序論:在您撰寫工程信息安全管理時���,參考他人的優(yōu)秀作品可以開闊視野�,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情����,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
關(guān)鍵詞:網(wǎng)絡(luò)工程���;信息安全管理�;技術(shù)方案�����;遺傳算法
1引言
近年來網(wǎng)絡(luò)工程技術(shù)發(fā)展迅速��,對于海量信息的安全管理日趨重要�����。但由于網(wǎng)絡(luò)信息管理系統(tǒng)在硬件�、軟件及管理策略方面尚存在諸多問題,導(dǎo)致系統(tǒng)中存在大量的脆弱性��,因而對網(wǎng)絡(luò)工程信息系統(tǒng)帶來了極大的威脅[1]�����。在網(wǎng)絡(luò)工程信息安全管理過程中��,對信息管理技術(shù)方案進行制定是不可或缺的一個環(huán)節(jié)�,合理的方案設(shè)計對于信息系統(tǒng)安全風(fēng)險可控化具有十分重大的意義[2]。傳統(tǒng)的安全技術(shù)方案設(shè)計僅僅從技術(shù)角度入手���,忽略了考慮實施技術(shù)手段所需要的花費���。完善的信息安全管理技術(shù)應(yīng)當(dāng)將脆弱性分析、安全技術(shù)選擇及實施技術(shù)費用進行綜合考慮����,這樣才能使信息管理系統(tǒng)的安全風(fēng)險降至最低[3]。因此本文首先對網(wǎng)絡(luò)工程信息管理技術(shù)方案的制定進行了優(yōu)化��,以此為基礎(chǔ)�,提出基于遺傳算法的信息安全管理優(yōu)化技術(shù),并對實際算例采用上述優(yōu)化技術(shù)����,對該優(yōu)化技術(shù)的有效性進行了驗證。
2信息安全管理技術(shù)方案
制定時的決策模型通過對信息管理技術(shù)方案的優(yōu)化制定可以使信息管理系統(tǒng)中脆弱性的威脅降到最小��。將信息管理系統(tǒng)中的各種脆弱性表示為v1�����,v2……,vm共m種�����,當(dāng)脆弱性vi存在時以數(shù)值1表示�����,當(dāng)這種脆弱性不存在時以0表示����,每一種脆弱性對應(yīng)于一個權(quán)值i,這一權(quán)值用來表示對應(yīng)的脆弱性危害信息管理系統(tǒng)的程度����,本文對信息安全管理系統(tǒng)中的脆弱性進行了描述,列出了表1信息安全管理系統(tǒng)中的脆弱性及表示20種不同的脆弱性(見表1)����。對應(yīng)于每一種脆弱性都存在相應(yīng)的安全技術(shù),這些安全技術(shù)以s1���,s2……���,sn來表示����,當(dāng)技術(shù)方案中采用了sj這種安全技術(shù)時����,sj等于1��,當(dāng)沒有采用時取值為0����;對應(yīng)于sj安全技術(shù)的實施費用用cj來表示,本文給出了13中安全技術(shù)手段���,見表2����。脆弱性及其對應(yīng)的安全技術(shù)之間存在復(fù)雜的關(guān)系�����,對某一脆弱性采取相應(yīng)的安全技術(shù)后該脆弱性可能部分的或完全的消除�,但也有可能導(dǎo)致其他種類的脆弱性產(chǎn)生����,其中部分消除安全性是指相應(yīng)的由該脆弱性導(dǎo)致的信息管理系統(tǒng)破壞程度被限制在一定的范圍內(nèi)����。在對脆弱性實施安全技術(shù)手段后,相應(yīng)的脆弱性在系統(tǒng)中可能會有一定的殘留��,對于殘留的脆弱性用r1����,r2……rm來表示,ri對應(yīng)于脆弱性vi���,取值分別為0�����,0.5����,1�����,分別對應(yīng)于脆弱性存在,脆弱性部分去除以及不存在��。用矩陣T={tij}表示對脆弱性采用安全技術(shù)處理后的情況��,tij是指采用安全技術(shù)sj處理脆弱性vi的處理能力的大小���。確定殘留脆弱性處理規(guī)則���,當(dāng)vi=0或1時�����,有j∈{j│sj=1}�,此時tij=1,那么ri=0����;當(dāng)vi=0時,存在j∈{j│sj=1}����,使tij=0,此時ri=0��;當(dāng)vi=1時,存在j∈{j│sj=1}��,使tij=0��,此時ri=1�;當(dāng)vi=0時,存在j∈{j│sj=1}����,使tij≠1,同時存在j∈{j│sj=1}�����,使tij=-1此時ri=1��;當(dāng)vi=0時��,存在j∈{j│sj=1}����,使tij≠1,同時存在j∈{j│sj=1}�,使tij=-0.5此時ri=0.5;當(dāng)vi=1時,存在j∈{j│sj=1}����,使tij≠1,同時存在j∈{j│sj=1}�����,使tij=0.5此時ri=0.5�����。綜上所述���,安全的信息管理技術(shù)方案設(shè)計需要以兩個目標為基礎(chǔ),如式1和式2所示:式3中Cmax為實施安全技術(shù)手段所需要的費用的最大值�����,對E進行無量綱修正得到E’���,和分別代表脆弱性權(quán)重和費用權(quán)重����,和之和為1,表示二者在系統(tǒng)設(shè)計時的偏重程度�����,當(dāng)>時���,脆弱性在設(shè)計時比費用控制重要���,反之亦然。
3遺傳算法在網(wǎng)絡(luò)工程信息安全管理技術(shù)優(yōu)化中的應(yīng)用
安全技術(shù)手段集合的子集即為所制定的網(wǎng)絡(luò)工程信息安全管理技術(shù)方案��,其可行解共有2n個�,具體方案的選取屬于多目標優(yōu)化問題,n值增加�,問題的解空間呈現(xiàn)幾何式增長,如果要在如此龐大的解空間內(nèi)實現(xiàn)最優(yōu)解的搜尋��,則必須采用效率較高的搜索策略����。為此引入遺傳算法,在遺傳過程中的各代個體以適應(yīng)度值為依據(jù)進行交叉和變異概率選擇�����,即采用自適應(yīng)規(guī)則,從而使個體自適應(yīng)環(huán)境變化進行自身的調(diào)節(jié)�。首先對于問題的編碼,用符號串表示各個染色體�,這種符號串具有n位二進制編碼,用這種符號串表示的染色體即代表了對應(yīng)的技術(shù)手段���,技術(shù)手段的狀態(tài)用二進制編碼的每一位表示�����,即1表示該技術(shù)手段被方案采用�����,0表示該技術(shù)手段未被方案采用���。如此即可轉(zhuǎn)化網(wǎng)絡(luò)工程安全信息管理技術(shù)優(yōu)化問題為染色體最優(yōu)編碼求解問題。
4采用優(yōu)化后信息管理技術(shù)的實際算例
采用上述對脆弱性和安全技術(shù)的分類���,設(shè)脆弱性的情況為(11010100110111000110),將各脆弱性權(quán)重列于表3�,實施相應(yīng)安全技術(shù)所需費用權(quán)重列于表4,脆弱性的重要性和實施相應(yīng)安全技術(shù)花費的重要性同等重要(==0.5)����,采用本文提出的優(yōu)化技術(shù)對相應(yīng)的技術(shù)方案進行求解(N=100)��,各概率值為Pe=0.4,Pc0=0.52,Pc1=0.29,Pm0=0.37,Pm1=0.23���,迭代次數(shù)最大為300,50為穩(wěn)定代數(shù)的最大值����。最終結(jié)果為,S=(1000010000010)����,即出現(xiàn)單一、集中�����、敏感�、可分離、可測��、順應(yīng)����、難以恢復(fù)���、自我認知匱乏、不以管理����、透明、電子訪問等脆弱性時���,所采取的安全技術(shù)手段為����,彈性及魯棒性技術(shù)���、人員管理技術(shù)����、分配動態(tài)資源技術(shù)�����。本文同時對不同數(shù)據(jù)進行了計算��,結(jié)果均表明增加脆弱性和技術(shù)手段的種類�,本文提出的以信息管理技術(shù)方案優(yōu)化制定為基礎(chǔ),采用遺傳算法的網(wǎng)絡(luò)工程信息安全管理技術(shù)其優(yōu)化效果均較為顯著��。
