返回
基于内部威胁的信息安全风险管理模型及防范措施

基于内部威胁的信息安全风险管理模型及防范措施

ID:46291922

大小:230.34 KB

页数:3页

时间:2019-11-22

基于内部威胁的信息安全风险管理模型及防范措施_第1页
基于内部威胁的信息安全风险管理模型及防范措施_第2页
基于内部威胁的信息安全风险管理模型及防范措施_第3页
资源描述:

《基于内部威胁的信息安全风险管理模型及防范措施》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于内部威胁的信息安全风险管理模型及防范措施·口杨姗媛蝙朱建明1(1中央财经大学信息学院,北京100081;2广东工业大学商学院,广东广州511495)[摘要]对信息系统进行风险管理是实现组织业务目标的重要保证。目前国内外的信息安全风险管理模型注重技术和管理相结合,重视外部威胁风险防范,对内部威胁重视程度不够,而内部威胁具有不易发现、破坏程度大、组织防范能力弱等特点,本文提出改进的突出内部威胁的信息安全风险管理模型,并提出构建组织信息安全文化、建立激励机制等措施防范,以组织内部威胁。[关键词】内部人员;内部威胁;信息安全;风险管理模型;防范措施[中图分类号]F270.7[

2、文献标识码]A[文章编号]1∞3-11弱(加13)02删—∞一、引言随着社会信息化水平的不断提高,各种组织对信息系统的依赖程度逐渐加强。同时,各种信息安全问题不断涌现,系统面临的安全风险和威胁日益增多,信息系统的安全对组织业务战略的实现变得尤为重要。因此,对信息系统进行安全风险管理研究成为当前研究热点。目前,有关信息系统的安全风险管理模型国内外学者已经做了大量研究。国外对信息安全风险管理的研究起步较早,从20世纪80年代起提出了许多信息安全风险评估的标准,取得了很多研究成果。如:美国的信息安全风险管理通用框架RMCF,澳大利亚的国家标准《风险管理标准》(AS/NZs436

3、0),CC,ISO15408标准,ISO13335标准,加拿大的《风险管理:决策者的指导》(AN,CSAQ850—97),ISo,IECl7799—1(BS7799),系统安全工程能力成熟模型SSE—CMM,OCTAVE风险管理框架等。相对于发达国家,我国的信息安全风险管理工作起步较晚,从20世纪90年代起,相继颁布了《中华人民共和国计算机信息系统安全保护条例》、《关于加强信息、安全保障工作的意见》、《信息安全评估指南》等,并于2007年批准发布了GB/20984—2007《信息安全技术信息系统的风险评估规范》。总体而言,这些信息安全风险管理标准从技术、管理、法律等角度阐

4、述了实施安全管理的建议和指南,风险评估的控制目标和控制方式、风险分析方法及防护措施、安全机制等。为组织建立信息安全管理体系的目标、安全计划、实施步骤,安全评估提供了思路。但这些模型没有对信息系统中的威胁类型进行细分,而有关数据调查表明,信息安全风险造成的损失70一80%都是来自于内部威胁,而内部威胁与外部威胁相比,其表现形式更加隐蔽,难以察觉,危害程度大,本文认为有必要在信息安全风险评估模型中加入人的因素,对威胁进行分类,使组织能更好的进行风险规避,把风险降到合适的可承受的范围内,并针对信息系统面临的内部威胁提出相应的防范措施。二、内部威胁的主体和原因分析内部威胁是指具有

5、信息系统访问权限的内部人员滥用或误用权限对信息系统安全造成的威胁。与外部威胁利用系统安全脆弱点攻击时典型的异常越权行为表现不同,内部威胁利用其在信息系统内部拥有合法的身份和较高的权限对系统资源进行恶意操作和控制。内部威胁中的威胁主体是内部人员。内部人员包括组织内部在职的员工,与其合作的供应商及咨询机构、保安、清洁工以及以前在该组织供职的相关人员等。他们拥有访问组织信息系统的某些+基金项目:国家自然科学基金(项目编号:60970143,70872120);教育部科学技术研究基金重点项目(项目编号:109016)。2013年第2期囫权限,很容易接触到组织信息系统的有价值信息。

6、内部攻击行为大多是员工的报复行为,或是恶意员工想得到经济上的利益。他们对内部系统的信息滥用或误用、造成了内部攻击,对组织会造成名誉损失、知识产权损失、内部破坏、内部刺探等。目前,各种可能的内部威胁层出不穷。据调查,以下四种内部威胁出现的频率最高,分别是:(1)未正确使用设备。如USB、PDA等带入了病毒或间谍软件;(2)破坏网络数据。通过Email或即时通信(IM)泄露个人数据,病人信息,客户账户细节等;(3)移动电脑的丢失或偷窃。移动用户受到丢失大量数据的威胁。(4)教育缺乏。员工可能被社会工程技术(SocialEngineeringTechnique)劝服而泄露敏感信

7、息。究其原因,可以从研究内部人员的心理得知,内部人员意图进行内部攻击,主要出于以下心理:(1)权力意识。内部员工对系统有一种拥有意识,这是一种权力,一旦这种权力被改变或剥夺,会激起员工的强烈不满情绪;(2)有个人和社会挫折感。这类员工一般团体合作精神差,经常想与管理者对抗或违反组织规则,喜欢上网、破解密码,非法进入信息系统等;(3)缺乏道德约束。这类员工在他们的文化、性格、背景下不把破坏内部系统当作是不道德的事,没有道德观念;(4)忠诚减少。文化的开放,经济的衰退、裁员等减少了员工对组织的忠诚。基于以上描述,本文将从内部员工行

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。