信息系统安全管理风险评估中的测量方法案例.docxVIP

信息系统安全管理风险评估中的测量方法研究信息系统安全管理是一个综合的人际系统，它有5个要素：安全、管理、信息、系统、网络它们之间密不可分：安全是目的，信息是根本，管理是手段，系统是方法，网络是桥梁。信息是安全管理信息系统的基础，系统是围绕信息的生命周期而设计的，如何进行信息采集、处理、存储、管理、检索和传输使系统设计的主要环节。管理是对信息资源的有效组织，使之具有效能的一种手段，管理要素决定了管理信息系统的最优结构是分层次的金字塔结构，具有不同层次的管理级别，既基层作业管理，中层战术管理，上层战略管理。在设计系统的时候需考虑不同的管理级别拥有不同的系统访问权限。1、现状分析信息系统的严格管理是一个组织机构及用户免受攻击的重要措施。事实上，很多组织机构及用户的网站或系统都疏于这方面管理。据IT界组织业务团体ITAA的调查显示，美国90％的IT组织业务都对黑客攻击的准备不足。目前，美国75％-85％的网站都抵挡不住黑客的攻击，约有75％的组织业务网上信息失窃，其中25％的组织业务损失在25万美元以上。而对计算机病毒的攻击，所有机构几乎无一幸免。此外，管理的缺陷还可能出现系统内部人员泄露机密或外部人员通过非法手段截获而导致机密信息的泄漏，从而为一些不法分子制造了可乘之机。在信息安全领域，普遍认为信息安全不仅仅是一个技术问题，更是一个管理问题。2、目标信息系统安全管理的目标是：保证信息系统在有充分保护的安全环境中运行，由可靠的操作人员按规定规范使用计算机系统、网络系统、数据库系统和应用系统，以保证信息安全战略和组织的目标得以实现。信息系统安全管理的主要安全指标包括：物理过程与人员安全、机密性、可计算性、访问控制、完整性、可用性、质量保证、互操作性等。信息系统安全技术应紧紧围绕信息的输入、存储、处理和交换这条链。根据系统自身的特点，将组成系统的各实体系统部件的安全特性‘网络的安全机制、安全服务等进行集成，构成信息系统的安全框架。除网络协议外，计算机信息系统实体既为系统安全框架的部件，是信息赖以生成、存储、处理和交换的依托。各系统功能模块的功能指标就是系统安全特性分解到相应功能模块的安全指标。系统总体安全特性能否实现，完全取决于各功能模块安全指标的正确设计和实施。通常系统部件在整体上采用冗余配置（如网络服务器、网络线路、设备等），以提高其容错能力。3、意义管理对信息安全等级保护的实现有十分重要的意义和作用。所谓管理是对人的管理。信息安全管理是指，在实现信息安全的全过程中，人应该做什么，如何做。通常用中国工程院何德全院士的话“三分技术，七分管理”来形容管理对信息安全的重要性。管理是贯穿信息安全整个过程的生命线。作为实施信息安全重要途径的等级保护的管理，这种生命线的作用体现得就更为充分。4、基本安全需求信息系统自身存在着一些固有的脆弱性，如信息资源的分布性、流动性大，系统所存储与处理的数据高度密集、具有可访问性，信息技术专业性强、隐蔽程度高，系统内部人员的可控性低，等等。这些弱点在信息系统的实际运行中易诱发各种风险，对其安全性构成了潜在的威胁。（见表一）针对信息系统本身固有的脆弱性和常见的风险，信息系统的基本安全需求包括：用户身份验证。系统要识别进入者的身份并确认是否为合法用户。存取访问控制。系统要确定合法用户对哪些资源享有何种授权，可进行什么类型的访问操作。信息交换的有效性和合法性。信息交换的双方应能证实所收到的信息内容和顺序都是正确的；用能检测出所收到的信息是否过时或重复。软件和数据的完整性。信息系统的软件和数据不可非法复制、修改或破坏，并要保证其真实性和有效性。加密。利用密码技术对传输和存贮的信息进行加密处理以防泄漏。加密的基本要求是，所采用的密码体制要有足够的保密强度，要有有效的密钥管理，包括密钥的产生、存贮、分配、更换、保管、使用乃至销毁的全过程。监理。为防止系统出现差错而采取的预防性措施，包括：外部监理、管理监理、操作监理、安全保密监理。审计。对使用系统资源、设计信息安全的有关操作，应有一个完整的记录和彻底的检查，以便系统出现问题时分析原因、弄清责任。防病毒。计算机病毒是一种恶意程序，它通过不同的途经潜伏或寄生在系统的正常程序或存储媒体里，当某种条件或时机成熟时就会滋生并感染系统，使信息资源受到不同程度的损害。防辐射。计算机系统工作时有辐射和传导电磁信号泄漏，经过提取处理就可恢复出原信息而造成失密。防灾。信息系统的灾难主要指火灾、水灾、风灾和地震等自然灾害和恐怖活动、电力中断、网络中断、软硬件出错等人为灾难。5、测量体系有句话叫“你不能改进你不能测量的东西”，这充分说明了测量的重要性。我们为什么要对ISMS的有效性进行测量呢？我们从以下几个角度来评述。1）对信息安全管理目标的考核?组织在建立ISMS时都会依据组织业务的发展、各利益