일반적으로 정보 보안에는 운영 보안 (주로 네트워크와 컴퓨터로 구성된 플랫폼), 트랜잭션 보안 (전송 중 데이터 보안), 컨텐츠 보안, 개인 또는 단위 개인 정보 보호 등이 포함됩니다. 몇 년 전, 정보 보안에 대해 이야기하는 것은 정부 부문으로 제한되었고, 대부분 콘텐츠 보안과 누설 방지에 관한 것이었다. 그러나 최근 몇 년 동안, 새로운 경제 환경에서 모든 사람의 생활은 인터넷과 매우 밀접한 관계가 형성되었다. 정부와 기업의 관심이 높아지면서 다양한 보안 기술과 제품이 등장했습니다. 하지만 왜 강력한 방어 기술로 정보 보안 문제가 증가하고 있는지 생각해 볼 필요가 있습니다. 침입 및 침입 방지 기술은 항상' 도고 1 피트, 마고 1 장' 의 활극을 연출하고 있습니다. 중국에서 정보 보안 응용의 가장 큰 위험은 어디입니까? 그것의 핵심은 무엇입니까?
관리: 정보 보안 응용 프로그램의 가장 큰 취약점
미국이 중국 해커에 의해 공격당한 사이트 중 정부 사이트가 3%, 중국에서는 정부 사이트가 37% 이상을 차지하는 것으로 집계됐다. 이 수치는 우리나라 정부 사이트 관리의 부적절함을 충분히 보여준다. 사실 미국인들이 채택한 공격 수단은 결코 고명하지 않다. 많은 기술적 허점은 중국인이 가장 먼저 발견하고 발표한 것이다. 하지만 경영에 대한 중시가 부족해 다른 사람들이 간단한 기술을 이용해 허점을 뚫게 한 것도 바로 그것이다.
안전 관리 의식을 높이는 것이 시급하다. 중국 국립컴퓨터네트워크와 정보안전연구소 주임 백씨는 인터뷰에서 "현재 우리나라 정보보안의 가장 큰 기술적 위험은 운영 체제, 마이크로전자 칩, 라우터 등 핵심 기술이 다른 사람의 손에 장악되어 있는 것이 매우 심각한 문제" 라고 말했다. 중국 같은 대국에는 자체 핵심 기술이 없다. 모든 정보시스템이 모래사장에 세워진 것처럼. 만약 약간의 교란이 있다면, 우리는 균형을 잃을 것이다. 최근 중국 국방과학기술대가 자체 개발한 핵심 라우터를 내놓았고, 중과원 소프트웨어소도 그에 상응하는 안전운영 체제 소프트웨어를 내놓았지만, 막 시작한 기술들이 출시까지 아직 갈 길이 멀고, 이렇게 큰 응용시장에 직면했는데, 이 돌파구는 역시 물 한 잔이다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), 과학명언)
그렇다면 현재의 문제를 어떻게 해결할 수 있을까요? 외국 제품만 사용할 수 있는 상황에서 어떻게 정보의 안전을 보장할 수 있습니까? 기존 조건에서 몇 가지 의문점을 어떻게 해결할 수 있습니까? 백설선생은 가장 직접적이고 효과적인 방법 중 하나가 관리선을 강화하고 엄격한 제도로 기술적 부족을 메우는 것이라고 생각한다. 최근 몇 년 동안, 정보 보안의 보호를 강화 하기 위해, 중국 정부 기관은 인트라넷과 엑스트라넷을 분리 하는 전략을 구현 하지만, 엄밀히 말하면, 이러한 격리는 밖에 서, 내부 되지 않습니다. 사실, 아무리 선진적인 보안 기술도 내부로부터의 공격을 막을 수 없다. 선진 기술은 사람의 문제를 해결할 수 없다. "집안 도둑은 막기 어렵다" 는 것은 잘 알려진 도리이다. 베이징우편대학 정보안전센터 양이씨는 정보안전관리에 몇 가지 문제가 있다고 말했다. 하나는 CA (디지털인증서 인증센터) 건설이다. 현재 국내 CA 인증 기관은 20 곳이 넘지만, 한 집만으로도 충분하다. 두 번째는 바이러스, 네트워크 보안, 암호화 등을 포함한 현재의 보안 문제입니다. , 또한 여러 부서에서 관리하며, 각각 고유한 기준을 가지고 있습니다. 표준 제어 방법을 확보하기 위해 통합 부서, 통합 관리 인증 및 모든 보안 문제를 설정하는 것이 좋습니다.
