信息安全风险与信息安全体系论文

时间：2022-10-09 03:19:38 信息安全毕业论文我要投稿

相关推荐

信息安全风险与信息安全体系论文

　　信息安全风险与信息安全体系论文【1】

信息安全风险与信息安全体系论文

　　摘要：信息概念是由信息论的创立者申农提出的，他把信息定义为在信宿中用来消除对于在信源中发出的消息的不确定性的东西。

　　它包含的两个特质也揭示了成熟的信息的存在与能动主体的目的性行为是不可分的，本文就信息安全进行讨论主要包括信息安全风险与体系结构、漏洞扫描技术与信息安全管理等。

　　关键词：信息;安全

　　信息是客观世界中物质和能量存在和变动的有序形式，和组织系统对这个形式的能动的反映及改组。

　　其中前一个表语表述了信息概念的广义内涵，后一个表语表述了信息概念的狭义内涵。

　　一、信息的概述

　　信息是物质的普遍性，是物质运动的状态与方式。

　　信息的一般属性主要包括普遍性、客观性、无限性、动态性、异步性、共享性、可传递性等。

　　信息的功能是信息属性的体现，主要可以分为两个层次：基本功能和社会功能。

　　信息的功能主要体现在以下几个方面：信息是一切生物进化的导向资源，是知识的来源，是决策的依据，是控制的灵魂，是思维的材料。

　　二、信息安全的重要性

　　在当今的信息时代，必须保护对其发展壮大至关重要的信息资产，因此，保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。

　　安全漏洞会大大降低公司的市场价值，甚至威胁企业的生存。

　　当今世界已进入信息社会，随着计算机、通信技术的迅猛发展，计算机信息系统的广泛应用，促使它渗透到社会各个行业和部门，人们对它的依赖性越来越大。

　　在军事、经济、科学技术、文化教育商业等行业中，重要的信息资源是通过计算机网络进行输入、处理、存储、传递、输出，给人们提供迅速、高效的各种信息服务，因此如果不重视计算机信息系统的保护，国家的机要信息资源如不加保护，势必容易被非法窃取、更改、毁坏，将会造成国民经济的巨大损失，国家安全的严重危害。

　　三、信息安全体系结构

　　(1)息安全的保护机制

　　信息安全保护存在的主要问题与政策：正确的信息安全政策和策略是搞好国家信息安全保护工作的关键，引发信息安全问题的因素有有外部因素和内部两方面，主要的因素在于内部如信息安全政策不确定;信息安全保护工作组织管理制度不健全，安全责任制不落实，导致管理混乱、安全管理与技术规范不统一;信息安全市场和服务混乱、不规范;国家监管机制不健全，监管手段缺乏等。

　　信息安全等级保护要贯彻国家保护重点和基础信息网络与重要信息系统内分区重点兼顾一般的原则。

　　(2)信息安全体系框架

　　依据信息安全的多重保护机制，信息安全系统的总要求是物理安全、网络安全、信息内容安全、应用系统安全的总和，安全的最终目标是确保信息的机密性、完整性、可用性、可空性和抗抵赖性，以及信息系统主体对信息资源的控制。

　　完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。

　　为了适应信息技术的迅速发展以及信息安全的突出需求，国际上许多标准化组织和机构很早就开始了信息安全标准的研究和制定工作，如美国的国防部DOD(Department Of Defense)，国际标准化组织ISO，英国标准化协会BSI(British Standards Institute)等。

　　四、漏洞扫描技术与信息安全管理

　　(1)漏洞扫描技术

　　一般认为，漏洞是指硬件、软件或策略上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。

　　随着Internet的不断发展，信息技术已经对经济发展、社会进步产生了巨大的推动力。

　　不管是存储在工作站、服务器中还是流通于Internet上的信息，都已转变成为一个关系事业成败的策略点，因此，保证信息资源的安全就显得格外重要。

　　目前，国内网络安全产品主要是以硬件为主，防火墙、入侵检测系统、VPN应用较为广泛。

　　漏洞扫描系统也是网络安全产品中不可缺少的一部分，有效的安全扫描是增强计算机系统安全性的重要措施之一，它能够预先评估和分析系统中存在的各种安全隐患。

　　换言之，漏洞扫描就是对系统中重要的数据、文件等进行检查，发现其中可被黑客所利用的漏洞。

　　随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷，预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。