5結(jié)束語
第2篇
[關(guān)鍵詞]工程哲學(xué)���;信息安全���;管理體系;ISMS
doi:10.3969/j.issn.1673 - 0194.2015.16.162
[中圖分類號]TP309 [文獻標識碼]A [文章編號]1673-0194(2015)16-0-03
0 引 言
信息安全是信息化發(fā)展到一定階段的必然產(chǎn)物��。Tanenbaum認為網(wǎng)絡(luò)僅局限于研究人員相互發(fā)郵件時自然不會凸顯信息安全的重要性�,但是一旦滲透到包括銀行轉(zhuǎn)賬和網(wǎng)上購物等日常行為,或者過渡到云計算時代��,信息安全問題就無法再回避��。
信息安全管理體系(Information Security Management System��,ISMS)被認為是良好的信息安全管理實踐集之一����,從工程哲學(xué)的視野來看,這是由某一(或某些)專業(yè)技術(shù)為主體和與之配套通用的相關(guān)技術(shù)�,按照一定規(guī)則、規(guī)律所組成的���,為實現(xiàn)某一(或某些)工程目標的組織�、集成活動。這其中包括人與自然的關(guān)系�,也包括人與人、人與社會的關(guān)系�,并由此構(gòu)筑了新的存在物。目前絕大部分的研究都集中于信息安全管理體系的應(yīng)用����,而缺乏從整體角度出發(fā),以工程創(chuàng)新為主線�,從工程哲學(xué)的角度進行審視、思考和分析的研究���,本文對這些問題進行分析�。
1 以“三元論”的視角審視信息安全管理體系
1.1 科學(xué)�、技術(shù)和工程“三元論”
Mitcham提出工程哲學(xué)(Engineering Philosophy)詞匯,并闡述哲學(xué)對工程的重要性���,但是他認為工程處于技術(shù)之下�,是技術(shù)的一部分���,而李伯聰教授則認為科學(xué)�、技術(shù)和工程是彼此獨立的個體�����,彼此既有聯(lián)系又有區(qū)別���,科學(xué)����、技術(shù)和工程“三元論”是工程哲學(xué)得以成立的基礎(chǔ)����。
科學(xué)活動是以探索發(fā)現(xiàn)為核心的活動,技術(shù)活動是以發(fā)明革新為核心的活動���,工程活動是以集成建構(gòu)為核心的活動�。人們既不應(yīng)把科學(xué)與技術(shù)混為一談�����,也不應(yīng)把技術(shù)與工程混為一談�。工程并不是單純的科學(xué)應(yīng)用或技術(shù)應(yīng)用,也不是相關(guān)技術(shù)的簡單堆砌和剪貼拼湊,而是科學(xué)要素�、技術(shù)要素、經(jīng)濟要素���、管理要素���、社會要素、文化要素�、制度要素以及環(huán)境要素等多要素的集成、選擇和優(yōu)化����。“三元論”明確承認科學(xué)�����、技術(shù)與工程存在密切的聯(lián)系����,而且突出強調(diào)它們之間的轉(zhuǎn)化關(guān)系,強調(diào)“工程化”環(huán)節(jié)對于轉(zhuǎn)化為直接生產(chǎn)力的關(guān)鍵作用��、價值和意義�,強調(diào)應(yīng)努力實現(xiàn)工程科學(xué)、工程技術(shù)和工程實踐的有機互動與統(tǒng)一。
1.2 信息安全管理體系的工程本質(zhì)及特點
信息安全管理體系是基于業(yè)務(wù)風(fēng)險方法����,來建立、實施�����、運行���、監(jiān)視、評審����、保持和改進信息安全的,包括組織結(jié)構(gòu)�、方針策略、規(guī)劃活動�����、職責(zé)����、實踐、程序、過程和資源等內(nèi)容����。信息安全管理體系的支撐標準為ISO/IEC 27000標準族。在ISO/IEC 27000標準族中�,不但給出了“建立、實施����、運行、監(jiān)視����、評審、保持和改進信息安全的”“基于業(yè)務(wù)風(fēng)險(的)方法”�����,而且還給出了信息安全管理體系的要求�、實用規(guī)則、審核指南以及相關(guān)安全域的具體指南等�����。例如���,僅GB/T 22081-2008/ISO/IEC 27002:2005信息安全管理實用規(guī)則���,就包括了11個控制域��,39個控制目標��,133項控制措施���。
信息安全管理體系可在不同的學(xué)科中找到其淵源,在實施框架上�����,信息安全管理體系應(yīng)用了質(zhì)量管理中的Plan-Do-Check-Act的戴明環(huán)��,在具體的控制措施上�����,則包括了密碼學(xué)����、人員安全以及各類信息安全技術(shù)�,其研究的特點是將科學(xué)思維����、工程思維和社會思維相結(jié)合�,但更強調(diào)工程思維的“設(shè)計”理論。工程研究活動不同于科學(xué)研究活動的基本特征就是“設(shè)計”��。工程設(shè)計活動包括對象設(shè)計和過程設(shè)計���。例如�,建造水壩的壩體設(shè)計是對象設(shè)計�����,如何實施就是過程設(shè)計���,在信息安全中�����,設(shè)計組織自己的信息安全管理體系是對象設(shè)計����,設(shè)計如何部署是過程設(shè)計�����。
按照“三元論”理論,信息安全管理體系在其中的位置如圖1所示���。
2 信息安全管理體系的演化過程與規(guī)律
2.1 信息安全管理體系的起源和發(fā)展
信息安全管理體系是建立在體系(System)化基礎(chǔ)上的“最佳實踐集”���,到國際標準的正式公布,大致經(jīng)歷了3個階段���。
第一階段為過度關(guān)注技術(shù)�����,忽略人的作用的“技術(shù)浪潮”階段,在這個階段涌現(xiàn)出了大量的信息安全技術(shù)產(chǎn)品����,例如,防火墻���、防病毒和入侵檢測系統(tǒng)(IDS)等�����。
第二階段為強調(diào)人的作用的“管理浪潮”階段����,在這個階段大部分企業(yè)開始設(shè)置專職的信息安全管理崗位,以加強對個人行為的控制����。
第三階段即“體系階段”,在體系階段信息安全以目標為導(dǎo)向��,不再局限于手段的應(yīng)用���,而是技術(shù)���、制度和人員管理等各個方面的有機結(jié)合。這個階段是信息安全的工程化階段���,體現(xiàn)了工程的實踐性�����、經(jīng)驗性���、繼承性���、創(chuàng)造性和系統(tǒng)性等特點。
2.2 信息安全管理體系的動力和機制分析
信息安全管理體系的產(chǎn)生和發(fā)展過程是一個“需求驅(qū)動”的過程���。Alvin Toffler在其經(jīng)典著作《第三次浪潮》中����,將人類發(fā)展史劃分為第一次浪潮的“農(nóng)業(yè)文明”����,第二次浪潮的“工業(yè)文明”以及第三次浪潮的“信息社會”。在信息社會時代���,“信息”成為重要的生產(chǎn)資料���,價值非凡,因此面臨諸多風(fēng)險�����,為保護信息�,安全需求的出現(xiàn)是必然的���。
