久久久久无码精品,四川省少妇一级毛片,老老熟妇xxxxhd,人妻无码少妇一区二区

信息安全風(fēng)險(xiǎn)管理理論

時(shí)間:2024-09-02 10:16:08 信息安全畢業(yè)論文 我要投稿
  • 相關(guān)推薦

信息安全風(fēng)險(xiǎn)管理理論

摘要:

    隨著寬帶網(wǎng)絡(luò)和用戶(hù)規(guī)模的不斷增長(zhǎng),用戶(hù)對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng),對(duì)電信運(yùn)營(yíng)商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手,結(jié)合電信IP城域網(wǎng),提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。

    關(guān)鍵字(Keywords):

    安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS

    1 信息安全管理概述

    普遍意義上,對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息,防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏,保證信息系統(tǒng)能夠連續(xù)、可*、正常的運(yùn)行”。所以說(shuō)信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過(guò)程,通過(guò)一系列的安全管理活動(dòng)來(lái)保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿(mǎn)足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴(lài)性”、“可追溯性”和“真實(shí)性”等。

    信息安全管理的本質(zhì),可以看作是動(dòng)態(tài)地對(duì)信息安全風(fēng)險(xiǎn)的管理,即要實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408-1(信息安全風(fēng)險(xiǎn)管理和評(píng)估規(guī)則),給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型,如下圖一所示:

 

       圖一 信息安全風(fēng)險(xiǎn)管理模型

    既然信息安全是一個(gè)管理過(guò)程,則對(duì)PDCA模型有適用性,結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過(guò)程就是PLAN-DO-CHECK-ACT(計(jì)劃-實(shí)施與部署-監(jiān)控與評(píng)估-維護(hù)和改進(jìn))的循環(huán)過(guò)程。

 

 

    圖二 信息安全體系的“PDCA”管理模型

    2 建立信息安全管理體系的主要步驟

    如圖二所示,在PLAN階段,就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況,建設(shè)適合于自身的ISMS信息安全管理體系,ISMS的構(gòu)建包含以下主要步驟:

    (1) 確定ISMS的范疇和安全邊界

    (2) 在范疇內(nèi)定義信息安全策略、方針和指南

    (3) 對(duì)范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估

    a) Planning(規(guī)劃)

    b) Information Gathering(信息搜集)

    c) Risk Analysis(風(fēng)險(xiǎn)分析)

    u Assets Identification & valuation(資產(chǎn)鑒別與資產(chǎn)評(píng)估)

    u Threat Analysis(威脅分析)

    u Vulnerability Analysis(弱點(diǎn)分析)

    u 資產(chǎn)/威脅/弱點(diǎn)的映射表

    u Impact & Likelihood Assessment(影響和可能性評(píng)估)

    u Risk Result Analysis(風(fēng)險(xiǎn)結(jié)果分析)

    d) Identifying & Selecting Safeguards(鑒別和選擇防護(hù)措施)

    e) Monitoring & Implementation(監(jiān)控和實(shí)施)

    f) Effect estimation(效果檢查與評(píng)估)

    (4) 實(shí)施和運(yùn)營(yíng)初步的ISMS體系

    (5) 對(duì)ISMS運(yùn)營(yíng)的過(guò)程和效果進(jìn)行監(jiān)控

    (6) 在運(yùn)營(yíng)中對(duì)ISMS進(jìn)行不斷優(yōu)化

    3 IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟

    目前,寬帶IP網(wǎng)絡(luò)所接入的客戶(hù)對(duì)網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來(lái)越高,且IP寬帶網(wǎng)絡(luò)及客戶(hù)所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營(yíng)者意識(shí)到有必要對(duì)IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理,以使得能夠動(dòng)態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險(xiǎn)。

    由于網(wǎng)絡(luò)運(yùn)營(yíng)者目前對(duì)于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍,所以一般采用信息安全咨詢(xún)外包的方式來(lái)建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類(lèi)咨詢(xún)項(xiàng)目一般按照以下幾個(gè)階段,進(jìn)行項(xiàng)目實(shí)踐:

    3.1 項(xiàng)目準(zhǔn)備階段。

    a) 主要搜集和分析與項(xiàng)目相關(guān)的背景信息;

    b) 和客戶(hù)溝通并明確項(xiàng)目范圍、目標(biāo)與藍(lán)圖;

    c) 建議并明確項(xiàng)目成員組成和分工;

  d) 對(duì)項(xiàng)目約束條件和風(fēng)險(xiǎn)進(jìn)行聲明;

    e) 對(duì)客戶(hù)領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識(shí)、知識(shí)或工具培訓(xùn);

    f) 匯報(bào)項(xiàng)目進(jìn)度計(jì)劃并獲得客戶(hù)領(lǐng)導(dǎo)批準(zhǔn)等。

    3.2 項(xiàng)目執(zhí)行階段。

    a) 在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分;

    b) 分安全域進(jìn)行資料搜集和訪(fǎng)談,包括用戶(hù)規(guī)模、用戶(hù)分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫(kù)配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過(guò)的安全事件信息等;

    c) 在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析,形成資產(chǎn)表、威脅評(píng)估表、風(fēng)險(xiǎn)評(píng)估表和風(fēng)險(xiǎn)關(guān)系映射表;