信息安全概论论文

1、信息安全管理概述（计算机科学与技术学院信息安全专业学号：姓名：）摘要： 本文是在学习完信息安全概论的基础上对信息安全及信息安全管理的一些简要概述。如今是信息时代，仅凭技术难以解决信息安 全的一些问题，所以信息安全管理是越来越重要。在此我主要是介绍 目前信息安全管理的现状、信息安全策略和风险评估与管理的问题以 及人在其中的角色。关键字：信息安全管理，现状，信息安全策略，风险评估与管理 引言：在当今全球市场中技术贯穿着整个行业的运行，而信息技术则 更是则更是不能或缺的，人们通过信息技术进行管理、处理其他的事 物。然而一旦信息技术有一点的错误或者受到敌方攻击那么损失则是 必然的，因此就涉及到信息安全

2、的问题。随着社会的发展信息安全受 到更多的重视。而信息安全管理则是则是保护信息资产的安全。要想认知信息安全管理则首先要搞懂什么是信息安全。信息安全 就是保护信息及其关键要素，包括使用、存储、以及传输信息的系统 和硬件。信息安全的核心内容是有关信息安全策略的概念。策略、意 识提升、教育以及技术都是保护信息以及让信息系统远离危险的至关 重要的概念。围绕信息的3个特性机密性、完整性及可用性已经 建立了几种信息安全模型，而NSTISSC安全模型、CNSS安全模型 则被安全行业中作为多方面的标准。现在信息安全正在快速演化成一 种管理了原则，它涉及到管理人、管理过程以及管理技术这就是现今 信息安全的重大变

3、革的结果。因为单单的依靠技术信息安全得不到更 好的解决，因此也诞生了信息安全管理这门学科。信息安全管理的现状：对信息安全管理的研究在20世纪90年代才引起人们的足够重 视。它的研究范围包括安全标准、安全策略和安全测评。直到1995 年世界上才首次提出信息安全管理实施细则BS7799-1:1995，其 是由英国首先提出，然后欧美一些国家也相继提出了一些相关的信息 安全管理标准。在1999年，国际信息安全基金会提出GASSPo而在 国内1999年中国首次制定了计算机信息系统安全保护等级划分准 则(GB17859-1999)。2000 年 12 月，BS7799-1： 1999 得到了国际 化组织I

4、SO的认证。针对与目前的信息安全管理现状还没有一个公认 的标准，很多国家都各有各自的标准，其中信息技术安全评价公共 标准则是得到许多国家的认可。而针对于安全策略这一方面，许多 组织或者个人都提出了不同的方法，比如2000年，英国Imperial 大学的N.Damianou等人提出了一种Ponder策略规范语言用于表 示分布式系统安全和管理策略。2002年，挪威能源技术协会的Rune Fredriksen等人提出了用于风险管理过程CORAS框架。在我国 2002年，南京师范大学的钱钢提出了一种基于SSE-CMM的信息系 统安全风险评估方法。以及北京邮电大学的朱而刚和张素英提出了一 个基于灰色评估

5、的信息安全风险评估模型。虽然最近关于这种理论的 进步很大，但是真正针对信息安全管理的整体解决方法则仍有很大的 距离。目前来说，如何针对于现有的信息安全管理模型做出对评估进 行量化处理才是更需要解决的。一般认为信息安全管理的扩展特性有6个，包括计划、策略、项 日、保护、人员、项目管理。在这里我想谈谈自己对策略中的信息安 全策略及保护中的风险评估与管理的认识和理解。信息安全策略：一个高质量的信息安全项目由策略开始，也由策略结束。正确制 定策略能够使信息安全项目在工作场所无误的发挥作用。信息安全策 略定义了一个框架，它基于风险评估结果以保护组织的信息资产。信 息安全策略对访问组织的不同资产定义了访问

6、限制、访问规则。对于 信息安全管理所做的策略，首先其必须有助于机构的成功，另外为了 正确的使用信息系统，管理层应当确保责任的合理分配，而且信息系 统的最终用户必须参与策略的规范化过程。组织要制定一组最优的信息安全策略必须明确以下需求，也就是 信息安全策略的文档要素：（1）信息的保护信息保护必须与它的敏感性、价值和重要性相称，不管信息的 存储媒介、存储位置、处理信息的系统技术或者处理信息的技术人员 都应当采取该策略来保护信息。其针对对象是技术人员，（2）信息的使用必须只针对与管理层授权的业务目标，策略对象为所有人。（3）信息的处理访问和使用（4）数据和程序损坏的否认策略（5）备份、文档存储和数据

