欢迎来到天天文库
浏览记录
ID:24080372
大小:50.50 KB
页数:4页
时间:2018-11-12
《信息安全导论论文》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、信息安全导论论文信息保护必须与它的敏感性、价值和重要性相称,不管信息的存储媒介、存储位置、处理信息的系统技术或者处理信息的技术人员都应当采取该策略来保护信息。其针对对象是技术人员,以下是小编为大家整理分享的信息安全导论论文,欢迎阅读参考。 信息安全导论论文 :本文是在学习完信息安全概论的基础上对信息安全及信息安全管理的一些简要概述。如今是信息时代,仅凭技术难以解决信息安全的一些问题,所以信息安全管理是越来越重要。在此我主要是介绍目前信息安全管理的现状、信息安全策略和风险评估与管理的问题以及人在其中的角色。 关键字:信息
2、安全管理,现状,信息安全策略,风险评估与管理 引言:在当今全球市场中技术贯穿着整个行业的运行,而信息技术则更是则更是不能或缺的,人们通过信息技术进行管理、处理其他的事物。然而一旦信息技术有一点的错误或者受到敌方攻击那么损失则是必然的,因此就涉及到信息安全的问题。随着社会的发展信息安全受到更多的重视。而信息安全管理则是则是保护信息资产的安全。 要想认知信息安全管理则首先要搞懂什么是信息安全。信息安全就是保护信息及其关键要素,包括使用、存储、以及传输信息的系统和硬件。信息安全的核心内容是有关信息安全策略的概念。策略、意识提升
3、、教育以及技术都是保护信息以及让信息系统远离危险的至关重要的概念。围绕信息的3个特性——机密性、完整性及可用性已经建立了几种信息安全模型,而NSTISSC安全模型、SS安全模型则被安全行业中作为多方面的标准。现在信息安全正在快速演化成一种管理了原则,它涉及到管理人、管理过程以及管理技术这就是现今信息安全的重大变革的结果。因为单单的依靠技术信息安全得不到更 好的解决,因此也诞生了信息安全管理这门学科。 信息安全管理的现状: 对信息安全管理的研究在20世纪90年代才引起人们的足够重视。它的研究范围包括安全标准、安全策略和安
4、全测评。直到1995年世界上才首次提出《信息安全管理实施细则》BS7799-1:1995,其是由英国首先提出,然后欧美一些国家也相继提出了一些相关的信息安全管理标准。在1999年,国际信息安全基金会提出GASSP。而在国内1999年中国首次制定了《计算机信息系统安全保护等级划分准则》(GB17859-1999)。2000年12月,BS7799-1:1999得到了国际化组织ISO的认证。针对与目前的信息安全管理现状还没有一个公认的标准,很多国家都各有各自的标准,其中《信息技术安全评价公共标准》则是得到许多国家的认可。而针对于安
5、全策略这一方面,许多组织或者个人都提出了不同的方法,比如2000年,英国Imperial大学的N.Damianou等人提出了一种Ponder策略规范语言用于表示分布式系统安全和管理策略。2002年,挪威能源技术协会的RuneFredriksen等人提出了用于风险管理过程CORAS框架。在我国 2002年,南京师范大学的钱钢提出了一种基于SSE-CMM的信息系统安全风险评估方法。以及北京邮电大学的朱而刚和张素英提出了一个基于灰色评估的信息安全风险评估模型。虽然最近关于这种理论的进步很大,但是真正针对信息安全管理的整体解决方法
6、则仍有很大的距离。目前来说,如何针对于现有的信息安全管理模型做出对评估进行量化处理才是更需要解决的。 一般认为信息安全管理的扩展特性有6个,包括计划、策略、项目、保护、人员、项目管理。在这里我想谈谈自己对策略中的信息安全策略及保护中的风险评估与管理的认识和理解。 信息安全策略: 一个高质量的信息安全项目由策略开始,也由策略结束。正确制定策略能够使信息安全项目在工作场所无误的发挥作用。信息安全策略定义了一个框架,它基于风险评估结果以保护组织的信息资产。信息安全策略对访问组织的不同资产定义了访问限制、访问规则。对于信息安全
7、管理所做的策略,首先其必须有助于机构的成功,另外为了正确的使用信息系统,管理层应当确保责任的合理分配,而且信息系统的最终用户必须参与策略的规范化过程。 组织要制定一组最优的信息安全策略必须明确以下需求,也就是信息安全策略的文档要素: (1)信息的保护 信息保护必须与它的敏感性、价值和重要性相称,不管信息的存储媒介、存储位置、处理信息的系统技术或者处理信息的技术人员都应当采取该策略来保护信息。其针对对象是技术人员, (2)信息的使用 必须只针对与管理层授权的业务目标,策略对象为所有人。 (3)信息的处理访问和使用
8、 (4)数据和程序损坏的否认策略 (5)备份、文档存储和数据处理等 信息安全策略框架 信息全策略大概可包括以下几种类别:加密策略、使用策略、访问策略、职责策略、线路连接策略、反病毒策略、应用服务提供策略、审计策略、电子邮件使用策略、数据库策略、非武装区域策略、第三方的连接策略、敏感信
此文档下载收益归作者所有