科學(xué)與技術(shù)的進步是信息安全管理體系的推動力��。新密碼算法的產(chǎn)生�,各類以“信息技術(shù)解決信息安全”的思路涌現(xiàn),為信息安全管理體系的產(chǎn)生奠定了基礎(chǔ)���。信息安全產(chǎn)生的本質(zhì)原因是信息技術(shù)的發(fā)展和應(yīng)用�����,反過來���,解決信息安全問題又依賴于信息技術(shù)的發(fā)展。例如�,速度更快,與防火墻形成聯(lián)動的入侵檢測系統(tǒng)�����。
國家政策是信息安全管理體系應(yīng)用的導(dǎo)向力��。任何工程活動都是在社會大系統(tǒng)中開展的��,都要接受國家(政府)的引導(dǎo)和調(diào)控。對工程創(chuàng)新的應(yīng)用�����,企業(yè)的認識往往是滯后的���,因此�����,國家出臺了一系列引導(dǎo)性政策����。例如:商務(wù)部印發(fā)的商資發(fā)[2006]556號及商資函[2006]110號�����,以及各地方政府的鼓勵引導(dǎo)政策��。
2.3 信息安全管理體系的工程演化特點�����、方式和規(guī)律
對比國外�����,信息安全管理體系在國內(nèi)發(fā)展體現(xiàn)出了明顯的跳躍性����,這種跳躍性不但體現(xiàn)在信息工程領(lǐng)域,也表現(xiàn)在其他諸多領(lǐng)域���。國內(nèi)一般不會沿襲其循序漸進的路線����,而是直接引用國外的先進經(jīng)驗或者在國外已有的原型上進行模仿開發(fā)����。
在科學(xué)、技術(shù)和工程3個領(lǐng)域內(nèi)����,與文化、制度�����、歷史等環(huán)境因素聯(lián)系最緊密的就是工程����。在信息安全領(lǐng)域內(nèi)�����,作為基礎(chǔ)科學(xué)的密碼學(xué)�����,其算法“放之四海而皆準”�����,不會因東西方文化的不同而顯現(xiàn)不同的特征�����,絕大部分技術(shù)亦如此���。但在工程層次,不同的文化制度有時會產(chǎn)生大相徑庭的結(jié)果�,例如,騰訊QQ本來是模仿國際聊天軟件ICQ���,但是經(jīng)過十幾年的發(fā)展后����,ICQ,MSN等點對點國外聊天軟件均瀕臨破產(chǎn)���,但QQ在線用戶卻在2010年突破1億。信息安全管理體系雖然修改自國際標準����,但也顯現(xiàn)出鮮明的文化特征。例如更強調(diào)保密性��,和國外用戶相比��,更多的認證取向等�����。
3 信息安全管理體系的工程思維與工程方法論
3.1 信息安全管理體系的工程思維
科學(xué)思維是“反映性思維”“發(fā)現(xiàn)性思維”����,體現(xiàn)理論理性的認識,工程思維是“構(gòu)建性思維”“設(shè)計性思維”和“實踐性思維”����,體現(xiàn)實踐理性的認識���。科學(xué)家通過科學(xué)思維發(fā)現(xiàn)外部世界中已經(jīng)存在的事物和自然規(guī)律�,工程師在工程活動中創(chuàng)造出自然界中從來沒有的工程構(gòu)建物,工程設(shè)計是以價值當(dāng)事人的特定需要為出發(fā)點��,以構(gòu)建某種與主體需要相符合的實體為歸宿的籌劃��。
信息安全管理體系標準族的GB/T 22080-2008/ISO/IEC 27001:2005原文別強調(diào):“采用ISMS應(yīng)當(dāng)是一個組織的一項戰(zhàn)略性決策����。一個組織ISMS的設(shè)計和實施受其需求和目標、安全要求��、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響���,且上述因素及其支持系統(tǒng)會不斷發(fā)生變化�。按照組織的需求實施ISMS是本標準所期望的����,例如,簡單的情況可采用簡單的ISMS解決方案���?!毙畔踩芾眢w系的部署過程也專門設(shè)有信息安全風(fēng)險評估,目的就是找到企業(yè)實際存在的問題�����,然后“對癥下藥”��。
3.2 信息安全管理體系的工程方法論
信息安全管理體系應(yīng)用了PDCA戴明環(huán)�,與A.D.Hall的系統(tǒng)工程方法略有差別��,但在本質(zhì)上是遵循這個基本框架的�,如圖2所示。
參照圖2所示的基本工作過程并結(jié)合專門指導(dǎo)信息安全管理體系實施的《ISO/IEC 27003:2010信息安全管理體系應(yīng)用指南》���,提取其中的關(guān)鍵過程����,并與工程設(shè)計的一般過程進行對比�����,如圖3所示�����,其中左側(cè)為設(shè)計方法,右側(cè)為信息安全管理體系設(shè)計����。
4 結(jié) 語
信息安全管理體系既包括數(shù)論、密碼學(xué)和近世代數(shù)等科學(xué)元素����,也包括軟件開發(fā)技術(shù)、單片機技術(shù)和網(wǎng)絡(luò)技術(shù)等技術(shù)元素����,在工程哲學(xué)的視野下,是建立在一系列科學(xué)與技術(shù)基礎(chǔ)上的集成創(chuàng)新���。在工程創(chuàng)新成為創(chuàng)新活動主戰(zhàn)場的今天�,對其進行哲學(xué)分析�����,顯得尤為重要���。這其中包括以下幾點�。首先,要辯證地對待便利性與安全性的問題�����。正確利用信息系統(tǒng)����,不僅是技術(shù)問題,也是哲學(xué)命題����。堅持用“兩點論”的觀點看待便利性和安全性,在信息化發(fā)展的不同階段��,正確分析主要矛盾和次要矛盾���。在信息化發(fā)展初期,信息系統(tǒng)尚未大規(guī)模使用��,主要矛盾是便利性���,提高效率�,但到現(xiàn)在����,信息安全事件層出不窮��,美國甚至成立了網(wǎng)絡(luò)戰(zhàn)爭司令部���,信息戰(zhàn)成為攻擊手段之一,安全性就成了主要矛盾�����,“兩點論”是有重點的兩點論��,要在看到主次矛盾和矛盾的主次方面的同時����,分清主次,抓住主要矛盾和矛盾的主要方面��。其次���,從信息安全管理體系演化規(guī)律中發(fā)現(xiàn)集成創(chuàng)新的一般規(guī)律�����?���?茖W(xué)、技術(shù)轉(zhuǎn)化為現(xiàn)實生產(chǎn)力的功能一般都要通過工程這一環(huán)節(jié)�,因此,在我國建設(shè)創(chuàng)新型國家戰(zhàn)略的實施過程中��,工程創(chuàng)新是一個關(guān)鍵性的環(huán)節(jié)����。只有從大量的工程中發(fā)現(xiàn)工程創(chuàng)新的一般規(guī)律,從工程哲學(xué)的角度加以分析�、歸納和引導(dǎo),才能創(chuàng)新信息安全管理體系建設(shè)����,發(fā)揮我國信息化發(fā)展的后發(fā)優(yōu)勢。
主要參考文獻
[1]Tanenbaum A.S����,Whterall D.J.計算機網(wǎng)絡(luò)[M].第5版.嚴偉�����,潘愛民�,譯.北京:清華大學(xué)出版社,2012.
[2]張艷,胡新.云計算模式下的信息安全風(fēng)險及其法律規(guī)制[J].自然辯證法研究�����,2012(10).
[3]謝宗曉.信息安全管理體系實施指南[M].北京:中國標準出版社�,2012.