투자 불균형: 정보 보안 응용 프로그램의 숨겨진 위험 중 하나
정보 보안의 기술 및 관리 불균형도 투자에 뚜렷하게 나타난다. 현재 우리나라 대부분의 기업사업단위는 정보시스템을 건립할 때 안전건설에 대한 투입이 전체 시스템의 5% 미만이며, 해외에서의 투자는 일반적으로 10% ~ 15% 입니다. 이 5% 의 투입을 구체적으로 분석하면 하드웨어 설비 투입은 기본적으로 선진국 수준에 가깝고, 서비스 및 관리에 대한 투입은 거의 제로이며, 정보시스템 건설 초기부터 안전벨트에 큰 위험을 초래하고 있다.
그렇다면 기업사업단위가 IT 에 투자하면 안전관리 자금은 어디로 투자해야 할까요? 하나의 정보 시스템에는 많은 관리 문제가 있다. 경우에 따라 정보와 일치하는 관리 메커니즘이 자발적으로 생성되지 않을 수 있습니다. 이때 안전관리는 반드시 구입해야 한다. 즉, 돈을 주고 관리를 사야 한다. 기업 또는 기관은 안전 관리를 전문으로 하는 일부 회사와 협력하여 품질 관리 시스템, 문서 관리 시스템, 조직 시스템, 감독 검사 메커니즘 등을 포함한 관리 시스템을 구축해야 합니다. 각 부서의 특정 보안 요구 사항에 따라 보안 수준을 구성합니다. 직장에서 관리해야 할 업무가 많다. 관리 메커니즘을 잘 사용하지 않으면 안전은 불가능하다.
또 다른 투자는 보안 서비스여야 한다. 정보기술이 계속 발전함에 따라 보안 문제는 네트워크 응용 프로그램이 심화됨에 따라 더 많은 새로운 콘텐츠로 바뀌며 보안 취약점은 막을 수 없다. (윌리엄 셰익스피어, 보안, 보안, 보안, 보안, 보안, 보안, 보안, 보안) 하지만 현재 국내 많은 기업사업단위에서 가장 어려운 것은 각종 보안 시스템 관리 임무를 전면적으로 맡을 수 있는 인재가 부족하다는 점이다. 이 경우, 유일한 선택은 서비스를 사는데 돈을 쓰는 것이다. 그러나 현재 우리나라에서는 각 부서의 보안 서비스 투입이 기본적으로 0 이다.
불균형 기술 분포: 정보 보안 응용 프로그램의 두 번째 숨겨진 위험
백설선생은 현재 국내 시장에서 사이버 안전을 보장하는 제품이 너무 적은 것이 아니라 너무 많다고 생각한다. 그러나 분포의 관점에서 볼 때, 몇 가지 유형의 제품이 너무 집중되어 있다. 예를 들어, 방화벽, 현재 많은 업체들이 방화벽을 만들고 있어 낮은 수준의 중복이 발생하고 있다. 거시적 관점에서 볼 때, 이것은 이상적인 기술 형태가 아니다. 네트워크 보안에는 예방 (취약성 검사, 위험 평가 등) 을 포함한 여러 가지 측면이 있습니다. ), 실시간 감지, 감사, 기록 법의학, 재해 복구, 공격 대응 등 그러나 현재 이러한 보안 고리는 제품 개발에 안전, 감사, 증거 수집, 백업 재해 복구 등 필요한 부분을 제대로 분배하지 못하고 있으며, 제품이 적고 강력한 기술이 없습니다.
