시스템 사용 과정에서 각종 안전 위험이 동반된다. 우리가 그것을 무시하거나, 가볍게 생각하거나, 요행을 한다면, 이러한 위험들은 각종 안전사고를 유발하고, 우리에게 헤아릴 수 없는 손실을 초래할 수 있다. 어떻게 시스템의 위험 분석과 안전 보호를 잘 할 것인가는 우리 시스템의 안전한 사용에 매우 중요한 역할을 할 것이다.
정보기술이 발달하면서 정보 시스템은 이미 우리의 생활과 일과 학습에 널리 퍼져 있어 우리에게 큰 변화를 가져왔다. 이 문서에서는 정보 시스템의 위험을 분석하고 적절한 보안 조치를 제시합니다. 시스템 수명 주기 동안 인방, 물방, 기술 방어, 예방 방어 등 보안 조치를 통해 시스템의 안전을 보장하고 정보 시스템을 사용하면 더 나은 생활 즐거움과 업무 학습 경험을 얻을 수 있으며, 시스템 보안 위험의 영향을 줄이거나 제거하여 논의할 수 있습니다.
키워드 정보 시스템 정보 보안 보안 위험 안전보호
1 정보 시스템 위험 분석의 중요성
정보 시스템의 위험은 시스템 계획 시작, 설계 개발 또는 조달, 통합, 운영 유지 보수, 폐기 5 단계 등 전체 시스템 수명주기에 존재합니다. 정보 보안 기술 정보 보안 위험 평가 사양 (GB/T20984-2007) 에서는 설계 단계 중 위험 분석, 시스템의 보안 목표 결정과 같은 정보 시스템 라이프 사이클의 위험 분석 요구 사항을 충분히 설명합니다. 시공 검수 단계에서는 위험 분석을 수행하여 시스템의 안전 목표가 달성되었는지 확인해야 합니다. 운영 및 유지 보수 단계에서는 시스템 보안 조치의 효과를 확인하고 항상 보안 목표를 준수하기 위해 위험 분석을 지속적으로 수행해야 합니다. 시스템 계획 및 시작 단계에서는 주로 정보 시스템의 목적, 요구 사항, 규모 및 보안 요구 사항을 제시하며 위험 분석을 통해 정보 시스템의 보안 요구 사항을 파악할 수 있습니다. 설계, 개발 또는 조달 단계에서 정보 시스템은 주로 설계, 구매, 개발 또는 건설입니다.
위험 분석은 정보 시스템의 보안 분석을 지원할 수 있으며, 이는 시스템 개발 중 아키텍처와 설계 시나리오 간의 균형에 영향을 줄 수 있습니다. 통합 단계에서는 정보 시스템의 보안 기능을 구성, 활성화, 테스트 및 검증해야 합니다. 위험 분석을 통해 시스템 구현 효과 평가, 요구 사항 충족 여부 확인, 시스템 운영 환경이 예상대로 설계되었는지 확인할 수 있습니다. 시스템이 실행되기 전에 위험에 대한 일련의 결정을 내려야 합니다. 운영 및 유지 보수 단계에서 정보 시스템이 역할을 하기 시작했습니다. 일반적으로 시스템은 지속적으로 수정하거나, 하드웨어와 소프트웨어를 추가하거나, 조직의 실행 규칙, 정책 또는 프로세스를 변경해야 합니다. 위험 분석을 통해 시스템을 재평가하거나 주요 변경을 수행하여 시스템이 안정적인 운영 또는 사용 요구 사항을 충족하는지 확인할 수 있습니다.
폐기 단계는 주로 정보, 하드웨어 및 소프트웨어의 폐기를 포함한다. 이러한 활동에는 정보 전송, 백업, 폐기, 폐기, 소프트웨어 및 하드웨어 분류 처리 등이 포함될 수 있습니다. 위험 분석을 통해 시스템 구성 요소를 폐기하거나 교체할 때 하드웨어와 소프트웨어가 적절히 폐기되고, 나머지 정보가 적절히 처리되며, 시스템 업데이트는 안전하고 체계적으로 완료될 수 있습니다.
