侯國(guó)寧

摘要：21世紀(jì)以來(lái)，隨著信息技術(shù)的高速發(fā)展，信息逐漸演變成一種重要的資源。對(duì)新事物的信息獲得、處理以及安全維護(hù)的能力已經(jīng)作為國(guó)家綜合實(shí)力的重要證明。對(duì)信息的安全性的管理不僅有利于國(guó)家的安全穩(wěn)定，更有助于社會(huì)的不斷穩(wěn)定。因此，需要采取一系列的措施用來(lái)保證我們國(guó)家的信息安全。近幾年來(lái)，信息安全領(lǐng)域的發(fā)展速度非?？欤呀?jīng)取得了一定數(shù)量的重要成果，然而，信息安全領(lǐng)域涉及內(nèi)容十分廣泛， 然而鑒于篇幅的原因， 這里主要介紹信息安全管理體系和信息安全評(píng)估的研究和發(fā)展。

關(guān)鍵詞：信息安全；安全策略；管理體系

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）08-0016-02

Abstract： since twenty-first Century， with the rapid development of information technology， information becomes an important resource. For new things to obtain information， ability to handle and safety maintenance has become an important proof of the comprehensive national strength. Not only to the security of information management for the safe and stable country， more conducive to social stability constant. Therefore， the need to take a series of measures to ensure the information security of our country. In recent years， the speed of development in the field of information security is very fast， have achieved important results， a certain number of however， the field of information security involves the content is very extensive， but given the length of the paper， research and development here mainly introduces the information security management system and information security evaluation.

Key words： information security； security strategy； management system

21世紀(jì)是信息高速發(fā)展的時(shí)代。然而事物發(fā)展速度過(guò)快必有其弊端。隨著信息技術(shù)的飛速發(fā)展，整個(gè)信息領(lǐng)域呈現(xiàn)出及其繁榮的狀態(tài)。然而，在繁榮的背后，信息安全的事件也常有發(fā)生，并且這種危害信息安全的形勢(shì)頗為嚴(yán)重。因?yàn)樾畔⒌陌踩珜?duì)國(guó)家以及社會(huì)的穩(wěn)定進(jìn)步產(chǎn)生了負(fù)面的影響。因此，國(guó)家的技術(shù)人員必須采取一定的措施來(lái)保證我國(guó)信息系統(tǒng)的健康穩(wěn)定發(fā)展。對(duì)于信息安全的研究大體上分為信息安全管理體系、信息安全評(píng)估以及信息安全策略的研究。信息的安全管理研究是指對(duì)信息的安全標(biāo)準(zhǔn)、策略和信息的測(cè)評(píng)。對(duì)信息安全策略是對(duì)安全系統(tǒng)進(jìn)行有效的設(shè)計(jì)、實(shí)現(xiàn)、運(yùn)行以及管理。對(duì)系統(tǒng)中特定的信息進(jìn)行安全管理，重點(diǎn)需要對(duì)哪些資源進(jìn)行保護(hù)，需要采取哪些措施，完成哪些安全任務(wù)。安全測(cè)評(píng)則是根據(jù)特定的安全標(biāo)準(zhǔn)對(duì)設(shè)計(jì)的保護(hù)信息安全產(chǎn)品和信息系統(tǒng)進(jìn)行安全性能的測(cè)試。

1 信息安全管理體系

信息安全管理是用來(lái)指示組織對(duì)信息安全風(fēng)險(xiǎn)管理的一系列活動(dòng)。關(guān)于信息安全風(fēng)險(xiǎn)的的管理通常情況下包含制定信息安全方針、控制特定安全目標(biāo)與方式選擇、安全風(fēng)險(xiǎn)評(píng)估、安全風(fēng)險(xiǎn)控制、信息安全保證等。信息安全最基本的目標(biāo)是保護(hù)有效信息的私密性、完整性和準(zhǔn)確性。需要構(gòu)造一個(gè)信息安全管理框架來(lái)完成安全管理的目的。

信息安全管理框架的設(shè)立需要遵循特定的過(guò)程完成。首先，需要系統(tǒng)內(nèi)各個(gè)組織依據(jù)自身運(yùn)行的狀況來(lái)完成適用于本身發(fā)展和信息安全需求的安全管理框架。然后通過(guò)正常的業(yè)務(wù)流程的進(jìn)行中詳細(xì)地實(shí)現(xiàn)該框架的安全體系。在業(yè)務(wù)進(jìn)行的同時(shí)，需要對(duì)與信息安全管理框架對(duì)應(yīng)的有關(guān)文件進(jìn)行有效的管理。最后，需要對(duì)實(shí)現(xiàn)信息安全管理框架的過(guò)程中發(fā)生的的各種信息安全事故進(jìn)行及時(shí)的記錄，并通過(guò)一定的流程建立反饋機(jī)制。

2 信息安全風(fēng)險(xiǎn)評(píng)估

我國(guó)對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究是最近幾年剛剛起步的，目前主要的工作重心著眼于系統(tǒng)組織架構(gòu)建立和業(yè)務(wù)體系的搭建，對(duì)于信息安全系統(tǒng)相關(guān)的規(guī)范標(biāo)準(zhǔn)和技術(shù)攻關(guān)尚處于研究階段。隨著電子政務(wù)和電子商務(wù)的高速發(fā)展，信息風(fēng)險(xiǎn)評(píng)估系統(tǒng)以及基于該系統(tǒng)的信息安全工程已經(jīng)得到我國(guó)相關(guān)部門和機(jī)構(gòu)的高度重視，具有廣闊的研究空間。

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)。通過(guò)對(duì)信息安全狀況的風(fēng)險(xiǎn)評(píng)估從而確定安全事故的嚴(yán)重程度從而確定風(fēng)險(xiǎn)控制方式，進(jìn)而對(duì)安全事故實(shí)施一定的控制手段，將安全的風(fēng)險(xiǎn)控制在系統(tǒng)承受范圍之內(nèi)。對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的時(shí)候需要考慮的如下幾個(gè)因素：信息資產(chǎn)的估值，信息安全對(duì)資產(chǎn)的威脅大小，信息安全事故發(fā)生的幾率，以及已經(jīng)掌握的安全控制方式。

風(fēng)險(xiǎn)評(píng)估過(guò)程如圖1所示，它的基本步驟如下：

1）按照系統(tǒng)的運(yùn)行過(guò)程進(jìn)行特定資產(chǎn)智能識(shí)別，根據(jù)特定的估價(jià)方式對(duì)資產(chǎn)進(jìn)行相對(duì)準(zhǔn)確的估價(jià)。

2）針對(duì)特定資產(chǎn)的可能遭遭受的安全威脅，對(duì)已經(jīng)掌握的安全事件控制措施進(jìn)行確定。

3）在對(duì)信息安全的識(shí)別的情形下，評(píng)估該受到威脅的資產(chǎn)的風(fēng)險(xiǎn)指數(shù)，并給出風(fēng)險(xiǎn)評(píng)估報(bào)告。

4）根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估的結(jié)果，提出合理的方法管理風(fēng)險(xiǎn)。

在對(duì)信息安全風(fēng)險(xiǎn)評(píng)估時(shí)使用哪種方法對(duì)評(píng)估結(jié)果的有效性有特別重要的作用。對(duì)信息安全評(píng)估方法的選擇還會(huì)影響信息評(píng)估過(guò)程中的其他過(guò)程的實(shí)現(xiàn)，甚至可能影響到最終的評(píng)估結(jié)果。所以我們需要根據(jù)系統(tǒng)的特定狀況，選擇合理的信息安全風(fēng)險(xiǎn)評(píng)估方法。信息安全風(fēng)險(xiǎn)評(píng)估的方法有許多種，目前比較通用的有如下兩個(gè)方法：定量安全風(fēng)險(xiǎn)評(píng)估方法和定性安全風(fēng)險(xiǎn)評(píng)估方法。

3 結(jié)論

信息安全是當(dāng)前信息技術(shù)發(fā)展的特定環(huán)境下的研究熱點(diǎn)話題。本文對(duì)以安全狀況為背景研究的前提下，概述了安全管理體系和信息安全評(píng)估這兩個(gè)目前最為重要的信息安全話題。

參考文獻(xiàn)：

[1] 沈昌祥.關(guān)于加強(qiáng)信息安全保障體系的思考[J].計(jì)算機(jī)安全，2002（9）.

[2] 張煥國(guó)，王麗娜，黃傳河，等.信息安全學(xué)科建設(shè)與人才培養(yǎng)的研究與實(shí)踐[C].全國(guó)計(jì)算機(jī)系主任（院長(zhǎng)）會(huì)議論文集.北京：高等教育出版社，2005.

[3] Pfleeger C P，Pfleeger S L.Security in Computing.3rd Editon.NJ：Prentice Hall，2003.

[4] 孟慶樹，王麗娜，傅建明.密碼編碼學(xué)與網(wǎng)絡(luò)安全原理與實(shí)踐[M].4版.西安：電子工業(yè)出版社，2006.

[5] 卿斯?jié)h，劉文清，溫紅予.操作系統(tǒng)安全[M].北京：清華大學(xué)出版社，2004.

[6] 科飛管理咨詢公司.信息安全管理概論—BS 7799 理解與實(shí)施[M].北京：機(jī)械工業(yè)出版社，2002.

[7] BUTLER S A.Security Attribute Evaluation Method：A Cost-Benefit Approach[Z].Computer Science.Department，2001.