如何设置系统安全？

centralsundata

我们在对企业信息化建设的系统安全进行规划时，遵循了以下原则：
n需求、风险、代价平衡分析的原则
对一个信息系统来说，绝对的安全难以达到，也不一定必要。对一个信息系统的安全策略的确定，需要对系统面临的威胁及可能承担的风险进行定性和定量相结合的分析，然后制订规范和措施，确定本系统的安全策略。保护成本和被保护的信息的价值必须平衡，价值仅1万元的信息如果花费5万元去保护显然是错误的。
n综合性、整体性原则
对一个信息系统来说，其较好的安全策略应该是系统各个方面、各种安全措施综合运用的结果。一个信息系统的安全策略包含了设备、网路、个人、操作系统、数据库系统等各个方面，要在总体上去分析、看待每一各环节，从整体去考虑每一个环节对整个系统的影响，才能制订出较好的安全策略。
n多重保护原则
任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。
n一致性原则
安全措施的实施要和信息系统同步建设，相比等到信息系统建好才考虑安全措施要容易的多，并且费用相对要少的多，避免重复投资。
n易操作性
安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。
n适应性、灵活性原则
安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。

综合上述原则，提出了几个方面的安全措施来保证信息系统的安全：
u系统安全方案；
u网络安全方案；
u数据安全方案；
u软件安全方案；

[ 本帖最后由 centralsundata 于 2007-4-23 10:39 编辑 ]