與信息安全的發展壹樣,信息安全技術在不同階段也表現出不同的特點。在通信安全階段,針對數據通信的保密性要求,人們對密碼學理論和技術的研究和應用已經逐漸成熟。隨著計算機和網絡技術的快速發展,信息安全階段的技術需求集中在ISO 7498-2標準中規定的各種安全機制上。這些安全機制的共同特征是對信息系統的機密性、完整性和可用性的靜態保護。在互聯網已經遍布全球的今天,以IATF(Information Assurance Technology Framework,信息保障技術框架)為代表的標準和規範為我們勾勒了壹個更加全面和廣泛的信息安全技術框架。此時的信息安全技術不再是基於單壹的防護,而是結合了防護、檢測、響應、恢復等關鍵環節的完整體系。總而言之,典型的信息安全技術包括:
1).物理安全技術:環境安全、設備安全、媒體安全;
2).系統安全技術:操作系統和數據庫系統的安全;
3).網絡安全技術:網絡隔離、訪問控制、VPN、入侵檢測、掃描評估;
4).應用安全技術:電子郵件安全、網絡訪問安全、內容過濾、應用系統安全;
5).數據加密技術:軟硬件加密,實現數據信息的身份認證和CIA特征;
6).認證和授權技術:密碼認證、SSO認證(如Kerberos)、證書認證等。
7).訪問控制技術:防火墻、訪問控制列表等。
8).審計跟蹤技術:入侵檢測、日誌審計、甄別取證;
9).反病毒技術:單機反病毒技術逐漸發展成為整體反病毒系統;
10).災難恢復和備份技術:業務連續性技術,前提是數據的備份。
解決信息和信息系統的安全問題,不局限於技術,更重要的是管理。安全技術只是信息安全控制的壹種手段。安全技術要發揮應有的作用,必須有相應的管理程序支持。否則,安全技術只能變得僵化和失敗。如果說安全技術是信息安全的建築材料,那麽信息安全管理就是真正的粘合劑和催化劑。只有自始至終在安全建設的各個環節實施有效的安全管理,才能保證信息安全的長期性和穩定性。
在現實世界中,大多數安全事件的發生和安全風險的存在都是由於管理不善而非技術原因造成的。理解並重視管理在信息安全中的關鍵作用,對於實現信息安全的目標尤為重要。我們常說信息安全是三分技術七分管理,可見管理對於信息安全的重要性。
從概念上講,信息安全管理作為組織完整管理體系的重要組成部分,構成了信息安全的主動部分,是引導和控制組織信息安全風險的協調活動,其目標是組織的信息資產。
安全管理涉及壹個組織的信息評估、開發和記錄,以及執行政策、標準、程序和準則,以實現機密性、完整性和可用性。安全管理需要識別威脅,對資產進行分類,並根據漏洞分類有效地實施安全控制。
安全管理和其他管理問題壹樣,也要解決組織、制度、人員的問題。具體來說,就是建立信息安全管理的組織機構並明確職責,建立健全安全管理制度,強化人員的安全意識,進行安全培訓和教育。只有這樣,信息安全管理才能包括安全規劃、風險管理、應急預案、意識培訓、安全評估、安全認證等各個方面。
需要註意的是,人們對信息安全管理的認識是在信息安全技術之後逐漸深化和發展起來的,關於信息安全管理的標準和規範並沒有安全技術那麽多。最有代表性的是BS 7799和ISO 13335。