毋庸置疑，服務(wù)北京奧運(yùn)的信息安全體系，具有更高水平的智能性以及主動(dòng)防御性，但這只是安全系數(shù)的增加，并不保證萬(wàn)無(wú)一失，面對(duì)更具隱蔽性、迷惑性而且變化多端的網(wǎng)絡(luò)***，我們更想知道的是 “目前的控制措施是否到位？”，“我們還可能面臨什么的安全問(wèn)題？”，“現(xiàn)有平臺(tái)和管理機(jī)制還存在什么樣的安全隱患和漏洞？”一言以蔽之，奧運(yùn)信息安全與否，到底誰(shuí)說(shuō)了算？ 網(wǎng)御神州信息安全高級(jí)顧問(wèn)盧青認(rèn)為，應(yīng)當(dāng)從信息安全風(fēng)險(xiǎn)評(píng)估中尋找答案。一方面通過(guò)“實(shí)施評(píng)估”可以科學(xué)的認(rèn)識(shí)現(xiàn)有系統(tǒng)的管理中面臨的隱患和風(fēng)險(xiǎn)，而“脆弱性”識(shí)別將有助于發(fā)現(xiàn)與最佳實(shí)踐之間的差距。另一方面，必要的風(fēng)險(xiǎn)分析會(huì)為后期采取怎樣的安全措施提供理論依據(jù)，具體到操作層面上，比如經(jīng)常用到的“威脅分析”，就能夠幫助管理員確認(rèn)在什么時(shí)間、什么地點(diǎn)和什么樣的條件下可能會(huì)受到什么樣的***，從而做到有備無(wú)患，因此從某種意義上看，評(píng)估比建設(shè)更重要。同時(shí)由于信息安全是個(gè)動(dòng)態(tài)發(fā)展的過(guò)程，因此評(píng)估工作也就如同體檢一樣，應(yīng)當(dāng)確立成為一項(xiàng)長(zhǎng)效機(jī)制。 一般來(lái)講，信息安全體系常規(guī)的評(píng)估手段有以下幾種：工具掃描、人工評(píng)估、問(wèn)卷與訪談以及***測(cè)試的方式，而目前國(guó)際上最流行的方式是將“白盒測(cè)試”和“黑盒測(cè)試”相融合，模擬和分析各種威脅，深入發(fā)現(xiàn)安全漏洞和隱患，最終根據(jù)“風(fēng)險(xiǎn)分析”的方法最終確認(rèn)安全與否。但在實(shí)際評(píng)估中，由于時(shí)間、環(huán)境和技術(shù)等限制會(huì)用到其中的一到兩種，而這將取決于開(kāi)展評(píng)估的主要目的和時(shí)間要求等。 在奧運(yùn)會(huì)期間，各方最關(guān)注的是涉奧的IT業(yè)務(wù)系統(tǒng)能否安全穩(wěn)定的運(yùn)行，能否為奧運(yùn)期間全世界來(lái)華運(yùn)動(dòng)員、裁判員、教練員等提供優(yōu)質(zhì)服務(wù)，為此在這些系統(tǒng)上線前要經(jīng)過(guò)充分的測(cè)試和評(píng)估，盡可能全面的分析在奧運(yùn)會(huì)期間可能面臨的各類(lèi)風(fēng)險(xiǎn)，以及系統(tǒng)中由于技術(shù)、管理等限制所造成的各類(lèi)安全隱患，所以一方面會(huì)深入的進(jìn)行各項(xiàng)白盒測(cè)試，另一方面也應(yīng)當(dāng)模擬黑盒測(cè)試，從而確保系統(tǒng)的相對(duì)穩(wěn)定和安全，也為準(zhǔn)備日常安全維護(hù)和應(yīng)急預(yù)案奠定基礎(chǔ)。 在奧運(yùn)會(huì)期間，全世界的來(lái)華人員有著各種不同的生活習(xí)慣，包括對(duì)于IT資源的使用，所以在信息安全評(píng)估的過(guò)程中“分析威脅”是實(shí)施評(píng)估的難點(diǎn)，也就是很難把問(wèn)題考慮周全，雖然有一些往界奧運(yùn)會(huì)的經(jīng)驗(yàn)可以借鑒，但針對(duì)中國(guó)以及中國(guó)企業(yè)和組織的實(shí)際情況，還是很難分析清楚和全面分析威脅，這方面的經(jīng)驗(yàn)還需要不斷的積累。 信息安全沒(méi)有絕對(duì)的安全，安全的標(biāo)準(zhǔn)就是“考慮周全、從容應(yīng)對(duì)”，無(wú)論是什么樣的控制和部署也許都會(huì)存在被威脅利用的可能性，所以針對(duì)涉奧系統(tǒng)的安全建設(shè)，就是要從風(fēng)險(xiǎn)的角度，正確認(rèn)識(shí)系統(tǒng)所對(duì)應(yīng)的機(jī)密性、完整性和可用性，并通過(guò)安全防護(hù)、信任、監(jiān)控和審計(jì)的綜合部署，從管理和技術(shù)的各個(gè)角度進(jìn)行全面控制可以加強(qiáng)信息安全保障水平，當(dāng)然這也包括出現(xiàn)安全問(wèn)題后的應(yīng)急流程和措施，也就是我們所提到的應(yīng)急預(yù)案。 信息安全工作是一個(gè)長(zhǎng)效、持久的工作，只要業(yè)務(wù)發(fā)展，系統(tǒng)運(yùn)行，網(wǎng)絡(luò)提供服務(wù)，安全工作就一天都不能夠懈怠，奧運(yùn)來(lái)臨之際，希望各有關(guān)部門(mén)能正確面對(duì)自身系統(tǒng)，儲(chǔ)備一些有效的資源，加強(qiáng)對(duì)于業(yè)務(wù)系統(tǒng)和平臺(tái)的安全防護(hù)和監(jiān)控審計(jì)，制定必要的流程和制度規(guī)范，在技術(shù)力量和管理機(jī)制方面能夠做到有的放矢，相信一定能夠安全穩(wěn)定地為奧運(yùn)提供高效服務(wù)。 職場(chǎng) 安全 奧運(yùn)

