發(fā)布時(shí)間:2015-12-24所屬分類:計(jì)算機(jī)職稱論文瀏覽:1次
摘 要: 在當(dāng)前有關(guān)信息技術(shù)新應(yīng)用管理的措施制度有哪些呢?應(yīng)該如何來(lái)促使現(xiàn)在信息技術(shù)的新應(yīng)用呢?本文是一篇計(jì)算機(jī)職稱論文。我們也知道由于網(wǎng)絡(luò)運(yùn)營(yíng)者目前對(duì)于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍,所以一般采用信息安全咨詢外包的方式來(lái)建立IP寬帶網(wǎng)絡(luò)的
在當(dāng)前有關(guān)信息技術(shù)新應(yīng)用管理的措施制度有哪些呢?應(yīng)該如何來(lái)促使現(xiàn)在信息技術(shù)的新應(yīng)用呢?本文是一篇計(jì)算機(jī)職稱論文。我們也知道由于網(wǎng)絡(luò)運(yùn)營(yíng)者目前對(duì)于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍,所以一般采用信息安全咨詢外包的方式來(lái)建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。
摘要:隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長(zhǎng),用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng),對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手,結(jié)合電信IP城域網(wǎng),提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。
關(guān)鍵字:信息安全管理,科技技術(shù)應(yīng)用,計(jì)算機(jī)職稱論文
1 信息安全管理概述
普遍意義上,對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息,防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏,保證信息系統(tǒng)能夠連續(xù)、可*、正常的運(yùn)行”。所以說(shuō)信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過(guò)程,通過(guò)一系列的安全管理活動(dòng)來(lái)保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。
計(jì)算機(jī)論文發(fā)表:《微計(jì)算機(jī)信息》,《微計(jì)算機(jī)信息》1984年創(chuàng)刊,是以信息產(chǎn)業(yè)、信息技術(shù)、信息資源改造、提升傳統(tǒng)產(chǎn)業(yè),以計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)、自動(dòng)控制技術(shù)、傳感器及儀器儀表技術(shù)、電子技術(shù)為工業(yè)和國(guó)防領(lǐng)域,大眾服務(wù)的技術(shù)創(chuàng)新媒體。
信息安全管理的本質(zhì),可以看作是動(dòng)態(tài)地對(duì)信息安全風(fēng)險(xiǎn)的管理,即要實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408-1(信息安全風(fēng)險(xiǎn)管理和評(píng)估規(guī)則),給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型,如下圖一所示:
圖一 信息安全風(fēng)險(xiǎn)管理模型
既然信息安全是一個(gè)管理過(guò)程,則對(duì)PDCA模型有適用性,結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過(guò)程就是PLAN-DO-CHECK-ACT(計(jì)劃-實(shí)施與部署-監(jiān)控與評(píng)估-維護(hù)和改進(jìn))的循環(huán)過(guò)程。
圖二 信息安全體系的“PDCA”管理模型
2 建立信息安全管理體系的主要步驟
如圖二所示,在PLAN階段,就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況,建設(shè)適合于自身的ISMS信息安全管理體系,ISMS的構(gòu)建包含以下主要步驟:
(1) 確定ISMS的范疇和安全邊界
(2) 在范疇內(nèi)定義信息安全策略、方針和指南
(3) 對(duì)范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估
a) Planning(規(guī)劃)
b) Information Gathering(信息搜集)
c) Risk Analysis(風(fēng)險(xiǎn)分析)
u Assets Identification & valuation(資產(chǎn)鑒別與資產(chǎn)評(píng)估)
u Threat Analysis(威脅分析)
u Vulnerability Analysis(弱點(diǎn)分析)
u 資產(chǎn)/威脅/弱點(diǎn)的映射表
u Impact & Likelihood Assessment(影響和可能性評(píng)估)
u Risk Result Analysis(風(fēng)險(xiǎn)結(jié)果分析)
d) Identifying & Selecting Safeguards(鑒別和選擇防護(hù)措施)
e) Monitoring & Implementation(監(jiān)控和實(shí)施)
f) Effect estimation(效果檢查與評(píng)估)
(4) 實(shí)施和運(yùn)營(yíng)初步的ISMS體系
(5) 對(duì)ISMS運(yùn)營(yíng)的過(guò)程和效果進(jìn)行監(jiān)控
(6) 在運(yùn)營(yíng)中對(duì)ISMS進(jìn)行不斷優(yōu)化
3 IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟
目前,寬帶IP網(wǎng)絡(luò)所接入的客戶對(duì)網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來(lái)越高,且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營(yíng)者意識(shí)到有必要對(duì)IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理,以使得能夠動(dòng)態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險(xiǎn)。
此類咨詢項(xiàng)目一般按照以下幾個(gè)階段,進(jìn)行項(xiàng)目實(shí)踐:
3.1 項(xiàng)目準(zhǔn)備階段。
a) 主要搜集和分析與項(xiàng)目相關(guān)的背景信息;
b) 和客戶溝通并明確項(xiàng)目范圍、目標(biāo)與藍(lán)圖;
c) 建議并明確項(xiàng)目成員組成和分工;
d) 對(duì)項(xiàng)目約束條件和風(fēng)險(xiǎn)進(jìn)行聲明;
