|
|
发表于 2016-9-25
|
|阅读模式
网络音视频广播已经成为一种迅速发展的、为越来越多的受众所接受的一种媒体。而这种媒体在技术上受到网络技术发展的制约,这是它的本质所决定的。构建一个安全、稳定、可运行的媒体平台是基础,也是第一步要做到的。
首先要明确的是如何定义“安全”。国际公认的ISO/IECIT安全管理指南(GMITS)对信息给出如下解释:信息是通过施加于数据上的某些约定,使当前数据具备了特定含义。这里面包含了几个方面:保密性(Confidentiality):保障信息只为被授权人获取;2.完整性(Integrity):保护信息及其处理方法的准确性;3.可用性(Availability):保障授权人在需要时间内对信息的使用。信息安全是一项全面的系统工程,脱离应用或者脱离服务的安全只不过是“空中楼阁”,对于用户重要的是应用服务的保证,对于系统重要的是强壮的防攻击性能以及重要的自适应功能,这里需要说明的不单单是每台SERVER的性能,而是包括服务器硬件、系统安全管理人员、各种安全保障制度和为一体的整体的系统。
对于一个完整的安全策略包含有三个因素:人员组织、管理机制以及技术措施。把技术措施放在最后并不是说我们不重视技术,技术是实现安全的保障,但是根据无数实际的例子,在一个整体的安全系统中更重要的,或者说更容易被人忽视而导致严重后果的往往是前两项。人是一切主观能动性的个体的集合,人员的组织管理是任何系统中都不应被遗忘的,可惜的是许多安全实施方案仅仅关注设备的安全,技术的安全,全面一些的还包括应用的安全,但是对于人员的组织管理却鲜有过问。人员的组织管理主要应该包括:安全策略委员会(领导层面,制定全面完整可持续发展的安全策略)、安全专员及安全工作小组(具体实施的系统管理、病毒防治、入侵检测等工作)以及安全顾问专家组。管理制度是另一个重要的方面,完善的各级人员安全培训及安全手册,涉及的人员主要包括系统管理人员和办公业务人员,良好的管理制度可以避免超过半数的安全事故。具体的技术措施包涵:物理环境、人员管理、线路管理、网络设备、主机系统、数据库、数据资源、安全系统等几个方面。
现有的信息安全还存在很大问题,从宏观角度来说:国家的法律法规不健全,不符合或者说滞后于技术的发展;组织建设、制度建设没有相应的标准,无律可询;现有的国家信息技术不发达,大部分核心技术掌握在国外厂商手中。从微观角度看:缺乏安全意识及认识,安全意识落后,安全认识不足;重技术轻管理,依赖于某些安全技术产品,缺乏配套管理、缺乏系统思想,静态的,就事论事的点思维。
构建一个可以提供满意服务的安全系统首先需要三个条件:是否将安全作为信息系统重要建设部分、是否成立了内部安全组织、是否为信息安全建立了可持续发展的计划。同时还有一些避免存在的安全体系和策略建立误区:从安全技术出发,依赖于某几种安全技术构建安全体系和策略,大部分公司倒是乐于这样行事,看上去更像是产品推销与采购,可惜安全不论是现在还是将来永远也不会依靠一两种技术、一两台设备而实现;从安全漏洞出发,防范某几个安全漏洞而构建安全体系和策略,这是一种补漏的行为方式,一时救急或许可以见效,但是头痛医头、脚痛医脚的思维结果不可能实现真正健康的系统。信息系统的建设要针对业务应用和安全保障需求。就象其他工程的第一步是需求考察一样,安全系统首先要确认自身重要服务的应用保障,包括具体的业务应用,符合自身业务流程的应用流程。这样才能建立符合应用流程的安全保障流程,应用系统与安全保障体系构成完整的信息系统。 |
|
