信息安全概論論文

1、信息安全管理概述（計算機(jī)科學(xué)與技術(shù)學(xué)院信息安全專業(yè)學(xué)號：姓名：）摘要： 本文是在學(xué)習(xí)完信息安全概論的基礎(chǔ)上對信息安全及信息安全管理的一些簡要概述。如今是信息時代，僅憑技術(shù)難以解決信息安 全的一些問題，所以信息安全管理是越來越重要。在此我主要是介紹 目前信息安全管理的現(xiàn)狀、信息安全策略和風(fēng)險評估與管理的問題以 及人在其中的角色。關(guān)鍵字：信息安全管理，現(xiàn)狀，信息安全策略，風(fēng)險評估與管理 引言：在當(dāng)今全球市場中技術(shù)貫穿著整個行業(yè)的運(yùn)行，而信息技術(shù)則 更是則更是不能或缺的，人們通過信息技術(shù)進(jìn)行管理、處理其他的事 物。然而一旦信息技術(shù)有一點的錯誤或者受到敵方攻擊那么損失則是 必然的，因此就涉及到信息安全

2、的問題。隨著社會的發(fā)展信息安全受 到更多的重視。而信息安全管理則是則是保護(hù)信息資產(chǎn)的安全。要想認(rèn)知信息安全管理則首先要搞懂什么是信息安全。信息安全 就是保護(hù)信息及其關(guān)鍵要素，包括使用、存儲、以及傳輸信息的系統(tǒng) 和硬件。信息安全的核心內(nèi)容是有關(guān)信息安全策略的概念。策略、意 識提升、教育以及技術(shù)都是保護(hù)信息以及讓信息系統(tǒng)遠(yuǎn)離危險的至關(guān) 重要的概念。圍繞信息的3個特性機(jī)密性、完整性及可用性已經(jīng) 建立了幾種信息安全模型，而NSTISSC安全模型、CNSS安全模型 則被安全行業(yè)中作為多方面的標(biāo)準(zhǔn)?，F(xiàn)在信息安全正在快速演化成一 種管理了原則，它涉及到管理人、管理過程以及管理技術(shù)這就是現(xiàn)今 信息安全的重大變

3、革的結(jié)果。因為單單的依靠技術(shù)信息安全得不到更 好的解決，因此也誕生了信息安全管理這門學(xué)科。信息安全管理的現(xiàn)狀：對信息安全管理的研究在20世紀(jì)90年代才引起人們的足夠重 視。它的研究范圍包括安全標(biāo)準(zhǔn)、安全策略和安全測評。直到1995 年世界上才首次提出信息安全管理實施細(xì)則BS7799-1:1995，其 是由英國首先提出，然后歐美一些國家也相繼提出了一些相關(guān)的信息 安全管理標(biāo)準(zhǔn)。在1999年，國際信息安全基金會提出GASSPo而在 國內(nèi)1999年中國首次制定了計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn) 則(GB17859-1999)。2000 年 12 月，BS7799-1： 1999 得到了國際 化組織I

4、SO的認(rèn)證。針對與目前的信息安全管理現(xiàn)狀還沒有一個公認(rèn) 的標(biāo)準(zhǔn)，很多國家都各有各自的標(biāo)準(zhǔn)，其中信息技術(shù)安全評價公共 標(biāo)準(zhǔn)則是得到許多國家的認(rèn)可。而針對于安全策略這一方面，許多 組織或者個人都提出了不同的方法，比如2000年，英國Imperial 大學(xué)的N.Damianou等人提出了一種Ponder策略規(guī)范語言用于表 示分布式系統(tǒng)安全和管理策略。2002年，挪威能源技術(shù)協(xié)會的Rune Fredriksen等人提出了用于風(fēng)險管理過程CORAS框架。在我國 2002年，南京師范大學(xué)的錢鋼提出了一種基于SSE-CMM的信息系 統(tǒng)安全風(fēng)險評估方法。以及北京郵電大學(xué)的朱而剛和張素英提出了一 個基于灰色評估

