淺析涉密信息系統(tǒng)安全保密策略、安全審計(jì)、風(fēng)_第1頁
淺析涉密信息系統(tǒng)安全保密策略、安全審計(jì)、風(fēng)_第2頁
淺析涉密信息系統(tǒng)安全保密策略、安全審計(jì)、風(fēng)_第3頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

淺析涉密信息系統(tǒng)安全保密策略、安全審計(jì)、風(fēng)1引言隨著信息化技術(shù)在軍工企業(yè)的廣泛應(yīng)用,涉密信息系統(tǒng)安全問題日益突出。為此,國家頒布了一部法律〔中國保守國家機(jī)密法〕,下發(fā)了四個(gè)文件〔牽涉國家機(jī)密的信息系統(tǒng)分級保衛(wèi)管理辦法〕、〔牽涉國家機(jī)密的信息系統(tǒng)審批管理規(guī)定〕、〔關(guān)于開展涉密信息系統(tǒng)審批管理工作有關(guān)事項(xiàng)的通知〕、〔關(guān)于開展涉密網(wǎng)絡(luò)安全保密風(fēng)險(xiǎn)評估工作的通知〕,提出了四個(gè)標(biāo)準(zhǔn)〔武器設(shè)備科研生產(chǎn)單位一級保密資格標(biāo)準(zhǔn)〕、〔牽涉國家機(jī)密的信息系統(tǒng)分級保衛(wèi)技術(shù)要求〕、〔牽涉國家機(jī)密的信息系統(tǒng)分級保衛(wèi)管理規(guī)定〕、〔牽涉國家機(jī)密的信息分級保衛(wèi)方案設(shè)計(jì)指南〕。通過制訂一系列的政策標(biāo)準(zhǔn)、安全辦法條例使得我們國家涉密信息系統(tǒng)安全防護(hù)工作從方案設(shè)計(jì)、技術(shù)要求、管理規(guī)范到安全測評,構(gòu)成了一套完好的標(biāo)準(zhǔn)與規(guī)范體系。做好涉密信息系統(tǒng)安全,重要依靠于先進(jìn)的安全防護(hù)技術(shù)、健全的管理體系和優(yōu)秀的系統(tǒng)維護(hù)人員。本文重要從涉密信息系統(tǒng)安全保密管理體系著手,簡單介紹涉密信息系統(tǒng)安全保密策略、安全審計(jì)、風(fēng)險(xiǎn)評估的概念和內(nèi)容,并分析三者之間相輔相成的關(guān)系。2涉密信息系統(tǒng)安全保密策略涉密信息系統(tǒng)安全保密策略是為確保涉密計(jì)算機(jī)及信息系統(tǒng)安全保密而制訂的一系列文檔化文件,是涉密信息系統(tǒng)安全保密防護(hù)技術(shù)和管理辦法施行的規(guī)范,是涉密信息系統(tǒng)使用人員在使用涉密信息系統(tǒng)時(shí)必需遵守的行為原則。安全保密策略的重要內(nèi)容包含安全保密管理機(jī)構(gòu)設(shè)置、物理安全策略、運(yùn)行安全策略、信息安全策略、備份與恢復(fù)策略、病毒和惡意代碼防護(hù)策略、應(yīng)急計(jì)劃與響應(yīng)。在策略制訂時(shí),對每個(gè)策略模塊根據(jù)不同的施行對象再細(xì)分為若干個(gè)子策略,這樣涉密信息系統(tǒng)的策略就基本完善了。例如,信息安全策略模塊包含身份鑒別、界限防護(hù)、訪問控制、應(yīng)用系統(tǒng)與數(shù)據(jù)庫安全、信息交換安全等策略子項(xiàng)。每個(gè)策略子項(xiàng)的編寫應(yīng)統(tǒng)一格式統(tǒng)一思路,同時(shí)要回答清楚三個(gè)問題,即策略的施行對象、策略的內(nèi)容、策略的履行。最后在安全策略制訂時(shí)應(yīng)兼顧構(gòu)造上的系統(tǒng)性、內(nèi)容上的可理解性、技術(shù)上的可實(shí)現(xiàn)性、管理上的可履行性。3涉密信息系統(tǒng)安全審計(jì)涉密信息系統(tǒng)安全審計(jì)是運(yùn)用各種技術(shù)手段,全面檢測信息系統(tǒng)中的各種會話和事件,記錄并分析各種可疑行為、違規(guī)操作,幫助定位安全事件源頭和追查取證,防備和發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)活動。當(dāng)前我們國家沒有比較完善的、權(quán)威的、有規(guī)范性的安全審計(jì)法規(guī)和指南,如今的審計(jì)工作都是按照各自經(jīng)歷體驗(yàn)開展,審計(jì)對象、審計(jì)方法、審計(jì)分析角度各有不同。一般來說,審計(jì)對象可按兩種方式劃分:〔1〕按審計(jì)主體劃分:重要對對系統(tǒng)管理員、安全保密管理員、安全審計(jì)員及其他相關(guān)人員;〔2〕按審計(jì)客體劃分:重要對涉密網(wǎng)絡(luò)設(shè)備、效勞器、用戶終端、應(yīng)用系統(tǒng)、安全保密產(chǎn)品、數(shù)據(jù)庫、安全保密管理施行情況。審計(jì)方法一般有使用安全審計(jì)分析軟件、審計(jì)員人工審計(jì)以及安全審計(jì)軟件和人工審計(jì)相結(jié)合的審計(jì)方法。審計(jì)分析工作是個(gè)復(fù)雜的經(jīng)過,在審計(jì)分析時(shí)要有敏銳的意識、快速的反映能力,能夠?qū)⒍喾N事件相關(guān)聯(lián),分析其隱藏的漏洞和威脅。