El sistema de comunicación consta de estaciones de trabajo, redes informáticas y redes de comunicación que pueden transmitir datos entre líneas y computadoras o entre líneas y equipos terminales. La combinación de sistemas informáticos y sistemas de comunicación permite la transmisión y el procesamiento de información dinámica, aleatoria e instantánea para trascender las barreras geográficas y lograr la interconexión global.
Las nueve características de los sistemas de información son la apertura del sistema, el disfrute de los recursos, la alta densidad de almacenamiento del medio, la accesibilidad mutua de los datos, la agregación de información, la dificultad de la confidencialidad y los efectos del magnetismo residual del medio, las fugas electromagnéticas y la vulnerabilidad de las redes de comunicación.
Obviamente, estas características están estrechamente relacionadas con la seguridad del sistema de información y determinan las características inseguras del sistema de información. Las características anteriores del sistema de información plantean peligros potenciales para su seguridad. Si se explotan estas características, se perderán grandes recursos del sistema e incluso pueden afectar la vida o la muerte de la organización empresarial. Por tanto, es necesario fortalecer la gestión de seguridad de los sistemas de información.
(2) Descripción general de los principios y tecnologías de seguridad de los sistemas de información.
1. Conceptos básicos de seguridad de los sistemas de información
Con el desarrollo de la tecnología de la información, la seguridad de los sistemas de información en todos los niveles de las actividades sociales y económicas como operaciones, control de gestión, empresa. Planes de gestión y toma de decisiones estratégicas. El ámbito de aplicación sigue ampliándose y desempeña un papel cada vez más importante. Lo que se procesa y almacena en el sistema de información no es sólo información de procesamiento comercial diario e información técnica y económica, sino también información de planificación y toma de decisiones de alto nivel de empresas o gobiernos, una parte considerable de la cual es extremadamente importante y necesita ser mantenido confidencial. La tendencia a la informatización social ha llevado a una dependencia cada vez mayor de los sistemas de información en todos los aspectos de la sociedad. Cualquier daño o fallo de los sistemas de información tendrá un enorme impacto en los usuarios e incluso en la sociedad en su conjunto. La vulnerabilidad de la seguridad de los sistemas de información es cada vez más evidente. La seguridad de los sistemas de información es cada vez más importante.
La seguridad del sistema de información se refiere a las medidas de protección de seguridad tomadas para los sistemas de información para evitar que el funcionamiento del sistema de información sufra daños accidentales o provocados por el hombre o el uso ilegal de recursos de información. Existen siete factores principales relacionados con la seguridad de los sistemas de información:
1) Factores naturales y de fuerza mayor: se refiere a factores como terremotos, incendios, inundaciones, tormentas, violencia social o guerras que pondrán en peligro directamente la seguridad física. de sistemas de información.
2) Hardware y factores físicos: se refiere a la seguridad y confiabilidad del hardware y el entorno del sistema, incluida la seguridad de las instalaciones de la sala de computadoras, los cuerpos principales de las computadoras, los sistemas de almacenamiento, los equipos auxiliares, las instalaciones de comunicación de datos y el almacenamiento de información. medios de comunicación.
3) Factores de ondas electromagnéticas: Los sistemas informáticos y los canales de transmisión de información y datos que controlan producirán radiación de ondas electromagnéticas durante el proceso de trabajo, que puede ser fácilmente detectada y recibida por receptores de radio dentro de un determinado rango geográfico. posiblemente a través de radiación electromagnética causando fuga de información. Además, las ondas electromagnéticas espaciales también pueden causar interferencias electromagnéticas en el sistema y afectar el funcionamiento normal del sistema.
4) Factores de software: la eliminación, copia y robo ilegales de software provocarán pérdidas en el software del sistema y pueden provocar fugas. Los virus de redes informáticas también utilizan software como medio para invadir un sistema y destruirlo.
5) Factor de datos: se refiere a la seguridad de la información de los datos durante el almacenamiento y la transmisión. Es el núcleo de los delitos informáticos y el foco de la seguridad y la confidencialidad.
6) Factores humanos y de gestión: involucra la calidad y responsabilidad del personal, así como estrictos sistemas de gestión administrativa y leyes y regulaciones para prevenir amenazas directas a la seguridad del sistema causadas por factores humanos activos.
7) Otros factores: se refiere a todos los factores que pueden minimizar la pérdida cuando ocurre un problema de seguridad en el sistema, limitar el impacto dentro del rango permitido y garantizar la recuperación rápida y efectiva de la operación del sistema.
2. Clasificación de las medidas de protección de seguridad de los sistemas de información y sus interrelaciones.
Las medidas de protección de seguridad del sistema de información se pueden dividir en dos categorías: técnicas y no técnicas:
1) Medidas de seguridad técnicas: se refiere al uso de medios técnicos directamente relacionados con el sistema. para prevenir accidentes de seguridad
2) Medidas de seguridad no técnicas: se refiere al uso de gestión administrativa, protección legal y otras medidas físicas para prevenir la ocurrencia de incidentes de seguridad, que no están controlados por el sistema de información pero impuesto sobre ello.
Contrariamente a la imaginación de la gente, de hecho, entre las medidas de protección de seguridad del sistema, las medidas de seguridad técnicas representan una proporción muy pequeña, y la mayoría son medidas de seguridad no técnicas. Las dos se complementan y promueven entre sí. y se complementan entre sí. Los trabajadores de la información deben comprender que la seguridad de los sistemas de información no es sólo una simple cuestión técnica. La gestión estricta y la legalidad son las garantías fundamentales para la seguridad y confiabilidad del sistema.
3. Descripción general de los principales riesgos de seguridad en los sistemas de información
Los sistemas de información que se han utilizado ampliamente en la vida social y económica son extremadamente frágiles. Los riesgos de seguridad del sistema frecuentes incluyen:
1) Peligros de entrada de datos: durante el proceso de entrada de datos al sistema a través del dispositivo de entrada, los datos de entrada se alteran o adulteran fácilmente;
2) Peligros de procesamiento de datos: el hardware de procesamiento de datos se destruye o roba fácilmente, es susceptible a interferencias electromagnéticas o fugas de información debido a la radiación electromagnética;
3) Peligros ocultos en las líneas de comunicación: la información en las líneas de comunicación se intercepta fácilmente y las líneas se destruyen o roban fácilmente;
4) Peligros ocultos en los sistemas de software: los sistemas operativos, los sistemas de bases de datos y los programas se modifican o destruyen fácilmente;
5) Peligros ocultos en los sistemas de salida: es probable que el equipo que genera información causar fuga de información o robo.
4. Visión general de la seguridad física y seguridad técnica de los sistemas de información.
La seguridad física del sistema de información se refiere a las medidas tomadas para garantizar la seguridad de diversos equipos e instalaciones ambientales del sistema de información, incluido principalmente el entorno, los equipos y las instalaciones del sitio, el suministro de energía, el aire acondicionado y la purificación, el blindaje electromagnético. y medios de almacenamiento de información Esperando seguridad.
La seguridad técnica de los sistemas de información es el uso de medios técnicos dentro del sistema de información para evitar el uso ilegal de los recursos del sistema y el acceso ilegal a los recursos de información.
La seguridad de los recursos de información se puede dividir en dos categorías: dinámica y estática. La seguridad dinámica se refiere a las medidas de control en el proceso de acceso a la información de los datos; la seguridad estática se refiere a las medidas de cifrado en el proceso de transmisión y almacenamiento de información.