2 정보 시스템 보안 위험 및 영향
시스템 보안 위험은 정보 시스템 수명 주기의 모든 단계에 존재합니다. 시스템 계획 및 시작 시, 시스템에 대한 포괄적인 보안 시나리오 설계 및 상세 시나리오 설계가 없는 경우, 시스템의 데이터 보안 및 기능 서비스를 전체적으로 고려하고 분석하지 않은 경우, 시스템 설계에 보안 위험 및 취약점이 있을 수 있습니다. 시스템 운영 후 장비 성능 구성이 불합리하거나 시스템 기능 설정이 불합리하거나 데이터베이스 테이블 구조 설계가 불합리하면 시스템 응답이 느리고 데이터 오류가 발생할 수 있습니다. 설계, 개발 또는 조달 단계에서 시스템 설계, 개발 또는 구매가 원래 계획 및 요구 사항에 따라 수행되지 않을 경우 임의 변경 및 수정이 발생하여 시스템 기능 등이 원래 설계 또는 계획에 도달하지 못하거나 프로그램의 불합리한 변경으로 인해 시스템이 원래 기능 요구 사항을 충족하지 못할 수 있습니다. 따라서 시스템 유지 관리 및 사용자에게 더 많은 불안정성이 발생합니다. 통합 단계에서 시스템 구축이 승인된 시나리오에 따라 진행되지 않으면 시스템의 기능과 성능이 왜곡되거나 인력, 재력 또는 물력의 낭비와 손실을 초래할 수 있습니다.
동시에 계획에 따라 건설하지 않으면 시스템에 알 수 없는 보안 취약점이나 숨겨진 위험이 있을 수 있으며, 시스템 사용에 잠재적인 보안 영향을 미칠 수 있습니다. 운영 및 유지 보수 단계에서 관리 규정 또는 운영 지침에 따라 시스템 하드웨어 및 소프트웨어를 유지 관리하고 사용하지 않으면 시스템 하드웨어 장비 및 시설을 쉽게 손상시키고 시스템 공격 및 손상의 위험을 초래할 수 있습니다. 스위치, 일상적인 유지 보수 등과 같은 장비를 규정에 따라 조작하지 않으면 장비가 쉽게 손상되어 서비스 수명에 영향을 줄 수 있습니다. 예를 들어, 시스템 소프트웨어의 사용, 업그레이드 및 업데이트는 다양한 보안 관리 시스템에 따라 수행되지 않으므로 시스템을 쉽게 공격하고 불법적으로 사용할 수 있습니다. 폐기 단계에서 시스템의 하드웨어 및 소프트웨어가 관련 요구 사항에 따라 처리되지 않으면 장비 또는 시스템에서 중요하거나 민감한 데이터가 유출되어 시스템 유지 관리 또는 사용자에게 심각한 영향을 미칠 수 있습니다. 일부 민감한 데이터가 악의적으로 공개되거나 사회에 유출되면 좋지 않은 사회적 영향을 미칠 수 있다.
앞서 언급했듯이 보안 위험은 정보 시스템의 전체 수명주기에 존재하며, 각 단계의 보안 위험은 다르므로 시스템의 특성과 시스템의 주기에 따라 영향도 다릅니다. 정보 시스템의 보안 기능에 따라' 컴퓨터 정보 보안 등급 분류 기준' (GB 17859- 1999) 에는 사용자 독립적 보호 수준, 시스템 감사 보호 수준, 보안 마크 보호 수준, 보안 마크 보호 수준 등 다섯 가지 수준이 있습니다. 각 수준에 필요한 보안 기능도 다르므로 사용자는 시스템의 중요성에 따라 다른 보안 기능을 사용할 수 있습니다. 이 시스템의 등급 기준에 따라 정보 보안 기술 정보 시스템 보안 수준 보호 가이드 (GB/T2240-2008) 에서 시스템이 파괴될 때의 대상 (국가 안보, 사회질서/공익, 시민/법인 및 기타 조직의 합법적 권익) 과 대상 (국가 안보, 사회질서/공익, 시민/법인 및 기타 조직의 합법적 권익) 에 따라
이와 동시에 이러한 영향은 정보 보안 기술 및 정보 시스템 보안 분류 가이드 (GB/T22240-2008) 에 이미 시스템 설명이 나와 있습니다. 예를 들어, 국가 안보 차원에서 국가 정권의 안정과 국방력에 미치는 영향, 국가 통일, 민족 단결, 사회 안정에 미치는 영향, 대외 활동에서의 국가 정치 경제 이익에 미치는 영향, 국가 경제경쟁력과 과학기술력에 미치는 영향 등이 영향을 포함한다. 사회질서 차원에서 국가기관 사회관리와 공공서비스의 업무질서, 각종 경제활동의 질서, 각 업종의 과학연구 생산질서 등이 영향을 받는다. 공익 차원에서 영향에는 사회 구성원의 공공시설 사용, 공공정보자원 획득, 공공서비스 수용 등이 포함됩니다. 시민, 법인 및 기타 조직의 합법적 권익에 미치는 영향 (법적으로 인정되고 보호되는 시민, 법인 및 기타 조직이 누리는 특정 사회적 권익에 미치는 영향 포함)
3 정보 시스템 보안
정보 시스템은 네트워크 공격, 사용자 ID 차단, 위장, 재생 공격, 데이터 차단, 불법 사용, 바이러스, 서비스 거부, 데이터베이스 파일 손실, 시스템 손상, 시스템 소스 파일 유출, 관리 계정 비밀번호 유출, 악성 코드 공격 등 사용 과정에서 다양한 위험을 안고 있습니다. 정보 시스템의 이러한 위험에 대해 Dell 은 다양한 보호 및 강화 조치를 취하여 통제 범위 내에서 위험을 제어하여 시스템의 안전하고 안정적인 운영을 보장해야 합니다. 정보 시스템 보안 수준 보호 기본 요구 사항 (GB/T2239-2008) 은 분류 가이드의 시스템 수준에 따라 각 등급의 시스템이 해당 수준의 보안 요구 사항을 충족하는 기본 용어를 정의합니다.
