论文部分内容阅读
摘要:由于我国信息安全技术起步较晚,虽然各大企业已经建立了较为完善的信息安全保障体系,并且进一步提高了信息安全管理的标准,但是仍然存在着企业信息安全管理状况混乱、力度不够、执行不强等问题。本文首先介绍了信息安全管理度量的基本原理,并且阐述了企业信息系统安全管理度量的意义,建立了信息系统安全管理度量数据模型,最后提出了信息系统安全管理度量方案研究。
关键词:现代企业;信息安全管理;安全度量
中图分类号:TP309 文献标识码:A 文章编号:1674-7712 (2012) 14-0027-01
随着现代社会科学不断进步,企业的信息化建设也在稳步推进。然而,支持企业网络化运营的信息系统却暴露出越来越多的问题,尤其是企业信息安全问题更是引起了社会各界的广泛关注,由此,对于企业信息系统安全性进行度量是目前亟待解决的问题,也是保证企业信息安全的基础。
一、信息安全管理度量的基本原理
(一)度量目标的明确。度量目标影响着安全度量采用的指标参数和安全基线,也是一个企业实施信息安全度量的动机,度量目标可以分为两类,一类是长期度量目标,另一类是短期度量目标。企业信息安全的长期度量目标包括对信息安全的发展进行分析判断、对信息安全进行有效控制、为信息安全管理提供必要支持等;企业信息安全的短期目标包括对安全项目投入后的收益、为短期信息安全管理提供支持等。
(二)度量指标的确定。度量指标的确定是根据企业度量目标和企业信息安全的实际需求得出的,在选取度量目标的过程中要遵循两个重要原则,一是定性与定量相互结合的原则,二是可操作性原则。但是,在企业信息安全度量的过程中经常遇到多种因素,这就使得部分度量指标可以做到量化,而部分度量指标是非量化的,企业信息安全度量建立的数学模型也应该能够满足量化计算,否则,很有可能导致由于度量指标无法计算而得不到最终有效结果。
(三)度量制度的制定。对企业信息管理系统进行安全度量之前需要建立完善的信息安全度量模型,对于建立专业人员队伍、对人员进行专业培训、确定信息安全度量时间等等,都需要一套完整的信息安全度量制度来进行支持。
二、企业信息系统安全管理度量的意义
对企业信息安全系统进行安全度量主要是为企业信息系统的安全指明方向,安全度量是需要数字进行支持的,但是,数字在任何情况之下都会存在部分偏差,我们需要不断地努力改正,才能使得安全度量更为完善可靠,才能够通过安全度量达到对企业进行风险管理的目的,不断提高企业信息系统的稳定性和可靠性。企业通过风险管理可以加强预防措施,降低信息安全事故的发生概率,企业风险管理是为信息系统决策提供服务的,而对企业信息系统进行安全度量则是为风险管理提供服务。由此,我们要通过将企业信息风险进行量化来达到对企业信息系统的风险进行管理的目的。
对于企业来说,进行信息安全度量能够帮助企业找到信息安全问题所在、理解安全风险的危害、明确安全管理的弱点等,并且针对这些问题提出进一步的改进措施。
通过对企业信息系统安全管理的度量,能够了解企业信息系统中存在的风险,并且针对相应的风险问题提出解决方法,去除企业信息系统中存在的安全隐患,这就需要一套完善的企业信息系统安全度量方案,并且要保证这个度量方案能够正确实施,这样才能够将企业信息系统中存在的安全隐患问题全部消除,解决了企业网络化运营中存在的风险问题,为企业的发展决策提供有力支持。
三、信息系统安全管理度量数据模型
为了能够保证企业安全管理度量方案能够有效实施,需要一个数据模型来提供安全威胁、风险对策、资产度量的数量值。
图1 企业安全控制逻辑模型