0

分享

微博 QQ 微信

收藏

上一篇：利用加密軟件告別“泄密門(mén)” 下一篇：一鍵GHOST v2008.08... shichuang

41篇文章，1W+人氣，0粉絲

Ctrl+Enter?發(fā)布

發(fā)布

取消

推薦專(zhuān)欄更多

網(wǎng)絡(luò)安全入門(mén)到實(shí)戰(zhàn)，讓SQLmap子彈飛一會(huì)兒

9本網(wǎng)絡(luò)安全實(shí)戰(zhàn)書(shū)籍精華

共23章?|?simeon2005

￥51.00 831人訂閱

訂???閱 Web網(wǎng)站安全評(píng)估分析及防御

企業(yè)級(jí)網(wǎng)安運(yùn)維

共30章?|?simeon2005

￥51.00 409人訂閱

訂???閱 負(fù)載均衡高手煉成記

高并發(fā)架構(gòu)之路

共15章?|?sery

￥51.00 508人訂閱

訂???閱

猜你喜歡

我的友情鏈接 我是你的誰(shuí)？ 網(wǎng)絡(luò)安全思維導(dǎo)圖（全套11張） Java線程：線程的調(diào)度-休眠 我們不得不面對(duì)的中年職場(chǎng)危機(jī) 詳解Linux運(yùn)維工程師高級(jí)篇（大數(shù)據(jù)安全方向） 職場(chǎng)終極密籍--記我的職業(yè)生涯 用光影魔術(shù)手制作一寸照片（8張一寸） NGINX安全配置和限制訪問(wèn) 如何使用Nikto漏洞掃描工具檢測(cè)網(wǎng)站安全 bind + DNSCrypt 實(shí)現(xiàn)安全加密轉(zhuǎn)發(fā)，避免DNS污染 nginx安全優(yōu)化與性能優(yōu)化 通過(guò)關(guān)鍵字獲取漏洞平臺(tái)最新漏洞信息 11月10日直播：EVE-NG模擬器入門(mén)和老司機(jī)心得分享，你來(lái)不來(lái)？ 網(wǎng)工2.0 - 給你一次逆襲的機(jī)會(huì) python-dnspod：批量添加域名、解析記錄和修改解析記錄等 H3C室外無(wú)線AP（WA4320X）胖瘦切換設(shè)置方法 網(wǎng)絡(luò)運(yùn)維 - 你與真相就差一層窗戶(hù)紙 F5負(fù)載均衡上使用iRule 來(lái)選擇SNAT pool 高校智能DNS解析技術(shù)總結(jié)分析

掃一掃,領(lǐng)取大禮包

0

分享 shichuang

轉(zhuǎn)載于:https://blog.51cto.com/shichuang/90278

總結(jié)

以上是生活随笔為你收集整理的奥运信息安全谁说了算？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。