[4]張志會.米切姆的工程哲學(xué)思想初探[J].工程研究――跨學(xué)科視野中的工程,2008.
[5]李伯聰.工程哲學(xué)引論――我造物故我在[M].鄭州:大象出版社�����,2002.
[6]殷瑞鈺�,汪應(yīng)洛,李伯聰.工程哲學(xué)[M].北京:高等教育出版社�����,2007.
[7]謝宗曉.信心安全管理體系應(yīng)用手冊[M].北京:中國標準出版社�����,2008.
[8]王宏波.工程哲學(xué)與社會工程[M].北京:中國社會科學(xué)出版社����,2006.
[9]Von Solms Basie.Information Security:The Third Wave[J].Computer & Security,2000(12).
[10]殷瑞鈺����,汪應(yīng)洛�����,李伯聰.工程演化論[M].北京:高等教育出版社����,2011.
[11]謝宗曉.信息安全管理體系實施案例[M].北京:中國標準出版社�,2012.
第3篇
關(guān)鍵詞:軟件工程;數(shù)據(jù)信息��;安全管理�����;
文章編號:1674-3520(2015)-09-00-01
隨著社會經(jīng)濟的快速發(fā)展����,人們對于信息的公開化、透明化的要求越來越高�,同時信息資源的管理也面臨巨大的困擾���,信息安全問題已經(jīng)成為影響人們數(shù)據(jù)存儲的重要因素?��,F(xiàn)代企業(yè)出于安全和利益需要��,對于很多信息不能公開或者一定時期內(nèi)不能向外界公布�,這時就需要應(yīng)用安全保密技術(shù)����。
一、保密技術(shù)對數(shù)據(jù)信息安全的重要性
保密技術(shù)是企業(yè)為獲得自身利益和安全���,將與自身發(fā)展密切相關(guān)的信息進行隱藏的一種手段�,隨著互聯(lián)網(wǎng)的快速發(fā)展�,企業(yè)信息的保密也越發(fā)重要。保守企業(yè)秘密是指嚴格按照有關(guān)經(jīng)濟法律和企業(yè)內(nèi)部的規(guī)章制度���,將涉及信息和信息的載體控制在一定的范圍之內(nèi)�,限制知悉的人員��,同時也包含了企業(yè)自身或內(nèi)部員工保守秘密的職責(zé)����,并以此采取相應(yīng)的保密活動。通常情況下�����,屬于保密范疇的信息,都應(yīng)當(dāng)明確內(nèi)容����,并規(guī)定相應(yīng)的期限,在此階段內(nèi)����,保密主體不能夠擅自改變,并且其知悉范圍是通過強制性手段和措施來實現(xiàn)控制的��。
二�、數(shù)據(jù)信息安全保密技術(shù)類型
(一)口令保護。對數(shù)據(jù)信息設(shè)置口令是數(shù)據(jù)信息安全的基礎(chǔ)保障�。在對數(shù)據(jù)保密信息設(shè)置安全保障的過程中,可以先根據(jù)計算機技術(shù)設(shè)置登錄密碼�����,并確保密碼的復(fù)雜性�,如字母與數(shù)字混合、大小寫字母與數(shù)字混合等����,以免被黑客破解。如果有提示密碼可能被盜的消息�,則應(yīng)當(dāng)及時辨別消息的真實性,并登錄到安全中心重新設(shè)置密碼����,從而確保數(shù)據(jù)信息登錄的安全性和可靠性。
(二)數(shù)據(jù)加密����。在信息的存儲及傳輸過程中有一個重要的手段,就是對數(shù)據(jù)進行加密��,這樣才能夠保證數(shù)據(jù)信息的安全性��,從而提升信息保密的抗攻擊度���。所謂數(shù)據(jù)加密�����,主要是指根據(jù)較為規(guī)律的加密變化方法�,對需要設(shè)置密碼的數(shù)據(jù)進行加密處理�����,由此得到需要密鑰才能識別的數(shù)據(jù)。加密變化不僅能夠保護數(shù)據(jù)�,還能夠檢測數(shù)據(jù)的完整陛,是現(xiàn)代數(shù)據(jù)信息系統(tǒng)安全中最常用也是最重要的保密技術(shù)手段之一�����。數(shù)據(jù)加密和解密的算法和操作一般都由一組密碼進行控制�����,形成加密密鑰和相應(yīng)的解密密鑰�。在數(shù)據(jù)信息傳輸?shù)倪^程中,可以根據(jù)相應(yīng)的加密密鑰�,加密數(shù)據(jù)信息,然后根據(jù)解密密鑰得出相應(yīng)的數(shù)據(jù)信息���。在此過程中���,大大保障了數(shù)據(jù)信息的安全,避免被破解���。
(三)存取控制�。為保證用戶能夠存取相關(guān)權(quán)限內(nèi)的數(shù)據(jù),已經(jīng)具備使用權(quán)的用戶必須事先將定義好的用戶操作權(quán)限進行存取控制����。在一般情況下,只要將存取權(quán)限的定義通過科學(xué)的編譯處理����,將處理后的數(shù)據(jù)信息存儲到相應(yīng)的數(shù)據(jù)庫中��。如果用戶對數(shù)據(jù)庫發(fā)出使用信息的命令請求��,數(shù)據(jù)庫操作管理系統(tǒng)會通過對數(shù)據(jù)字典進行查找���,來檢查每個用戶權(quán)限是否合法���。如果存在不合法的行為,則可能是用于用戶的請求不符合數(shù)據(jù)庫存儲定義���,并超出了相應(yīng)的操作權(quán)限�����,這樣則會導(dǎo)致數(shù)據(jù)庫對于用戶的指令無法識別�,并拒絕執(zhí)行。因此�����,只有在采取存取控制保護措施下�����,數(shù)據(jù)庫才能夠?qū)Πl(fā)出請求的用戶進行識別��,并對用戶身份的合法性進行驗證�。同時還需要注意不同用戶之問的標識符都具有一定差異,經(jīng)過識別和驗證后���,用戶才能夠獲取進入數(shù)據(jù)庫的指令�,以此確保數(shù)據(jù)信息的安全性��,為用戶提供一個良好的數(shù)據(jù)應(yīng)用環(huán)境�。
三、增強數(shù)據(jù)信息安全保密技術(shù)
(一)數(shù)字簽名技術(shù)��。在計算機網(wǎng)絡(luò)通信中�����,經(jīng)常會出現(xiàn)一些假冒、偽造�����、篡改的數(shù)據(jù)信息��,對企業(yè)應(yīng)用數(shù)據(jù)信息造成了嚴重影響���,對此����,采取相應(yīng)的技術(shù)保護措施也就顯得非常重要��。數(shù)字簽名技術(shù)主要是指對數(shù)據(jù)信息的接收方身份進行核實����,在相應(yīng)的報文上面簽名�����,以免事后影響到數(shù)據(jù)信息的真實性���。在交換數(shù)據(jù)信息協(xié)議的過程中���,接收方能夠?qū)Πl(fā)送方的數(shù)據(jù)信息進行鑒別���,并且不能夠出現(xiàn)否認這一發(fā)送信息的行為。通過在數(shù)據(jù)簽名技術(shù)中應(yīng)用不對稱的加密技術(shù)���,能夠明確文件發(fā)送的真實性����,而通過解密與加密技術(shù)�,能夠?qū)崿F(xiàn)對數(shù)據(jù)信息傳輸過程的良好控制,以免出現(xiàn)信息泄露的情況���。