4涉密信息系統(tǒng)風(fēng)險(xiǎn)評估涉密信息系統(tǒng)風(fēng)險(xiǎn)評估預(yù)見性的對信息系統(tǒng)各生命周期進(jìn)行評估計(jì)算,了解信息系統(tǒng)當(dāng)前與將來的風(fēng)險(xiǎn)所在,評估這些風(fēng)險(xiǎn)可能帶來的安全威脅與影響水平。沒有精確及時(shí)的風(fēng)險(xiǎn)評估,就無法對系統(tǒng)的信息安全狀態(tài)做出精確的判定。涉密信息系統(tǒng)風(fēng)險(xiǎn)評估重要圍繞著四要素展開:信息資產(chǎn)、威脅、軟弱性和風(fēng)險(xiǎn)分析。其中信息資產(chǎn)是對企業(yè)、機(jī)構(gòu)具有價(jià)值的信息或資源,是安全策略保衛(wèi)的對象。威脅是對企業(yè)、機(jī)構(gòu)及其資產(chǎn)構(gòu)成潛在毀壞的可能性因素或者事件。軟弱性是被評估資產(chǎn)自己存在的弱點(diǎn),它能夠被威脅利用、引起資產(chǎn)的損害,是風(fēng)險(xiǎn)評估中主要的內(nèi)容。風(fēng)險(xiǎn)分析是對風(fēng)險(xiǎn)的認(rèn)識制訂相應(yīng)的策略、做出有力的抵御、降低風(fēng)險(xiǎn)。風(fēng)險(xiǎn)的計(jì)算方法:風(fēng)險(xiǎn)值=R〔A,T,V〕=R〔L〔T,V〕,F(xiàn)〔Wa,Va〕〕其中,R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn)值;V表示軟弱性;T表示威脅;Wa表示安全事件所作用的資產(chǎn)價(jià)值;Va表示資產(chǎn)軟弱性嚴(yán)重水平;L表示威脅利用資產(chǎn)的軟弱性導(dǎo)致安全事件的可能性;F表示安全事件發(fā)生后造成的損失。為實(shí)現(xiàn)對風(fēng)險(xiǎn)的控制與管理,能夠?qū)︼L(fēng)險(xiǎn)值進(jìn)行等級化處理,可將風(fēng)險(xiǎn)劃分為五級,等級越高,風(fēng)險(xiǎn)越高。5安全保密策略、安全審計(jì)、風(fēng)險(xiǎn)評估之間的關(guān)系信息系統(tǒng)的安全是一個(gè)動態(tài)的復(fù)雜經(jīng)過,它貫穿于信息系統(tǒng)的整個(gè)生命周期。安全保密策略、安全審計(jì)、風(fēng)險(xiǎn)評估恰是讓這個(gè)動態(tài)的復(fù)雜的安全管理體系構(gòu)成一個(gè)閉環(huán)。安全保密策略擔(dān)任著指點(diǎn)員的角色,指點(diǎn)和規(guī)范涉密信息系統(tǒng)各類操作和流程的詳細(xì)操作施行,使相關(guān)人員有章可循,知道什么能做,什么不能做以及如何做。安全審及擔(dān)任著巡視員的角色,通過巡查記錄了系統(tǒng)總體運(yùn)行情況,及時(shí)發(fā)現(xiàn)系統(tǒng)中的安全隱患或安全事件,對系統(tǒng)進(jìn)行相應(yīng)的修補(bǔ)或彌補(bǔ)。通過安全審計(jì)工作,管理人員能夠清楚系統(tǒng)內(nèi)安全策略的履行情況,為信息系統(tǒng)安全保密策略制訂、風(fēng)險(xiǎn)評估提供數(shù)據(jù)支撐。風(fēng)險(xiǎn)評估擔(dān)任著評估員的角色,通過開展信息安全風(fēng)險(xiǎn)評估工作,能夠發(fā)現(xiàn)信息系統(tǒng)安全防護(hù)存在的問題和軟弱環(huán)節(jié),并通過風(fēng)險(xiǎn)評估分析法,科學(xué)分析系統(tǒng)面臨的風(fēng)險(xiǎn),為風(fēng)險(xiǎn)預(yù)防、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)轉(zhuǎn)移、風(fēng)險(xiǎn)分散等提供理論支持。風(fēng)險(xiǎn)評估結(jié)果為安全保密策略調(diào)整和更新指明了方向,是制定安全策略和施行安全防護(hù)辦法的根據(jù)。能夠說風(fēng)險(xiǎn)評估是信息系統(tǒng)安全建設(shè)的起點(diǎn)和基礎(chǔ)。6結(jié)束語安全保密策略是涉密信息系統(tǒng)安全運(yùn)行的根據(jù),安全審計(jì)是及時(shí)發(fā)現(xiàn)涉密信息系統(tǒng)安全隱患和安全事件的有力手段,風(fēng)險(xiǎn)評估是精確定位系統(tǒng)風(fēng)險(xiǎn)點(diǎn)及風(fēng)險(xiǎn)值的分析方法。合理的安全保密策略、安全審計(jì)、風(fēng)險(xiǎn)評估是建立一套針對企業(yè)本身特點(diǎn)的涉密信息系統(tǒng)安全保密管理體系的主要構(gòu)成要素,只要將三者相互聯(lián)絡(luò)起來,結(jié)合信息系統(tǒng)的組織體系、安全體系,能力整體提升涉密信息系統(tǒng)的安全穩(wěn)定性。以下為參考文獻(xiàn)[1]杜虹.涉密信息系統(tǒng)安全風(fēng)險(xiǎn)評估的討論[J].,2004,6:20-23.[2]何東璠.涉密信息系統(tǒng)安全保密策略架構(gòu)分析[

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論