信息安全風(fēng)險與信息安全體系論文

　　信息安全風(fēng)險與信息安全體系論文【1】

　　摘要：信息概念是由信息論的創(chuàng)立者申農(nóng)提出的，他把信息定義為在信宿中用來消除對于在信源中發(fā)出的消息的不確定性的東西。

　　它包含的兩個特質(zhì)也揭示了成熟的信息的存在與能動主體的目的性行為是不可分的，本文就信息安全進(jìn)行討論主要包括信息安全風(fēng)險與體系結(jié)構(gòu)、漏洞掃描技術(shù)與信息安全管理等。

　　關(guān)鍵詞：信息;安全

　　信息是客觀世界中物質(zhì)和能量存在和變動的有序形式，和組織系統(tǒng)對這個形式的能動的反映及改組。

　　其中前一個表語表述了信息概念的廣義內(nèi)涵，后一個表語表述了信息概念的狹義內(nèi)涵。

　　一、信息的概述

　　信息是物質(zhì)的普遍性，是物質(zhì)運(yùn)動的狀態(tài)與方式。

　　信息的一般屬性主要包括普遍性、客觀性、無限性、動態(tài)性、異步性、共享性 、可傳遞性等。

　　信息的功能是信息屬性的體現(xiàn) ，主要可以分為兩個層次：基本功能和社會功能。

　　信息的功能主要體現(xiàn)在以下幾個方面：信息是一切生物進(jìn)化的導(dǎo)向資源，是知識的來源，是決策的依據(jù)，是控制的靈魂，是思維的材料。

　　二、信息安全的重要性

　　在當(dāng)今的信息時代，必須保護(hù)對其發(fā)展壯大至關(guān)重要的信息資產(chǎn)，因此，保護(hù)信息的私密性、完整性、真實性和可靠性的需求已經(jīng)成為企業(yè)和消費(fèi)者的最優(yōu)先的需求之一。

　　安全漏洞會大大降低公司的市場價值，甚至威脅企業(yè)的生存。

　　當(dāng)今世界已進(jìn)入信息社會，隨著計算機(jī)、通信技術(shù)的迅猛發(fā)展，計算機(jī)信息系統(tǒng)的廣泛應(yīng)用，促使它滲透到社會各個行業(yè)和部門，人們對它的依賴性越來越大。

　　在軍事、經(jīng)濟(jì)、科學(xué)技術(shù)、文化教育商業(yè)等行業(yè)中，重要的信息資源是通過計算機(jī)網(wǎng)絡(luò)進(jìn)行輸入、處理、存儲、傳遞、輸出， 給人們提供迅速、高效的各種信息服務(wù)，因此如果不重視計算機(jī)信息系統(tǒng)的保護(hù)，國家的機(jī)要信息資源如不加保護(hù)，勢必容易被非法竊取、更改、毀壞，將會造成國民經(jīng)濟(jì)的巨大損失，國家安全的嚴(yán)重危害。

　　三、信息安全體系結(jié)構(gòu)

　　(1)息安全的保護(hù)機(jī)制

　　信息安全保護(hù)存在的主要問題與政策： 正確的信息安全政策和策略是搞好國家信息安全保護(hù)工作的關(guān)鍵， 引發(fā)信息安全問題的因素有有外部因素和內(nèi)部兩方面，主要的因素在于內(nèi)部如信息安全政策不確定;信息安全保護(hù)工作組織管理制度不健全，安全責(zé)任制不落實，導(dǎo)致管理混亂、安全管理與技術(shù)規(guī)范不統(tǒng)一;信息安全市場和服務(wù)混亂、不規(guī)范;國家監(jiān)管機(jī)制不健全，監(jiān)管手段缺乏等。

　　信息安全等級保護(hù)要貫徹國家保護(hù)重點和基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)內(nèi)分區(qū)重點兼顧一般的原則。

　　(2)信息安全體系框架

　　依據(jù)信息安全的多重保護(hù)機(jī)制，信息安全系統(tǒng)的總要求是物理安全、網(wǎng)絡(luò)安全、信息內(nèi)容安全、應(yīng)用系統(tǒng)安全的總和，安全的最終目標(biāo)是確保信息的機(jī)密性、完整性、可用性、可空性和抗抵賴性，以及信息系統(tǒng)主體對信息資源的控制。

　　完整的信息系統(tǒng)安全體系框架由技術(shù)體系、組織機(jī)構(gòu)體系和管理體系共同構(gòu)建。

　　為了適應(yīng)信息技術(shù)的迅速發(fā)展以及信息安全的突出需求，國際上許多標(biāo)準(zhǔn)化組織和機(jī)構(gòu)很早就開始了信息安全標(biāo)準(zhǔn)的研究和制定工作，如美國的國防部DOD(Department Of Defense)，國際標(biāo)準(zhǔn)化組織ISO，英國標(biāo)準(zhǔn)化協(xié)會BSI(British Standards Institute)等。