(二)接入控制技術(shù)�。接入控制技術(shù)主要是指針對用戶所應(yīng)用的計算機信息系統(tǒng)進行有效控制����,實現(xiàn)一般用戶對數(shù)據(jù)庫信息的資源共享,這是避免非法入侵者竊取信息的另一關(guān)卡���。對于需要密切保密的數(shù)據(jù)信息庫�,用戶在訪問之前應(yīng)當(dāng)明確是否能夠登陸�,及登陸之后是否涉及保密信息�����,以加強數(shù)據(jù)信息控制����。在對絕密級信息系統(tǒng)進行處理時����,訪問應(yīng)當(dāng)控制到每個用戶。在系統(tǒng)內(nèi)部用戶非授權(quán)的接入控制中�,任意訪問控制是指用戶可以隨意在系統(tǒng)中規(guī)定的范圍內(nèi)活動,這對于用戶來說較為方便�,而且成本費用也比較低廉���。但是此種做法的安全性較低�����,如果有用戶進行強制訪問��,勢必會導(dǎo)致外來信息入侵系統(tǒng)�。對此�����,采用強制訪問方法能夠有效避免非法入侵行為,雖然安全費用較大����,但是安全系數(shù)較高。
(三)跟蹤審計技術(shù)���。跟蹤審計技術(shù)主要是指對數(shù)據(jù)信息的應(yīng)用過程進行事后的審計處理�����,也就是一種事后追查手段�,對數(shù)據(jù)系統(tǒng)的安全操作情況進行詳細記錄����。通過采用此種技術(shù),如果數(shù)據(jù)庫系統(tǒng)出現(xiàn)泄密事件����,能夠?qū)π姑苁录陌l(fā)生時問、地點及過程進行記錄����,同時對數(shù)據(jù)庫信息進行實時監(jiān)控���,并給出詳細的分析報告,以保證數(shù)據(jù)庫系統(tǒng)的可靠性����。跟蹤審計技術(shù)可以分為好幾種類型,如數(shù)據(jù)庫跟蹤審計���、操作系統(tǒng)跟蹤審計等��。這些技術(shù)的應(yīng)用及實施��,能夠加強對數(shù)據(jù)庫信息的安全限制����,以免再次出現(xiàn)病毒入侵的情況�����。
(三)防火墻技術(shù)�����。防火墻技術(shù)主要是指對計算機網(wǎng)絡(luò)的接入進行有效控制�����,如果有外部用戶采用非法手段接入訪問內(nèi)部資源���,防火墻能夠進行識別并進行相應(yīng)的反擊處理�,從而將不良信息隔在網(wǎng)絡(luò)之外��。防火墻的基本功能是對網(wǎng)絡(luò)數(shù)據(jù)信息進行過濾處理����,同時對外來用戶的訪問進行分析和管理,攔截不安全信息�����,將網(wǎng)絡(luò)攻擊擋在網(wǎng)絡(luò)之外�����。
四�、結(jié)束語
對數(shù)據(jù)信息進行安全保密管理是信息安全的關(guān)鍵,也是安全管理的核心���。隨著現(xiàn)代科學(xué)技術(shù)的不斷發(fā)展�,信息化條件下的保密工作和傳統(tǒng)的保密工作已經(jīng)有了截然不同的特點。因此��,在未來的發(fā)展過程中��,對于數(shù)據(jù)信息的安全保密顯得更加重要�,需要進一步改進相關(guān)技術(shù),需要企業(yè)不斷努力��。
參考文獻:
[1]趙楠 IT系統(tǒng)數(shù)據(jù)信息安全解決方案解析[期刊論文]-科技資訊 2013(15)
第4篇
對保障性住房項目的用地情況進行管理�,由各地區(qū)登記各類保障性住房年度建設(shè)計劃用地數(shù)據(jù)及實際建設(shè)用地數(shù)據(jù),自動計算年度保障性住房供地計劃執(zhí)行比例����;記錄廉租房、政府投資的公租房�����、經(jīng)適房建設(shè)用地的劃撥供地信息����,記錄其他方式投資的公租房建設(shè)用地和限價房建設(shè)用地信息;登記保障性住房用地審批各個環(huán)節(jié)的審批信息���。省級用戶查詢統(tǒng)計全省的各類保障性住房用地信息�,按照用地面積��、供地計劃執(zhí)行比例對各市縣進行排名���,對保障性住房項目用地情況進行統(tǒng)籌管理�。
二����、項目管理子系統(tǒng)
1.項目基本信息管理項目基本信息包括:項目名稱、項目類型�����、項目地址����、項目面積、房屋套數(shù)����、建設(shè)方式、建設(shè)單位���、項目負責(zé)人��、聯(lián)系電話�、設(shè)計單位信息、施工單位信息����、監(jiān)理單位信息、項目建設(shè)時間����、項目投資類型等信息,對于異地安置項目需要登記項目安置類型為異地安置���,并可以按是否異地安置進行查詢統(tǒng)計��。
2.項目文件管理項目文檔管理主要對項目辦理的相關(guān)數(shù)據(jù)及文件進行管理���,包括項目立項文件、土地預(yù)審文件���、土地批準文件�����、建設(shè)規(guī)劃工程許可證����、建設(shè)用地規(guī)劃許可證����、施工許可證、規(guī)劃平面圖��、總平面圖����、戶型圖、效果圖����、建設(shè)工程招投標文件等相關(guān)文件,由各地區(qū)用戶將文件資料歸類掃描后上傳保存?zhèn)浒?,省級用戶可以對相關(guān)文件進行查詢閱覽。
3.房源信息管理區(qū)縣登記項目的樓棟數(shù)據(jù)和房屋數(shù)據(jù)�,記錄樓棟數(shù)量、房屋套數(shù)���、建筑面積����、房屋類型等信息,為配租配售功能提供房源數(shù)據(jù)�����。
三����、項目建設(shè)管理子系
統(tǒng)登記保障性安居工程項目的設(shè)計施工監(jiān)理單位信息、項目基本信息及項目合同信息���,各級住房保障部門將項目相關(guān)文件電子文檔方式報省備案�����。
四�����、項目進度管理子系統(tǒng)
1.項目進度上報對計劃建設(shè)中的每個項目進行進度管理���,按上報要求,對每個項目進行進度的及時更新,包括項目進度上報�����、進度圖片采集功能。對于申報中的項目�����,登記申報進度及辦理情況��;對在建狀態(tài)的項目����,必須有圖片����,以確保其上報的狀態(tài)是真實的,通過上報的建設(shè)工地的圖片�����,防止下級單位虛報項目進度�����。
2.項目進度查看省級用戶查看各地區(qū)上報的項目進度信息���,包括上報的建設(shè)工地照片信息���;市(地)用戶可以查看所轄縣上報的項目進度信息����。
3.項目進度統(tǒng)計統(tǒng)計信息包括累計開工面積�、累計開工套數(shù)、累計竣工面積�����、累計竣工套數(shù)�、在建面積、在建套數(shù)��、本月新開工面積�����、本月新開工套數(shù)��、未開工面積��、未開工套數(shù)的信息��。
五、項目竣工驗收管理子系統(tǒng)
項目竣工驗收管理主要對項目竣工驗收的相關(guān)數(shù)據(jù)及文件進行管理����,包括:項目竣工報告、項目設(shè)計報告����、項目施工報告、項目監(jiān)理報告��、項目質(zhì)檢報告����、項目竣工驗收報告�����、工程其他需要說明的資料等相關(guān)文件�����,由各地區(qū)用戶將文件資料歸類掃描后保存?zhèn)浒?���,省級用戶可以對相關(guān)文件進行查詢���。對于已竣工驗收的項目,其中的房源信息變?yōu)榭刹僮鳡顟B(tài)��,可以進行配租配售操作�����。已竣工驗收項目的房源�����,在統(tǒng)計中自動累計到“已竣工”狀態(tài)的統(tǒng)計數(shù)據(jù)中����。
