信息安全管理中的标准化研究.pdfVIP

塑鬟筹盟囹 黄寅 一、什么是信息安全 黑客行为、拒绝服务攻击等等，利用网络的这种破坏 信息是一种资产，就象其它重要的商业资产一 行为．传播更加屯快、用意更加险恶、手段更加复杂。 样，它对一十单位来说是有价值的，因此需要妥善进 现在单位对于信息系统和服务的日趋依赖意味着自 行保护。信息安全就是保护信息免受多种威胁的攻 身更容易受到安全威胁的攻击。公共两络与专用阿络 击，保证业务连续性，将业务损失降至最少，同时最大 的互联以及对信息资源的共享．增大了对访问进行控 限度地获得投资回报。信息有多种多样的形式。它可 制的难度。很多信息系统在设计时，投有考虑到安全 以打印或写在纸上，咀电子文档形式储存，通过邮寄 问题．或者由于成本问题，而较少的顾及安全问题。 或电子手段传播，以胶片形式显示或在变谈中表达出 因此．单纯通过技术手段获得的安全保障十分有 来。不管信息的形式如何，或通过什么手段进行共享 限，必须有相应的管理手段和操作规范才能得到真正 或存储，都应加以妥善保护。 的安全保障。首先确定需要使用什么样控制措施来满 信息安全具有以下特征； 足对安全的需要，然后确定详细的安全管理体系。 曲保密性：确保只有经过授权的^才能访问信 作为信息安全管理的擐基本要求．单位内所有的 息： 人员都应参与信息安全管理，尤其是单位的最高层管 b)完整性：保护信息和信息的趾理方法准确而完 理者。 整； 如果在制定安全需求规范和设计阶段时就考虑 c)可用性：确保经过授权的用户在需要时可以访 到了信息安全的控制措施，那么信息安全控制的成本 问信息并使用相关信息资产。 会很低，并且更有效率。 信息安全是通过实施一整套适当的控制措旆实 三、信毫安全警理标准 现的，控制措施包括燕略、实践、步骤、组织结构和软 1国际标准 件功能。对于一个单位来说，必须建立起一整套的控 首先需要介绍的是国际上最权威的由国际标准 制措施，来确保先期设定的安全目标得以实现。 化组织(ISO)和国际电工委员会(IEC)所制定的国际 二、为什么需要信息安全 标准。 信息和系统以及阿络都是重要的业务资产。为保 ISO和IEC是世界范围的标准化组织，它由各个 证单位具有长期的竞争力．保持业务的正常运行并获 国家和地区的成员组成，各国舳相关标准化组织都是 得相应的社会效益和经济教益，以及良好的社会形 其成员，他们通过各技术委员会，参与相关标准的制 象，信息的保密性、完整性和可用性是至关重要的。 定。 目前，信息系统和网络所面l临的安全威胁与日俱 信息安垒管理标准(ISO／IEC17799)； 13335)o 增，来源也日益广泛，包括利用计算机欺诈、窃取机 信息安全管理标准(ISO [SO 密、恶意诋毁破坏等人为行为．咀及火灾或水灾等自 13335分成5十部分： Is0／IEc 13335 然灾害。危害的来源多种多样．如计算机病毒、计算机 1：1996，IT安全吲舱与模型； 雹 中国