信息安全概論論文

1、信息安全管理概述（計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院信息安全專業(yè)學(xué)號(hào)：姓名：）摘要： 本文是在學(xué)習(xí)完信息安全概論的基礎(chǔ)上對(duì)信息安全及信息安全管理的一些簡(jiǎn)要概述。如今是信息時(shí)代，僅憑技術(shù)難以解決信息安 全的一些問題，所以信息安全管理是越來越重要。在此我主要是介紹 目前信息安全管理的現(xiàn)狀、信息安全策略和風(fēng)險(xiǎn)評(píng)估與管理的問題以 及人在其中的角色。關(guān)鍵字：信息安全管理，現(xiàn)狀，信息安全策略，風(fēng)險(xiǎn)評(píng)估與管理 引言：在當(dāng)今全球市場(chǎng)中技術(shù)貫穿著整個(gè)行業(yè)的運(yùn)行，而信息技術(shù)則 更是則更是不能或缺的，人們通過信息技術(shù)進(jìn)行管理、處理其他的事 物。然而一旦信息技術(shù)有一點(diǎn)的錯(cuò)誤或者受到敵方攻擊那么損失則是 必然的，因此就涉及到信息安全

2、的問題。隨著社會(huì)的發(fā)展信息安全受 到更多的重視。而信息安全管理則是則是保護(hù)信息資產(chǎn)的安全。要想認(rèn)知信息安全管理則首先要搞懂什么是信息安全。信息安全 就是保護(hù)信息及其關(guān)鍵要素，包括使用、存儲(chǔ)、以及傳輸信息的系統(tǒng) 和硬件。信息安全的核心內(nèi)容是有關(guān)信息安全策略的概念。策略、意 識(shí)提升、教育以及技術(shù)都是保護(hù)信息以及讓信息系統(tǒng)遠(yuǎn)離危險(xiǎn)的至關(guān) 重要的概念。圍繞信息的3個(gè)特性機(jī)密性、完整性及可用性已經(jīng) 建立了幾種信息安全模型，而NSTISSC安全模型、CNSS安全模型 則被安全行業(yè)中作為多方面的標(biāo)準(zhǔn)?，F(xiàn)在信息安全正在快速演化成一 種管理了原則，它涉及到管理人、管理過程以及管理技術(shù)這就是現(xiàn)今 信息安全的重大變

3、革的結(jié)果。因?yàn)閱螁蔚囊揽考夹g(shù)信息安全得不到更 好的解決，因此也誕生了信息安全管理這門學(xué)科。信息安全管理的現(xiàn)狀：對(duì)信息安全管理的研究在20世紀(jì)90年代才引起人們的足夠重 視。它的研究范圍包括安全標(biāo)準(zhǔn)、安全策略和安全測(cè)評(píng)。直到1995 年世界上才首次提出信息安全管理實(shí)施細(xì)則BS7799-1:1995，其 是由英國(guó)首先提出，然后歐美一些國(guó)家也相繼提出了一些相關(guān)的信息 安全管理標(biāo)準(zhǔn)。在1999年，國(guó)際信息安全基金會(huì)提出GASSPo而在 國(guó)內(nèi)1999年中國(guó)首次制定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn) 則(GB17859-1999)。2000 年 12 月，BS7799-1： 1999 得到了國(guó)際 化組織I

4、SO的認(rèn)證。針對(duì)與目前的信息安全管理現(xiàn)狀還沒有一個(gè)公認(rèn) 的標(biāo)準(zhǔn)，很多國(guó)家都各有各自的標(biāo)準(zhǔn)，其中信息技術(shù)安全評(píng)價(jià)公共 標(biāo)準(zhǔn)則是得到許多國(guó)家的認(rèn)可。而針對(duì)于安全策略這一方面，許多 組織或者個(gè)人都提出了不同的方法，比如2000年，英國(guó)Imperial 大學(xué)的N.Damianou等人提出了一種Ponder策略規(guī)范語言用于表 示分布式系統(tǒng)安全和管理策略。2002年，挪威能源技術(shù)協(xié)會(huì)的Rune Fredriksen等人提出了用于風(fēng)險(xiǎn)管理過程CORAS框架。在我國(guó) 2002年，南京師范大學(xué)的錢鋼提出了一種基于SSE-CMM的信息系 統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法。以及北京郵電大學(xué)的朱而剛和張素英提出了一 個(gè)基于灰色評(píng)估

