與信息安全的發展歷程壹樣,信息安全技術在不同的階段也表現出不同的特點。在通信安全階段,針對數據通信的保密性需求,人們對密碼學理論和技術的研究及應用逐漸成熟了起來。隨著計算機和網絡技術的急遽發展,信息安全階段的技術要求集中表現為ISO 7498-2 標準中陳述的各種安全機制上面,這些安全機制的***同特點就是對信息系統的保密性、完整性和可用性進行靜態的防護。到了互聯網遍布全球的時期,以IATF(信息保障技術框架)為代表的標準規範為我們勾畫出了更全面更廣泛的信息安全技術框架,這時的信息安全技術,已經不再是以單壹的防護為主了,而是結合了防護、檢測、響應和恢復這幾個關鍵環節在壹起的動態發展的完整體系。歸納起來,典型的信息安全技術包括:
1).物理安全技術:環境安全、設備安全、媒體安全;
2).系統安全技術:操作系統及數據庫系統的安全性;
3).網絡安全技術:網絡隔離、訪問控制、VPN、入侵檢測、掃描評估;
4).應用安全技術:Email 安全、Web 訪問安全、內容過濾、應用系統安全;
5).數據加密技術:硬件和軟件加密,實現身份認證和數據信息的CIA 特性;
6).認證授權技術:口令認證、SSO 認證(例如Kerberos)、證書認證等;
7).訪問控制技術:防火墻、訪問控制列表等;
8).審計跟蹤技術:入侵檢測、日誌審計、辨析取證;
9).防病毒技術:單機防病毒技術逐漸發展成整體防病毒體系;
10).災難恢復和備份技術:業務連續性技術,前提就是對數據的備份。
解決信息及信息系統的安全問題不能只局限於技術,更重要的還在於管理。安全技術只是信息安全控制的手段,要讓安全技術發揮應有的作用,必然要有適當的管理程序的支持,否則,安全技術只能趨於僵化和失敗。如果說安全技術是信息安全的構築材料,那信息安全管理就是真正的粘合劑和催化劑,只有將有效的安全管理從始至終貫徹落實於安全建設的方方面面,信息安全的長期性和穩定性才能有所保證。
現實世界裏大多數安全事件的發生和安全隱患的存在,與其說是技術上的原因,不如說是管理不善造成的,理解並重視管理對於信息安全的關鍵作用,對於真正實現信息安全目標來說尤其重要。我們常說,信息安全是三分技術七分管理,可見管理對於信息安全的重要性。
從概念上講,信息安全管理(Information Security Management)作為組織完整的管理體系中壹個重要的環節,構成了信息安全具有能動性的部分,是指導和控制組織的關於信息安全風險的相互協調的活動,其針對對象就是組織的信息資產。
安全管理牽涉到組織的信息評估、開發和文檔化,以及對實現保密性、完整性和可用性目標的策略、標準、程序及指南的實施。安全管理要求識別威脅、分類資產,並依據脆弱性分級來有效實施安全控制。
同其他管理問題壹樣,安全管理也要解決組織、制度和人員這三方面的問題,具體來說就是:建設信息安全管理的組織機構並明確責任,建立健全的安全管理制度體系,加強人員的安全意識並進行安全培訓和教育,只有這樣,信息安全管理才能實現包括安全規劃、風險管理、應急計劃、意識培訓、安全評估、安全認證等多方面的內容。
應該註意的是,人們對信息安全管理的認識是在信息安全技術之後才逐漸深入和發展起來的,關於信息安全管理的標準和規範也沒有安全技術那麽眾多,最有代表性的,就是BS 7799 和ISO 13335。