电子信息概论优秀论文

时间:2018-03-01 编辑:叶俊 手机版

  本文是在学习完信息安全概论的基础上对信息安全及信息安全管理的一些简要概述。如今是信息时代,仅凭技术难以解决信息安全的一些问题,所以信息安全管理是越来越重要。在此我主要是介绍目前信息安全管理的现状、信息安全策略和风险评估与管理的问题以及人在其中的角色。接下来小编为你带来电子信息概论论文,希望对你有帮助。

电子信息概论优秀论文

  在当今全球市场中技术贯穿着整个行业的运行,而信息技术则更是则更是不能或缺的,人们通过信息技术进行管理、处理其他的事物。然而一旦信息技术有一点的错误或者受到敌方攻击那么损失则是必然的,因此就涉及到信息安全的问题。随着社会的发展信息安全受到更多的重视。而信息安全管理则是则是保护信息资产的安全。

  要想认知信息安全管理则首先要搞懂什么是信息安全。信息安全就是保护信息及其关键要素,包括使用、存储、以及传输信息的系统和硬件。信息安全的核心内容是有关信息安全策略的概念。策略、意识提升、教育以及技术都是保护信息以及让信息系统远离危险的至关重要的概念。围绕信息的3个特性――机密性、完整性及可用性已经建立了几种信息安全模型,而NSTISSC安全模型、CNSS安全模型则被安全行业中作为多方面的标准。现在信息安全正在快速演化成一种管理了原则,它涉及到管理人、管理过程以及管理技术这就是现今信息安全的重大变革的结果。因为单单的依靠技术信息安全得不到更

  好的解决,因此也诞生了信息安全管理这门学科。

  信息安全管理的现状:

  对信息安全管理的研究在20世纪90年代才引起人们的足够重视。它的研究范围包括安全标准、安全策略和安全测评。直到1995 年世界上才首次提出《信息安全管理实施细则》BS7799-1:1995,其是由英国首先提出,然后欧美一些国家也相继提出了一些相关的信息安全管理标准。在1999年,国际信息安全基金会提出 GASSP。而在国内1999年中国首次制定了《计算机信息系统安全保护等级划分准则》(GB17859-1999)。2000 年 12 月,BS7799-1:1999得到了国际化组织ISO的认证。针对与目前的信息安全管理现状还没有一个公认的标准,很多国家都各有各自的标准,其中《信息技术安全评价公共标准》则是得到许多国家的认可。而针对于安全策略这一方面,许多组织或者个人都提出了不同的方法,比如2000 年,英国 Imperial 大学的 N.Damianou 等人提出了一种 Ponder 策略规范语言用于表示分布式系统安全和管理策略。2002年,挪威能源技术协会的Rune Fredriksen 等人提出了用于风险管理过程 CORAS 框架。在我国

  2002年,南京师范大学的钱钢提出了一种基于 SSE-CMM 的信息系统安全风险评估方法。以及北京邮电大学的朱而刚和张素英提出了一个基于灰色评估的信息安全风险评估模型。虽然最近关于这种理论的进步很大,但是真正针对信息安全管理的整体解决方法则仍有很大的距离。目前来说,如何针对于现有的信息安全管理模型做出对评估进行量化处理才是更需要解决的。

  一般认为信息安全管理的扩展特性有6个,包括计划、策略、项目、保护、人员、项目管理。在这里我想谈谈自己对策略中的信息安全策略及保护中的风险评估与管理的认识和理解。

  信息安全策略:

  一个高质量的信息安全项目由策略开始,也由策略结束。正确制定策略能够使信息安全项目在工作场所无误的发挥作用。信息安全策略定义了一个框架,它基于风险评估结果以保护组织的信息资产。信息安全策略对访问组织的不同资产定义了访问限制、访问规则。对于信息安全管理所做的策略,首先其必须有助于机构的成功,另外为了正确的使用信息系统,管理层应当确保责任的合理分配,而且信息系统的最终用户必须参与策略的规范化过程。

  组织要制定一组最优的信息安全策略必须明确以下需求,也就是信息安全策略的文档要素:

  (1)信息的保护

  信息保护必须与它的敏感性、价值和重要性相称,不管信息的存储媒介、存储位置、处理信息的系统技术或者处理信息的技术人员都应当采取该策略来保护信息。其针对对象是技术人员,

  (2)信息的使用

  必须只针对与管理层授权的业务目标,策略对象为所有人。

  (3)信息的处理访问和使用

  (4)数据和程序损坏的否认策略

  (5)备份、文档存储和数据处理等

  信息安全策略框架

  下面是信息安全策略框架结构图

  信息全策略大概可包括以下几种类别:加密策略、使用策略、访问策略、职责策略、线路连接策略、反病毒策略、应用服务提供策略、审计策略、电子邮件使用策略、数据库策略、非武装区域策略、第三方的连接策略、敏感信息策略、内部策略、nternet 接入策略、口令防护策略、远程访问策略、路由器安全策略、服务器安全策略、VPN 安全策略、无线通讯策略等。每再次进行风险评估或信息环境、商业环境发生改变时,信息安全策略的制定者要调整原有的信息安全策略。

  风险评估与管理

  实际上信息安全管理是一个风险管理过程。然而风险管理的基础是对其的识别与评估,通过信息安全风险评估可以明确组织的信息安全需求,帮助组织制定最优的信息安全策略并选择相应的风险控制措施把风险降到组织可接受的范围之内。信息安全风险评估与管理在现如今的信息安全管理体系中是一个极其复杂的过程。而对于一个完善的信息安全风险评估架构,相应的标准体系、技术体系、组织架构、业务体系和法律法规是绝对不可能缺少的。

  在这里我先介绍一下风险评估,所谓风险评估就是针对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性的综合性整体评估。通俗的说就是确认信息安全风险及其大小的一个过程。

  下面说一下风险管理,风险管理就是针对风险评估中所确认的安全风险,降低或者消除其影响信息安全风险的过程。其实风险管理是一个识别、控制、降低或消除安全风险的活动,通过风险评估来识别风险大小,通过制定信息安全策略,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可接受的水平。在风险管理方面应考虑控制费用与风险之间的平衡。风险控制是降低安全风险的惯例、程序或机制。

电子信息概论优秀论文相关推荐