信息安全保障体制分析.docxVIP

PAGE 1 PAGE 1 信息安全保障体制分析  文章从信息安全的发展历程引出，探讨了信息安全保障的内涵，研究和论述了信息安全保障模型，分析了安全策略、安全基础设施和安全管理等信息安全保障新体制的要素，最终依据我国信息安全保障的发呈现状，指出要加强信息安全保障能力，必需建设一支高素养的信息安全专业团队，在国家安全策略的指导下技术与管理并重。  　　引言  　　信息安全发展至今，从强调对抗针对信息及信息系统的各种威逼所必要的措施。到强调信息系统的保护、检测和恢复能力(即信息安全保障(IA)),其本质是从被动的、静态的措施，到主动的、动态的能力。因此，信息安全保障是信息安全理论的重要发展，其目标是使系统从组建到运行的整个生命周期中都满意安全需求。从产生到现在，信息安全的发展经历了这样几个过程:  　　(1)通信保密:20世纪60年月以前，主要是在通信的收发双方加入了加密这一环节。  　　(2)计算机安全:20世纪70-80年月，主要研究信息的机密性、完整性、可用性，还有安全OS技术。  　　(3)网络信忽安全:20世纪90年月后，主要研究网络上的信息、信息对抗、虚拟专用网VPN、公钥基础设施PKI和风险评估等。  　　(4)构造信息安全基础设施子保障体系阶段(IA):21世纪，主要为数据备份与灾难恢复技术、国际联动的安全应急响应等。  　　1、信息安全保障内涵  　　信息安全保障(IA)是指访问信息的能力以及保证信息的安全性，它侧重于对安全威逼分析、需求分析及信息安全机制的实施。信息安全保障关注于安全需求的正确性.完整性和全都性以及需求的实现机制。安全保障的目标是使系统从组建到运行的整个生命周期中都满意其安全需求。通过对安全威逼的分析。就可以描述安全策略对安全机制的需求，而满意策略需求的系统设计与实现就是我们的安全机制。信息安全保障则是基于实际应用的，表明安全机制是能够满意安全策略上的信息安全需求。保护信息及信息系统的保密性、完整性，可用性、可追究性、真实性、杭抵赖性，通常包括信息系统的保护、检测和恢复能力。与以往相比，呈现为主动的、智能化的、动态的信息安全态势。图1为安全保障、策略和机制的关系。  　　安全机制主要是通过物理网络安全保障、密码保障、各种访问掌握措施和对安全基础设施综合应用来实施的。  　　物理安全保障主要目标是防止米经授权的人员进入网络。给不信任的人供应最少的信息，并为基础设施组件供应电源供应和网络连通性。  　　访问掌握是网络安全防护的主要策略，主要任务是保证网络资源不被非法使用和访问。在各种安全策略中，访问掌握可以说是保证网络安全最重要的核心策略之一。  　　密码保障是信息安全保障的核心。信息加密的目的是保护网内的数据、文件、口令和掌握信息，保护网上传输的数据。网络加密的方法有链路加密、端点加密和节点加密3种。为保障数据传输的安全性，需综合采用数据传输加密技术、数据完橄性鉴别技术及防抵赖技术。  　　安全机制的实现应具有以下相对固定的模式，即“人在安全策略指导下借助一定的安全技术手段进行持续的运作”。大量证据显示，技术手段通常是为了更加有效地实施某种管理思想或者理念而得到发展的，信息安全也是如此，假如安全管理手段不能被清楚地表达，那么安全技术手段就很难得到有效的利用。因此，组织必需首先将其安全管理思想和千段以策略文件的形式进行阐明。然后依据策略选择恰当的安全技术方案。只有这样，才能从深度解决其信息安全问题。但目前大部分组织，都把精力集中在技术和产品的投人方面，缺乏专业安全团队指导和完整有效的信息安全策略，使信息安全技术不能完全有效地运作起来，导致了信息安全防护措施仅仅是安全产品的累积。有的组织虽然已经组建了安全团队，也制定了相关安全策略，但从体系化、系统化的角度缺乏统一的信息安全策略。  　　2、信息安全保障新体制  　　信息安全保障体制是保障信息安全的指导纲领，适应信息安全发展规律的体制能够为安全需求供应安全保障，不合适的保障体制指导下建立的信息系统将会引发严重的信息安全问题。  　　信息安全保障新体制是相对独立的专业安全团队，依据安全需求，制定安全策略并拥有实施策略所需的安全基础设施、访问掌握机制和密码保障手段等。从威逼分析导出安全需求，依据需求建立安全策略、配置安全基础设施，依照策略进行访问掌握，供应密码保障和加强安全管理将成为信息安全保瘴新体制，如图2所示。  　　(1)安全策略。信息系统安全规范和策略不仅是系统建设的重要依据，而且也是系统安全维护的重要文档，是制定安全标准和管理制度的重要基础。策略要求全部成员必需重视并深刻理解，确保遵守。