信息安全風險與信息安全體系論文

時間：2022-10-09 03:19:38 信息安全畢業(yè)論文我要投稿

相關推薦

信息安全風險與信息安全體系論文

　　信息安全風險與信息安全體系論文【1】

信息安全風險與信息安全體系論文

　　摘要：信息概念是由信息論的創(chuàng)立者申農提出的，他把信息定義為在信宿中用來消除對于在信源中發(fā)出的消息的不確定性的東西。

　　它包含的兩個特質也揭示了成熟的信息的存在與能動主體的目的性行為是不可分的，本文就信息安全進行討論主要包括信息安全風險與體系結構、漏洞掃描技術與信息安全管理等。

　　關鍵詞：信息;安全

　　信息是客觀世界中物質和能量存在和變動的有序形式，和組織系統對這個形式的能動的反映及改組。

　　其中前一個表語表述了信息概念的廣義內涵，后一個表語表述了信息概念的狹義內涵。

　　一、信息的概述

　　信息是物質的普遍性，是物質運動的狀態(tài)與方式。

　　信息的一般屬性主要包括普遍性、客觀性、無限性、動態(tài)性、異步性、共享性、可傳遞性等。

　　信息的功能是信息屬性的體現，主要可以分為兩個層次：基本功能和社會功能。

　　信息的功能主要體現在以下幾個方面：信息是一切生物進化的導向資源，是知識的來源，是決策的依據，是控制的靈魂，是思維的材料。

　　二、信息安全的重要性

　　在當今的信息時代，必須保護對其發(fā)展壯大至關重要的信息資產，因此，保護信息的私密性、完整性、真實性和可靠性的需求已經成為企業(yè)和消費者的最優(yōu)先的需求之一。

　　安全漏洞會大大降低公司的市場價值，甚至威脅企業(yè)的生存。

　　當今世界已進入信息社會，隨著計算機、通信技術的迅猛發(fā)展，計算機信息系統的廣泛應用，促使它滲透到社會各個行業(yè)和部門，人們對它的依賴性越來越大。

　　在軍事、經濟、科學技術、文化教育商業(yè)等行業(yè)中，重要的信息資源是通過計算機網絡進行輸入、處理、存儲、傳遞、輸出，給人們提供迅速、高效的各種信息服務，因此如果不重視計算機信息系統的保護，國家的機要信息資源如不加保護，勢必容易被非法竊取、更改、毀壞，將會造成國民經濟的巨大損失，國家安全的嚴重危害。

　　三、信息安全體系結構

　　(1)息安全的保護機制

　　信息安全保護存在的主要問題與政策：正確的信息安全政策和策略是搞好國家信息安全保護工作的關鍵，引發(fā)信息安全問題的因素有有外部因素和內部兩方面，主要的因素在于內部如信息安全政策不確定;信息安全保護工作組織管理制度不健全，安全責任制不落實，導致管理混亂、安全管理與技術規(guī)范不統一;信息安全市場和服務混亂、不規(guī)范;國家監(jiān)管機制不健全，監(jiān)管手段缺乏等。

　　信息安全等級保護要貫徹國家保護重點和基礎信息網絡與重要信息系統內分區(qū)重點兼顧一般的原則。

　　(2)信息安全體系框架

　　依據信息安全的多重保護機制，信息安全系統的總要求是物理安全、網絡安全、信息內容安全、應用系統安全的總和，安全的最終目標是確保信息的機密性、完整性、可用性、可空性和抗抵賴性，以及信息系統主體對信息資源的控制。

　　完整的信息系統安全體系框架由技術體系、組織機構體系和管理體系共同構建。

　　為了適應信息技術的迅速發(fā)展以及信息安全的突出需求，國際上許多標準化組織和機構很早就開始了信息安全標準的研究和制定工作，如美國的國防部DOD(Department Of Defense)，國際標準化組織ISO，英國標準化協會BSI(British Standards Institute)等。

