返回
信息安全管理论文:利用ea建模加强机构信息安全风险管理new

信息安全管理论文:利用ea建模加强机构信息安全风险管理new

ID:20076772

大小:94.00 KB

页数:15页

时间:2018-10-09

信息安全管理论文:利用ea建模加强机构信息安全风险管理new_第1页
信息安全管理论文:利用ea建模加强机构信息安全风险管理new_第2页
信息安全管理论文:利用ea建模加强机构信息安全风险管理new_第3页
信息安全管理论文:利用ea建模加强机构信息安全风险管理new_第4页
信息安全管理论文:利用ea建模加强机构信息安全风险管理new_第5页
资源描述:

《信息安全管理论文:利用ea建模加强机构信息安全风险管理new》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、信息安全管理论文:利用EA建模加强机构信息安全风险管理摘 要:当前很多机构信息系统都普遍存在保护措施与其保护信息价值不匹配的情况,导致过度保护或保护不足。这种情况主要是源于安全目标与机构业务目标不完全符合、安全需求获取不规范、难以判断风险管理中是否应用了合适的安全控制以及成本是否平衡。对此,该文提出了在信息系统开发生命周期(informationsystemdevelop-mentlifecycle,SDLC)内利用机构体系结构(enterprisearchitecture,EA)这一管理工具进行安全目标分析、安全需求获取、风险管理等,开发符合机

2、构管理目标的安全信息系统,以加强机构的信息安全和风险管理。利用EA模型的方法能提供一种机构层面的整体性安全描述和分析结果,在整个SDLC内为信息系统的安全开发和管理提供指导和依据,特别是在风险管理中,为进行安全控制选择和成本平衡的决策提供了一个有效的判断机制与依据。关键词:信息安全;机构体系结构;信息系统开发生命周期;风险管理信息安全管理论文:利用EA建模加强机构信息安全风险管理摘 要:当前很多机构信息系统都普遍存在保护措施与其保护信息价值不匹配的情况,导致过度保护或保护不足。这种情况主要是源于安全目标与机构业务目标不完全符合、安全需求获取不规范

3、、难以判断风险管理中是否应用了合适的安全控制以及成本是否平衡。对此,该文提出了在信息系统开发生命周期(informationsystemdevelop-mentlifecycle,SDLC)内利用机构体系结构(enterprisearchitecture,EA)这一管理工具进行安全目标分析、安全需求获取、风险管理等,开发符合机构管理目标的安全信息系统,以加强机构的信息安全和风险管理。利用EA模型的方法能提供一种机构层面的整体性安全描述和分析结果,在整个SDLC内为信息系统的安全开发和管理提供指导和依据,特别是在风险管理中,为进行安全控制选择和成本

4、平衡的决策提供了一个有效的判断机制与依据。关键词:信息安全;机构体系结构;信息系统开发生命周期;风险管理 当前在信息安全领域内普遍存在着信息系统的安全目标与机构业务目标不完全符合、安全需求获取不规范和没有足够依据对风险管理中安全控制是否得到合适的应用与成本平衡进行判断等问题亟需解决,简而言之如下:1)安全目标分析偏重于技术和理论性,从业务2074 清华大学学报(自然科学版)2009,49(S2)管理角度的分析考虑较少。2)在获取安全需求时,难以全面规范地获取所有利益相关者的安全需求。3)在进行信息系统安全控制实施时,较多地考虑信息安全技术的简单组

5、合、软件漏洞分析和威胁建模等技术性问题,对于信息系统的安全程度是否符合机构的业务目标较少考虑,由此造成安全控制手段过度保护或者保护不足的情况。4)进行安全需求分类时,管理人员和系统开发人员就信息系统的安全实现进行沟通缺少规范化的模型和沟通工具,双方难以就机构真正的安全需求达成共识。5)当前仅有部分针对政府采购的信息系统安全开发过程的比较片面的指南,缺少相关的系统性标准。出现这些问题,主要是因为当前的信息安全的定义和机构安全目标之间存在一定的差异。根据国际安全标准ISO/IEC17799的定义,信息安全的基本属性被表述为CIA(保密性、完整性、可用

6、性),大多数信息系统进行安全开发和管理时也都遵循着这三个基本安全属性。但在实际情况中,信息系统特别是机构级信息系统是用于处理各种业务,实现机构目标。因此对于机构管理者而言,机构信息系统要满足机构自身从管理、业务等角度的各种考虑,安全的信息系统要保证机构业务的正常运行,减少机构所可能面临的风险和损失,保护机构的利益。这是机构的安全目标,与机构的具体业务紧密关联,是一个涉及到管理、业务和技术等因素的综合考虑的结果。以网上银行系统为例,如果银行在系统中采取了最新最优秀的加密技术,满足了信息安全的三项基本属性。但该技术占据了过多的系统资源,导致系统响应速

7、度降低,使得银行在单位时间内处理业务的能力下降,影响了银行的利润收益。这一结果,尽管满足了信息安全基本属性,却与银行的业务目标不完全符合,则对于银行管理者而言是不可接受的。此外,随着越来越多的业务需求,机构会决定是否在信息安全方面进行投资,而整个决策判断过程会涉及到相当多的利益相关者,例如机构的管理人员、财务人员、技术人员和信息安全专家等等。很多利益相关者一般不一定是安全专家或技术专家。如何在这些具有不同专业背景、来自不同岗位和部门、有着不同需求的人员之间进行沟通,也需要有一个共同的沟通工具,使得他们能对机构所要实现的安全目标达成共识,并使每一方

8、的需求都能正确清晰地被其他人理解。正因为技术人员与管理人员之间缺少这种沟通工具,才会导致信息系统安全目标与机构业务目标不完全符合,以及在

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。