　　漏洞扫描的结果实际上就是系统安全性能的一个评估报告，因此成为网络安全解决方案中的一个重要组成部分。

　　(2)信息安全管理

　　随着社会信息化的深入和竞争的日益激烈，信息安全问题备受关注。

　　制定信息安全管理策略及制度才能有效的保证信息的安全性。

　　制定信息安全管理策略及制度

　　目前关于信息安全的理论研究，一个是信息安全问题不仅仅是保密问题，信息安全是指信息的保密性、完整性和可用性的保持，其最终目标是降低组织的业务风险，保持可持续发展;另一个观点是，信息安全问题不单纯是技术问题，它是涉及很多方面如历史，文化，道德，法律，管理，技术等方面的综合性问题，单纯从技术角度考虑是不可能得到很好解决的。

　　这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织，其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。

　　作为这样一个组织实体应该有一个完整的信息安全策略。

　　信息安全策略也叫信息安全方针，是组织对信息和信息处理设施进行管理，保护和分配的原则，以及使信息系统免遭入侵和破坏而必须采取的措施，它告诉组织成员在日常的工作中哪里是安全区，哪里是敏感区，就像交通规则之于车辆和行人，信息安全策略是有关信息安全的行为规范。

　　制定信息安全管理制度应遵循如下统一的安全管理原则：

　　(1)规范化原则。

　　各阶段都应遵循安全规范要求，根据组织安全信息需求，制定安全策略。

　　(2)系统化原则。

　　根据安全工程的要求，对系统个阶段，包括以后的升级、换代和功能扩展进行全面统一地考虑。

　　(3)综合保障原则。

　　人员、资金、技术等多方面综合保障。

　　(4)以人为本原则。

　　技术是关键，管理是核心，要不断提高管理人员的技术素养和道德水平。

　　(5)首长负责原则。

　　(6)预防原则。

　　安全管理以预防为主，并要有一定的超前意识。

　　(7)风险评估原则。

　　根据实践对系统定期进行风险评估以改进系统的安全状况。

　　(8)动态原则。

　　根据环境的改变和技术的进步，提高系统的保护能力。

　　(9)成本效益原则。

　　根据资源价值和风险评估结果，采用适度的保护措施。

　　(10)均衡防护原则。

　　信息安全系统工程

　　安全系统工程运用系统论的观点和方法，结合工程学原理及有关专业知识来研究生产安全管理和工程的新学科，是系统工程学的一个分支。

　　其研究内容主要有危险的识别、分析与事故预测;消除、控制导致事故的危险;分析构成安全系统各单元间的关系和相互影响，协调各单元之间的关系，取得系统安全的最佳设计等。

　　目的是使生产条件安全化，使事故减少到可接受的水平。

　　安全系统工程不仅从生产现场的管理方法来预防事故，而且是从机器设备的设计、制造和研究操作方法阶段就采取预防措施，并着眼于人——机系统运行的稳定性，保障系统的安全。

　　信息安全风险评估与安全预算【2】

　　随着我国信息化建设进程不断加速，各类企事业都在积极运用网络带来的便利，对各种信息系统的依赖性也在不断增强，但是信息系统的脆弱性也日益暴露，如何通过有效的手段，保证有限的安全预算发挥出最大的效果，以保证信息安全，成为大家共同面临的问题。