　　四、漏洞掃描技術與信息安全管理

　　(1)漏洞掃描技術

　　一般認為，漏洞是指硬件、軟件或策略上存在的安全缺陷，從而使得攻擊者能夠在未授權的情況下訪問、控制系統。

　　隨著Internet的不斷發(fā)展，信息技術已經對經濟發(fā)展、社會進步產生了巨大的推動力。

　　不管是存儲在工作站、服務器中還是流通于Internet上的信息，都已轉變成為一個關系事業(yè)成敗的策略點，因此，保證信息資源的安全就顯得格外重要。

　　目前，國內網絡安全產品主要是以硬件為主，防火墻、入侵檢測系統、VPN應用較為廣泛。

　　漏洞掃描系統也是網絡安全產品中不可缺少的一部分，有效的安全掃描是增強計算機系統安全性的重要措施之一，它能夠預先評估和分析系統中存在的各種安全隱患。

　　換言之，漏洞掃描就是對系統中重要的數據、文件等進行檢查，發(fā)現其中可被黑客所利用的漏洞。

　　隨著黑客入侵手段的日益復雜和通用系統不斷發(fā)現的安全缺陷，預先評估和分析網絡系統中存在的安全問題已經成為網絡管理員們的重要需求。

　　漏洞掃描的結果實際上就是系統安全性能的一個評估報告，因此成為網絡安全解決方案中的一個重要組成部分。

　　(2)信息安全管理

　　隨著社會信息化的深入和競爭的日益激烈，信息安全問題備受關注。

　　制定信息安全管理策略及制度才能有效的保證信息的安全性。

　　制定信息安全管理策略及制度

　　目前關于信息安全的理論研究，一個是信息安全問題不僅僅是保密問題，信息安全是指信息的保密性、完整性和可用性的保持，其最終目標是降低組織的業(yè)務風險，保持可持續(xù)發(fā)展;另一個觀點是，信息安全問題不單純是技術問題，它是涉及很多方面如歷史，文化，道德，法律，管理，技術等方面的綜合性問題，單純從技術角度考慮是不可能得到很好解決的。

　　這里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織，其規(guī)模和性質不足以直接改變所在國家或地區(qū)的信息安全法律法規(guī)。

　　作為這樣一個組織實體應該有一個完整的信息安全策略。

　　信息安全策略也叫信息安全方針，是組織對信息和信息處理設施進行管理，保護和分配的原則，以及使信息系統免遭入侵和破壞而必須采取的措施，它告訴組織成員在日常的工作中哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關信息安全的行為規(guī)范。

　　制定信息安全管理制度應遵循如下統一的安全管理原則：

　　(1)規(guī)范化原則。

　　各階段都應遵循安全規(guī)范要求，根據組織安全信息需求，制定安全策略。

　　(2)系統化原則。

　　根據安全工程的要求，對系統個階段，包括以后的升級、換代和功能擴展進行全面統一地考慮。

　　(3)綜合保障原則。

　　人員、資金、技術等多方面綜合保障。

　　(4)以人為本原則。

　　技術是關鍵，管理是核心，要不斷提高管理人員的技術素養(yǎng)和道德水平。

　　(5)首長負責原則。

　　(6)預防原則。

　　安全管理以預防為主，并要有一定的超前意識。

　　(7)風險評估原則。

　　根據實踐對系統定期進行風險評估以改進系統的安全狀況。

　　(8)動態(tài)原則。

　　根據環(huán)境的改變和技術的進步，提高系統的保護能力。

　　(9)成本效益原則。

　　根據資源價值和風險評估結果，采用適度的保護措施。

　　(10)均衡防護原則。

　　信息安全系統工程

　　安全系統工程運用系統論的觀點和方法，結合工程學原理及有關專業(yè)知識來研究生產安全管理和工程的新學科，是系統工程學的一個分支。

　　其研究內容主要有危險的識別、分析與事故預測;消除、控制導致事故的危險;分析構成安全系統各單元間的關系和相互影響，協調各單元之間的關系，取得系統安全的最佳設計等。

　　目的是使生產條件安全化，使事故減少到可接受的水平。

　　安全系統工程不僅從生產現場的管理方法來預防事故，而且是從機器設備的設計、制造和研究操作方法階段就采取預防措施，并著眼于人——機系統運行的穩(wěn)定性，保障系統的安全。

　　信息安全風險評估與安全預算【2】

　　隨著我國信息化建設進程不斷加速，各類企事業(yè)都在積極運用網絡帶來的便利，對各種信息系統的依賴性也在不斷增強，但是信息系統的脆弱性也日益暴露，如何通過有效的手段，保證有限的安全預算發(fā)揮出最大的效果，以保證信息安全，成為大家共同面臨的問題。

