信息系统安全危害分类方法研究.pdfVIP

第 11卷 第2期 淮北职业技术学院学报 Vo1．11No．2 2012年 4月 JOURNALOFHUAIBEIPROFESSIONALANDTECHNICALCOLLEGE Apr．2012 信息系统安全危害分类方法研究 张凤华 (中国人 民银行 淮北市中心支行，安徽 淮北 235000) 摘要 ：从危害的视角，建立信息安全控制 的分类方法 ，依循传统分类方法的横 向剖面方向探索信息系统安全控制的 新思路 ，以期促进 内部控制领域 的多向性研究 。 关键词 ：信息系统；危害；分类方法 中图分类号 ：TP393．08 文献标识码 ：A 文章编号 ：1671—8275(2012)02—0120—03 信息系统安全控制不仅是一个庞大复杂的系统工程， 制和灾难恢复控制；2．信息系统应用控制，包括输入控制 而且是一项繁杂 巨细 的 日常工作 。由于计算机 网络技术 和输出控制；3．信息系统开发与引进控制；4．信息系统运行 的普遍应用，促使办公、业务、管理、控制等几乎所有工作 维护控制 。 都不同程度地采用了无纸化、信息化、网络化处理手段或 《信息技术 安全技术 信息安全管理实用规则》(GB／ 处理方式。电子信息、电子数据的大量集 中，大量积累，形 2208—2008／ISO／IEC27002．2005)把信息安全管理项 目分 成的信息量 以天文数字计 ，各种业务系统的上线运行使得 为十一大类：1．信息系统安全策略；2．信息安全组织；3．资 计算机及 网络 的应用全面覆盖 ，多种应用系统相互融合、 产管理 ；4．人力资源安全 ；5．物理和环境安全 ；6．通信及操 关联、交叉利用造成的信息系统的规模越来越庞大，越来 作安全；7．访 问控制；8．信息系统获取、开发和维护；9．信息 越复杂，机关信息安全管理的工作量和操作难度显著加 系统安全事故管理；10．业务连续性管理；II．符合性等。 大 ，与信息系统安全有关的内部控制的不确定性急速增 这些分类主要从信息系统安全管理的条块资源或操 加。从安全检查和安全审计的角度看，目前的信息系统安 作范畴人手 ，比较直观 ，易于操作 ，能够很快形成共识 。但 全管理的分类 尚未清晰，安全控制 的思路亟待厘定，安全 也忽视 了对安全危害根源的认识 。 检查、安全审计的规范和标准远未明确。本文拟从安全危 三、信息安全控制危害分类法 害的视角，在信息系统安全分类管理和监督检查实践方面 从性质上看，信息系统的危害有两种：非法危害和合 作一些初步探索 ，试图据此引入一种信息系统安全检查和 法危害。 审计的新思路，以期促进 内部控制领域的多向性研究。 (--)非法危害 。凡 以非法身份或非法 目的进行的操 一 、 名词解释与本文约定 作和访 问都属于非法危害 。不管这种非法操作和访 问是 (一)名词解释 来 自于内部系统及人员或外部系统及人员。非法危害的 危害，是损失大小 的程度 。风险，是损失可能性的测 形式包括 ：病毒侵入 、非法访问、对物理和逻辑上的各种恶 度 。由于风险的不确定性，开展危害性研究能够更加 明确 意攻击和破坏 其对象集合包括 ：物理对象，如机房设施 、 地进行信息安全控制的深层次的延伸和多方向的探索。 主机和客户机系统、通信线路及设备、备份介质等；逻辑对 (二 )本文约定 象，如系统设置 、操作系统、应用系统、数据库系统、非授权 非法危害，指 以非法身份或非法 目的对系统进行的操 网段、应用数据 、程序代码等 。非法危害是安全控制和防 作和