电子新闻概论杰出散文_杂谈精选_好历史学网,新

2019-11-23 作者: 科研成果   |   浏览(164)

【据《中国计算机安全网》 2007年01月24日 报道】 我国在信息安全产业的历史上已经有10多年的发展经验,在安全产品上已经表现出一定的成熟度,由企业内部的业务安全合规性需求,加上风险评估、等级保护、萨班斯法案这些来自企事业单位外部的政策力量,为国内的信息安全产业带来了一些新的机遇。自从2006年8月以来,我国逐步对国有企业开展风险评估检查工作。同时,从2007年起还将对“8+2”系统开始实行制度化风险评估工作。正是在这些机遇的背景下,国务院信息化办公室酝酿已久的《信息安全风险管理指南》国家标准即将出台。国家信息中心的相关人士告诉记者,虽然目前只是递交的征求意见稿还在审核之中,但是市场上已经有很多企业已经依据该标准在执行了。“信息安全风险管理是信息安全保障工作中的一项基础性工作,实施信息安全风险管理应当首先考虑安全测度指标。”1月15日,在“首届信息安全风险管理高峰论坛”上,中国信息安全产品测评认证中心吴世忠主任认为:“安全测度指标可以衡量安全措施的有效性、改进安全审计、指导基于风险的安全投资。”国务院信息化办公室网络与信息安全组熊四皓处长认为:“虽然风险管理还不能说是一门精确的科学,但它确是一门具有高度不可预见性的艺术。目前确立风险意识的文化、对风险进行现实的评估、确保风险承担者分担风险、将风险管理纳入日常工作过程,已成为风险管理的四大核心内容。”对于风险测度体系标准,业界普遍认为应当从三个方面入手:与测度体系的测量和分析相关的方法论标准;与测度体系构建有关的本体论标准和;与经营和组织使用的测度体系相关的管理组织标准。

电子信息概论优秀论文

时间:2018-05-16 19:01点击: 次来源:网络作者:admin评论:- 小 + 大

本文是在学习完信息安全概论的基础上对信息安全及信息安全管理的一些简要概述。如今是信息时代,仅凭技术难以解决信息安全的一些问题,所以信息安全管理是越来越重要。在此我主要是介绍目前信息安全管理的现状、信息安全策略和风险评估与管理的问题以及人在其中的角色。接下来小编为你带来电子信息概论论文,希望对你有帮助。

在当今全球市场中技术贯穿着整个行业的运行,而信息技术则更是则更是不能或缺的,人们通过信息技术进行管理、处理其他的事物。然而一旦信息技术有一点的错误或者受到敌方攻击那么损失则是必然的,因此就涉及到信息安全的问题。随着社会的发展信息安全受到更多的重视。而信息安全管理则是则是保护信息资产的安全。

要想认知信息安全管理则首先要搞懂什么是信息安全。信息安全就是保护信息及其关键要素,包括使用、存储、以及传输信息的系统和硬件。信息安全的核心内容是有关信息安全策略的概念。策略、意识提升、教育以及技术都是保护信息以及让信息系统远离危险的至关重要的概念。围绕信息的3个特性――机密性、完整性及可用性已经建立了几种信息安全模型,而NSTISSC安全模型、CNSS安全模型则被安全行业中作为多方面的标准。现在信息安全正在快速演化成一种管理了原则,它涉及到管理人、管理过程以及管理技术这就是现今信息安全的重大变革的结果。因为单单的依靠技术信息安全得不到更

好的解决,因此也诞生了信息安全管理这门学科。

信息安全管理的现状:

对信息安全管理的研究在20世纪90年代才引起人们的足够重视。它的研究范围包括安全标准、安全策略和安全测评。直到1995 年世界上才首次提出《信息安全管理实施细则》BS7799-1:1995,其是由英国首先提出,然后欧美一些国家也相继提出了一些相关的信息安全管理标准。在1999年,国际信息安全基金会提出 GASSP。而在国内1999年中国首次制定了《计算机信息系统安全保护等级划分准则》。2000 年 12 月,BS7799-1:1999得到了国际化组织ISO的认证。针对与目前的信息安全管理现状还没有一个公认的标准,很多国家都各有各自的标准,其中《信息技术安全评价公共标准》则是得到许多国家的认可。而针对于安全策略这一方面,许多组织或者个人都提出了不同的方法,比如2000 年,英国 Imperial 大学的 N.Damianou 等人提出了一种 Ponder 策略规范语言用于表示分布式系统安全和管理策略。2002年,挪威能源技术协会的Rune Fredriksen 等人提出了用于风险管理过程 CORAS 框架。在我国