5、的信息安全風(fēng)險(xiǎn)評(píng)估模型。雖然最近關(guān)于這種理論的 進(jìn)步很大，但是真正針對(duì)信息安全管理的整體解決方法則仍有很大的 距離。目前來說，如何針對(duì)于現(xiàn)有的信息安全管理模型做出對(duì)評(píng)估進(jìn) 行量化處理才是更需要解決的。一般認(rèn)為信息安全管理的擴(kuò)展特性有6個(gè)，包括計(jì)劃、策略、項(xiàng) 日、保護(hù)、人員、項(xiàng)目管理。在這里我想談?wù)勛约簩?duì)策略中的信息安 全策略及保護(hù)中的風(fēng)險(xiǎn)評(píng)估與管理的認(rèn)識(shí)和理解。信息安全策略：一個(gè)高質(zhì)量的信息安全項(xiàng)目由策略開始，也由策略結(jié)束。正確制 定策略能夠使信息安全項(xiàng)目在工作場(chǎng)所無誤的發(fā)揮作用。信息安全策 略定義了一個(gè)框架，它基于風(fēng)險(xiǎn)評(píng)估結(jié)果以保護(hù)組織的信息資產(chǎn)。信 息安全策略對(duì)訪問組織的不同資產(chǎn)定義了訪問

6、限制、訪問規(guī)則。對(duì)于 信息安全管理所做的策略，首先其必須有助于機(jī)構(gòu)的成功，另外為了 正確的使用信息系統(tǒng)，管理層應(yīng)當(dāng)確保責(zé)任的合理分配，而且信息系 統(tǒng)的最終用戶必須參與策略的規(guī)范化過程。組織要制定一組最優(yōu)的信息安全策略必須明確以下需求，也就是 信息安全策略的文檔要素：（1）信息的保護(hù)信息保護(hù)必須與它的敏感性、價(jià)值和重要性相稱，不管信息的 存儲(chǔ)媒介、存儲(chǔ)位置、處理信息的系統(tǒng)技術(shù)或者處理信息的技術(shù)人員 都應(yīng)當(dāng)采取該策略來保護(hù)信息。其針對(duì)對(duì)象是技術(shù)人員，（2）信息的使用必須只針對(duì)與管理層授權(quán)的業(yè)務(wù)目標(biāo)，策略對(duì)象為所有人。（3）信息的處理訪問和使用（4）數(shù)據(jù)和程序損壞的否認(rèn)策略（5）備份、文檔存儲(chǔ)和數(shù)據(jù)

7、處理等信息安全策略框架下面是信息安全策略框架結(jié)構(gòu)圖信息全策略大概可包括以下幾種類別：加密策略、使用策略、訪 問策略、職責(zé)策略、線路連接策略、反病毒策略、應(yīng)用服務(wù)提供策略、 審計(jì)策略、電子郵件使用策略、數(shù)據(jù)庫策略、非武裝區(qū)域策略、第三 方的連接策略、敏感信息策略、內(nèi)部策略、nternet接入策略、口令 防護(hù)策略、遠(yuǎn)程訪問策略、路由器安全策略、服務(wù)器安全策略、VPN 安全策略、無線通訊策略等。每再次進(jìn)行風(fēng)險(xiǎn)評(píng)估或信息環(huán)境、商業(yè) 環(huán)境發(fā)生改變時(shí)，信息安全策略的制定者要調(diào)整原有的信息安全策 略。風(fēng)險(xiǎn)評(píng)估與管理實(shí)際上信息安全管理是一個(gè)風(fēng)險(xiǎn)管理過程。然而風(fēng)險(xiǎn)管理的基礎(chǔ) 是對(duì)其的識(shí)別與評(píng)估，通過信息安全風(fēng)險(xiǎn)

8、評(píng)估可以明確組織的信息安 全需求，幫助組織制定最優(yōu)的信息安全策略并選擇相應(yīng)的風(fēng)險(xiǎn)控制措 施把風(fēng)險(xiǎn)降到組織可接受的范圍之內(nèi)。信息安全風(fēng)險(xiǎn)評(píng)估與管理在現(xiàn) 如今的信息安全管理體系中是一個(gè)極其復(fù)雜的過程。而對(duì)于一個(gè)完善 的信息安全風(fēng)險(xiǎn)評(píng)估架構(gòu)，相應(yīng)的標(biāo)準(zhǔn)體系、技術(shù)體系、組織架構(gòu)、 業(yè)務(wù)體系和法律法規(guī)是絕對(duì)不可能缺少的。在這里我先介紹一下風(fēng)險(xiǎn)評(píng)估，所謂風(fēng)險(xiǎn)評(píng)估就是針對(duì)信息和信 息處理設(shè)施的威脅、影響和薄弱點(diǎn)及三者發(fā)生的可能性的綜合性整體 評(píng)估。通俗的說就是確認(rèn)信息安全風(fēng)險(xiǎn)及其大小的一個(gè)過程。下面說一下風(fēng)險(xiǎn)管理，風(fēng)險(xiǎn)管理就是針對(duì)風(fēng)險(xiǎn)評(píng)估中所確認(rèn)的安 全風(fēng)險(xiǎn)，降低或者消除其影響信息安全風(fēng)險(xiǎn)的過程。其實(shí)風(fēng)險(xiǎn)管

