企业级信息安全管理的研究
VIP免费
第一章 绪论
§1.1 研究背景
随着经济建设的持续发展和知识经济模式的到来,企业组织机构都越来越依
赖于信息技术提供的手段来提高自己的核心竞争力和服务水平。当前网络与信息
安全的现状却不容乐观。以网络攻击为例:据调查 2004 年专门针对美国政府网站
的非法入侵事件发生了 5.4 万件,2005 年升至 7.9 万件[1]。被入侵的政府网站包括
国防部、国务院、能源部、国土安全部等重要政府职能部门。我国新华社曾报道,
中国近 60%的单位网络曾发生过安全事件,其中包括国防部等政府部门。中国公
安部进行的一项调查显示,在被调查的 7072 家单位网络中,有 58%曾在 2004 年
遭到过攻击。这些单位包括金融机构和国防、商贸、能源和电信等政府部门。此
外,我国每年都会出现包括网络瘫痪、网络突发事件在内的多种网络安全事件。
如何有效化解安全风险.应对各种突发性安全事件已成为不容忽视的问题。
在跨国企业以及类似电信,银行,电力的国内大型企业中,企业网络不仅部
署地域分散、规模庞大.而且与业务系统耦台性较高,传统上对于企业网络的安
全考虑往往是关注 IT 设备自身的安全问题,并将分散在各处、不同种类的安全防
护设备分别管理。 但如今的企业网络已经和互联网具有广泛的互联、互通性,企
业信息系统本身的开放性也在不断增大,与计算机网络一样,内部误用,拒绝服
务攻击,外部入侵病毒和蠕虫等各类、各层次的安全威胁层出不穷。如何整体、
系统地保障企业信息安全是目前国内外信息安全界的热点问题。
安全信息管理(Security Information Management,SIM)[2]成为解决此问题的
一个有效平台工具,它采用一套融合技术手段与管理手段,发挥网络安全集中管
理的整体优势,及时有效的监控和处理网络安全信息,进而从整体上提高整个计
算机网络的防御入侵、抵抗攻击的能力,维持整体网络的安全性和可用性一直在
一个较高的等级上。企业的安全信息管理平台的概念已经为企业所接受,但在实
际操作过程中,仍有很多问题需要我们解决。
§1.2 企业安全管理的面临的问题
1. 安全信息的隐私保护
第一章 绪论
2
由于企业网络分布性以及业务系统的高耦合性,在进行安全整体管理时,必
须将分散的信息进行采集,关联分析,但安全管理本身,尤其是在进行安全信息
关联分析时,又要求对于各类信息按照权限,等级实现安全信息的透明,安全信
息泄漏越少越好,解决这个矛盾,对于提高企业信息系统的安全性和安全管理系
统的自身安全性都有积极的作用。
2. 复杂的网络安全管理
通常大量的安全系统都是逐步独立建设的,比如防病毒系统、防火墙、入侵
检测系统、漏洞扫描系统等,各个系统都有各自独立的部署方式和管理控制台。
这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事
件报警各不相同,不同安全设备间如何协同工作,如何统一管理,分散独立的安
全事件信息难以形成全局的风险观点。
3. 海量报警与事件的处理
在各种安全设备和网络、主机系统投入运营后,安全相关的数据量会迅速增
加,形成海量数据和报警事件。如在“冲击波”或蠕虫病毒爆发时,一个省级的
电信网络能够爆发两千万到一亿的事件量。在海量的信息中,及时发现高致命性,
高风险的安全信息,是安全管理系统首要的存在价值。
§1.3 研究目的和意义
本文以大型企业在安全管理平台为研究对象,针对实际建设过程中所涉及的
信息收集,隐私保护,安全量化,可视化展示等几方面进行研究,并设计实现了
一个具有隐私保护的分布式企业安全管理中心(Enterprise Security Management
Center,SMC),为企业提供实时、量化、友好的信息安全态势,以此为企业不同
层次的人员带来不同价值:
对于技术人员,通过自动化的信息采集和动态风险评估,降低技术人员的技
能要求和工作繁琐度,并实现管理评估的持续性,并且使安全信息的隐私泄漏得
到很好的控制。
对于信息系统管理主管,实现对全网的统一监管,有效的解决了分支机构局
域网各自为政的现象。并对下属员工的技能培训,绩效考核,工作效率提升等有
明显的帮助。
