信息安全風(fēng)險(xiǎn)與信息安全體系論文

　　信息安全風(fēng)險(xiǎn)與信息安全體系論文【1】

　　摘要：信息概念是由信息論的創(chuàng)立者申農(nóng)提出的，他把信息定義為在信宿中用來(lái)消除對(duì)于在信源中發(fā)出的消息的不確定性的東西。

　　它包含的兩個(gè)特質(zhì)也揭示了成熟的信息的存在與能動(dòng)主體的目的性行為是不可分的，本文就信息安全進(jìn)行討論主要包括信息安全風(fēng)險(xiǎn)與體系結(jié)構(gòu)、漏洞掃描技術(shù)與信息安全管理等。

　　關(guān)鍵詞：信息;安全

　　信息是客觀世界中物質(zhì)和能量存在和變動(dòng)的有序形式，和組織系統(tǒng)對(duì)這個(gè)形式的能動(dòng)的反映及改組。

　　其中前一個(gè)表語(yǔ)表述了信息概念的廣義內(nèi)涵，后一個(gè)表語(yǔ)表述了信息概念的狹義內(nèi)涵。

　　一、信息的概述

　　信息是物質(zhì)的普遍性，是物質(zhì)運(yùn)動(dòng)的狀態(tài)與方式。

　　信息的一般屬性主要包括普遍性、客觀性、無(wú)限性、動(dòng)態(tài)性、異步性、共享性 、可傳遞性等。

　　信息的功能是信息屬性的體現(xiàn) ，主要可以分為兩個(gè)層次：基本功能和社會(huì)功能。

　　信息的功能主要體現(xiàn)在以下幾個(gè)方面：信息是一切生物進(jìn)化的導(dǎo)向資源，是知識(shí)的來(lái)源，是決策的依據(jù)，是控制的靈魂，是思維的材料。

　　二、信息安全的重要性

　　在當(dāng)今的信息時(shí)代，必須保護(hù)對(duì)其發(fā)展壯大至關(guān)重要的信息資產(chǎn)，因此，保護(hù)信息的私密性、完整性、真實(shí)性和可靠性的需求已經(jīng)成為企業(yè)和消費(fèi)者的最優(yōu)先的需求之一。

　　安全漏洞會(huì)大大降低公司的市場(chǎng)價(jià)值，甚至威脅企業(yè)的生存。

　　當(dāng)今世界已進(jìn)入信息社會(huì)，隨著計(jì)算機(jī)、通信技術(shù)的迅猛發(fā)展，計(jì)算機(jī)信息系統(tǒng)的廣泛應(yīng)用，促使它滲透到社會(huì)各個(gè)行業(yè)和部門，人們對(duì)它的依賴性越來(lái)越大。

　　在軍事、經(jīng)濟(jì)、科學(xué)技術(shù)、文化教育商業(yè)等行業(yè)中，重要的信息資源是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行輸入、處理、存儲(chǔ)、傳遞、輸出， 給人們提供迅速、高效的各種信息服務(wù)，因此如果不重視計(jì)算機(jī)信息系統(tǒng)的保護(hù)，國(guó)家的機(jī)要信息資源如不加保護(hù)，勢(shì)必容易被非法竊取、更改、毀壞，將會(huì)造成國(guó)民經(jīng)濟(jì)的巨大損失，國(guó)家安全的嚴(yán)重危害。

　　三、信息安全體系結(jié)構(gòu)

　　(1)息安全的保護(hù)機(jī)制

　　信息安全保護(hù)存在的主要問(wèn)題與政策： 正確的信息安全政策和策略是搞好國(guó)家信息安全保護(hù)工作的關(guān)鍵， 引發(fā)信息安全問(wèn)題的因素有有外部因素和內(nèi)部?jī)煞矫妫�主要的因素在于�?nèi)部如信息安全政策不確定;信息安全保護(hù)工作組織管理制度不健全，安全責(zé)任制不落實(shí)，導(dǎo)致管理混亂、安全管理與技術(shù)規(guī)范不統(tǒng)一;信息安全市場(chǎng)和服務(wù)混亂、不規(guī)范;國(guó)家監(jiān)管機(jī)制不健全，監(jiān)管手段缺乏等。

　　信息安全等級(jí)保護(hù)要貫徹國(guó)家保護(hù)重點(diǎn)和基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)內(nèi)分區(qū)重點(diǎn)兼顧一般的原則。