图1是企业信息技术安全控制的逻辑模型,表述的是对策、威胁和暴露作为整个信息系统的控制措施之间的影响,而对策、威胁和暴露作为三个相互影响的因数显示在块状图表中,威胁指的是企业信息系统中可能发生的安全事故,可能对企业的资产造成严重破坏,而且企业资产的脆弱性会使得资产趋向于被某个威胁攻击,或者使某个威胁攻击能够成功。威胁则利用了企业资产的脆弱性使得资产最终暴露,对策是为了防止威胁发生,或者减轻威胁发生时对企业信息系统带来的破坏和影响。
四、企业信息系统安全管理度量方案研究
(一)覆盖和控制。覆盖和控制是用来度量企业在进行安全体系的扩展和延时的时候其范围和面积的大小,通常情况下,企业制定的安全计划的目的都是能够保证企业信息安全能够可持续发展,但是,现实情况经常发生的是实施部门与被实施用户之间相互配合不够,而覆盖和控制的度量能够帮助企业管理者清楚明了安全计划与实际实施中存在的差距。覆盖指的是安全控制应用到获得资源的目标群之间的一个特定范围,覆盖的度量目的是测量企业安全部门执行命令的能力。
(二)可靠性度量。企业信息系统可靠性度量包括两个部分,一是系统正常运行的时间,二是系统停机的时间。系统停机时间指的是企业信息系统的计算资源,包括服务器、软件程序、设备运行时间、设备是否正常运行等等,系统的停机时间通常被分为计划停机时间和意外停机时间两类,计划停机时间指的是由于企业信息系统在某段时间内需要安全管理人员进行日常维护工作时的停机时间,包括信息系统的数据备份、程序升级等一系列事务性工作,信息资源暂时无法提供有效服务,而意外停机时间经常是因为系统软件错误、突发灾难等不可预见的因素造成。
五、结论
企业信息系统的安全度量是企业进行信息安全管理的重要环节,企业信息系统的安全度量是收集系统中安全威胁的过程,其中关键因素包括质量指标、基线、模型和方法等等,安全度量是一个极为复杂的过程,在企业信息安全保障体系中的作用显得日益重要。
参考文献:
[1]袁皓,杨晓懿.信息安全模型安全控制研究[J].信息安全与通信保密,2007,2.
[2]胡万兵,赵彬,周明,周保群.基于可能性计算模型的信息系统风险评估系统设计[J].微计算机信息,2006,3.
[作者简介]沈嘉灵(1992-),女,江苏省启东市,西北工业大学,本科大三学生,软件工程专业,课题方向:电子服务方向。
关键词:现代企业;信息安全管理;安全度量
中图分类号:TP309 文献标识码:A 文章编号:1674-7712 (2012) 14-0027-01
随着现代社会科学不断进步,企业的信息化建设也在稳步推进。然而,支持企业网络化运营的信息系统却暴露出越来越多的问题,尤其是企业信息安全问题更是引起了社会各界的广泛关注,由此,对于企业信息系统安全性进行度量是目前亟待解决的问题,也是保证企业信息安全的基础。
一、信息安全管理度量的基本原理
(一)度量目标的明确。度量目标影响着安全度量采用的指标参数和安全基线,也是一个企业实施信息安全度量的动机,度量目标可以分为两类,一类是长期度量目标,另一类是短期度量目标。企业信息安全的长期度量目标包括对信息安全的发展进行分析判断、对信息安全进行有效控制、为信息安全管理提供必要支持等;企业信息安全的短期目标包括对安全项目投入后的收益、为短期信息安全管理提供支持等。
(二)度量指标的确定。度量指标的确定是根据企业度量目标和企业信息安全的实际需求得出的,在选取度量目标的过程中要遵循两个重要原则,一是定性与定量相互结合的原则,二是可操作性原则。但是,在企业信息安全度量的过程中经常遇到多种因素,这就使得部分度量指标可以做到量化,而部分度量指标是非量化的,企业信息安全度量建立的数学模型也应该能够满足量化计算,否则,很有可能导致由于度量指标无法计算而得不到最终有效结果。
(三)度量制度的制定。对企业信息管理系统进行安全度量之前需要建立完善的信息安全度量模型,对于建立专业人员队伍、对人员进行专业培训、确定信息安全度量时间等等,都需要一套完整的信息安全度量制度来进行支持。