정보 산업부 컴퓨터 네트워크 및 정보 보안 센터는 정부의 정보 보안 관리 부서로서 현재 보안 제품 및 서비스의 표준 및 입법 (즉, 보안 제품 및 서비스 인증) 에 대해 매우 우려하고 있습니다. 이들은 곧 사이버 보안 서비스 파일럿 선발 회의를 열고 국가 정보 보안의 발전을 사람들에게 보여 주기 위해 장기적인 보안 규정 및 정책을 도입할 예정입니다. 기준의 경우, 그들은 기존의 작업 방식을 바꾸길 원한다. 이전에 국가가 표준화 연구 임무를 하달하자, 표준 연구에 전문적으로 종사하는 일부 기관들이 착수하기 시작했다. 지금은 이런 방법이 시대 발전에 적응하지 못하는 것 같다. 전담 연구기관이 안전제품 개발의 일선에서 아직 멀기 때문에 일부 전략에 대한 이해에는 큰 차이가 있기 때문이다. 정보산업부는 이런 연구방법을 기업 기반 표준연구방법으로 바꾸고, 진정으로 실력 있는 대기업과 연합하여 표준 제정을 부담하기를 희망하고 있다. (윌리엄 셰익스피어, 정보산업부, 정보산업부, 정보산업부, 정보산업부, 정보산업부)
안전 추구는 발전을 제한해서는 안 된다.
안전은 현대 경제 발전의 가장 큰 장애물이지만, 안보문제가 잘 해결되지 않아 국가와 기업이 발전의 속도를 늦춰야 하지 않겠는가? 안전과 발전의 관계를 논의하기 전에, 우리는 어떤 제도가 안전한지 알아야 한다. 상업 시스템은 결코 정부와 군대만큼 안전하지 않을 것이다. 초상은행 본사 컴퓨터부는 "상업시스템에서 안전은 상대적인 개념이다. 왜냐하면 우리는 절대적인 안전을 추구할 수 없기 때문이다" 고 말했다. 상대적 안전이란 무엇입니까? 첫째로, 안전 문제로 인한 손실은 상업기업이 감당할 수 있는 것이다. 예를 들어, 신용 카드 사업은 위험이 크지만, 은행은 여전히 대규모로 이 업무를 전개하고 있다. 신용카드가 위험하고 수익이 있기 때문에 30% 정도의 이윤을 모집하는 것은 신용카드에서 나온 것이기 때문이다. 둘째, 고객에게 피해를 주지 않도록 보장해야 합니다. 이는 모든 은행 시스템이 따라야 하는 하드 지표입니다. 일단 문제가 생기면, 책임이 고객에게 없다는 증거가 있다면, 은행은 반드시 손실을 부담해야 한다. 이 두 가지 원칙으로 은행은 발전을 도모할 수 있다. "
정보 보안은 포괄적인 문제이며, 정부 부문의 관점에서 보안과 발전도 변증적인 관계이다. 정부 기관의 안전에 대한 수요도 계층적으로 분류된다. 안전선을 돌파하지 않는 한, 발전과 동시에 보완해야 한다. 현재 보안을 보장하는 기술은 여러 가지가 있는데, 그 중 사용자 식별은 매우 중요한 측면이며 모니터링 소프트웨어 설치, 방화벽 등과 같은 서버측 관리도 있습니다. 그러나 요점은 이러한 기술을 사용하여 시스템을 안전하고 사용하기 쉽게 만드는 방법입니다. 일반적으로 시스템이 안전한지 아닌지는 결코 순수한 기술적 문제가 아니다. 업무 관리는 사후 감독, 실시간 모니터링 등 정보 보안 애플리케이션의 모든 측면에 영향을 미치고 있습니다. 관리와 기술 둘 다에서 만반의 실수가 없다면 비교적 안전한 환경을 얻을 수 있다.