5、的信息安全風(fēng)險評估模型。雖然最近關(guān)于這種理論的 進(jìn)步很大，但是真正針對信息安全管理的整體解決方法則仍有很大的 距離。目前來說，如何針對于現(xiàn)有的信息安全管理模型做出對評估進(jìn) 行量化處理才是更需要解決的。一般認(rèn)為信息安全管理的擴(kuò)展特性有6個，包括計劃、策略、項 日、保護(hù)、人員、項目管理。在這里我想談?wù)勛约簩Σ呗灾械男畔?全策略及保護(hù)中的風(fēng)險評估與管理的認(rèn)識和理解。信息安全策略：一個高質(zhì)量的信息安全項目由策略開始，也由策略結(jié)束。正確制 定策略能夠使信息安全項目在工作場所無誤的發(fā)揮作用。信息安全策 略定義了一個框架，它基于風(fēng)險評估結(jié)果以保護(hù)組織的信息資產(chǎn)。信 息安全策略對訪問組織的不同資產(chǎn)定義了訪問

6、限制、訪問規(guī)則。對于 信息安全管理所做的策略，首先其必須有助于機(jī)構(gòu)的成功，另外為了 正確的使用信息系統(tǒng)，管理層應(yīng)當(dāng)確保責(zé)任的合理分配，而且信息系 統(tǒng)的最終用戶必須參與策略的規(guī)范化過程。組織要制定一組最優(yōu)的信息安全策略必須明確以下需求，也就是 信息安全策略的文檔要素：（1）信息的保護(hù)信息保護(hù)必須與它的敏感性、價值和重要性相稱，不管信息的 存儲媒介、存儲位置、處理信息的系統(tǒng)技術(shù)或者處理信息的技術(shù)人員 都應(yīng)當(dāng)采取該策略來保護(hù)信息。其針對對象是技術(shù)人員，（2）信息的使用必須只針對與管理層授權(quán)的業(yè)務(wù)目標(biāo)，策略對象為所有人。（3）信息的處理訪問和使用（4）數(shù)據(jù)和程序損壞的否認(rèn)策略（5）備份、文檔存儲和數(shù)據(jù)

7、處理等信息安全策略框架下面是信息安全策略框架結(jié)構(gòu)圖信息全策略大概可包括以下幾種類別：加密策略、使用策略、訪 問策略、職責(zé)策略、線路連接策略、反病毒策略、應(yīng)用服務(wù)提供策略、 審計策略、電子郵件使用策略、數(shù)據(jù)庫策略、非武裝區(qū)域策略、第三 方的連接策略、敏感信息策略、內(nèi)部策略、nternet接入策略、口令 防護(hù)策略、遠(yuǎn)程訪問策略、路由器安全策略、服務(wù)器安全策略、VPN 安全策略、無線通訊策略等。每再次進(jìn)行風(fēng)險評估或信息環(huán)境、商業(yè) 環(huán)境發(fā)生改變時，信息安全策略的制定者要調(diào)整原有的信息安全策 略。風(fēng)險評估與管理實際上信息安全管理是一個風(fēng)險管理過程。然而風(fēng)險管理的基礎(chǔ) 是對其的識別與評估，通過信息安全風(fēng)險

8、評估可以明確組織的信息安 全需求，幫助組織制定最優(yōu)的信息安全策略并選擇相應(yīng)的風(fēng)險控制措 施把風(fēng)險降到組織可接受的范圍之內(nèi)。信息安全風(fēng)險評估與管理在現(xiàn) 如今的信息安全管理體系中是一個極其復(fù)雜的過程。而對于一個完善 的信息安全風(fēng)險評估架構(gòu)，相應(yīng)的標(biāo)準(zhǔn)體系、技術(shù)體系、組織架構(gòu)、 業(yè)務(wù)體系和法律法規(guī)是絕對不可能缺少的。在這里我先介紹一下風(fēng)險評估，所謂風(fēng)險評估就是針對信息和信 息處理設(shè)施的威脅、影響和薄弱點及三者發(fā)生的可能性的綜合性整體 評估。通俗的說就是確認(rèn)信息安全風(fēng)險及其大小的一個過程。下面說一下風(fēng)險管理，風(fēng)險管理就是針對風(fēng)險評估中所確認(rèn)的安 全風(fēng)險，降低或者消除其影響信息安全風(fēng)險的過程。其實風(fēng)險管

