关于信息安全管理体系研究.docVIP

关于信息安全管理体系研究 　　摘 要：文章对信息安全体系的定义、功能以及构建方法进行了详细介绍，然后在信息安全管理标准和安全特性的基础上构建信息安全管理模型，并且重点分析了如何有效地进行信息安全的风险评估、安全策略以及安全控制。 　　关键词：信息安全管理；风险评估；监控 　　中图分类号：TP393.08 　　信息是现代社会中不可缺少的一项重要元素，尤其是在商业活动中，信息已经成为市场竞争的重要手段，因此对信息安全的管理在商业活动中显得尤为重要。信息安全管理体系（Information Security Management System，简称为ISMS），是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。 　　1 信息安全的风险评估与策略 　　1.1 信息安全的风险评估 　　信息安全管理属于风险管理，即如何在一个确定有风险的环境里把风险减至最低的管理过程。因此，管理的核心要素就是对风险进行准确识别和有效的评估，通过对信息安全进行风险评估可以获得安全管理的需求，帮助组织制定出最佳的信息安全管理策略，并且将风险控制在可承受的范围之内。一个科学、合理的信息安全风险评估策略应该具有形影的标准体系、技术措施、组织框架以及法律法规。 　　1.2 信息安全策略 　　信息安全策略（Information Security Policy）是一个组织机构中解决信息安全问题的重要组成部分。在一个组织内部，通常是由技术管理者指定信息安全策略，如果是一个较为庞大的组织，制定信息安全策略的则可能是一个技术团队。信息安全策略是基于风险评估结果以保护组织的信息资产。信息安全策略对访问组织的不同资产进行权限设定，它是组织管理人员在建立、使用和审计信息系统时的信息来源。 　　信息???全策略具有非常广泛的应用范围，在其基础上做出的安全决定需要提供一个较高层次的原则性观点。一个组织的信息安全策略能够反映出一个组织对现实和未来安全风险的认识水平，对于组织内部业务人员和技术人员安全风险的处理。信息俺去那策略的制定同时还需要参考相关标准文本和安全管理的经验。 　　1.3 信息安全管理措施 　　信息加密技术是网络安全管理的核心问题，通过对网络传输的信息资源进行加密，以确保传递过程中的安全性和可靠性。用户通过互联网进行网络访问时，应该能够控制访问属于自己的数据的访问者身份，并且可以对访问者的访问情况进行审核。这种访问权限的控制，需要开发相应的权限控制程度，以作为安全防范措施使用。 　　用户在对云计算网络的数据进行存储时，其他用户及云服务提供商在未被所有者允许的情况下不得对数据进行查看及更改。这需要将数据在网络存储时，对其他用户实行存储隔离措施，同时对服务提供商实行存储加密和文件系统的加密措施。鉴于云平台的搭建多数基于商业方面，因此用户的数据在基于云计算的网络上进行传输时要具有极高的保密性，包括在计算中心的内部网络和开放互联网络上。所以，应该对所传输的数据信息在传输层进行加密（HTTPS、VPN和SSL等），对服务提供商进行网络加密。由于基于云计算的网络的数据重要性，为了防止各种数据毁灭性灾难和突发性事件，进行按期定时的数据备份，使用数据库镜像策略和分布式存储策略等，是确保网络信息安全的一系列防范措施。 　　病毒对互联网的安全威胁最为严重，主要可以通过病毒防御技术提升信息管理安全性。病毒是利用计算机软硬件系统的缺陷，在原本正常运行的程序中插入的一段能够破坏计算机或数据的指令或代码段，从而在执行时影响计算机系统的正常运作而不易被人察觉，对计算机及信息安全的威胁最大。针对日益猖獗的计算机病毒，选择一款适合系统使用环境的反病毒软件显得尤为重要，发现病毒侵入应该及时查杀，同时要注意按时地更新病毒库，并升级反病毒软件版本。在杀毒的同时做好预防工作是最为行之有效的措施。防火墙是设置在不同类型网络间的一系列硬件和软件的集合，旨在控制不同网络间的访问、拒绝外部网络对内部网络或网络资源的非法访问，保证通过防火墙的数据包符合预设的安全策略，从而确保了网络信息的服务安全。 　　入侵检测作为防火墙技术的补充手段，是对成功绕过防火墙限制而入侵内部网络系统的行为进行技术攻防的策略。其实质是在不损耗网络性能的前提下进行监听分析用户系统活动和违反安全策略的行为，对已威胁网络安全的入侵行为识别并发出警报，同时生成异常行为分析，评估