　　(2)信息安全體系框架

　　依據(jù)信息安全的多重保護(hù)機(jī)制，信息安全系統(tǒng)的總要求是物理安全、網(wǎng)絡(luò)安全、信息內(nèi)容安全、應(yīng)用系統(tǒng)安全的總和，安全的最終目標(biāo)是確保信息的機(jī)密性、完整性、可用性、可空性和抗抵賴性，以及信息系統(tǒng)主體對(duì)信息資源的控制。

　　完整的信息系統(tǒng)安全體系框架由技術(shù)體系、組織機(jī)構(gòu)體系和管理體系共同構(gòu)建。

　　為了適應(yīng)信息技術(shù)的迅速發(fā)展以及信息安全的突出需求，國(guó)際上許多標(biāo)準(zhǔn)化組織和機(jī)構(gòu)很早就開始了信息安全標(biāo)準(zhǔn)的研究和制定工作，如美國(guó)的國(guó)防部DOD(Department Of Defense)，國(guó)際標(biāo)準(zhǔn)化組織ISO，英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)BSI(British Standards Institute)等。

　　四、漏洞掃描技術(shù)與信息安全管理

　　(1)漏洞掃描技術(shù)

　　一般認(rèn)為，漏洞是指硬件、軟件或策略上存在的安全缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問(wèn)、控制系統(tǒng)。

　　隨著Internet的不斷發(fā)展，信息技術(shù)已經(jīng)對(duì)經(jīng)濟(jì)發(fā)展、社會(huì)進(jìn)步產(chǎn)生了巨大的推動(dòng)力。

　　不管是存儲(chǔ)在工作站、服務(wù)器中還是流通于Internet上的信息，都已轉(zhuǎn)變成為一個(gè)關(guān)系事業(yè)成敗的策略點(diǎn)，因此，保證信息資源的安全就顯得格外重要。

　　目前，國(guó)內(nèi)網(wǎng)絡(luò)安全產(chǎn)品主要是以硬件為主，防火墻、入侵檢測(cè)系統(tǒng)、VPN應(yīng)用較為廣泛。

　　漏洞掃描系統(tǒng)也是網(wǎng)絡(luò)安全產(chǎn)品中不可缺少的一部分，有效的安全掃描是增強(qiáng)計(jì)算機(jī)系統(tǒng)安全性的重要措施之一，它能夠預(yù)先評(píng)估和分析系統(tǒng)中存在的各種安全隱患。

　　換言之，漏洞掃描就是對(duì)系統(tǒng)中重要的數(shù)據(jù)、文件等進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客所利用的漏洞。

　　隨著黑客入侵手段的日益復(fù)雜和通用系統(tǒng)不斷發(fā)現(xiàn)的安全缺陷，預(yù)先評(píng)估和分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問(wèn)題已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求。

　　漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估報(bào)告，因此成為網(wǎng)絡(luò)安全解決方案中的一個(gè)重要組成部分。

　　(2)信息安全管理

　　隨著社會(huì)信息化的深入和競(jìng)爭(zhēng)的日益激烈，信息安全問(wèn)題備受關(guān)注。

　　制定信息安全管理策略及制度才能有效的保證信息的安全性。

　　制定信息安全管理策略及制度

　　目前關(guān)于信息安全的理論研究，一個(gè)是信息安全問(wèn)題不僅僅是保密問(wèn)題，信息安全是指信息的保密性、完整性和可用性的保持，其最終目標(biāo)是降低組織的業(yè)務(wù)風(fēng)險(xiǎn)，保持可持續(xù)發(fā)展;另一個(gè)觀點(diǎn)是，信息安全問(wèn)題不單純是技術(shù)問(wèn)題，它是涉及很多方面如歷史，文化，道德，法律，管理，技術(shù)等方面的綜合性問(wèn)題，單純從技術(shù)角度考慮是不可能得到很好解決的。

　　這里討論的組織是指在既定法律環(huán)境下的盈利組織和非盈利組織，其規(guī)模和性質(zhì)不足以直接改變所在國(guó)家或地區(qū)的信息安全法律法規(guī)。

　　作為這樣一個(gè)組織實(shí)體應(yīng)該有一個(gè)完整的信息安全策略。

　　信息安全策略也叫信息安全方針，是組織對(duì)信息和信息處理設(shè)施進(jìn)行管理，保護(hù)和分配的原則，以及使信息系統(tǒng)免遭入侵和破壞而必須采取的措施，它告訴組織成員在日常的工作中哪里是安全區(qū)，哪里是敏感區(qū)，就像交通規(guī)則之于車輛和行人，信息安全策略是有關(guān)信息安全的行為規(guī)范。