六、項目監(jiān)管子系統(tǒng)
對保障性住房項目進行監(jiān)督管理�����,根據(jù)系統(tǒng)中各縣市上報的保障性住房項目土地使用情況�����、項目建設(shè)進度�、項目資金撥付使用情況�����、項目竣工驗收情況�、項目配租配售信息對項目建設(shè)的全程進行監(jiān)督管理��,登記各項抽檢
七��、結(jié)果在系統(tǒng)
第5篇
【關(guān)鍵詞】市政工程����;安全管理;信息系統(tǒng)�����;設(shè)計
當(dāng)今時代���,我國各項事業(yè)的建設(shè)都開始趨于信息化,信息技術(shù)逐漸成為國家工作的重點����,實現(xiàn)對于國家工作的信息安全管理是非常必要的。而市政工程作為我國城市建設(shè)的重點����,促進市政工程的信息安全管理����,是市政工程負責(zé)人員的必須完成的工作任務(wù)����。就目前來看,我國市政工程的信息安全管理工作的實施還存在著諸多的問題���,對市政工作的實施構(gòu)成了嚴重的阻礙�。本文從市政工程的信息安全管理角度出發(fā)��,談?wù)摿藰?gòu)建安全管理的信息系統(tǒng)的相關(guān)問題���,希望能夠幫助市政工作人員使用信息系統(tǒng)實現(xiàn)對于市政工程的安全管理��。
一����、管理信息系統(tǒng)的相關(guān)問題分析
隨著當(dāng)今時期信息技術(shù)成為我國各項工作實施的重要保障����,推動信息管理在國家工作中作用的發(fā)揮�����,對于國家工作的順利實現(xiàn)具有非常重要的作用����。市政工程作為我國城市建設(shè)的重點�����,在市政工程中推動信息安全管理作用的實現(xiàn)��,對于市政工程的建設(shè)與管理具有非常重要的意義�����。本文接下來分析一下管理信息系統(tǒng)的相關(guān)問題:
具體而言��,管理的信息系統(tǒng)主要就是指由計算機和工作人員組成的一種信息管理的系統(tǒng)����,這種信息管理系統(tǒng)通過計算機和人共同發(fā)揮作用�,對有效信息進行收集、加工以及儲存等,從而達到對工作中各個環(huán)節(jié)運行狀況的正確反映�。同時,它還可以通過信息的整合分析���,實現(xiàn)對于未來工作的預(yù)測��,從而幫助工作人員從整體和全局出發(fā)�,為各項工作進行科學(xué)的決策�����,幫助工作目標獲得系統(tǒng)合理的規(guī)劃�����。從管理信息系統(tǒng)的作用來講���,它是通過對相關(guān)數(shù)據(jù)�����、工作事務(wù)的處理�����,發(fā)揮其輔助工作人員進行決策的作用����,從而為工作人員的管理工作提供思想、方法以及行為的革新����。
管理信息系統(tǒng)主要是面向管理工作的一個系統(tǒng),它是人機的一種有機結(jié)合整體�,而且還是多學(xué)科、多種技術(shù)��、信息共享的友好界面���。管理信息系統(tǒng)的設(shè)計與實現(xiàn)實際上就是以某項具體的工程作為指導(dǎo)和目標��,對工程的各項工作實施系統(tǒng)的規(guī)劃��、分析及設(shè)計�����,最終通過系統(tǒng)的協(xié)調(diào)運行推動工程的實現(xiàn)���。而市政工程的安全管理信息系統(tǒng),也就是一種以市政工程作為指導(dǎo)和目標的安全的管理信息系統(tǒng)��,它致力于處理市政工程中的相關(guān)管理工作任務(wù)�。市政工程的安全管理信息系統(tǒng)可以用下圖來表示其具體的運行環(huán)節(jié):
二、市政工程的安全管理信息系統(tǒng)的設(shè)計
當(dāng)前時期�����,我國城市建設(shè)與發(fā)展獲得了極大的進展�,國家對于市政工程的投資與建設(shè)也逐漸加大了步伐,市政工程的建設(shè)及管理實現(xiàn)了更為復(fù)雜艱巨的管理工作轉(zhuǎn)變��,實現(xiàn)對于市政工程的安全管理是國家城市建設(shè)及管理工作獲得順利實施的必要保證�����。本文接下來就從幾個方面談?wù)撘幌率姓こ痰陌踩芾硇畔⑾到y(tǒng)的設(shè)計與實現(xiàn):
首先���,要推動市政工程的安全信息管理系統(tǒng)的建立與實現(xiàn)�����,就必須明確市政工程安全管理信息系統(tǒng)設(shè)立的工作目標�。我國當(dāng)前的市政工程管理工作變得更為復(fù)雜�,工程管理必須在某種程度上實現(xiàn)宏觀管理與微觀管理的協(xié)調(diào)����,而且��,工作人員還要推動國家直接管理與行業(yè)管理在市政工程管理中的協(xié)調(diào)發(fā)展�。因此,市政工程的安全管理系統(tǒng)的設(shè)計及實現(xiàn)必須以這種要求作為出發(fā)點����,實現(xiàn)對于市政工程的全社會、全部過程以及全行業(yè)的實時管理����,并且這個系統(tǒng)的設(shè)計與實現(xiàn)還要能夠通過對市政工程的安全狀況進行分析整合而達到對于工程的未來預(yù)測及有效管理。具體而言���,市政工程的安全管理信息系統(tǒng)的設(shè)計要涵蓋以下幾個方面的內(nèi)容:建立安全管理的信息網(wǎng)絡(luò)�、完善市政設(shè)施設(shè)備的安全管理���、使用計算機對市政工程的各個環(huán)節(jié)信息進行分析整合��、實現(xiàn)市政工程的自動化實施�,還要建立信息必要的市政工程的信息數(shù)據(jù)庫���。
再者���,市政工程的安全管理系統(tǒng)的結(jié)構(gòu)設(shè)計必須重視其設(shè)計環(huán)節(jié)的子系統(tǒng)功能的分配。市政工程安全信息管理的子系統(tǒng)主要有工程安全管理的子系統(tǒng)��、設(shè)施安全管理的子系統(tǒng)���、交通安全管理的子系統(tǒng)����、市政安全事故的子系統(tǒng)等����,這些子系統(tǒng)要分別實施以下幾個方面的工作:對市政工程實施安全檢查、報告��、評價以及監(jiān)理等工作���,為安全管理工作提供決策輔助��;還要對城市建設(shè)的排水��、公路���、地鐵等設(shè)施運行提供安全管理��,針對這些設(shè)施運行中存在的問題隱患��,對其進行應(yīng)急預(yù)案設(shè)置�。此外��,這種安全信息管理的子系統(tǒng)還要對城市全局的交通實施必要的管理����,及時地報告城市市政車輛管理及事故處理的工作,并對一些重要的信息進行安全備份�。
此外,市政工程的安全信息管理工作系統(tǒng)的設(shè)計和實現(xiàn)還必須注重系統(tǒng)設(shè)計的有效規(guī)劃����,針對市政工程具體的工作狀況推動系統(tǒng)設(shè)計的實現(xiàn)。安全信息管理的系統(tǒng)的設(shè)計注意系統(tǒng)的縱��、橫向的延伸����,將市政的局級工作單位的內(nèi)部信息系統(tǒng)作為系統(tǒng)第一級,而具體的行業(yè)管理則為系統(tǒng)的第二級,區(qū)縣的市政具體行業(yè)管理設(shè)為系統(tǒng)的第三級���,推動系統(tǒng)內(nèi)部各個環(huán)節(jié)的協(xié)調(diào)配合����,提高系統(tǒng)的整體運作效率�����,從而使市政系統(tǒng)的設(shè)計在一個具體的層級工作網(wǎng)絡(luò)中獲得實現(xiàn)����。