기본 요구 사항에서는 인방, 물방, 기술 방어, 예방 방어 등에서 시스템 운영 유지 관리에 대한 참조 기준을 제공하며, 기본적으로 시스템의 전체 수명 주기를 포괄합니다. 시스템의 안전하고 안정적인 운영을 보장하기 위해서는 주로 기술과 관리의 두 가지 측면이 포함됩니다. 기술적 측면에서는 주로 물리적 보안, 네트워크 보안, 호스트 보안, 애플리케이션 보안, 데이터 보안 및 백업 복구를 포함합니다. 관리 수준에서는 주로 안전 관리 제도, 안전 관리 조직, 인력 안전 관리, 시스템 구축 관리 및 시스템 운영 유지 관리를 포함합니다. 이 두 가지 측면을 결합하면 인방, 물방, 기술방지, 예방방어 등에서 시스템을 보호하고 강화할 수 있다. 인방은 시스템의 전체 수명 주기 동안 사람이 가장 중요한 역할을 하고 가장 중요한 요인이다.
(1) 사람은 적절한 기술 기술을 갖추어야 하며, 시스템 전 과정의 다양한 상황을 해결하고, 충분한 이론 지식과 풍부한 처리 능력을 갖추어야 하며, 시스템의 안정적인 운영에 적은 노력으로 더 많은 효과를 얻을 수 있다. ② 시스템 운영 및 유지 보수 과정에서 사람들은 관련 규칙과 규정에 따라 엄격하게 운영해야 하며 다양한 기록을 생성할 수 있어야 한다. 동시에, 중대한 작업에는 상세한 작업 계획이나 절차 및 백업 조치가 필요하며, 계획은 승인과 확인이 필요합니다. ③ 운영 및 유지 보수 인력에 대한 관리 및 교육, 모든 중요한 정보 운영 및 유지 보수 인력은 기밀 유지 계약 및 안전 책임서에 서명하고, 시스템 유지 보수 요구 사항을 충족하기 위해 정기적으로 또는 수시로 다양한 교육을 실시하고, 기술 기술을 향상시켜야 합니다.
또 다른 중요한 전제는 부서장이 시스템의 안전을 중시하고, 각 직급 직원의 업무를 지원하고, 정보 안전을 큰일로 취급해야 한다는 것이다. 리더십의 충분한 중시와 관심을 받아야 모든 인원의 업무가 충분히 지원되고, 시스템의 안전하고 안정적인 운행이 더 잘 유지될 수 있다. 물방, 정보 시스템은 기본적인 기계실 시설에서 네트워크 장비, 보안 장비, 호스트 장비, 애플리케이션 소프트웨어, 다양한 보조 소프트웨어, 회선, 케이블에 이르기까지 다양한 하드웨어 및 소프트웨어 시설을 운영할 수 있습니다.
따라서 완전한 운영 환경은 시스템이 안정적으로 운영되는 큰 발전이며, 기계실의 설계와 건설은 시스템 요구 사항과 국가실 건설 기준에 따라 진행될 수 있습니다. 네트워크 및 장치 배포는 중복 방식으로 구현되어야 하며, 장치와 회선의 하드웨어 중복성을 제공하는 동시에 방화벽, WAF, IDS/IPS, 안티바이러스 벽, 안티맬웨어, 기계실 모니터링 플랫폼, 네트워크 호스트 모니터링 플랫폼 등 다양한 보안 장치와 소프트웨어가 필요합니다. 특정 요구 사항을 갖춘 하드웨어 및 소프트웨어 제품을 배포하면 시스템을 보호하고 안정적인 시스템 운영을 충족시킬 수 있습니다.
