信息安全模型研究及安全系统方案设计.docVIP

信息安全模型的研究及安全系统方案设计 　　摘 要 信息安全模型是保障网络信息安全的关键部分，为降低网络信息的风险因素，必须展开对信息安全模型建设进行研究，并对具体的安全系统方案进行设计。然而，实际的安全系统中，缺乏有效的风险评估能力，不能展开对安全风险的评估和控制，制约企业的发展和进步。故此，结合中国移动广东公司的基于4M模型的信息安全风险评估能力模型展开探究，对于具体的信息安全模型和安全系统方案设计进行研究，旨在提升安全风险的评估能力，提升信息安全效果，推动企业发展。 　　关键词 信息安全模型；研究；安全系统；方案设计 　　中图分类号 TP3 文献标识码 A 文章?号 1674-6708（2017）193-0047-02 　　物联网技术的不断完善和进步，安全威胁的攻击对象也不断转变，网络安全威胁成为影响物联网、工业互联网安全的关键，这也对网络安全技术和手段提出了更高的要求。而且，频繁发生的安全隐患，可能会造成大范围损失，严重影响网络安全，亟需改变。基于此，需构建有效的网络安全防护体系。本次研究结合移动信息企业的基本情况，对具体的基于4M的信息安全风险评估能力模型进行阐述，并对其具体的安全系统方案设计进行研究，具体内容如下。 　　1 信息安全模型研究 　　信息安全模型的种类较多，可以根据具体的安全等级和能力，可分为单级和多级两种形式。站在的安全控制角度，可以将安全模型分为访问控制、信息控制等，具体如下所述。 　　1）访问控制类模型。这类模型的特点主要体现在直观性、系统直接对应联系，是建立在矩阵模型的基础上。为降低矩阵的体积，可选择按列存储的矩阵方式。访问矩阵有广泛应用，尤其是对保护系统安全的理论研究。访问控制类模型，可引入角色概念，构建基于角色访问的控制模型，具有灵活可靠的特点。 　　2）信息流控制类模型。访问矩阵模型借助方案监控器，结合访问矩阵的决定，确定用户是否具备访问权利，经过确认后，则不再对用户进行监控。而信息流控制模型则是在信息流控制的基本理念下展开。信息流控制类模型，可根据主体与客体的基本情况，对安全等级进行划分，从而完成对信息安全的控制。常见的信息流控制类模型有：军用安全模型、BLP模型和Bilba模型等。不同的安全模型，需要结合实际情况，展开对其的应用。 　　3）基于4M的信息安全风险评估能力模型。模型是通过构建体系（systeM）、工具（platforM）、机制（Means）、队伍（teaM）4个层面，完成对系统安全态势的度量，进而为信息安全奠定基础。基于4M的信息安全风险评估能力模型，融入ISO27001：2013，并以系统―领域―要素―指标为核心框架，可顺利完成系统安全状态的量化评估。且能够借助云服务，实现有效的信息共享，符合现代移动通信企业的基本需求。 　　2 安全系统方案设计 　　选择基于4M的信息安全风险评估能力模型，作为信息安全模型，展开对安全系统方案设计，内容如下。 　　2.1 体系设计 　　构建全面适用的评估体系，实现对信息风险的评估。系统风险评估，是推动信息安全管理的关键部分。具体的体系设计中，需要对风险评估标准框架进行构建。框架主要是以系统、领域、要素和指标为核心骨架，按照逐级建设的方式，完成对风险度量指标体系的构建。具体的构建中，可引入ISO27001：2013信息安全管理规范等内容，其中指标作为体系的关键部分，从其具体的定义、分级等入手，进而完成对体系的设计。 　　为实现系统的量化评估，则需对量化评分手段进行研究，具体的量化评估方式，可以按照4层递归评分方式。 　　2.2 工具设计 　　为实现对安全系统方案的设计，需加强对安全度量平台的建设，借助安全度量平台，实现对系统风险的综合评估，并借助云服务推动度量平台的推广。安全度量平台可有效提升计算自动化水平，降低成本，并降低门槛推动人员的运维效果，且数据能够可视化、对比和共享，符合通信企业的基本需求。 　　2.3 队伍设计 　　队伍无需专业评估人员，评价者仅仅需要对系统具体操作进行了解，具体的评价设计方式，主要以答卷化为主，并对评估内容进行简化，将选择题、判断题作为主要的风险评价指标度量的关键。而且，还可以指定度量分配方案，由不同的人员完成对不同类型的指标评价，满足信息安全的基本需求。 　　2.4 机制设计 　　为保障信息安全评估的有效性，需要建立有效的机制，本文通过构建系统交互、人工识别验证、系统设备自动采集信息等方式，满足系统原始数据信息的客观性和准确性。只有保障数据信息的可靠稳定，才能保障风险识别的效果。其中系统交互验证机制的具体交互方式，是由运维人员，将数据信息上传到度量平台。对于人工识别验证机制，主要是通过工作人员识别提取的文件类型，并借助定期提交管理规范文件的方式，实现交互。 　　在此