资源描述:
《信息技术系统工程安全管理研究 》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、信息技术系统工程安全管理研究摘要:近年来,由于信息系统安全问题所产生的损失、影响不断加剧,信息系统的安全问题越来越受到人们的普遍关注,它己经成为影响信息技术发展的重要因素。然而,传统的事后、被动、单一、针对出现的问题采用一些安全防护措施、并以某个问题的暂时解决为过程结束标志的信息系统安全建设己经不能适应信息系统安全防护的发展要求。这种模式往往缺少系统的考虑,就事论事,带有很大盲目性,经常是花费不少、收效甚微,造成资金、人员的巨大浪费。信息系统安全问题单凭技术是无法得到彻底解决的,它的解决涉及到政策法规、管理、标准、技术等方方
2、面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息系统安全风险度量占有重要的地位,它是信息系统安全的基础和前提。 关键词:信息技术;系统工程;安全风险 1信息系统安全度量 安全度量分为技术性安全度量、组织性安全度量以及操作性安全度量。技术性安全度量用于描述、比较技术方面的对象,如算法、规格说明书、体系结构、设计、产品以及实施的系统等;组织性安全度量用于描述组织过程、规程的有效性:操作性安全度量用于描述操作环境方面的风险.目前
3、人们在使用安全度量这个词时存在很多模糊和不同的含义,有研究指出,《信息技术安全评估通用准则》虽然是指导安全度量的一个非常好的标准,但它也没有全面解决安全度量的问题,尤其是针对网络系统的安全度量,目前仍有待于进一步的研究。 对于什么是信息系统安全度量(SecurityMetrics),有人认为,它是以科学法则为基础进行测量的结果,有人认为它还应包括在主观判断基础上做出的度量结论。目前这方面还存在争议,有人还使用了具有类似含义的其他词,如:measure,score,rating,rank,essmentresult等,.n。
4、在对这些词做出区别前,它们统一作了如下定义:信息系统安全度量(SecurityMetrics)是通过度量过程从一个偏序集中选择的一个值,它表示了信息系统的信息安全相关的质量,它提供或用于产生一种关于信任程度的描述、预言或比较。 2信息系统安全管理度量方法 在度量过程中使用何种方法对度量的有效性有着举足轻重的影响。度量方法的选择直接影响到度量过程中的每个环节,甚至可以左右最终的度量结果,所以需要根据系统的具体情况,选择合适的风险度量方法。风险度量的方法有很多种,概括起来可分为三大类:定量的风险度量方法、定性的风险度
5、量方法、定性与定量相结合的度量方法。 (1)定量度量方法:定量的度量方法是指运用数量指标来对风险进行度量。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、风险图法、决策树法等。 定量的度量方法的优点是用直观的数据来表述度量的结果,看起来一目了然,而且比较客观。定量分析方法的采用,可以使研究结果更科学、更严密、更深刻。有时一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的。但常常为了量化,使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解和曲解。 (2)定性度量方法:定性的
6、度量方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料,然后通过一个理论推导演绎的分析框架,对资料进行编码整理,在此基础上做出调查结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法。定性度量方法的优点是避免了定量方法的缺点,可以挖掘出一些蕴藏很深的思想,使度量的结论更全面、更深刻,但它的主观性很强,对度量者本身的要求很高。(3)定性与定量相结合的综合度量方法:系统风险度量是一个复杂的过程,需要考虑的因素很
7、多,有些度量要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的,所以我们不主张在风险度量过程中一味地追求量化,也不认为一切都是量化的风险度量过程是科学、准确的.我们认为定量分析是定性分析的基础和前提,定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂;是形成概念、观点,做出判断,得出结论所必须依靠的。在复杂的信息系统风险度量过程中,不能将定性分析和定量分析两种方法简单的割裂开来.而是应该将这两种方法融合起来,采用综合的度量方法。 (4)信息安全管理度量过程:风险度量过程训就是
8、在度量标准的指导下,综合利用相关度量技术、度量方法、度量工具,针对信息系统展开全方位的度量工作的完整历程.对信息系统进行风险度量,首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系,应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分