　　制定信息安全管理制度應(yīng)遵循如下統(tǒng)一的安全管理原則：

　　(1)規(guī)范化原則。

　　各階段都應(yīng)遵循安全規(guī)范要求，根據(jù)組織安全信息需求，制定安全策略。

　　(2)系統(tǒng)化原則。

　　根據(jù)安全工程的要求，對(duì)系統(tǒng)個(gè)階段，包括以后的升級(jí)、換代和功能擴(kuò)展進(jìn)行全面統(tǒng)一地考慮。

　　(3)綜合保障原則。

　　人員、資金、技術(shù)等多方面 綜合保障。

　　(4)以人為本原則。

　　技術(shù)是關(guān)鍵，管理是核心，要不斷提高管理人員的技術(shù)素養(yǎng)和道德水平。

　　(5)首長(zhǎng)負(fù)責(zé)原則。

　　(6)預(yù)防原則。

　　安全管理以預(yù)防為主，并要有一定的超前意識(shí)。

　　(7)風(fēng)險(xiǎn)評(píng)估原則。

　　根據(jù)實(shí)踐對(duì)系統(tǒng)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估以改進(jìn)系統(tǒng)的安全狀況。

　　(8)動(dòng)態(tài)原則。

　　根據(jù)環(huán)境的改變和技術(shù)的進(jìn)步，提高系統(tǒng)的保護(hù)能力。

　　(9)成本效益原則。

　　根據(jù)資源價(jià)值和風(fēng)險(xiǎn)評(píng)估結(jié)果，采用適度的保護(hù)措施。

　　(10)均衡防護(hù)原則。

　　信息安全系統(tǒng)工程

　　安全系統(tǒng)工程運(yùn)用系統(tǒng)論的觀點(diǎn)和方法 ，結(jié)合工程學(xué)原理及有關(guān)專業(yè)知識(shí)來(lái)研究生產(chǎn)安全管理和工程的新學(xué)科，是系統(tǒng)工程學(xué)的一個(gè)分支。

　　其研究?jī)?nèi)容主要有危險(xiǎn)的識(shí)別、分析與事故預(yù)測(cè);消除、控制導(dǎo)致事故的危險(xiǎn);分析構(gòu)成安全系統(tǒng)各單元間的關(guān)系和相互影響，協(xié)調(diào)各單元之間的關(guān)系，取得系統(tǒng)安全的最佳設(shè)計(jì)等。

　　目的是使生產(chǎn)條件安全化，使事故減少到可接受的水平。

　　安全系統(tǒng)工程不僅從生產(chǎn)現(xiàn)場(chǎng)的管理方法來(lái)預(yù)防事故，而且是從機(jī)器設(shè)備的設(shè)計(jì)、制造和研究操作方法階段就采取預(yù)防措施，并著眼于人——機(jī)系統(tǒng)運(yùn)行的穩(wěn)定性，保障系統(tǒng)的安全。

　　信息安全風(fēng)險(xiǎn)評(píng)估與安全預(yù)算【2】

　　隨著我國(guó)信息化建設(shè)進(jìn)程不斷加速，各類企事業(yè)都在積極運(yùn)用網(wǎng)絡(luò)帶來(lái)的便利，對(duì)各種信息系統(tǒng)的依賴性也在不斷增強(qiáng)，但是信息系統(tǒng)的脆弱性也日益暴露，如何通過(guò)有效的手段，保證有限的安全預(yù)算發(fā)揮出最大的效果，以保證信息安全，成為大家共同面臨的問(wèn)題。

　　一、如何看待安全預(yù)算

　　安全預(yù)算是各類企事業(yè)單位為保護(hù)信息資產(chǎn)，保證自身可持續(xù)發(fā)展而投入的資金，是一種預(yù)防行為。

　　安全預(yù)算多少合適，是不是投入得太多了?雖然安全問(wèn)題越來(lái)越受到重視，但是網(wǎng)絡(luò)安全事件仍然是呈現(xiàn)遞增趨勢(shì)。