　　四、漏洞掃描技術(shù)與信息安全管理

　　(1)漏洞掃描技術(shù)

　　一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。

　　隨著Internet的不斷發(fā)展，信息技術(shù)已經(jīng)對經(jīng)濟(jì)發(fā)展、社會進(jìn)步產(chǎn)生了巨大的推動力。

　　不管是存儲在工作站、服務(wù)器中還是流通于Internet上的信息，都已轉(zhuǎn)變成為一個關(guān)系事業(yè)成敗的策略點，因此，保證信息資源的安全就顯得格外重要。

　　目前，國內(nèi)網(wǎng)絡(luò)安全產(chǎn)品主要是以硬件為主，防火墻、入侵檢測系統(tǒng)、VPN應(yīng)用較為廣泛。

　　漏洞掃描系統(tǒng)也是網(wǎng)絡(luò)安全產(chǎn)品中不可缺少的一部分，有效的安全掃描是增強(qiáng)計算機(jī)系統(tǒng)安全性的重要措施之一，它能夠預(yù)先評估和分析系統(tǒng)中存在的各種安全隱患。

　　換言之，漏洞掃描就是對系統(tǒng)中重要的數(shù)據(jù)、文件等進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客所利用的漏洞。

　　隨著黑客入侵手段的日益復(fù)雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷，預(yù)先評估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求。

　　漏洞掃描的結(jié)果實際上就是系統(tǒng)安全性能的一個評估報告，因此成為網(wǎng)絡(luò)安全解決方案中的一個重要組成部分。

　　(2)信息安全管理

　　隨著社會信息化的深入和競爭的日益激烈，信息安全問題備受關(guān)注。

　　制定信息安全管理策略及制度才能有效的保證信息的安全性。

　　制定信息安全管理策略及制度

　　目前關(guān)于信息安全的理論研究，一個是信息安全問題不僅僅是保密問題，信息安全是指信息的保密性、完整性和可用性的保持，其最終目標(biāo)是降低組織的業(yè)務(wù)風(fēng)險，保持可持續(xù)發(fā)展;另一個觀點是，信息安全問題不單純是技術(shù)問題，它是涉及很多方面如歷史，文化，道德，法律，管理，技術(shù)等方面的綜合性問題，單純從技術(shù)角度考慮是不可能得到很好解決的。

　　這里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織，其規(guī)模和性質(zhì)不足以直接改變所在國家或地區(qū)的信息安全法律法規(guī)。

　　作為這樣一個組織實體應(yīng)該有一個完整的信息安全策略。

　　信息安全策略也叫信息安全方針，是組織對信息和信息處理設(shè)施進(jìn)行管理，保護(hù)和分配的原則，以及使信息系統(tǒng)免遭入侵和破壞而必須采取的措施，它告訴組織成員在日常的工作中哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關(guān)信息安全的行為規(guī)范。

　　制定信息安全管理制度應(yīng)遵循如下統(tǒng)一的安全管理原則：

　　(1)規(guī)范化原則。

　　各階段都應(yīng)遵循安全規(guī)范要求，根據(jù)組織安全信息需求，制定安全策略。

　　(2)系統(tǒng)化原則。

　　根據(jù)安全工程的要求，對系統(tǒng)個階段，包括以后的升級、換代和功能擴(kuò)展進(jìn)行全面統(tǒng)一地考慮。

　　(3)綜合保障原則。

　　人員、資金、技術(shù)等多方面 綜合保障。

　　(4)以人為本原則。

　　技術(shù)是關(guān)鍵，管理是核心，要不斷提高管理人員的技術(shù)素養(yǎng)和道德水平。

　　(5)首長負(fù)責(zé)原則。

　　(6)預(yù)防原則。

　　安全管理以預(yù)防為主，并要有一定的超前意識。

　　(7)風(fēng)險評估原則。

　　根據(jù)實踐對系統(tǒng)定期進(jìn)行風(fēng)險評估以改進(jìn)系統(tǒng)的安全狀況。

　　(8)動態(tài)原則。

　　根據(jù)環(huán)境的改變和技術(shù)的進(jìn)步，提高系統(tǒng)的保護(hù)能力。

　　(9)成本效益原則。

　　根據(jù)資源價值和風(fēng)險評估結(jié)果，采用適度的保護(hù)措施。

　　(10)均衡防護(hù)原則。

　　信息安全系統(tǒng)工程

　　安全系統(tǒng)工程運(yùn)用系統(tǒng)論的觀點和方法 ，結(jié)合工程學(xué)原理及有關(guān)專業(yè)知識來研究生產(chǎn)安全管理和工程的新學(xué)科，是系統(tǒng)工程學(xué)的一個分支。