针对企业决策者,通过直观的数据显示界面,使决策领导能随时了解业务系
统的信息安全状态。并通过量化的资产风险指标,协助领导分析每次信息安全项
企业级信息安全管理研究
3
目的投资回报率,为信息安全投资提供依据。
本文在第一章简单介绍研究背景、研究目的和意义;第二章对安全管理平台
相关的概念,模型,体系结构和产品进行综合陈述;第三章解决了安全管理平台
中敏感数据的安全保护问题;第四章对安全风险的量化以及信息的可视化技术进
行研究和探讨;第五章介绍了一个安全管理平台的开发实现;第六章是对已有工
作的总结和下一步工作的展望。
第二章 安全管理平台概述
4
第二章 安全管理平台概述
§2.1 信息安全的问题域
企业的信息安全问题存在于资产之中。企业的核心资源是资产,信息也属于
资产,它是有价值的,同时,信息系统——尤其是在基于开放性互联技术的信息
系统——具有很多漏洞,为敌人非法获取、非法篡改、毁坏服务(称之为威胁)
提供了可能。
根据 ISO17799 标准[4]以及美国国防部提出的信息保障技术框架(IATF)[5]的
分类,威胁可以分为威胁主动型、被动型、内部型、接触型和发布型和社会工程
型。
信息系统的资产繁多,每种资产都有自己特有的信息和信息处理方式,同时
也造就了其独特的信息安全问题的多样性。本文采用美国国防部提出的信息保障
技术框架(IATF) 中的安全的五个问题域,或者也可以称为安全的 5个特性:
访问控制:这其实是在资产功能方面就明确提出的一个问题,但它确实是一
个安全需要解决的问题;
保密性:防止信息被非法获得;
完整性:防止信息被非法篡改;
可用性:保障信息服务能正常提供而不会被攻击;
不可抵赖性:防止信息的使用被否认;
确立安全问题的过程叫做安全评估,这个过程通常包括信息资产的价值评估、
威胁的评估,关于这方面的内容,将在后面进行详细讨论。
当企业中各类资产在以上五方面提供了针对不同威胁的充分保护时,我们就
认为企业的信息安全被解决了。
§2.2 安全管理模型
§2.2.1 ISO 模型
1989 年IS07498—2从对安全服务角度建立模型,定义安全管理活动有三大类,
以及安全管理自身的安全[5]。OSI 安全环境维护一个安全管理信息库(SMIB),SMIB
企业级信息安全管理研究
5
存储开放系统所需的与安全有关的全部信息。ISO 安全管理的分类如下:
1. 系统安全管理
包含:总体安全策略、与别的 OSI 管理功能的相互作用、与安全服务管理和
安全机制管理的交互作用、事件处理管理、安全审计管理、安全恢复管理。
2. 安全服务管理
包含:为某种安全服务决定与指派安全保护的目标、指定与选择规则、安全
机制协商、与其他安全管理功能和安全机制管理功能的交互作用。
3. 安全机制管理
包含:密钥管理、加密管理、数字签名管理、访问控制的管理、数据完整性
管理、鉴别管理、通信业务填充管理、路由选择管理、公正管理。ISO 对安全管理
从功能上作了明确的界定和分类.对其后各类安全产品的发展起到了积极的指导
作用。
§2.2.2 PPDR 模型
随着计算机和网络技术的发展.传统的计算机安全管理理论侧重于静态防御,
不再适应动态变化的、多维互联的网络环境,ISS 公司提出了 PPDR 模型,也称可
适应网络安全模型。如图 2-1:
该模型包含 4个主要部分:Policy(安全策略)、Protection(防护)、Detection
(检测)和 Response(响应)。在安全策略的指导下,防护、检测和响应组成了一
个完整的、动态的安全循环,以及一个螺旋上升的过程。安全策略在安全管理中
占核心地位,安全技术措施产品不是盲目引进,而是围绕整体安全策略的需求有
序地组织在一起,架构一个动态的安全防范体系。防护指安全规章的制定、安全
配置的落实和安全措施设备的采用。检测针对网络的动态变化,弥补漏洞发现或
攻击手段发明与相应的防护措施的建立之间的时间差,包括异常监视和攻击发现。
图 2-1. PPDR 模型示意图
第二章 安全管理平台概述
6
响应在发现攻击企图或攻击之后,进行报告、记录、反应、恢复等活动,负责事
件处理并将系统调到“最安全”或“风险最底”的状态。PPDR 模型强调整体的安