三�、結(jié)語
市政工程的安全信息管理在當(dāng)今時代是市政工程安全管理的一個重要環(huán)節(jié),它通過系統(tǒng)工作的平臺可以有效地實現(xiàn)對于市政工作各個環(huán)節(jié)的涵蓋����,從而達到對于市政工程管理的順利實施。因此��,市政工作人員在當(dāng)今時期必須積極地探索市政工程的安全信息管理相關(guān)問題�,針對市政工作的特點,建立完善管理信息系統(tǒng)���,推動管理信息系統(tǒng)在市政工作中作用的有效發(fā)揮����。參考文獻
[1]王雨田,陸曉鋒.淺談市政工程施工安全管理[J].山西建筑,2010(04)
[2]李儀歡,陳國華.安全管理信息系統(tǒng)學(xué)的創(chuàng)建、內(nèi)涵與外延[J].中國安全科學(xué)學(xué)報,2007(06)
第6篇
隨著我國計算機網(wǎng)絡(luò)用戶的急劇增長��,我國信息系統(tǒng)的安全面臨著嚴峻的考驗����,近幾年來,不僅在我國�,全球的信息系統(tǒng)安全問題層出不窮。而信息系統(tǒng)的安全問題不僅僅是個人和企業(yè)的問題��,它還涉及到國家的安全�、社會的公共安全等。因此����,不斷加強信息安全技術(shù)的研究,提高我國信息系統(tǒng)的安全性和可靠性���,十分迫切�。針對嚴峻的信息系統(tǒng)安全現(xiàn)狀��,目前普遍采用的方式主要有物理隔離、防火墻的建設(shè)����、訪問者身份認證、加密等��,但是僅從這些方面去考慮還遠遠無法保證信息系統(tǒng)的安全�����。不斷加強信息系統(tǒng)安全建設(shè)方面的技術(shù)�,不斷提高信息安全風(fēng)險的檢測和評估是提高信息系統(tǒng)安全的重要手段。
2SSE-CMM模型
2.1SSE-CMM模型的概述
SSE-CMM(SystemsSecurityEngineeringCapabilityMaturityModel)模型的中文全稱是信息安全工程能力成熟度模型��,該模型的主要任務(wù)就是評測和改進整個信息安全系統(tǒng)整個生命周期當(dāng)中的安全工程活動����,到目前為止�,這個模型是信息系統(tǒng)安全工程領(lǐng)域當(dāng)中可靠性較高的針對性模型。
2.2基于過程的SSE-CMM模型
基于過程的SSE-CMM模型是從成熟框架CMM模型發(fā)展而來的���,SSE-CMM模型把信息系統(tǒng)中的安全工程劃分成三種不同的過程��,分別是風(fēng)險過程�、工程過程、信任度過程�����,SSE-CMM模型對這三個過程中的關(guān)鍵過程域以及其安全能力成熟度的等級進行了定義�。在這個模型中,圖b的橫軸指的是這個信息系統(tǒng)安全工程的過程域�����,縱軸是11個過程域的5個能力成熟度等級��。根據(jù)這個模型的框架對整個信息系統(tǒng)安全工程中的風(fēng)險過程����、工程過程、信任度過程都評定能力成熟度等級��,此時得到的二維圖便能夠把信息系統(tǒng)工程隊伍實施信息系統(tǒng)安全工程的能力成熟度形象的反映出來�����,也能間接的將信息系統(tǒng)安全工程的可信度反映出來�。采用SSE-CMM模型對信息系統(tǒng)安全工程進行風(fēng)險的評估,該模型所認定的安全風(fēng)險事件包括了3個組成部分����,分別是安全威脅�、系統(tǒng)的脆弱性�����、風(fēng)險事件所造成的影響����,在SSE-CMM模型中,只有具備這三個要素才能稱之為信息系統(tǒng)工程安全風(fēng)險����。SSE-CMM模型中的安全機制就是把信息系統(tǒng)中的工程安全風(fēng)險控制在系統(tǒng)能夠接受的范圍之內(nèi)。SSE-CMM模型所定義的風(fēng)險過程包括了評估威脅過程����、評估系統(tǒng)脆弱性過程��、評估風(fēng)險事件的影響過程����、評估系統(tǒng)安全風(fēng)險過程。
3SSE-CMM模型的構(gòu)建和應(yīng)用
3.1SSE-CMM模型的構(gòu)建
根據(jù)上述SSE-CMM模型的作用過程在信息系統(tǒng)安全工程中構(gòu)建SSE-CMM模型的具體步驟如下所示����。第一步�����,對信息系統(tǒng)的安全工程風(fēng)險進行分析��,進行工程的風(fēng)險分析時���,要從現(xiàn)行的信息系統(tǒng)工程的風(fēng)險入手,然后采取科學(xué)��、先進的風(fēng)險分析方法進行風(fēng)險的分析����。第二步,要確定目標����,及要明確信息系統(tǒng)安全工程所提出的系統(tǒng)安全要求,這個安全要求是信息系統(tǒng)建設(shè)過程中�、設(shè)計、建設(shè)�、使用以及安全風(fēng)險評估和監(jiān)管的主要依據(jù)。第三步���,對信息系統(tǒng)的二維視圖進行描述����,即需要明確的、簡潔的對信息系統(tǒng)中的安全系統(tǒng)進行描述���,談后根據(jù)描述給出信息安全系統(tǒng)的拓撲圖和邊界的劃分���,邊界的劃分包括了系統(tǒng)的典型構(gòu)造、系統(tǒng)的應(yīng)用劃分等�����,并對系統(tǒng)內(nèi)的數(shù)據(jù)和需要保護的財產(chǎn)�����、系統(tǒng)的環(huán)境等進行描述�����。第四步����,建立信息安全系統(tǒng)的基線。第五步��,制定相關(guān)的信息安全系統(tǒng)構(gòu)建策略�,這些策略包括系統(tǒng)的物理安全策略、網(wǎng)絡(luò)完全策略���、系統(tǒng)應(yīng)用安全策略等�����。第六步�����,對信息系統(tǒng)的安全工程建設(shè)進行整體的設(shè)計��,其中設(shè)計是必須保證信息系統(tǒng)安全系統(tǒng)的整體框架是全方位和綜合性的�,并增強每個層次和劃分區(qū)域的安全防御能力����,從而實現(xiàn)一體化的信息安全系統(tǒng)。
3.2SSE-CMM模型的應(yīng)用原則
第一�����,安全需求的基線。包括了用戶的安全需求����、對系統(tǒng)安全具有影響的法律法規(guī)和政策等,保證系統(tǒng)的安全需求與法律和政策中的保持一致���,并且保證用戶的需求與系統(tǒng)的安全需求保持一致�����。第二���,安全輸入的基線。第三�,協(xié)同安全的基線。第四��,安全管理的基線�。在安全管理基線方面包括以下幾點:一、要將信息系統(tǒng)的安全控制責(zé)任以文檔化的形式傳達給每位相關(guān)者���;二����、對于信息系統(tǒng)的安全控制有關(guān)的軟件配置進行定義和管理���;三��、對用戶和管理人員進行安全控制和管理的培訓(xùn)和宣教��。第五����,安全保證參數(shù)的基線�����。包括確定安全保證的目標��、制定相關(guān)的保證策略���、對安全保證證據(jù)金屬分析等�����。
4結(jié)語
第7篇
一����、信息系統(tǒng)安全工程概述