9、理是 一個識別、控制、降低或消除安全風(fēng)險的活動，通過風(fēng)險評估來識別 風(fēng)險大小，通過制定信息安全策略，采取適當(dāng)?shù)目刂迫諛?biāo)與控制方式 對風(fēng)險進(jìn)行控制，使風(fēng)險被避免、轉(zhuǎn)移或降至一個可接受的水平。在 風(fēng)險管理方面應(yīng)考慮控制費(fèi)用與風(fēng)險之間的平衡。風(fēng)險控制是降低安 全風(fēng)險的慣例、程序或機(jī)制。剩余風(fēng)險是實施安全控制后，剩余的安風(fēng)險評估包括以下幾個過程:（1）對信息資產(chǎn)進(jìn)行資產(chǎn)識別，并根據(jù)估價原則對其進(jìn)行估計。（2）研究這些資產(chǎn)的薄弱點和它們可能遭受到的威脅，并對已 有制措施進(jìn)行。（3）在識別的威脅和薄弱點的基礎(chǔ)上，評估與組織資產(chǎn)相關(guān)的 風(fēng)險。（4）依據(jù)風(fēng)險評估的結(jié)果，提出相應(yīng)的對策來管理風(fēng)險。而風(fēng)險評估方法

10、包括定量評估方法、定性評估方法。然而在現(xiàn)實 中對于風(fēng)險評估過程，如果只依靠定量評估方法或者是定性評估方法 都不大可能得到一個較為正確的結(jié)果。對于量化的風(fēng)險評估過程也并 非都是科學(xué)的、準(zhǔn)確的。定量評估方法是定性評估方法的基礎(chǔ)和前提， 而定性評估則需要建立定量評估的基礎(chǔ)之上才能真正的揭示客觀事 物的內(nèi)在規(guī)律。定性分析則是形成概念、觀點，做出判斷，得出結(jié)論 所必須的。所以，在復(fù)雜的信息安全風(fēng)險評估過程中，我們不能簡單 地只依靠兩者中的一種評估方法進(jìn)行風(fēng)險評估，而是需要將這兩種方 法結(jié)合起來進(jìn)行進(jìn)行風(fēng)險評估，綜合運(yùn)用。這就是基于定量評估方法 和定性評估方法相結(jié)合而成的一種綜合評估方法。人在信息安全中的

11、角色正如我們所了解的一樣，信息安全問題全是人為而生，信息安全 領(lǐng)域所面臨的威脅全是人為問題：（1）蓄意軟件攻擊。比如病毒、蠕蟲以及拒絕服務(wù)攻擊，所有 這些攻擊都是由人發(fā)起和傳播的。而黑客所編寫的病毒程序，都是因 為人打開附件、不能做磁盤病毒掃描或違反其他安全常識而被傳播的。（2）技術(shù)軟件故障或錯誤。這些錯誤大多是開發(fā)人員的過失。 從而導(dǎo)致了軟件的不足與過失。這就需要測試人員對其進(jìn)行嚴(yán)格的測 試并加以解決問題。（3）人類的錯誤與失誤。這一威脅主要的原因是由于人們不遵 守其中的已有準(zhǔn)則。（4）蓄意的非法人入侵。這類威脅是具有針對性的，這就需要 受攻擊者時時刻刻保持警惕，在管理上要做到萬無一失。等等

12、.所以說針對信息安全，人絕對要有足夠的重視，要明白信息安的 重要性，不能大意。對于信息安全管理方面的工作人員更是要積極工 作，針對目前的信息安全管理方面的脆弱性，人在其中是絕對不能大 意的，否則造成的損失是難以彌補(bǔ)的?？偨Y(jié)：以上是我對信息安全管理的一些理解。雖然信息安全管理 這門學(xué)科起步比較晚，但是不可否認(rèn)的是其對于信息安全是十分重要 的。相對于硬件或者軟件技術(shù)而言信息安全管理是在這兩個的基礎(chǔ)上 必不可缺少的。安全技術(shù)必須依靠于管理的支持才能更好地發(fā)揮其作 用。畢竟對于信息安全來說三分靠技術(shù)，七分靠管理。主要參考文獻(xiàn)：（1）:Herbert J.Mattord 和 Michael E.Whitman 著，信息安全原理齊立博 譯.清華大學(xué)出版社，2006年印刷（2）:Herbert J.Mattord 和 Michael E.Whit