|
||||
|
||||||||
获得LAN安全性需要分析公司数据 IDG电讯IDG电讯 |
|
网络安全保护将不会完全保证一个公司的网络和它所包括的关键公司信息安全,但 是通过建立信息安全计划有可能改善系统的安全性、可用性和完整性。 不管是哪种类型的业务,估值和管理信息的过程是十分类似的。首先,你必须确定公 司数据类型的价值,随后便应决定谁可以访问它。从这里便可开始建立保护哪种数据的最 为经济的方法。 按照信息的内在价值、敏感度或保密性对信息进行分类,确定公司信息的价值。对信 息进行标记将有助于你计算应使用哪种类型的控制和进程来保护它。这里应将类别号限制 到适当的总量,因为太多的类别将使实现十分复杂。 在维持商业功能上文件的价值可通过确定信息的关键性来计算。 一旦标识了关键业务信息,便有可能确定为支持该信息所需要的系统、应用和信息。 需要高级保护的典型关键领域信息与公司金融、工资单、商业计划、客户计划、客户文件 、销售数字和课题有关。 需要什么级别的保护 你应首先检查公司信息的敏感度或保密度。如果这种信息偶然 或有意泄露,将产生何种结果? 一般情况下,公司信息只有一小部分是极其保密的,因而需要最严格的保护手段。大 部分情况下,这种数据密级为“商业秘密”。专门的保护可以包括严格的口令控制、数据 加密,受限制的备分和有选择的恢复,以限制访问和检索。 另一类涉及个人信息或“个人秘密”,可以包括从雇员的医疗情况、个人档案到个人 电子邮件的各个方面。 这是一个微妙的领域。有些公司可能将所有在公司信息系统上的通信都由公司管理, 另一些公司则尊重个人的隐私权,并对其雇员的个人记录和医疗进行保护。所有这些在你 的安全计划中必须小心明确地用文档规定。 最后一类是“无类信息”,它包括与公司及其活动有关的所有一般信息。这种数据对 某种功能无特定意义,只是不应扩散到该公司外的人员中。 信息流 一旦研究了公司的所有信息并对其进行分类,便需要跟踪信息流如何流经你 的机构。在分布式网络环境中,敏感信息容易流经工作组、部门和一些位置。 敏感文件可能驻留在较多的位置。为完成这一步骤,需要了解谁使用和访问不同类型 的信息。这需要列出能访问和保密信息的所有部门、工作组和个人。 你必须标共享、传送和计算信息的应用号码和类型。 跟踪信息流是较困难的工作,因为客户机/服务器、群体、映像和其它分布式网络应 用不断增加。一旦标识了用户和应用,信息系统管理就能较好地控制敏感信息的信息流, 不必严格限制资源共享。 例如,你的研究可能表明在减少文件驻留位置的需求,其方法是限制拷贝文件、散发 文件和备分文件的次数。 希望进行严格控制的一些公司正转到文件管理系统。 在你注意信息流的同时,应考虑在信息停止流动时将会产生的结果。如何恢复你的数 据和恢复操作? 详细计算中断关键商业活动和分类信息的恢复所造成的损失。开发将各种形式的数据 进行恢复的计划,并能在遇到灾难时能使设备工作恢复。 现在你已评估了公司的信息性质,便可开始进行安全计划开发,用以保护信息。你必 须妥善处理保密和访问的孰重孰轻需要,并考虑在此过程中最终用户的作用。 系统用户常常对安全策略的成功或失败具有最大的影响,因此应将现实的危险性评估 价和恢复策略统一考虑,形成一种每个人都能接受的安全策略。 (计算机世界报 1994年 第20期) |
周报全文频道联系方式:010-68130909 |
||||||
| 【关于我们】 【广告服务】 【周报发行】 【投稿指南】 【投稿声明】 【联系方式】 【法律声明】 【媒体手册】 【编读往来】 |
||||||
| Copyright© ccw.com.cn,All rights reserved | ||||||
| 中国计算机世界出版服务公司版权所有 | ||||||