二、企业信息系统安全管理度量的意义
对企业信息安全系统进行安全度量主要是为企业信息系统的安全指明方向,安全度量是需要数字进行支持的,但是,数字在任何情况之下都会存在部分偏差,我们需要不断地努力改正,才能使得安全度量更为完善可靠,才能够通过安全度量达到对企业进行风险管理的目的,不断提高企业信息系统的稳定性和可靠性。企业通过风险管理可以加强预防措施,降低信息安全事故的发生概率,企业风险管理是为信息系统决策提供服务的,而对企业信息系统进行安全度量则是为风险管理提供服务。由此,我们要通过将企业信息风险进行量化来达到对企业信息系统的风险进行管理的目的。
对于企业来说,进行信息安全度量能够帮助企业找到信息安全问题所在、理解安全风险的危害、明确安全管理的弱点等,并且针对这些问题提出进一步的改进措施。
通过对企业信息系统安全管理的度量,能够了解企业信息系统中存在的风险,并且针对相应的风险问题提出解决方法,去除企业信息系统中存在的安全隐患,这就需要一套完善的企业信息系统安全度量方案,并且要保证这个度量方案能够正确实施,这样才能够将企业信息系统中存在的安全隐患问题全部消除,解决了企业网络化运营中存在的风险问题,为企业的发展决策提供有力支持。
三、信息系统安全管理度量数据模型
为了能够保证企业安全管理度量方案能够有效实施,需要一个数据模型来提供安全威胁、风险对策、资产度量的数量值。
图1 企业安全控制逻辑模型
图1是企业信息技术安全控制的逻辑模型,表述的是对策、威胁和暴露作为整个信息系统的控制措施之间的影响,而对策、威胁和暴露作为三个相互影响的因数显示在块状图表中,威胁指的是企业信息系统中可能发生的安全事故,可能对企业的资产造成严重破坏,而且企业资产的脆弱性会使得资产趋向于被某个威胁攻击,或者使某个威胁攻击能够成功。威胁则利用了企业资产的脆弱性使得资产最终暴露,对策是为了防止威胁发生,或者减轻威胁发生时对企业信息系统带来的破坏和影响。
四、企业信息系统安全管理度量方案研究
(一)覆盖和控制。覆盖和控制是用来度量企业在进行安全体系的扩展和延时的时候其范围和面积的大小,通常情况下,企业制定的安全计划的目的都是能够保证企业信息安全能够可持续发展,但是,现实情况经常发生的是实施部门与被实施用户之间相互配合不够,而覆盖和控制的度量能够帮助企业管理者清楚明了安全计划与实际实施中存在的差距。覆盖指的是安全控制应用到获得资源的目标群之间的一个特定范围,覆盖的度量目的是测量企业安全部门执行命令的能力。
(二)可靠性度量。企业信息系统可靠性度量包括两个部分,一是系统正常运行的时间,二是系统停机的时间。系统停机时间指的是企业信息系统的计算资源,包括服务器、软件程序、设备运行时间、设备是否正常运行等等,系统的停机时间通常被分为计划停机时间和意外停机时间两类,计划停机时间指的是由于企业信息系统在某段时间内需要安全管理人员进行日常维护工作时的停机时间,包括信息系统的数据备份、程序升级等一系列事务性工作,信息资源暂时无法提供有效服务,而意外停机时间经常是因为系统软件错误、突发灾难等不可预见的因素造成。
五、结论
企业信息系统的安全度量是企业进行信息安全管理的重要环节,企业信息系统的安全度量是收集系统中安全威胁的过程,其中关键因素包括质量指标、基线、模型和方法等等,安全度量是一个极为复杂的过程,在企业信息安全保障体系中的作用显得日益重要。
参考文献:
[1]袁皓,杨晓懿.信息安全模型安全控制研究[J].信息安全与通信保密,2007,2.
[2]胡万兵,赵彬,周明,周保群.基于可能性计算模型的信息系统风险评估系统设计[J].微计算机信息,2006,3.
[作者简介]沈嘉灵(1992-),女,江苏省启东市,西北工业大学,本科大三学生,软件工程专业,课题方向:电子服务方向。