9、理是 一個(gè)識(shí)別、控制、降低或消除安全風(fēng)險(xiǎn)的活動(dòng)，通過風(fēng)險(xiǎn)評(píng)估來識(shí)別 風(fēng)險(xiǎn)大小，通過制定信息安全策略，采取適當(dāng)?shù)目刂迫諛?biāo)與控制方式 對(duì)風(fēng)險(xiǎn)進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降至一個(gè)可接受的水平。在 風(fēng)險(xiǎn)管理方面應(yīng)考慮控制費(fèi)用與風(fēng)險(xiǎn)之間的平衡。風(fēng)險(xiǎn)控制是降低安 全風(fēng)險(xiǎn)的慣例、程序或機(jī)制。剩余風(fēng)險(xiǎn)是實(shí)施安全控制后，剩余的安風(fēng)險(xiǎn)評(píng)估包括以下幾個(gè)過程:（1）對(duì)信息資產(chǎn)進(jìn)行資產(chǎn)識(shí)別，并根據(jù)估價(jià)原則對(duì)其進(jìn)行估計(jì)。（2）研究這些資產(chǎn)的薄弱點(diǎn)和它們可能遭受到的威脅，并對(duì)已 有制措施進(jìn)行。（3）在識(shí)別的威脅和薄弱點(diǎn)的基礎(chǔ)上，評(píng)估與組織資產(chǎn)相關(guān)的 風(fēng)險(xiǎn)。（4）依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，提出相應(yīng)的對(duì)策來管理風(fēng)險(xiǎn)。而風(fēng)險(xiǎn)評(píng)估方法

10、包括定量評(píng)估方法、定性評(píng)估方法。然而在現(xiàn)實(shí) 中對(duì)于風(fēng)險(xiǎn)評(píng)估過程，如果只依靠定量評(píng)估方法或者是定性評(píng)估方法 都不大可能得到一個(gè)較為正確的結(jié)果。對(duì)于量化的風(fēng)險(xiǎn)評(píng)估過程也并 非都是科學(xué)的、準(zhǔn)確的。定量評(píng)估方法是定性評(píng)估方法的基礎(chǔ)和前提， 而定性評(píng)估則需要建立定量評(píng)估的基礎(chǔ)之上才能真正的揭示客觀事 物的內(nèi)在規(guī)律。定性分析則是形成概念、觀點(diǎn)，做出判斷，得出結(jié)論 所必須的。所以，在復(fù)雜的信息安全風(fēng)險(xiǎn)評(píng)估過程中，我們不能簡(jiǎn)單 地只依靠?jī)烧咧械囊环N評(píng)估方法進(jìn)行風(fēng)險(xiǎn)評(píng)估，而是需要將這兩種方 法結(jié)合起來進(jìn)行進(jìn)行風(fēng)險(xiǎn)評(píng)估，綜合運(yùn)用。這就是基于定量評(píng)估方法 和定性評(píng)估方法相結(jié)合而成的一種綜合評(píng)估方法。人在信息安全中的

11、角色正如我們所了解的一樣，信息安全問題全是人為而生，信息安全 領(lǐng)域所面臨的威脅全是人為問題：（1）蓄意軟件攻擊。比如病毒、蠕蟲以及拒絕服務(wù)攻擊，所有 這些攻擊都是由人發(fā)起和傳播的。而黑客所編寫的病毒程序，都是因 為人打開附件、不能做磁盤病毒掃描或違反其他安全常識(shí)而被傳播的。（2）技術(shù)軟件故障或錯(cuò)誤。這些錯(cuò)誤大多是開發(fā)人員的過失。 從而導(dǎo)致了軟件的不足與過失。這就需要測(cè)試人員對(duì)其進(jìn)行嚴(yán)格的測(cè) 試并加以解決問題。（3）人類的錯(cuò)誤與失誤。這一威脅主要的原因是由于人們不遵 守其中的已有準(zhǔn)則。（4）蓄意的非法人入侵。這類威脅是具有針對(duì)性的，這就需要 受攻擊者時(shí)時(shí)刻刻保持警惕，在管理上要做到萬無一失。等等

12、.所以說針對(duì)信息安全，人絕對(duì)要有足夠的重視，要明白信息安的 重要性，不能大意。對(duì)于信息安全管理方面的工作人員更是要積極工 作，針對(duì)目前的信息安全管理方面的脆弱性，人在其中是絕對(duì)不能大 意的，否則造成的損失是難以彌補(bǔ)的?？偨Y(jié)：以上是我對(duì)信息安全管理的一些理解。雖然信息安全管理 這門學(xué)科起步比較晚，但是不可否認(rèn)的是其對(duì)于信息安全是十分重要 的。相對(duì)于硬件或者軟件技術(shù)而言信息安全管理是在這兩個(gè)的基礎(chǔ)上 必不可缺少的。安全技術(shù)必須依靠于管理的支持才能更好地發(fā)揮其作 用。畢竟對(duì)于信息安全來說三分靠技術(shù)，七分靠管理。主要參考文獻(xiàn)：（1）:Herbert J.Mattord 和 Michael E.Whitman 著，信息安全原理齊立博 譯.清華大學(xué)出版社，2006年印刷（2）:Herbert J.Mattord 和 Michael E.Whit