信息安全十大原则

虽然任何人都不可能设计出绝对安全的网络系统，但是如果在设计之初就遵循一些合理的原则，那么相应的网络系统的安全性就会更有保障。第一代互联网的教训已经告诉我们，设计时不全面考虑，被动地把安全措施寄托在事后“打补丁”的想法上，是相当危险的！从工程的角度来说，在设计网络系统时，至少要遵守以下安全设计原则:
原则一:“木桶原则”，即要均衡全面地保护信息。
“一个木桶的体积取决于最短的一块木头”，所以攻击者必须攻击系统中最薄弱的地方。因此，对系统安全漏洞和威胁(包括模拟攻击)进行充分、全面、完整的分析、评估和检测，是设计信息安全系统的必要前提。安全机制和安全服务设计的首要目的是防止最常用的攻击手段；根本目标是提高整个系统“最低安全点”的安全性能。
原则二:“完整性原则”，即安全防护、监控和紧急恢复。
没有信息安全。因此，要求在网络受到攻击或破坏的情况下，必须尽快恢复网络服务，以减少损失。因此，信息安全体系应该包括三个机制:安全保护机制；安全监控机制；安全恢复机制。安全机制是根据特定系统中存在的各种安全漏洞和威胁，采取相应的保护措施，避免非法攻击；安全机制是监控系统的运行，及时发现和制止对系统的各种攻击；安全恢复机制是在安全保护机制失效时，尽快处理突发事件和恢复信息，以降低攻击的破坏程度。
原则三:“有效性和实用性”，即不应影响系统的正常运行和合法运行。
在保证安全的基础上，如何减少或分担安全处理的计算量，减少用户的内存、存储工作、安全服务器的存储和计算量，应该是一个信息安全设计者要解决的主要问题。
原则四:“安全评估”原则，即实用安全与用户需求和应用环境密切相关。
评价系统的安全性没有绝对的评价标准和衡量指标，只能根据用户的需求和系统的具体应用环境来确定，例如:1)系统的规模和范围(例如:地方性的中小网络和全国性的大型网络对信息安全的要求不同)；2)系统的性质和信息的重要性(例如，商业信息网络、电子金融通信网络、行政公文管理系统等。对安全性有不同的要求)。此外，特定用户会根据实际应用提出一定的要求，例如，强调操作的实时性或注重信息的完整性和真实性，等等。
原则五:“层次性”，即安全等级和安全级别。
一个好的信息安全体系必须分为不同的等级，包括:对信息保密程度进行分级(机密、秘密、通用)；对用户的操作权限(针对个人和群组)、网络安全程度(安全子网和安全区域)、系统实现结构(应用层、网络层、链路层等)进行分类。)，从而为不同级别的安全对象提供全面可选的安全算法和安全系统，满足网络中不同级别的各种实际需求。原则6:“动态”原则，即尽可能在整个系统中引入更多的可变因素，具有良好的扩展性。
受保护信息的生命周期越短，可变因素越多，系统的安全性能就越高。安全系统要为网络升级留有一定的冗余，并尽可能在整个系统中引入更多的可变因素。
原则7:基于设计的原则，即安全系统的设计应与网络设计相结合。
在进行网络整体设计时，考虑安全系统的设计，两者合二为一。避免因考虑不周出现问题后拆东墙补西墙，不仅会造成巨大的经济损失，还会给国家、集体和个人造成不可挽回的损失。由于安全问题是一个相当复杂的问题，我们必须齐心协力做好设计，以确保安全。
原则八:自主可控原则。
安全事关一个国家的主权和安全，网络安全不可能依赖外国，必须解决网络安全的自主和自控问题。
原则9:权限划分、相互制约、最小化原则。
在很多系统中，都有一个系统超级用户或者系统管理员，他有权访问和分配系统的所有资源，所以其安全性非常重要。如果不加以限制，可能会因超级用户的恶意行为、密码泄露、意外损坏等对系统造成不可估量的损失和破坏。因此，需要限制系统超级用户的权限，实现权限最小化的原则。管理权限交叉，多个管理用户动态控制系统的管理，实现相互制约。对于非管理用户，即普通用户，实行最低权限原则，不允许他们进行非授权操作。
原则10:有的放矢，各取所需。
在考虑安全问题的解决方案时，必须考虑性能和价格的平衡，不同的网络系统需要不同的安全侧重点。一定要有的放矢，具体问题具体分析，把有限的资金花在刀刃上。
总结
社会要进步，技术要发展。即使NGN面临许多安全问题，我们也不能因噎废食。千万不要掉以轻心，一劳永逸。
信息安全是一门高智商的对抗性学科。作为矛盾的主体，“攻”与“守”总是处于“成功”与“失败”的循环之中。没有永远的赢家，也不会有永远的输家。当前“攻”与“防”斗争的暂时动态平衡体系决定了网络安全的现状，而双方的“持久力”决定了网络安全的未来走向。“攻”与“守”既矛盾又统一。它们始终处于相互促进、循环往复的状态。更具体的说，安全是相对的，不安全是绝对的。
信息安全是一个广泛的问题。要保证安全，必须从法规、政策、管理、技术三个层面同时采取有效措施。高级安全功能为低级安全功能提供保护。没有一种单一级别的安全措施能够提供真正的全方位安全。
先进的技术是信息安全的根本保证。评估用户面临的风险，决定其需要的安全服务类型，选择相应的安全机制，然后整合先进的安全技术，形成全方位的安全体系。
严格的安全管理至关重要。各用户单位应建立相应的网络安全管理措施，加强内部管理，建立适用的网络安全管理制度，建立安全审计和跟踪制度，提高整体网络安全意识。
明确的法律法规是安全的“靠山”。并且国家和行业部门制定严格的法律法规，让不法分子惧怕法律，不敢轻举妄动。