7、处理等信息安全策略框架下面是信息安全策略框架结构图信息全策略大概可包括以下几种类别：加密策略、使用策略、访 问策略、职责策略、线路连接策略、反病毒策略、应用服务提供策略、 审计策略、电子邮件使用策略、数据库策略、非武装区域策略、第三 方的连接策略、敏感信息策略、内部策略、nternet接入策略、口令 防护策略、远程访问策略、路由器安全策略、服务器安全策略、VPN 安全策略、无线通讯策略等。每再次进行风险评估或信息环境、商业 环境发生改变时，信息安全策略的制定者要调整原有的信息安全策 略。风险评估与管理实际上信息安全管理是一个风险管理过程。然而风险管理的基础 是对其的识别与评估，通过信息安全风险

8、评估可以明确组织的信息安 全需求，帮助组织制定最优的信息安全策略并选择相应的风险控制措 施把风险降到组织可接受的范围之内。信息安全风险评估与管理在现 如今的信息安全管理体系中是一个极其复杂的过程。而对于一个完善 的信息安全风险评估架构，相应的标准体系、技术体系、组织架构、 业务体系和法律法规是绝对不可能缺少的。在这里我先介绍一下风险评估，所谓风险评估就是针对信息和信 息处理设施的威胁、影响和薄弱点及三者发生的可能性的综合性整体 评估。通俗的说就是确认信息安全风险及其大小的一个过程。下面说一下风险管理，风险管理就是针对风险评估中所确认的安 全风险，降低或者消除其影响信息安全风险的过程。其实风险管

9、理是 一个识别、控制、降低或消除安全风险的活动，通过风险评估来识别 风险大小，通过制定信息安全策略，采取适当的控制日标与控制方式 对风险进行控制，使风险被避免、转移或降至一个可接受的水平。在 风险管理方面应考虑控制费用与风险之间的平衡。风险控制是降低安 全风险的惯例、程序或机制。剩余风险是实施安全控制后，剩余的安风险评估包括以下几个过程:（1）对信息资产进行资产识别，并根据估价原则对其进行估计。（2）研究这些资产的薄弱点和它们可能遭受到的威胁，并对已 有制措施进行。（3）在识别的威胁和薄弱点的基础上，评估与组织资产相关的 风险。（4）依据风险评估的结果，提出相应的对策来管理风险。而风险评估方法

10、包括定量评估方法、定性评估方法。然而在现实 中对于风险评估过程，如果只依靠定量评估方法或者是定性评估方法 都不大可能得到一个较为正确的结果。对于量化的风险评估过程也并 非都是科学的、准确的。定量评估方法是定性评估方法的基础和前提， 而定性评估则需要建立定量评估的基础之上才能真正的揭示客观事 物的内在规律。定性分析则是形成概念、观点，做出判断，得出结论 所必须的。所以，在复杂的信息安全风险评估过程中，我们不能简单 地只依靠两者中的一种评估方法进行风险评估，而是需要将这两种方 法结合起来进行进行风险评估，综合运用。这就是基于定量评估方法 和定性评估方法相结合而成的一种综合评估方法。人在信息安全中的

11、角色正如我们所了解的一样，信息安全问题全是人为而生，信息安全 领域所面临的威胁全是人为问题：（1）蓄意软件攻击。比如病毒、蠕虫以及拒绝服务攻击，所有 这些攻击都是由人发起和传播的。而黑客所编写的病毒程序，都是因 为人打开附件、不能做磁盘病毒扫描或违反其他安全常识而被传播的。（2）技术软件故障或错误。这些错误大多是开发人员的过失。 从而导致了软件的不足与过失。这就需要测试人员对其进行严格的测 试并加以解决问题。（3）人类的错误与失误。这一威胁主要的原因是由于人们不遵 守其中的已有准则。（4）蓄意的非法人入侵。这类威胁是具有针对性的，这就需要 受攻击者时时刻刻保持警惕，在管理上要做到万无一失。等等

12、.所以说针对信息安全，人绝对要有足够的重视，要明白信息安的 重要性，不能大意。对于信息安全管理方面的工作人员更是要积极工 作，针对目前的信息安全管理方面的脆弱性，人在其中是绝对不能大 意的，否则造成的损失是难以弥补的。总结：以上是我对信息安全管理的一些理解。虽然信息安全管理 这门学科起步比较晚，但是不可否认的是其对于信息安全是十分重要 的。相对于硬件或者软件技术而言信息安全管理是在这两个的基础上 必不可缺少的。安全技术必须依靠于管理的支持才能更好地发挥其作 用。毕竟对于信息安全来说三分靠技术，七分靠管理。主要参考文献：（1）:Herbert J.Mattord 和 Michael E.Whitman 著，信息安全原理齐立博 译.清华大学出版社，2006年印刷（2）:Herbert J.Mattord 和 Michael E.Whit