　　一、如何看待安全预算

　　安全预算是各类企事业单位为保护信息资产，保证自身可持续发展而投入的资金，是一种预防行为。

　　安全预算多少合适，是不是投入得太多了?虽然安全问题越来越受到重视，但是网络安全事件仍然是呈现递增趋势。

　　从安全预算角度分析原因：一是预算不足;二是预算不到位。

　　在国外，安全投入占企业基础建设投入的5%～20%，这人比例在中国的企事业中却很少超过2%。

　　从风险的角度看，就是要平衡成本与风险之间的关系，用一百万美金保护三十万的资产，显然是不可接受的，但是如果资产的价值超过了一千万美金，产生的效益就显而易见，目前用一个量化的方法来计算信息化建设对于战略发展的贡献确实比较难。

　　一年下来，并没有发生重大的信息安全事件，年初的安全预算可能就会被质疑投入太多了;如果发生了不可接受的安全事件，那就成了预算部门的责任。

　　安全预算到底够不够?我们可以通过宏观的情况来分析一下风险与成本的关系，每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算，我国也有数百亿美元的经济损失，然而安全方面的投入却不超过几十亿美元。

　　由此可以看出，我国整体信息化建设，安全预算不足。

　　一个单位在安全方面投入了很多，但是仍然发生“不可接受的”信息安全事故。

　　信息安全理论中有名的木桶理论，很好的解释了这种现象。

　　如很多企业每年在安全产品上投入大量资金，但是却不关注内部人员的考察、安全产品有效性的审核等安全要素，缺乏系统的、科学的管理体系支持，都是导致这种结果产生的原因。

　　二、科学制定安全预算

　　信息安全的预算如何制定?其实要解决的就是预算多少和怎么用的问题。

　　说安全预算难做，一是因为信息安全涉及到很多方面的问题，例如：人员安全、物力安全、访问控制、符合法律法规等等。

　　二是很难依据某种科学的量化的输入得出具体的预算费用。

　　安全预算是否合理，应该关注以下几个方面：(1)是否“平衡”了成本与风险的关系;(2)是否真正用于降低或者消除信息安全风险，而不是引入了新的不可接受风险;(3)被关注的风险是否具有较高的优先等级。

　　信息安全风险评估恰恰解决了以上问题，通过制定科学的风险评估方法、程序，对那些起到关键作用的信息和信息资产进行评估，得出面临的风险，然后针对不同风险制定相应的处理计划，提出所需要的资源，从而利用风险评估辅助安全预算的制定。

　　三、风险评估过程

　　目前国际和国内都有一些比较成熟的风险评估标准及指南，通常包括下述几个过程：(1) 确定评估的范围、目的、评估组、评估方法等;(2)识别评估范围内的信息资产;(3)识别对于这些资产的威胁;(4)识别可能利用这些威胁的薄弱点;(5)识别信息资产的损失给单位带来的影响;(6)识别威胁时间发生的可能性;(7)根据“影响”及“可能性”计算风险;(8)确定风险等级及可接受风险的等级。

　　风险评估过程中，应该考虑那些应该输出的必要信息、表示方式等问题。

　　例如，风险评估的方法，如果采用简单的评估方法，其输出的结果往往不够细致，进而不能很好的辅助制定预算的决策过程。

　　从整个评估的过程看，应该考虑以下几方面的问题：(1)科学选择风险评估人员。

　　风险评估过程中，通常需要来自业务部门和技术部门及管理层的人员共同组成风险评估小组。

　　考虑到风险评估的结果需要为制定安全预算提供信息输入，那么在整个风险评估的过程中，都应该考虑到对制定预算起到关键作用的管理层人员的加入。

　　(2)准确采取风险评估方法。

　　风险评估通常采用定性和定量的分析方法。

　　需要更多地考虑如何量化一些关键指标，作为风险评估过程中各个因素评价的判定准则。

　　这样的准则更有利于关注风险与控制成本之间的关系，也更利于各部门横向沟通，及与管理层的纵向沟通。

　　(3)查找导致风险的威胁及薄弱点。

　　在进行风险评估时，应该系统地考虑来自各个方面的威胁。

　　目前，仍然有很多人对于风险评估的理解还停留在“技术关注”的层面，这样的风险评估显然是不够的。