| 个完整的内网安全体系不可或缺的管理控制对象。明朝万达内网安全专家指出,应用和网络是整个内网信息系统的重要组成部分,应用是内网信息系统的主要体现形式,网络则是内网信息系统的主要数据通道,应用的安全性和网络的安全性与其他内网信息系统的安全性是息息相关的。所以一个完整的内网安全体系,应该对应用和网络采取身份鉴别和授权管理等措施,确保应用和网络的安全性。
由上面的分析可以看出,信息安全等级保护和内网安全关注的对象是一致的,其关心的实际内容也基本是相同的。
2.安全等级保护和内网安全采用的措施是相同的
仔细分析《计算机信息系统安全保护等级划分准则(GB17859-1999)》和《信息系统安全等级保护基本要求(试用稿)》可以看到,对于各种等级保护对象,主要采用了身份鉴别、访问控制、数据加密、安全审计、逻辑划分和资源控制等技术措施来实现,这与完善的内网安全体系实现的技术措施是相一致的。
Chinasec内网安全专家指出,一个完整的内网安全系统,应该是以身份认证(身份鉴别)为基础、以数据安全(数据加密)和授权管理(访问控制)为核心,以监控审计(安全审计)为辅助的完整管理体系,这跟信息安全等级保护的思想和要求是不约而同的。
3.内网安全体系的建设是落实等级保护工作的关键
综合上面的分析可以看出,内网安全体系的建设理论,跟信息安全等级保护的思想非常一致,究其根本,是因为两者都是基于信息化程度越来越高和信息系统关系越来越复杂这样一个背景下,需要提出一个完整和系统的信息安全解决方案,以建立一个完整有效的信息安全保障体系。
当然,信息安全等级保护标准和工作,主要是从信息系统安全管理的高度出发,对整个信息系统的安全提出要求;而内网安全理论则从技术角度出发,提出构建一个完整的内网信息安全体系的实现方法。可以看出,内网安全体系的建设是信息安全等级保护工作的技术实现,也是落实信息安全等级保护工作 上一页 [1] [2] [3] 下一页
责任编辑:lz |
