企业信息安全管理系统模型的研究.docVIP

企业信息安全管理系统模型的研究 　　摘 要： 分析企业在信息安全管理方面所面临的风险，利用霍尔三维结构原理，结合企业信息安全管理实践，提出企业信息安全管理系统模型。 　　关键词： 信息安全；霍尔三维结构；安全管理系统模型 　　中图分类号：TP393 文献标识码：A 文章编号：1671－7597（2011）1120082－02 　　 　　0 引言 　　随着网络技术的广泛运用，越来越多的企业、政府机关、个人以及其他各种机构都开始利用网络技术来代替传统的信息传递手段，越来越多企业之间的工作和交流都依靠于网络完成。但是随着企业对网络依赖的增加，信息安全的风险也不断增大，企业管理者不得不面对病毒的侵袭、黑客的攻击、数据的非授权访问、数据被篡改和丢失、垃圾邮件、拒绝服务以及基础硬件的破坏等等。有数据表明，有46%的网络使用者明确承认在过去1年内遭遇过安全事件的困扰；研究还表明，安全事件数量呈现出逐年成倍上升趋势，由安全事件带来的损失也呈逐年上升趋势。在当今信息时代条件下，知识即是企业的财富，企业保证自身信息的安全，就是保证自己的生存之道、发展之道。信息安全已经越来越被众多企业所重视。为了保障信息安全，在受到网络攻击时使损失降到最低，企业管理者们都非常重视企业信息安全的管理。 　　1 企业的信息安全管理的特点 　　信息安全管理工作覆盖面广，只要有信息传输利用的地方，就存在信息安全管理。不仅网络中需要进行信息安全管理，在其他传统媒介中，同样存在信息安全管理。它不仅涉及了企业信息化建设的各个方面，还涉及企业的制度、工作流程、业务选择等其他重要方面。 　　信息安全管理与其他系统交互频繁。信息安全管理工作内容是保障信息在企业各个系统中安全的传输和被利用，是完全基于其他系统的管理系统。不存在单独的封闭的信息安全管理系统。信息安全管理系统需要和其他系统频繁的交互才能实现自己的功能。 　　信息安全管理内容复杂、手段多样。企业信息存在的形态是复杂的，利用方式是多样的。信息安全管理需要跟踪信息的产生、传输、利用、保存、销毁等各个阶段，在这个过程中，信息面临着被盗取、破坏、泄露、损坏等风险。信息安全管理需要与各个系统频繁交互，需要考虑各种意外情况的发生，利用合适的手段来控制信息的安全。信息安全管理技术日新月异。进入新世纪，信息技术飞速发展，给信息盗取者带来了新的技术，同样也给信息安全管理带来了新的防护措施。新的防护技术会降低旧的威胁，同样新的威胁也会攻破旧的防护。 　　综上所述，信息安全管理是一个复杂的工程，涉及面广，与其他系统相互关联，内容复杂，手段多样。 　　2 企业信息安全管理中的问题 　　2.1 缺乏信息安全目标和安全标准 　　目前很多企业在进行信息化建设时，没有明确的信息安全目标。在进行信息安全管理时，常常哪里出问题在哪里进行安全补救。又或者紧跟时代潮流，进行一些不切合自己实际的建设和管理。 　　企业需要一个信息安全目标来指导整个信息安全管理。不同企业对于信息安全的标准是不一样的。哪些信息需要保护，需要保护到什么级别，都是在进行信息安全管理前需要明确的内容。企业需要根据自己的实际需求，制定信息安全目标，并根据这个目标来制定信息安全标准。信息安全标准用于评价信息安全管理工作的成效，安全标准必须是具体的可以用于评价的标准。模糊的标准会阻碍信息安全目标的实现。 　　2.2 缺乏合适的管理模型 　　信息安全管理是一个长期复杂的系统工程，工作繁杂而重要，管理人员常常陷入一个个急需解决的问题中，不停的发现问题和解决问题。很多情况下，管理人员会忽略总结，不能整体考虑信息安全管理的目标和需要，结果导致相同问题不断出现，或者安全措施效果不明显，信息安全仍是漏洞百出，管理人员疲于应付。因此需要有一个适合企业管理流程的管理模型来指导信息安全管理工作。管理人员能够利用这个模型，依据信息安全目标，来处理各类信息安全问题。 　　3 信息安全管理的霍尔三维结构 　　霍尔三维结构是美国系统工程专家霍尔（A?D?Hall）于1969年提出的一种系统工程方法论。霍尔的三维结构模式的出现，为解决大型复杂系统的规划、组织、管理问题提供了一种统一的思想方法，霍尔的三维结构模式因而在世界各国得到了广泛应用。霍尔三维结构是将系统工程整个活动过程分为前后紧密衔接的七个阶段和七个步骤，同时还考虑了为完成这些阶段和步骤所需要的各种专业知识和技能。这样，就形成了由时间维、逻辑维和知识维所组成的三维空间结构。三维结构体系形象地描述了系统工程研究的框架，对其中任一阶段和每一个步骤，又可进一步展开，形成了分层次的树状体系。下面将结合信息安全管理的实践，建立信息安全管理的霍尔三维结构。 　　 　　 　　图1 霍尔三维结构 　　3.1 时间维 　　时间维表示系统工