　　其研究內(nèi)容主要有危險的識別、分析與事故預(yù)測;消除、控制導(dǎo)致事故的危險;分析構(gòu)成安全系統(tǒng)各單元間的關(guān)系和相互影響，協(xié)調(diào)各單元之間的關(guān)系，取得系統(tǒng)安全的最佳設(shè)計等。

　　目的是使生產(chǎn)條件安全化，使事故減少到可接受的水平。

　　安全系統(tǒng)工程不僅從生產(chǎn)現(xiàn)場的管理方法來預(yù)防事故，而且是從機(jī)器設(shè)備的設(shè)計、制造和研究操作方法階段就采取預(yù)防措施，并著眼于人——機(jī)系統(tǒng)運(yùn)行的穩(wěn)定性，保障系統(tǒng)的安全。

　　信息安全風(fēng)險評估與安全預(yù)算【2】

　　隨著我國信息化建設(shè)進(jìn)程不斷加速，各類企事業(yè)都在積極運(yùn)用網(wǎng)絡(luò)帶來的便利，對各種信息系統(tǒng)的依賴性也在不斷增強(qiáng)，但是信息系統(tǒng)的脆弱性也日益暴露，如何通過有效的手段，保證有限的安全預(yù)算發(fā)揮出最大的效果，以保證信息安全，成為大家共同面臨的問題。

　　一、如何看待安全預(yù)算

　　安全預(yù)算是各類企事業(yè)單位為保護(hù)信息資產(chǎn)，保證自身可持續(xù)發(fā)展而投入的資金，是一種預(yù)防行為。

　　安全預(yù)算多少合適，是不是投入得太多了?雖然安全問題越來越受到重視，但是網(wǎng)絡(luò)安全事件仍然是呈現(xiàn)遞增趨勢。

　　從安全預(yù)算角度分析原因：一是預(yù)算不足;二是預(yù)算不到位。

　　在國外，安全投入占企業(yè)基礎(chǔ)建設(shè)投入的5%～20%，這人比例在中國的企事業(yè)中卻很少超過2%。

　　從風(fēng)險的角度看，就是要平衡成本與風(fēng)險之間的關(guān)系，用一百萬美金保護(hù)三十萬的資產(chǎn)，顯然是不可接受的，但是如果資產(chǎn)的價值超過了一千萬美金，產(chǎn)生的效益就顯而易見，目前用一個量化的方法來計算信息化建設(shè)對于戰(zhàn)略發(fā)展的貢獻(xiàn)確實比較難。

　　一年下來，并沒有發(fā)生重大的信息安全事件，年初的安全預(yù)算可能就會被質(zhì)疑投入太多了;如果發(fā)生了不可接受的安全事件，那就成了預(yù)算部門的責(zé)任。

　　安全預(yù)算到底夠不夠?我們可以通過宏觀的情況來分析一下風(fēng)險與成本的關(guān)系，每年全球因安全問題導(dǎo)致的網(wǎng)絡(luò)損失已經(jīng)可以用萬億美元的數(shù)量級來計算，我國也有數(shù)百億美元的經(jīng)濟(jì)損失，然而安全方面的投入?yún)s不超過幾十億美元。

　　由此可以看出，我國整體信息化建設(shè)，安全預(yù)算不足。

　　一個單位在安全方面投入了很多，但是仍然發(fā)生“不可接受的”信息安全事故。

　　信息安全理論中有名的木桶理論，很好的解釋了這種現(xiàn)象。

　　如很多企業(yè)每年在安全產(chǎn)品上投入大量資金，但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素，缺乏系統(tǒng)的、科學(xué)的管理體系支持，都是導(dǎo)致這種結(jié)果產(chǎn)生的原因。

　　二、 科學(xué)制定安全預(yù)算

　　信息安全的預(yù)算如何制定?其實要解決的就是預(yù)算多少和怎么用的問題。

　　說安全預(yù)算難做，一是因為信息安全涉及到很多方面的問題，例如：人員安全、物力安全、訪問控制、符合法律法規(guī)等等。

　　二是很難依據(jù)某種科學(xué)的量化的輸入得出具體的預(yù)算費(fèi)用。

　　安全預(yù)算是否合理，應(yīng)該關(guān)注以下幾個方面：(1)是否“平衡”了成本與風(fēng)險的關(guān)系;(2)是否真正用于降低或者消除信息安全風(fēng)險，而不是引入了新的不可接受風(fēng)險;(3)被關(guān)注的風(fēng)險是否具有較高的優(yōu)先等級。