정보 시스템의 안전하고 안정적인 운영은 각종 설비의 지원과 불가분의 관계에 있다. "교묘한 여자는 쌀이 없는 밥을 짓기 어렵다." 합리적인 장비 구성이 없으면 아무리 좋은 관리와 기술이라도 시스템의 안전하고 안정적인 작동을 보장할 수 없다. 기술 예방과 장비에 대한 투입은 합리적인 안전정책 배치가 있어야만 안전보호 역할을 할 수 있다. 따라서 적절한 보안 장치를 갖추면서 합리적인 액세스 제어 정책, 라우팅 정책, 업그레이드 업데이트 정책, 악성 코드 검색 정책, 데이터 백업 정책, 보안 액세스 규칙 등 시스템 요구 사항에 따라 합리적인 보안 정책을 설정해야 합니다. 정책 결합 장치는 시스템의 안정적인 작동을 보장하는 중요한 보호 역할을 할 수 있습니다. 또한 시스템이 실행 중인 환경과 상황에 따라 네트워크 환경 및 사용 환경을 포함한 정책을 설정해야 합니다. 예를 들어, 네트워크의 트래픽과 대역폭을 제한할 때는 시스템의 일일 트래픽과 네트워크의 대역폭을 고려해야 합니다. 가장 합리적인 전략이 가장 중요하다. 시스템의 응용성과 보안을 결합하면 시스템을 사용할 수 있고 안전해야 합니다.
현재 상황에서 각종 사이버 공격은 막을 수 없다. 다양한 보안 장치를 결합하여 보안 보호 기능을 최대한 활용하고, 최소 권한 부여 및 최소 서비스의 원칙을 따르고, 중복 서비스 및 포트를 끄고, 합리적인 보안 정책을 설정할 수 있다면 보안 위험을 최소화하고 제어 가능한 상태로 만들 수 있습니다. 예방, 규칙 없음, 방원 없음, 정보 보안 관리 체계의 개발과 보완이 체계의 안정적인 운영의 관건이다. 우리의 조작은 관련 제도와 규제에 엄격히 따라야 한다. 따라서 제도의 합리성과 집행성이 특히 중요하다. 시스템 전체에서 정보 보안 정책, 보안 관리 제도 및 운영 규제로 구성된 시스템 체계를 구축해야 합니다. 정책, 정책, 제도 및 운영 규정제도는 관련 책임자의 논의와 승인을 거쳐야 하며, 전체 시스템 파일이 시스템의 운영 및 유지 관리 요구 사항을 충족하도록 PDCA 주기를 통해 지속적으로 수정 및 개선되어야 합니다. 일단 제도가 확정되고 시행되면, 모든 인원은 반드시 엄격히 준수해야 한다.
Dell 은 시스템 관리자를 통해 Dell 의 운영 및 유지 관리 작업 사양을 구현하여 직원들이 자신의 습관에 따라 운영 및 유지 보수 작업을 수행하는 것을 방지하여 시스템에 불확실한 위험을 초래할 것입니다. 완벽하게 적용되는 시스템은 몇 년의 실천이 있어야 점진적으로 보완할 수 있다. 적용 가능하고 진정으로 시행된 제도만이 제도의 안전하고 안정적인 운영을 보장할 수 있다. 이 시스템은 종이 위에 머물러서는 안 되며, 각종 검사를 처리하는 데 사용되어야 한다. 제도가 진정으로 전체 제도 관리 과정을 관통해야만 제도의 진정한 의미를 진정으로 볼 수 있다. 인방, 물방, 기술방지, 연방, 각 부분이 서로 보완되어 서로 침투한다. 시스템 구현에서 사람들은 장비와 기술을 결합하여 시스템의 안정적인 작동을 보장하고 안전 위험 요소를 줄이며 제어 범위 내에서 위험을 제어합니다.
4 결론
정보 시스템 보안 위험은 객관적으로 존재합니다. 위험을 잘 제어하기만 하면 시스템의 안정적이고 안전한 운행을 보장할 수 있다. 이 문서에서는 정보 시스템의 보안 위험에 대해 설명하고 분석하며 위험과 함께 보안 보호에 대한 설명을 제공합니다. 인방, 물방, 기술방어, 예방방어 등을 통해 시스템의 안정적인 운영을 강화하고 모든 정보 시스템이 더욱 안전하고 안정적으로 운영되면서 우리의 생활, 일, 학습에 더 많은 편리함과 즐거움을 가져다 줄 수 있기를 바랍니다.
참고
정보 보안 기술 위험 평가 사양 (GB/T20984-2007)[S].
[2] 컴퓨터 정보 보안 등급 표준 (GB 17859- 1999)[S].
[3] 정보 보안 기술 정보 시스템 보안 분류 가이드 (GB/T2240-2008) [S].
[4] 정보 보안 기술 및 정보 시스템 보안 수준 보호 기본 요구 사항 (GB/T2239-2008) [S].
을 눌러 섹션을 인쇄할 수도 있습니다