　　從安全預(yù)算角度分析原因：一是預(yù)算不足;二是預(yù)算不到位。

　　在國(guó)外，安全投入占企業(yè)基礎(chǔ)建設(shè)投入的5%～20%，這人比例在中國(guó)的企事業(yè)中卻很少超過(guò)2%。

　　從風(fēng)險(xiǎn)的角度看，就是要平衡成本與風(fēng)險(xiǎn)之間的關(guān)系，用一百萬(wàn)美金保護(hù)三十萬(wàn)的資產(chǎn)，顯然是不可接受的，但是如果資產(chǎn)的價(jià)值超過(guò)了一千萬(wàn)美金，產(chǎn)生的效益就顯而易見，目前用一個(gè)量化的方法來(lái)計(jì)算信息化建設(shè)對(duì)于戰(zhàn)略發(fā)展的貢獻(xiàn)確實(shí)比較難。

　　一年下來(lái)，并沒有發(fā)生重大的信息安全事件，年初的安全預(yù)算可能就會(huì)被質(zhì)疑投入太多了;如果發(fā)生了不可接受的安全事件，那就成了預(yù)算部門的責(zé)任。

　　安全預(yù)算到底夠不夠?我們可以通過(guò)宏觀的情況來(lái)分析一下風(fēng)險(xiǎn)與成本的關(guān)系，每年全球因安全問(wèn)題導(dǎo)致的網(wǎng)絡(luò)損失已經(jīng)可以用萬(wàn)億美元的數(shù)量級(jí)來(lái)計(jì)算，我國(guó)也有數(shù)百億美元的經(jīng)濟(jì)損失，然而安全方面的投入?yún)s不超過(guò)幾十億美元。

　　由此可以看出，我國(guó)整體信息化建設(shè)，安全預(yù)算不足。

　　一個(gè)單位在安全方面投入了很多，但是仍然發(fā)生“不可接受的”信息安全事故。

　　信息安全理論中有名的木桶理論，很好的解釋了這種現(xiàn)象。

　　如很多企業(yè)每年在安全產(chǎn)品上投入大量資金，但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素，缺乏系統(tǒng)的、科學(xué)的管理體系支持，都是導(dǎo)致這種結(jié)果產(chǎn)生的原因。

　　二、 科學(xué)制定安全預(yù)算

　　信息安全的預(yù)算如何制定?其實(shí)要解決的就是預(yù)算多少和怎么用的問(wèn)題。

　　說(shuō)安全預(yù)算難做，一是因?yàn)樾畔�安全涉及到很多方面的�?wèn)題，例如：人員安全、物力安全、訪問(wèn)控制、符合法律法規(guī)等等。

　　二是很難依據(jù)某種科學(xué)的量化的輸入得出具體的預(yù)算費(fèi)用。

　　安全預(yù)算是否合理，應(yīng)該關(guān)注以下幾個(gè)方面：(1)是否“平衡”了成本與風(fēng)險(xiǎn)的關(guān)系;(2)是否真正用于降低或者消除信息安全風(fēng)險(xiǎn)，而不是引入了新的不可接受風(fēng)險(xiǎn);(3)被關(guān)注的風(fēng)險(xiǎn)是否具有較高的優(yōu)先等級(jí)。

　　信息安全風(fēng)險(xiǎn)評(píng)估恰恰解決了以上問(wèn)題，通過(guò)制定科學(xué)的風(fēng)險(xiǎn)評(píng)估方法、程序，對(duì)那些起到關(guān)鍵作用的信息和信息資產(chǎn)進(jìn)行評(píng)估，得出面臨的風(fēng)險(xiǎn)，然后針對(duì)不同風(fēng)險(xiǎn)制定相應(yīng)的處理計(jì)劃，提出所需要的資源，從而利用風(fēng)險(xiǎn)評(píng)估輔助安全預(yù)算的制定。

　　三、 風(fēng)險(xiǎn)評(píng)估過(guò)程

　　目前國(guó)際和國(guó)內(nèi)都有一些比較成熟的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)及指南，通常包括下述幾個(gè)過(guò)程：(1) 確定評(píng)估的范圍、目的、評(píng)估組、評(píng)估方法等;(2)識(shí)別評(píng)估范圍內(nèi)的信息資產(chǎn);(3)識(shí)別對(duì)于這些資產(chǎn)的威脅;(4)識(shí)別可能利用這些威脅的薄弱點(diǎn);(5)識(shí)別信息資產(chǎn)的損失給單位帶來(lái)的影響;(6)識(shí)別威脅時(shí)間發(fā)生的可能性;(7)根據(jù)“影響”及“可能性”計(jì)算風(fēng)險(xiǎn);(8)確定風(fēng)險(xiǎn)等級(jí)及可接受風(fēng)險(xiǎn)的等級(jí)。