　　信息安全風(fēng)險評估恰恰解決了以上問題，通過制定科學(xué)的風(fēng)險評估方法、程序，對那些起到關(guān)鍵作用的信息和信息資產(chǎn)進(jìn)行評估，得出面臨的風(fēng)險，然后針對不同風(fēng)險制定相應(yīng)的處理計劃，提出所需要的資源，從而利用風(fēng)險評估輔助安全預(yù)算的制定。

　　三、 風(fēng)險評估過程

　　目前國際和國內(nèi)都有一些比較成熟的風(fēng)險評估標(biāo)準(zhǔn)及指南，通常包括下述幾個過程：(1) 確定評估的范圍、目的、評估組、評估方法等;(2)識別評估范圍內(nèi)的信息資產(chǎn);(3)識別對于這些資產(chǎn)的威脅;(4)識別可能利用這些威脅的薄弱點;(5)識別信息資產(chǎn)的損失給單位帶來的影響;(6)識別威脅時間發(fā)生的可能性;(7)根據(jù)“影響”及“可能性”計算風(fēng)險;(8)確定風(fēng)險等級及可接受風(fēng)險的等級。

　　風(fēng)險評估過程中，應(yīng)該考慮那些應(yīng)該輸出的必要信息、表示方式等問題。

　　例如，風(fēng)險評估的方法，如果采用簡單的評估方法，其輸出的結(jié)果往往不夠細(xì)致，進(jìn)而不能很好的輔助制定預(yù)算的決策過程。

　　從整個評估的過程看，應(yīng)該考慮以下幾方面的問題：(1)科學(xué)選擇風(fēng)險評估人員。

　　風(fēng)險評估過程中，通常需要來自業(yè)務(wù)部門和技術(shù)部門及管理層的人員共同組成風(fēng)險評估小組。

　　考慮到風(fēng)險評估的結(jié)果需要為制定安全預(yù)算提供信息輸入，那么在整個風(fēng)險評估的過程中，都應(yīng)該考慮到對制定預(yù)算起到關(guān)鍵作用的管理層人員的加入。

　　(2)準(zhǔn)確采取風(fēng)險評估方法。

　　風(fēng)險評估通常采用定性和定量的分析方法。

　　需要更多地考慮如何量化一些關(guān)鍵指標(biāo)，作為風(fēng)險評估過程中各個因素評價的判定準(zhǔn)則。

　　這樣的準(zhǔn)則更有利于關(guān)注風(fēng)險與控制成本之間的關(guān)系，也更利于各部門橫向溝通，及與管理層的縱向溝通。

　　(3)查找導(dǎo)致風(fēng)險的威脅及薄弱點。

　　在進(jìn)行風(fēng)險評估時，應(yīng)該系統(tǒng)地考慮來自各個方面的威脅。

　　目前，仍然有很多人對于風(fēng)險評估的理解還停留在“技術(shù)關(guān)注”的層面，這樣的風(fēng)險評估顯然是不夠的。

　　(4)選擇適當(dāng)?shù)目刂拼胧��?/p>

　　針對風(fēng)險評估所產(chǎn)生的不可接受風(fēng)險，應(yīng)該采取一定的控制措施對風(fēng)險進(jìn)行處理。

　　風(fēng)險的處理方式通常包括：降低風(fēng)險、轉(zhuǎn)移風(fēng)險、避免風(fēng)險、接受風(fēng)險。

　　同一風(fēng)險的處理方式可能不同，同樣的處理方式所采取的控制措施也可能不同。

　　所以就應(yīng)該考慮來自管理和技術(shù)兩方面的控制措施。

　　而這樣的控制措施并非一定要將風(fēng)險完全規(guī)避，而是要降低到一個可以接受的水平。

　　另外控制措施的選擇也要考慮到成本的問題，任何單位不需要部署所有的安全產(chǎn)品，也沒有必要追求風(fēng)險最小化。

　　通過風(fēng)險評估，了解安全要求，認(rèn)知安全風(fēng)險，采取安全控制，有效地平衡安全預(yù)算與風(fēng)險的關(guān)系，將安全預(yù)算發(fā)揮最大的經(jīng)濟(jì)效益，才能保證信息和信息資產(chǎn)的安全。

【信息安全風(fēng)險與信息安全體系論文】相關(guān)文章：

信息安全技能培訓(xùn)體系論文10-08

淺談安全生產(chǎn)之信息風(fēng)險管理體系的構(gòu)建論文10-08

信息安全風(fēng)險評估探究的論文10-09

有關(guān)信息安全技能培訓(xùn)體系的論文10-08

數(shù)據(jù)信息安全體系構(gòu)建論文10-09

個人信息安全風(fēng)險與防范論文10-09

信息安全風(fēng)險評估方法論文10-09

淺析公司信息安全體系的建立的論文10-08

現(xiàn)代港口信息安全評價體系論文10-08