关于信息安全管理方法研究.docVIP

关于信息安全管理方法研究 　　摘 要：从社会环境、商业、组织和个人的角度分析了电子商务的信息安全问题，提出一个全面的信息安全管理框架。方案中提供了一个通用的模型及模型中的组件功能，通过实际工作经验重新进行分析，得出了一种较为合理的设计，以此降低各企业、组织在电子商务运营中的网络安全隐患。 　　关键词：工作流； 信息安全管理； 全面系统的方法 　　中图分类号：TP309文献标志码：A 　　文章编号：1001―3695(2007)03―0118―03 　　目前，在电子商务领域中，信息系统安全问题备受人们关注。为了降低安全管理的复杂性，本文构筑了一个针对商业、技术和社会各方面系统的信息安全方法（Comprehensive Safety Ma￣nagement Framework，CSMF），并定义了一个框架支持的需求集合。根据系统理论定义了环境、组件及框架的互动，分析了需求是如何定义的，同时描述了该框架的实际应用。?? 　　 　　1 需求分析?? 　　在软件工程方面的文献中可以看到，需求的形式化领先于每一步的开发，一个需求定义提供了一个可靠的基础，同时它可以评估以后的结果。?? 　　本方案是以重复的方式通过行动调查的方法进行开发的，并将以同样的方式提高和完成需求。在开始阶段，需求草图通过一些设想得到开发；在开始的提炼阶段，将考虑和定义需求的特征。这之前，需求已经有一个相对稳定的定义。当前方案必须履行的普遍需求状况是：?? 　　（1）电子商务环境中的短期市场周期。?? 　　（2）以商务为本并且通过商务途径推动安全的方法。?? 　　（3）以人为本的、缓和拒绝加强安全意识的方法。?? 　　（4）面向技术的、但不是被迫地支持科学方法的安全。?? 　　（5）支持与常规软件开发过程相关的方法。?? 　　有这些需求作为基础，一个方案框架的通用开发方法如下：?? 　　(1)确定活动电子商务所要求的短期市场周期。这样的方法能保证一个好的时间状况，以较低准确性为代价获得较高的优先选择权。?? 　　(2)存在的商业方法关键在于必须使得框架更好地满足现存的组织，必须避免使用面向技术的方法。?? 　　(3)安全必须通过经济的方法调整。尽管如此，当它唯一地反映确定观点时，只使用风险分析是不够的，要使用商务模拟的方法替代发现安全需求的方法。?? 　　(4)人是安全管理的关键，同时需要支持人作为用户、开发者和决策制定者。?? 　　(5)个人计划是一个重要特征，由B2C（针对客户的商务）和B2B（针对商务的商务）电子商务中不同的需求决定。(6)安全不是一个额外的方法，需要与系统开发一起实施。?? 　　(7)一个重复的方法建立在生命周期模型之上，该模型支持当前的软件工程趋势。?? 　　(8)必须在一个系统的整个生命周期过程中考虑安全。 　　 　　2 方案框架组成?? 　　基于需求及通用系统理论的科学概念通过全面系统的发现得到加强。本文开发了一个对于电子商务通用的安全管理框架，这个模型在科学上是尽可能完整的，它也适用于可证实的资源，但需要特别注意可行性关系与科学知识之间的平衡。?? 　　很多方法从科学的角度是可接受的，但是这些方法太复杂或太过时，如自动的安全系统开发方法（ASSDM）以及组织中的生命周期模型（LCMO）方法。这两种方法均沿用了老的软件工程方法，不能与现代面向对象的开发方法同步，而面向对象的方法是电子商务系统所依赖的。其他的方法如虚拟方法（VM）或任务结构方法都集中于社会关系以决定安全需求，忽略了经济和技术作为安全的驱动因素，这意味着有些方法没有反映与电子商务同时出现的多维需求结构。对本文来说意味着当前的科学方法不能简单地通过商业或技术实施作为电子商务系统的驱动因素；另一方面，存在的实际模型没有产生期望的效果和利益。?? 　　当这个理论框架已经形成时，实际的改进以一个重复的方式来实施，通过应用研究的方法得以实施重复的应用并改进框架。若在应用周期中发现缺陷，则运行时要求作一些小的纠正，并在分析阶段和重复过程中加强和改进框架。 　　2.1 组件?? 　　组件或对象是一个系统的元素，它们在一起形成了系统[1]。从功能的角度看，它们提供了一个系统的基本功能，主要归纳为输入、输出和处理组件。 　　在此框架中工作流和支持的组件具有处理类型，过程的输入和输出将进行空间限制。尽管如此，由于环境输入组件的特别作用，本文将其列出。?? 　　（1）工作流组件。 　　这些组件形成了实施和确保安全的主要基础，它们在一起构成了下面描述系统的核心工作流，描述的目的主要说明它们所包括的内容，必须开发所有这些需要加强安全的商业模型。在这一部分，公司声明商业意图以及如何从战略和战术的角度履行这些意图。这里加强安全意味着将安全引