e) 對(duì)客戶領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識(shí)、知識(shí)或工具培訓(xùn);
f) 匯報(bào)項(xiàng)目進(jìn)度計(jì)劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。
3.2 項(xiàng)目執(zhí)行階段。
a) 在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分;
b) 分安全域進(jìn)行資料搜集和訪談,包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫(kù)配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過(guò)的安全事件信息等;
c) 在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析,形成資產(chǎn)表、威脅評(píng)估表、風(fēng)險(xiǎn)評(píng)估表和風(fēng)險(xiǎn)關(guān)系映射表;
d) 對(duì)存在的主要風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級(jí)綜合評(píng)價(jià),并按照重要次序,給出相應(yīng)的防護(hù)措施選擇和風(fēng)險(xiǎn)處置建議。
3.3 項(xiàng)目總結(jié)階段
a) 項(xiàng)目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn);
b) 對(duì)項(xiàng)目資產(chǎn)鑒別報(bào)告、風(fēng)險(xiǎn)分析報(bào)告進(jìn)行審核和批準(zhǔn);
c) 對(duì)需要進(jìn)行的相關(guān)風(fēng)險(xiǎn)處置建議進(jìn)行項(xiàng)目安排;
4 IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐要點(diǎn)分析
運(yùn)營(yíng)商IP寬帶網(wǎng)絡(luò)和常見(jiàn)的針對(duì)以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險(xiǎn)管理不同,其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險(xiǎn)管理的方法和資料。在項(xiàng)目執(zhí)行的不同階段,需要特別注意以下要點(diǎn):
4.1 安全目標(biāo)
充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。
4.2 項(xiàng)目范疇
應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng):如網(wǎng)管系統(tǒng)、AAA平臺(tái)、DNS等。
4.3 項(xiàng)目成員
應(yīng)該得到運(yùn)營(yíng)商高層領(lǐng)導(dǎo)的明確支持,項(xiàng)目組長(zhǎng)應(yīng)該具備管理大型安全咨詢項(xiàng)目經(jīng)驗(yàn)的人承擔(dān),且項(xiàng)目成員除了包含一些專業(yè)安全評(píng)估人員之外,還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開(kāi)發(fā)商”人員。
4.4 背景信息搜集:
背景信息搜集之前,應(yīng)該對(duì)信息搜集對(duì)象進(jìn)行分組,即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含:
a) IP寬帶網(wǎng)絡(luò)總體架構(gòu)
b) 城域網(wǎng)結(jié)構(gòu)和配置
c) 接入網(wǎng)結(jié)構(gòu)和配置
d) AAA平臺(tái)系統(tǒng)結(jié)構(gòu)和配置
e) DNS系統(tǒng)結(jié)構(gòu)和配置
f) 相關(guān)主機(jī)和設(shè)備的軟硬件信息
g) 相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口
h) 相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲(chǔ)和安全需求信息
i) 已有的安全事故記錄
j) 已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施
k) 相關(guān)機(jī)房的物理環(huán)境信息
l) 已有的安全管理策略、規(guī)定和指南
m) 其它相關(guān)
4.5 資產(chǎn)鑒別
資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別,必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺(tái)、DNS平臺(tái)、網(wǎng)管系統(tǒng)等一級(jí)資產(chǎn)組;然后可以在一級(jí)資產(chǎn)組內(nèi),按照功能或地域進(jìn)行劃分二級(jí)資產(chǎn)組,如AAA平臺(tái)一級(jí)資產(chǎn)組可以劃分為RADIUS組、DB組、計(jì)費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級(jí)資產(chǎn)組;進(jìn)一步可以針對(duì)各個(gè)二級(jí)資產(chǎn)組的每個(gè)設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別,鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。
4.6 威脅分析
威脅分析應(yīng)該具有針對(duì)性,即按照不同的資產(chǎn)組進(jìn)行針對(duì)性威脅分析。如針對(duì)IP城域網(wǎng),其主要風(fēng)險(xiǎn)可能是:蠕蟲(chóng)、P2P、路由攻擊、路由設(shè)備入侵等;而對(duì)于DNS或AAA平臺(tái),其主要風(fēng)險(xiǎn)可能包括:主機(jī)病毒、后門(mén)程序、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵、數(shù)據(jù)庫(kù)攻擊、DNS釣魚(yú)等。
4.7 威脅影響分析
是指對(duì)不同威脅其可能造成的危害進(jìn)行評(píng)定,作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運(yùn)營(yíng)商意見(jiàn),尤其要充分考慮威脅發(fā)生后可能造成的社會(huì)影響和信譽(yù)影響。
4.8 威脅可能性分析
是指某種威脅可能發(fā)生的概率,其發(fā)生概率評(píng)定非常困難,所以一般情況下都應(yīng)該采用定性的分析方法,制定出一套評(píng)價(jià)規(guī)則,主要由運(yùn)營(yíng)商管理人員按照規(guī)則進(jìn)行評(píng)價(jià)。
4.9 風(fēng)險(xiǎn)處置
針對(duì)IP城域網(wǎng)風(fēng)險(xiǎn)分析結(jié)果,在進(jìn)行風(fēng)險(xiǎn)處置建議的時(shí)候,需要綜合考慮以下多方面的因素:效用、成本、對(duì)業(yè)務(wù)、組織和流程的影響、技術(shù)成熟度等。
