欢迎来到天天文库
浏览记录
ID:9910435
大小:32.50 KB
页数:6页
时间:2018-05-15
《用信息安全工程理论规范信息安全建设》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、陕西省数字证书认证中心(http://www.snca.com.cn)、、转118用信息安全工程理论规范信息安全建设陕西省数字证书认证中心第6页共6页陕西省数字证书认证中心(http://www.snca.com.cn)、、转118用信息安全工程理论规范信息安全建设沈昌祥在不足一代人的时间内,信息革命和计算机在社会各个层面的引入改变了经济的运作方式,改变了国家安全的保障方式,同时也改变了人们日常生活的组织方式。需要工程理念作为信息时代的先导和主角,Internet绝不仅仅是一个由计算机连结起来的简单组合体。在Internet上,每一台主机都在为贯彻人类的意志而
2、工作,可以说Internet是人类社会在数字空间的投影。这样一种事实使得Internet的某些行为异常复杂,难以捉摸,也反映出网络安全问题是Internet社会性的显著标志之一。信息时代既带给我们无限商机与方便,也充斥着隐患与危险。黑客攻击已经渗入到政府机关、军事部门、商业、企业等各个角落,不仅干扰着人们的日常生活,而且造成了巨大的经济损失,甚至威胁到国家的安全。迄今为止,在安全对抗中,黑客阵营占据了上风,我们总是在遭受攻击之后再自发地防护,而后茫然地等待下一次攻击的到来。黑客们的骄人战线并非绝对依赖高明的技术手段,攻击得逞的真正原因往往是黑客对于网络使用者的
3、行为细心揣测,以及用户自身在安全策略、安全管理机制、安全防范意识等方面存在缺陷或不足。网络信息安全不单单是技术问题,而是策略、管理和技术的有机结合。就网络安全的现状来看,我们的网络是十分脆弱的,我们在安全体制、安全管理等各个方面存在的问题十分严重而突出,且不容乐观。从20世纪90年代中期和21世纪初,网络风起云涌,六次著名的黑客大战给人们敲响了网络安全的警钟,无论是政府部门、企业,还是个人用户,安全意识明显增强。在Internet发展的短短几年,人们对安全的理解,从早期的安全就是杀毒防毒,到后来的安全就是安装防火墙,到现在的购买系列安全产品,在一步一步地加深,
4、这是值得庆贺的一件事。但是应该注意到,这些理解依然存在着“头痛医头,脚痛医脚”的片面性,没有将网络安全问题作为一个系统工程来考虑,来对待。信息安全既不是纯粹的技术,也不是简单的安全产品的堆砌,而是一项复杂的系统工程——这就是信息安全工程。它采用工程的概念、原理、技术和方法,来研究、开发、实施与维护企业级信息与网络系统安全的过程,它是将经过时间考验证明是正确的工程实施流程、管理技术和当臆能够得到的最好的技术方法相结合的过程。信息安全工程生命周期模型ISE-LCM是信息安全工程学的落脚点和支撑点,也是信息安全工程学研究的基础。五大特性•信息安全具有全面性信息安全问
5、题需要全面考虑,系统安全程度取决于系统最薄弱的环节。•信息安全具有过程性或生命周期性一个完整的安全过程至少应包括安全目标与原则的确定、风险分析、需求分析、安全策略研究、安全体系结构的研究、安全实施领域的确定、安全技术与产品的测试与选型、安全工程的实施、安全工程的实施监理、安全工程的测试与运行、安全意识的教育与技术培训、安全稽核与检查、应急响应等,这一个过程是一个完整的信息安全工程的生命周期,经过安全稽核与检查后,又形成新一轮的生命周期,是一个不断往复的不断上升的螺旋式安全模型。•信息安全具有动态性第6页共6页陕西省数字证书认证中心(http://www.snc
6、a.com.cn)、、转118信息技术在发展,黑客水平也在提高,安全策略、安全体系、安全技术也必须动态地调整,在最大程度上使安全系统能够跟上实际情况的变化发挥效用,使整个安全系统处于不断更新、不断完善、不断进步的动态过程中。•信息安全具有层次性需要用多层次的安全技术、方法与手段,分层次地化解安全风险。•安全具有相对性安全是相对的,没有绝对的安全可言。安全措施应该与保护的信息与网络系统的价值相称。因此,实施信息安全工程要充分权衡风险威胁与防御措施的利弊与得失,在安全级别与投资代价之间取得一个企业能够接受的平衡点。这样实施的安全才是真正的安全。涉及领域广泛信息安全
7、工程学具有清晰的研究范畴,具体包括信息安全工程的目标、原则与范围,信息安全风险分析与评估的的方法、手段、流程,信息安全需求分析方法,安全策略,安全体系结构,安全实施领域及安全解决方案,安全技术与产品的测试与选型方法,安全工程的实施规范,安全工程的实施监理方法、流程,安全工程的测试与运行,安全意识的教育与技术培训,安全稽核与检查,应急响应技术、方法与流程等。前景喜人既然是系统工程,那么就要用系统工程的观点、方法来对待和来处理信息安全问题。安全体系结构的设计与安全解决方案的提出必须基于信息安全工程理论。因此,对企业来说,在建立与实施企业级的信息与网络系统安全体系时
8、,必须考虑信息安全的方方面面,必须兼顾
此文档下载收益归作者所有