同信息系統(tǒng)安全工程相關(guān)的概念,包括信息系統(tǒng)����、信息系統(tǒng)安全、信息系統(tǒng)安全工程三方面�。所謂的“信息系統(tǒng)”,指的是通過通信設(shè)備���、計算機等軟����、硬件連接�,能夠成功獲取、處理��、傳送�����、交換�、存儲數(shù)據(jù)的系統(tǒng),該系統(tǒng)包括軟���、硬件�,人,數(shù)據(jù)庫���,規(guī)程等內(nèi)容的有機組合。
對于信息系統(tǒng)安全而言��,其主要是利用各種檢測�、記錄等方法,有效地保護信息系統(tǒng)��,避免信息交換�、處理、傳送����、存儲中,對信息進行未授權(quán)的訪問與修改���,保障系統(tǒng)信息的安全性��。對于信息系統(tǒng)安全而言��,其終極目標即確保信息數(shù)據(jù)在整個系統(tǒng)中始終維持其完整性���、保密性與實用性�,為了實現(xiàn)該目標�,必須在系統(tǒng)結(jié)構(gòu)下實現(xiàn),而非孤立地保護信息內(nèi)容���。
就信息系統(tǒng)安全工程而言��,指的是利用專業(yè)化的安全技術(shù)�,諸如通訊���、計算機��、網(wǎng)絡(luò)安全等技術(shù)形式����,充分應(yīng)用和貫穿于系統(tǒng)的整個生命周期中���,確保組織結(jié)合系統(tǒng)需求��,構(gòu)建滿足系統(tǒng)所需的安全策略���,賦予系統(tǒng)足夠的抵御威脅的能力�����。安全工程在信息系統(tǒng)中的應(yīng)用�����,旨在利用最優(yōu)費效比����,提供滿足系統(tǒng)安全所需的解決途徑����。有效的安全需求定義與風(fēng)險分析���,成為實現(xiàn)該目標的關(guān)鍵���。信息系統(tǒng)安全工程必須提供足夠的能夠支持系統(tǒng)安全需求定義、風(fēng)險評估���、方案策略制定�����、方案實施的方法���。
二��、基于安全工程的信息系統(tǒng)安全管理方案
結(jié)合當(dāng)前系統(tǒng)安全防御現(xiàn)狀及存在的主要問題���,本文提出了基于安全工程的信息系統(tǒng)安全管理方案。結(jié)合安全工程思想與方法���,將其運用和貫穿在信息系統(tǒng)安全管理的全國中����,明確系統(tǒng)安全管理不同階段的主要活動�����,針對系統(tǒng)各環(huán)節(jié)特點��,利用相應(yīng)的安全管理方法�����,以便更好地保障系統(tǒng)信息的安全性����。本文所提出的安全管理方案�����,是由各種必要的安全活動所構(gòu)成的�,結(jié)合系統(tǒng)軟件分階段實施�,以便給予各環(huán)節(jié)相應(yīng)的安全優(yōu)勢,但是�,將此類安全活動視為軟件全過程加以執(zhí)行,其安全收益較分散安全活動更大�。
安全工程管理的核心理念,即從系統(tǒng)安全出發(fā)���,對系統(tǒng)全生命周期各環(huán)節(jié)加以集成,將安全視為系統(tǒng)的有機組成部分��。對系統(tǒng)工程各階段進行安全有效性評估�。系統(tǒng)全生命周期,主要包括規(guī)劃階段����、開發(fā)設(shè)計階段、實施階段�、運維階段����、廢棄階段等�。再加上由于運維階段變更所產(chǎn)生的一系列反饋,共同構(gòu)成了一個完整的系統(tǒng)安全工程管理閉環(huán)結(jié)構(gòu)��。對于信息系統(tǒng)而言����,無論對于哪一時間節(jié)點上,都必須采用綜合技術(shù)與管理方法保障系統(tǒng)信息的安全性����。
(一)規(guī)劃階段為了確保系統(tǒng)的安全性,在系統(tǒng)規(guī)劃階段開始�����,就必須全面考慮到系統(tǒng)可能存在的安全風(fēng)險��,規(guī)劃過程中結(jié)合系統(tǒng)安全需求�,實現(xiàn)安全工程建設(shè)同系統(tǒng)建設(shè)的同步性。與此同時�,結(jié)合組織機構(gòu)的要求與業(yè)務(wù)需求,滿足法律�����、政策、策略���、組織等安全需求�����,以預(yù)期運行安全環(huán)境為依據(jù)�,組織系統(tǒng)環(huán)境����,并對安全目標加以標識,與此同時����,結(jié)合未來系統(tǒng)可能面向的客戶����、業(yè)務(wù)及運行環(huán)境,展開安全�、隱私風(fēng)險評估,明確系統(tǒng)安全目標基線����,確定最低安全基線��,并加以論證�����,此階段安全過程域即明確系統(tǒng)安全要求���。
(二)設(shè)計階段影響系統(tǒng)設(shè)計安全的階段通常處于項目初期,因此���,在設(shè)計過程中必須全面結(jié)合系統(tǒng)安全問題展開�����。通過安全保障方案的制定���,對系統(tǒng)進行安全功能設(shè)計與論證,將系統(tǒng)規(guī)劃中所確定的安全需求����,全面運用于設(shè)計各功能模塊之中,結(jié)合安全性原則,采用威脅模型建立�����、減小攻擊面等技術(shù)手段��,進行安全功能設(shè)計��。系統(tǒng)安全功能設(shè)計包括身份驗證���、防火墻設(shè)計等����。設(shè)計中可結(jié)合有關(guān)標準的安全要求�,科學(xué)選取滿足系統(tǒng)要求的功能模塊,綜合考慮到安全風(fēng)險與成本等問題�,明確最佳設(shè)計方案,并對與之相匹配的安全措施加以調(diào)整����,如高層安全設(shè)計、詳細安全設(shè)計等�。
(三)實施階段在信息系統(tǒng)實施階段���,通常涉及到編碼�����、試運����、測試、交付���、培訓(xùn)等環(huán)節(jié)�。在此過程中�����,通過開發(fā)設(shè)計過程中的風(fēng)險控制����、安全測評、管理安全等各項安全活動�,保障信息系統(tǒng)的安全性。系統(tǒng)安全工程師負責(zé)實現(xiàn)設(shè)計內(nèi)容到實施運行過程的轉(zhuǎn)化���,并對系統(tǒng)展開綜合分析���,為認證活動提供必要的威脅識別�、信息保障�����、材料維護等輸入過程���。
(四)運維階段當(dāng)系統(tǒng)交付之后意味著系統(tǒng)正式步入了運維階段���。在此過程中,應(yīng)對系統(tǒng)運行中存在安全風(fēng)險加以有效監(jiān)控��,并定期對系統(tǒng)安全情況進行評估�����,制定有效的改進方案���。與此同時��,利用漏洞掃描等一系列技術(shù)��,進一步保障信息系統(tǒng)主機�、網(wǎng)絡(luò)、通訊過程的安全性����。結(jié)合系統(tǒng)運行需求�,對安全管理流程、應(yīng)急方案加以完善����,以便對可能存在的安全問題進行有效應(yīng)對。在這一階段���,重點是對系統(tǒng)安全態(tài)勢進行監(jiān)視�,結(jié)合既定目標���,對系統(tǒng)內(nèi)外安全事件加以跟蹤和監(jiān)測���,并對系統(tǒng)安全管理進行控制。
(五)廢棄階段在信息系統(tǒng)廢棄階段��,重點是結(jié)合風(fēng)險評估�����,對系統(tǒng)軟、硬件資產(chǎn)��、殘留信息等廢棄資源加以有效處理�����,保障系統(tǒng)升級與更新過程中始終處于一個安全狀態(tài)����。
三、結(jié)束語