2002年,南京师范大学的钱钢提出了一种基于 SSE-CMM 的信息系统安全风险评估方法。以及北京邮电大学的朱而刚和张素英提出了一个基于灰色评估的信息安全风险评估模型。虽然近关于这种理论的进步很大,但是真正针对信息安全管理的整体解决方法则仍有很大的距离。目前来说,如何针对于现有的信息安全管理模型做出对评估进行量化处理才是更需要解决的。

一般认为信息安全管理的扩展特性有6个,包括计划、策略、项目、保护、人员、项目管理。在这里我想谈谈自己对策略中的信息安全策略及保护中的风险评估与管理的认识和理解。

一个高质量的信息安全项目由策略开始,也由策略结束。正确制定策略能够使信息安全项目在工作场所无误的发挥作用。信息安全策略定义了一个框架,它基于风险评估结果以保护组织的信息资产。信息安全策略对访问组织的不同资产定义了访问限制、访问规则。对于信息安全管理所做的策略,首先其必须有助于机构的成功,另外为了正确的使用信息系统,管理层应当确保责任的合理分配,而且信息系统的终用户必须参与策略的规范化过程。

组织要制定一组优的信息安全策略必须明确以下需求,也就是信息安全策略的文档要素:

信息保护必须与它的敏感性、价值和重要性相称,不管信息的存储媒介、存储位置、处理信息的系统技术或者处理信息的技术人员都应当采取该策略来保护信息。其针对对象是技术人员,

必须只针对与管理层授权的业务目标,策略对象为所有人。

信息的处理访问和使用

数据和程序损坏的否认策略

备份、文档存储和数据处理等

信息安全策略框架

下面是信息安全策略框架结构图

信息全策略大概可包括以下几种类别:加密策略、使用策略、访问策略、职责策略、线路连接策略、反病毒策略、应用服务提供策略、审计策略、电子邮件使用策略、数据库策略、非武装区域策略、第三方的连接策略、敏感信息策略、内部策略、nternet 接入策略、口令防护策略、远程访问策略、路由器安全策略、服务器安全策略、VPN 安全策略、无线通讯策略等。每再次进行风险评估或信息环境、商业环境发生改变时,信息安全策略的制定者要调整原有的信息安全策略。

实际上信息安全管理是一个风险管理过程。然而风险管理的基础是对其的识别与评估,通过信息安全风险评估可以明确组织的信息安全需求,帮助组织制定优的信息安全策略并选择相应的风险控制措施把风险降到组织可接受的范围之内。信息安全风险评估与管理在现如今的信息安全管理体系中是一个极其复杂的过程。而对于一个完善的信息安全风险评估架构,相应的标准体系、技术体系、组织架构、业务体系和法律法规是绝对不可能缺少的。

在这里我先介绍一下风险评估,所谓风险评估就是针对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性的综合性整体评估。通俗的说就是确认信息安全风险及其大小的一个过程。

下面说一下风险管理,风险管理就是针对风险评估中所确认的安全风险,降低或者消除其影响信息安全风险的过程。其实风险管理是一个识别、控制、降低或消除安全风险的活动,通过风险评估来识别风险大小,通过制定信息安全策略,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可接受的水平。在风险管理方面应考虑控制费用与风险之间的平衡。风险控制是降低安全风险的惯例、程序或机制。

[电子信息概论优秀论文]相关文章:

1.电子信息工程概论3000字论文

2.电子信息工程学概论论文

5.电子信息导论结课论文

本文由十大网赌app发布于 科研成果,转载请注明出处:电子新闻概论杰出散文_杂谈精选_好历史学网,新

关键词: