对福建某企业信息安全需求的分析.docVIP

对福建某企业信息安全需求的分析 　　摘要：针对信息化程度不断提高对企业信息安全的威胁亦越来越大，根据标准的信息安全理论框架，对某企业的信息安全现状进行分析，得出相关结论，并提出了企业在信息安全方面的需求。 　　关键词：信息安全；需求；分析 　　中图分类号：TP309.2文献标识码：A 文章编号：1009-3044(2008)36-2844-02 　　The Requirement of Information Security the Analysis for An Enterprise of Fujian 　　CHEN Rong-sheng, GUO Yong, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang 　　(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China) 　　Abstract: For information on the degree of rising-to-business information security threats are increasing, according to the standards of information security framework for an enterprises information security status of the analysis, come to conclusions, and the enterprise in the information security requirement. 　　Key words: information security; requirement; analysis 　　1 引言 　　随着信息化程度的不断提高和互联网应用的不断发展，新的信息安全风险也随之不断暴露出来。原先由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失。根据CNCERT 统计报告指出，2007年接受网络安全事件报告同比2006年增长近3倍，目前我国大陆地区约1500多万个IP 地址被植入木马程序，位居全球第二位（其中福建省占10%，居全国第三位）；有28477个网站被篡改（其中政府网站占16%）；网站仿冒事件占居全球第二位；拒绝服务攻击事件频繁发生。 　　针对于次，为福建企业制定一个统一、规范的信息安全体系结构是迫在眉睫的。本文根据福建企业特点，参照国内外有的规范和理论体系，制定了企业信息安全需求调研计划，并对调研结果进行分析，为进一步制定信息安全体系结构和具体实施建议奠定坚实基础。整个分析报告按照图1的步骤形成。 　　2 分析报告指导理论模型框架 　　2.1 总体指导模型 　　一个完整的信息安全体系由组织体系、技术体系和管理体系组成，如图2所示。 　　其中，组织体系是有关信息安全工作部门集合，这些部门负责信息安全技术和管理资源的整合和使用；技术体系则是从技术的角度考察安全，通过综合集成方式而形成的技术集合，技术体系包含内容有安全防护、安全检测、安全审计、应急响应恢复、密码、物理安全、安全机制与安全服务等；管理体系则是根据具体信息系统的环境，而采取管理方法和管理措施的集合，管理体系涉及到的主要内容管理制度、管理规范、教育培训、管理流程等。 　　2.2 ISO/IEC 15408 标准 　　 　　图1 分析报告形成流程 　　 　　图2 信息安全体系结构 　　 　　图3 GB/T18336 标准要素关系 　　信息技术安全性评估通用准则ISO15408已被颁布为国家标准GB/T18336，简称通用准则（CC），它是评估信息技术产品和系统安全性的基础准则。该标准提供关于信息资产的安全分析框架，其中安全分析涉及到资产、威胁、脆弱性、安全措施、风险等各个要素，各要素之间相互作用，如图3所示。资产因为其价值而受到威胁，威胁者利用资产的脆弱性构成威胁。安全措施则是对资产进行保护，修补资产的脆弱性，从而可降低资产的风险。 　　3 分析报告素材获取 　　作为分析报告，必须要有真实的分析素材才能得出可靠的分析结论。我们在素材获取方法、获取内容、获取对象和最后素材整理上都有具体规范。 　　3.1 获取方法 　　在素材获取方法上，采取安全访谈、调查问卷、文档资料收集等3种工作方法来获取信息安全需求。 　　3.2 获取对象与内容 　　素材获取对象为两种类型，分别为部门领导和普通员工。其中：部门领导主要侧重于信息安全管理、岗位、流程、资产和培训方面的信息获取；普通员工主要侧重于信息安全岗位责任、操作习惯和安全配置与管理方面的