信息安全中管理技术

信息安全系统中管理技术的应用

【摘要】网络全球化的今天，信息安全问题日益突出。本文从信息安全概念出发，引入信息安全模型及管理体系，阐述了信息安全管理技术是信息系统的基础和保证，对信息安全具有重要意义。

关键词：信息技术密码学网络安全木桶原理应急响应PDCA 模型

随着互联网应用的日益普及，人们对信息、信息技术的依赖程序越来越高。一方面，信息已成为一种崭新的资产，在政治、经济、军事、教育、科技和生活等方面发挥着重要的作用；另一方面，由此带来的信息安全问题正变得的日益突出。由于信息具有易传输、易扩散、易破坏的特点，信息资产比传统资产更脆弱，更易受到损害，信息及信息系统需要严格管理和妥善保护。

信息安全是一门复杂的交叉学科，包括密码学技术、系统安全技术、网络安全技术、通讯技术和安全管理技术等，其中信息安全管理是保障信息系统安全的有力手段，是当今世界各国都在努力推广与应用的重点课题。本文对信息安全管理概念、模型、管理体系和意义进行介绍。

一、信息安全管理概念

网络技术的发展加速了信息的传输与处理，缩短了时空，方便了交流；同时，对信息安全提出了新的挑战。据统计，全球平均每20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破；窃取商业信息的事件平均以每月260%的速度递增；约70%的网络主管报告因机密信息泄露而受到损失。国家与国家之间的信息占问题更是关系到国家的根本安全问题。

关于信息安全，国际标准化组织对信息安全的定义是“在技术和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据库不因偶然和恶意的原因而遭到破坏、更改和泄露”。信息安全的内涵已扩展到机密性、完整性、可用性、抗抵赖性、可靠性、可控性和真实性等更多领域。

(1) 机密性：信息不泄露给非授权的用户、实体或过程。

(2) 完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中不被修改、破坏和丢失的特性。

（3）可用性：可被授权实体访问并按需求使用的特性，即当需要时应能存取所需信息。

（4）抗抵赖性：证实行为或事件已经发生的特性，以保证事件或行为不能抵赖。

（5）可靠性：保持持续的预期行为及结果的特性。

（6）可控性：对信息传播及内容具有控制能力，访问控制即属于可控性。

（7）真实性：信息所反映内容与客观事实是否一致的特性。

信息安全的建设过程是一个系统工程，它需要对信息系统的各个环节进行统一的综合考虑、规划和架构，并需要兼顾组织内外不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。这和管理学上木桶原理相似。木桶原理是指，一只木桶由许多木板组成，如果木板的长短不一，那么木桶的最大容量取决于最短的那块木板。由于信息安全是一个多层面、多因素、综合和动态的过程，如果组织凭着一时的需要，想当然地制定一些控制措施和引入一些技术产品，都难免存在顾此失彼的问题。使得信息安全这只“木桶”出现若干“短板”，从而无法保证信息安全。正确的做法是遵循国内外相关信息安全标准和实践过程，考虑到组织信息安全各个层面的实际需求，建立合理的安全管理体系。这保证体系还应当随着环境的变化、业务发展和信息技术的提高而不断改进，不能一成不变，因此实现信息安全是一个需要完整体系来保证的的持续过程。这就是组织需要信息安全管理的基本出发点。对现代企业

和组织来说，信息管理对其正常运行无疑起着举足轻重的作用。

简单的说信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护组织所有的信息资产一系列活动，所以这不仅是安全管理部门的事务，而是整个组织必须共同面对的问题。信息安全管理涉及组织安全策略及安全管理制度、人员管理、业务流程、物理安全、操作安全等多个方面。从人员上看，信息安全管理涉及全体员工，包括各级管理人员、技术人员、操作人员等；从业务看，信息安全管理贯穿所有与信息及其处理设施有关的流程。

二、信息安全管理模型

信息安全管理从信息系统的安全需求出发，结合组织的信息系统建设情况，引入恰当的技术控制措施和管理架构体系，信息安全管理的模型如下图所示：

信息安全管理模型

信息安全需求是信息安全的出发点，包括机密性需求、完整性需求、可用性需求等。信息安全管理范围是由信息系统安全需求决定的具体信息安全控制点，对这些实施适当的控制措施可确保相应环节的信息安全，从而确保组织整体的信息安全水平。信息安全控制措施是指为改善具体信息安全问题而设置的技术或管理手段，是信息安全管理的基础。

对一个特定的组织或信息系统，选择和实施控制措施的方法就是信息安全管理方法。信息安全管理方法各种各样，信息安全风险评估是其中的主流。除此之外，信息安全事件管理、信息安全测评认证、信息安全工程管理也从不同侧面对信息安全的安全性进行管理。

信息安全应急响应是应对信息安全突发事件的重要环节，包括应急响应的内涵、应急响应组织、应急响应体系、应急响应关键技术等方面。

三、信息安全管理体系

信息安全管理体系（ISMS，Information Security Management System）是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的一套管理体系，是整个管理体系的一部分，管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。提出了在组织整体业务活动和所面临风险的环境下，实施PDCA持续改进的模型。

PDCA含义分别如下：

1）P（Plan）表示计划，确定方针和目标，确定活动计划。

2）D（Do）表示实施，实现计划中的内容。

3）C（Check）表示检查，总结执行计划的结果，注意效果，找出问题。

4）A（Action）表示处理总结结果，对成功的经验加以肯定、推广和标准化；对失败的教训加以总结，避免重犯；未解决问题理入下一循环。

信息安全管理体系使组织由里到外得到全面的价值提升，如理顺安全管理职责、提高组织信誉、提高安全意识、保证核心业务的连续性、减少风险等。

四、信息安全管理的意义

习近平总书记指出：“没有网络安全，就没有国家安全”。以互联网为核心的网络空间已成为继陆、海、空之后的第五大战略空间，各国均高度重视网络空间的安全问题。2013年，斯诺登披露的“棱镜门”事件如同重磅炸弹，更是引发了国际社会和公众对网络安全的空前