全目标和连续的管理周期。
§2.2.3 WPDRRC 模型
该模型有 6个环节和 3大要素[6],见图 2-2,6个环节是 W、P、D、R、R、C,
它们具有动态反馈关系。W即预警(warning),就是根据已掌握的系统脆弱性以
及当前的计算机犯罪趋势,去预测未来可能受到的攻击与危害;C(counterattack)
则是反击——采用一切可能的高新技术手段,侦察、提取计算机犯罪分子的作案
线索与犯罪证据,形成强有力的取证能力和依法打击手段。因此近年来出现的“计
算机取证(computer forensics)”成为业界的研究热点之一。人、政策和技术是
WPDRRC 模型中具有层次关系的 3大要素,其中“人”是内层,是基座;“政策”
包括法律、法规、制度和管理,是中间层;“技术”是外层,它的操作必须受到人
和政策这两个层面的制约。
WPDRRC 模型的核心是实现企业信息安全资源的综合管理(enterprise
information security resource management,EISRM)。EISRM 的重点是两大主要特
征:
其一,信息安全是非常重要的企业基础资源,信息安全得不到保障,企业的
信息化管理就是空中楼阁,从而影响到整个企业管理水平的提升,甚至是对生产
经营造成危害,对国民经济具有重要意义的企业更是带来极其严重的社会影响。
其二,信息安全是一种综合资源,而非单一的技术系统,包括企业能力、人、
图 2-2. WPDRRC 模型示意图
摘要:
展开>>
收起<<
第一章绪论§1.1研究背景随着经济建设的持续发展和知识经济模式的到来,企业组织机构都越来越依赖于信息技术提供的手段来提高自己的核心竞争力和服务水平。当前网络与信息安全的现状却不容乐观。以网络攻击为例:据调查2004年专门针对美国政府网站的非法入侵事件发生了5.4万件,2005年升至7.9万件[1]。被入侵的政府网站包括国防部、国务院、能源部、国土安全部等重要政府职能部门。我国新华社曾报道,中国近60%的单位网络曾发生过安全事件,其中包括国防部等政府部门。中国公安部进行的一项调查显示,在被调查的7072家单位网络中,有58%曾在2004年遭到过攻击。这些单位包括金融机构和国防、商贸、能源和电信等...
相关推荐
-
我国基层财政困难的制度成因分析与对策研究VIP免费
2024-09-20 33 -
我国煤电产业链纵向交易合约机制研究VIP免费
2024-09-20 28 -
生产要素视角下的上海市产业结构优化研究VIP免费
2025-01-09 7 -
我国银行业结构与经济结构关系研究VIP免费
2025-01-09 7 -
大数据视角下农业供应链金融研究VIP免费
2025-01-09 6 -
跨国大型综合超市的规划研究VIP免费
2025-01-09 6 -
跨境电商农产品质量安全问题研究VIP免费
2025-01-09 7 -
世界市场的虚拟化与我国国际电子商务发展方向研究VIP免费
2025-01-09 9 -
中国政府对电力行业的价格规制问题研究VIP免费
2025-01-09 14 -
中小企业信息化系统集成技术研究VIP免费
2025-01-09 14
作者:陈辉
分类:高等教育资料
价格:15积分
属性:59 页
大小:1.49MB
格式:PDF
时间:2024-11-19
相关内容
-
跨国大型综合超市的规划研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
跨境电商农产品质量安全问题研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
世界市场的虚拟化与我国国际电子商务发展方向研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
中国政府对电力行业的价格规制问题研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
-
中小企业信息化系统集成技术研究
分类:高等教育资料
时间:2025-01-09
标签:无
格式:PDF
价格:15 积分
