返回
信息安全管理论文new

信息安全管理论文new

ID:18513099

大小:78.00 KB

页数:6页

时间:2018-09-18

信息安全管理论文new_第1页
信息安全管理论文new_第2页
信息安全管理论文new_第3页
信息安全管理论文new_第4页
信息安全管理论文new_第5页
资源描述:

《信息安全管理论文new》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、信息安全风险管理理论在IP城域网的应用摘要:   随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。   关键字(Keywords):   安全管理、风险、弱点、评估、城域网、IP、AAA、DNS   1信息安全管理概述   普遍意义上,对信息安全的定义是“保护信息系统和信息,防止其因为偶然或恶意侵犯而导致信息的破坏、更改和泄漏,保证信息系统能够连续、可靠、正常的运行”。所

2、以说信息安全应该理解为一个动态的管理过程,通过一系列的安全管理活动来保证信息和信息系统的安全需求得到持续满足。这些安全需求包括“保密性”、“完整性”、“可用性”、“防抵赖性”、“可追溯性”和“真实性”等。   信息安全管理的本质,可以看作是动态地对信息安全风险的管理,即要实现对信息和信息系统的风险进行有效管理和控制。标准ISO15408-1(信息安全风险管理和评估规则),给出了一个非常经典的信息安全风险管理模型,如下图一所示:      图一信息安全风险管理模型   既然信息安全是一个管理过程,则对PDCA模型有适用性,结合信息安全管理相关标准BS7799(ISO17799),信息安全管

3、理过程就是PLAN-DO-CHECK-ACT(计划-实施与部署-监控与评估-维护和改进)的循环过程。   图二信息安全体系的“PDCA”管理模型   2建立信息安全管理体系的主要步骤   如图二所示,在PLAN阶段,就需要遵照BS7799等相关标准、结合企业信息系统实际情况,建设适合于自身的ISMS信息安全管理体系,ISMS的构建包含以下主要步骤:   (1)确定ISMS的范畴和安全边界   (2)在范畴内定义信息安全策略、方针和指南   (3)对范畴内的相关信息和信息系统进行风险评估   a)Planning(规划)   b)InformationGathering(信息搜集)   c

4、)RiskAnalysis(风险分析)   uAssetsIdentification&valuation(资产鉴别与资产评估)   uThreatAnalysis(威胁分析)   uVulnerabilityAnalysis(弱点分析)   u资产/威胁/弱点的映射表   uImpact&LikelihoodAssessment(影响和可能性评估)   uRiskResultAnalysis(风险结果分析)   d)Identifying&SelectingSafeguards(鉴别和选择防护措施)   e)Monitoring&Implementation(监控和实施)   f)Ef

5、fectestimation(效果检查与评估)   (4)实施和运营初步的ISMS体系   (5)对ISMS运营的过程和效果进行监控   (6)在运营中对ISMS进行不断优化   3IP宽带网络安全风险管理主要实践步骤   目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方

6、式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:   3.1项目准备阶段。   a)主要搜集和分析与项目相关的背景信息;   b)和客户沟通并明确项目范围、目标与蓝图;   c)建议并明确项目成员组成和分工;   d)对项目约束条件和风险进行声明;   e)对客户领导和项目成员进行意识、知识或工具培训;   f)汇报项目进度计划并获得客户领导批准等。   3.2项目执行阶段。   a)在项目范围内进行安全域划分;   b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配

7、置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;   c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;   d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。   3.3项目总结阶段   a)项目中产生的策略、指南等文档进行审核和批准;   b)对项目资产鉴别报告、风险分析报

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。