　　風(fēng)險(xiǎn)評(píng)估過(guò)程中，應(yīng)該考慮那些應(yīng)該輸出的必要信息、表示方式等問(wèn)題。

　　例如，風(fēng)險(xiǎn)評(píng)估的方法，如果采用簡(jiǎn)單的評(píng)估方法，其輸出的結(jié)果往往不夠細(xì)致，進(jìn)而不能很好的輔助制定預(yù)算的決策過(guò)程。

　　從整個(gè)評(píng)估的過(guò)程看，應(yīng)該考慮以下幾方面的問(wèn)題：(1)科學(xué)選擇風(fēng)險(xiǎn)評(píng)估人員。

　　風(fēng)險(xiǎn)評(píng)估過(guò)程中，通常需要來(lái)自業(yè)務(wù)部門和技術(shù)部門及管理層的人員共同組成風(fēng)險(xiǎn)評(píng)估小組。

　　考慮到風(fēng)險(xiǎn)評(píng)估的結(jié)果需要為制定安全預(yù)算提供信息輸入，那么在整個(gè)風(fēng)險(xiǎn)評(píng)估的過(guò)程中，都應(yīng)該考慮到對(duì)制定預(yù)算起到關(guān)鍵作用的管理層人員的加入。

　　(2)準(zhǔn)確采取風(fēng)險(xiǎn)評(píng)估方法。

　　風(fēng)險(xiǎn)評(píng)估通常采用定性和定量的分析方法。

　　需要更多地考慮如何量化一些關(guān)鍵指標(biāo)，作為風(fēng)險(xiǎn)評(píng)估過(guò)程中各個(gè)因素評(píng)價(jià)的判定準(zhǔn)則。

　　這樣的準(zhǔn)則更有利于關(guān)注風(fēng)險(xiǎn)與控制成本之間的關(guān)系，也更利于各部門橫向溝通，及與管理層的縱向溝通。

　　(3)查找導(dǎo)致風(fēng)險(xiǎn)的威脅及薄弱點(diǎn)。

　　在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)該系統(tǒng)地考慮來(lái)自各個(gè)方面的威脅。

　　目前，仍然有很多人對(duì)于風(fēng)險(xiǎn)評(píng)估的理解還停留在“技術(shù)關(guān)注”的層面，這樣的風(fēng)險(xiǎn)評(píng)估顯然是不夠的。

　　(4)選擇適當(dāng)?shù)目刂拼胧��?/p>

　　針對(duì)風(fēng)險(xiǎn)評(píng)估所產(chǎn)生的不可接受風(fēng)險(xiǎn)，應(yīng)該采取一定的控制措施對(duì)風(fēng)險(xiǎn)進(jìn)行處理。

　　風(fēng)險(xiǎn)的處理方式通常包括：降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)。

　　同一風(fēng)險(xiǎn)的處理方式可能不同，同樣的處理方式所采取的控制措施也可能不同。

　　所以就應(yīng)該考慮來(lái)自管理和技術(shù)兩方面的控制措施。

　　而這樣的控制措施并非一定要將風(fēng)險(xiǎn)完全規(guī)避，而是要降低到一個(gè)可以接受的水平。

　　另外控制措施的選擇也要考慮到成本的問(wèn)題，任何單位不需要部署所有的安全產(chǎn)品，也沒有必要追求風(fēng)險(xiǎn)最小化。

　　通過(guò)風(fēng)險(xiǎn)評(píng)估，了解安全要求，認(rèn)知安全風(fēng)險(xiǎn)，采取安全控制，有效地平衡安全預(yù)算與風(fēng)險(xiǎn)的關(guān)系，將安全預(yù)算發(fā)揮最大的經(jīng)濟(jì)效益，才能保證信息和信息資產(chǎn)的安全。

【信息安全風(fēng)險(xiǎn)與信息安全體系論文】相關(guān)文章：

信息安全技能培訓(xùn)體系論文10-08

淺談安全生產(chǎn)之信息風(fēng)險(xiǎn)管理體系的構(gòu)建論文10-08

信息安全風(fēng)險(xiǎn)評(píng)估探究的論文10-09

有關(guān)信息安全技能培訓(xùn)體系的論文10-08

數(shù)據(jù)信息安全體系構(gòu)建論文10-09

個(gè)人信息安全風(fēng)險(xiǎn)與防范論文10-09

信息安全風(fēng)險(xiǎn)評(píng)估方法論文10-09

淺析公司信息安全體系的建立的論文10-08

現(xiàn)代港口信息安全評(píng)價(jià)體系論文10-08