　　一、如何看待安全預算

　　安全預算是各類企事業(yè)單位為保護信息資產，保證自身可持續(xù)發(fā)展而投入的資金，是一種預防行為。

　　安全預算多少合適，是不是投入得太多了?雖然安全問題越來越受到重視，但是網絡安全事件仍然是呈現遞增趨勢。

　　從安全預算角度分析原因：一是預算不足;二是預算不到位。

　　在國外，安全投入占企業(yè)基礎建設投入的5%～20%，這人比例在中國的企事業(yè)中卻很少超過2%。

　　從風險的角度看，就是要平衡成本與風險之間的關系，用一百萬美金保護三十萬的資產，顯然是不可接受的，但是如果資產的價值超過了一千萬美金，產生的效益就顯而易見，目前用一個量化的方法來計算信息化建設對于戰(zhàn)略發(fā)展的貢獻確實比較難。

　　一年下來，并沒有發(fā)生重大的信息安全事件，年初的安全預算可能就會被質疑投入太多了;如果發(fā)生了不可接受的安全事件，那就成了預算部門的責任。

　　安全預算到底夠不夠?我們可以通過宏觀的情況來分析一下風險與成本的關系，每年全球因安全問題導致的網絡損失已經可以用萬億美元的數量級來計算，我國也有數百億美元的經濟損失，然而安全方面的投入卻不超過幾十億美元。

　　由此可以看出，我國整體信息化建設，安全預算不足。

　　一個單位在安全方面投入了很多，但是仍然發(fā)生“不可接受的”信息安全事故。

　　信息安全理論中有名的木桶理論，很好的解釋了這種現象。

　　如很多企業(yè)每年在安全產品上投入大量資金，但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素，缺乏系統的、科學的管理體系支持，都是導致這種結果產生的原因。

　　二、科學制定安全預算

　　信息安全的預算如何制定?其實要解決的就是預算多少和怎么用的問題。

　　說安全預算難做，一是因為信息安全涉及到很多方面的問題，例如：人員安全、物力安全、訪問控制、符合法律法規(guī)等等。

　　二是很難依據某種科學的量化的輸入得出具體的預算費用。

　　安全預算是否合理，應該關注以下幾個方面：(1)是否“平衡”了成本與風險的關系;(2)是否真正用于降低或者消除信息安全風險，而不是引入了新的不可接受風險;(3)被關注的風險是否具有較高的優(yōu)先等級。

　　信息安全風險評估恰恰解決了以上問題，通過制定科學的風險評估方法、程序，對那些起到關鍵作用的信息和信息資產進行評估，得出面臨的風險，然后針對不同風險制定相應的處理計劃，提出所需要的資源，從而利用風險評估輔助安全預算的制定。

　　三、風險評估過程

　　目前國際和國內都有一些比較成熟的風險評估標準及指南，通常包括下述幾個過程：(1) 確定評估的范圍、目的、評估組、評估方法等;(2)識別評估范圍內的信息資產;(3)識別對于這些資產的威脅;(4)識別可能利用這些威脅的薄弱點;(5)識別信息資產的損失給單位帶來的影響;(6)識別威脅時間發(fā)生的可能性;(7)根據“影響”及“可能性”計算風險;(8)確定風險等級及可接受風險的等級。

　　風險評估過程中，應該考慮那些應該輸出的必要信息、表示方式等問題。

　　例如，風險評估的方法，如果采用簡單的評估方法，其輸出的結果往往不夠細致，進而不能很好的輔助制定預算的決策過程。

　　從整個評估的過程看，應該考慮以下幾方面的問題：(1)科學選擇風險評估人員。

　　風險評估過程中，通常需要來自業(yè)務部門和技術部門及管理層的人員共同組成風險評估小組。

　　考慮到風險評估的結果需要為制定安全預算提供信息輸入，那么在整個風險評估的過程中，都應該考慮到對制定預算起到關鍵作用的管理層人員的加入。

　　(2)準確采取風險評估方法。

　　風險評估通常采用定性和定量的分析方法。

　　需要更多地考慮如何量化一些關鍵指標，作為風險評估過程中各個因素評價的判定準則。

　　這樣的準則更有利于關注風險與控制成本之間的關系，也更利于各部門橫向溝通，及與管理層的縱向溝通。

　　(3)查找導致風險的威脅及薄弱點。

　　在進行風險評估時，應該系統地考慮來自各個方面的威脅。

　　目前，仍然有很多人對于風險評估的理解還停留在“技術關注”的層面，這樣的風險評估顯然是不夠的。