侯国宁

摘要：21世纪以来，随着信息技术的高速发展，信息逐渐演变成一种重要的资源。对新事物的信息获得、处理以及安全维护的能力已经作为国家综合实力的重要证明。对信息的安全性的管理不仅有利于国家的安全稳定，更有助于社会的不断稳定。因此，需要采取一系列的措施用来保证我们国家的信息安全。近几年来，信息安全领域的发展速度非常快，已经取得了一定数量的重要成果，然而，信息安全领域涉及内容十分广泛， 然而鉴于篇幅的原因， 这里主要介绍信息安全管理体系和信息安全评估的研究和发展。

关键词：信息安全；安全策略；管理体系

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）08-0016-02

Abstract： since twenty-first Century， with the rapid development of information technology， information becomes an important resource. For new things to obtain information， ability to handle and safety maintenance has become an important proof of the comprehensive national strength. Not only to the security of information management for the safe and stable country， more conducive to social stability constant. Therefore， the need to take a series of measures to ensure the information security of our country. In recent years， the speed of development in the field of information security is very fast， have achieved important results， a certain number of however， the field of information security involves the content is very extensive， but given the length of the paper， research and development here mainly introduces the information security management system and information security evaluation.

Key words： information security； security strategy； management system

21世纪是信息高速发展的时代。然而事物发展速度过快必有其弊端。随着信息技术的飞速发展，整个信息领域呈现出及其繁荣的状态。然而，在繁荣的背后，信息安全的事件也常有发生，并且这种危害信息安全的形势颇为严重。因为信息的安全对国家以及社会的稳定进步产生了负面的影响。因此，国家的技术人员必须采取一定的措施来保证我国信息系统的健康稳定发展。对于信息安全的研究大体上分为信息安全管理体系、信息安全评估以及信息安全策略的研究。信息的安全管理研究是指对信息的安全标准、策略和信息的测评。对信息安全策略是对安全系统进行有效的设计、实现、运行以及管理。对系统中特定的信息进行安全管理，重点需要对哪些资源进行保护，需要采取哪些措施，完成哪些安全任务。安全测评则是根据特定的安全标准对设计的保护信息安全产品和信息系统进行安全性能的测试。

1 信息安全管理体系

信息安全管理是用来指示组织对信息安全风险管理的一系列活动。关于信息安全风险的的管理通常情况下包含制定信息安全方针、控制特定安全目标与方式选择、安全风险评估、安全风险控制、信息安全保证等。信息安全最基本的目标是保护有效信息的私密性、完整性和准确性。需要构造一个信息安全管理框架来完成安全管理的目的。

信息安全管理框架的设立需要遵循特定的过程完成。首先，需要系统内各个组织依据自身运行的状况来完成适用于本身发展和信息安全需求的安全管理框架。然后通过正常的业务流程的进行中详细地实现该框架的安全体系。在业务进行的同时，需要对与信息安全管理框架对应的有关文件进行有效的管理。最后，需要对实现信息安全管理框架的过程中发生的的各种信息安全事故进行及时的记录，并通过一定的流程建立反馈机制。

2 信息安全风险评估

我国对于信息安全风险评估系统的研究是最近几年刚刚起步的，目前主要的工作重心着眼于系统组织架构建立和业务体系的搭建，对于信息安全系统相关的规范标准和技术攻关尚处于研究阶段。随着电子政务和电子商务的高速发展，信息风险评估系统以及基于该系统的信息安全工程已经得到我国相关部门和机构的高度重视，具有广阔的研究空间。

信息安全风险评估是信息安全管理的基础。通过对信息安全状况的风险评估从而确定安全事故的严重程度从而确定风险控制方式，进而对安全事故实施一定的控制手段，将安全的风险控制在系统承受范围之内。对信息安全风险评估的时候需要考虑的如下几个因素：信息资产的估值，信息安全对资产的威胁大小，信息安全事故发生的几率，以及已经掌握的安全控制方式。

风险评估过程如图1所示，它的基本步骤如下：

1）按照系统的运行过程进行特定资产智能识别，根据特定的估价方式对资产进行相对准确的估价。

2）针对特定资产的可能遭遭受的安全威胁，对已经掌握的安全事件控制措施进行确定。

3）在对信息安全的识别的情形下，评估该受到威胁的资产的风险指数，并给出风险评估报告。

4）根据信息安全风险评估的结果，提出合理的方法管理风险。

在对信息安全风险评估时使用哪种方法对评估结果的有效性有特别重要的作用。对信息安全评估方法的选择还会影响信息评估过程中的其他过程的实现，甚至可能影响到最终的评估结果。所以我们需要根据系统的特定状况，选择合理的信息安全风险评估方法。信息安全风险评估的方法有许多种，目前比较通用的有如下两个方法：定量安全风险评估方法和定性安全风险评估方法。

3 结论

信息安全是当前信息技术发展的特定环境下的研究热点话题。本文对以安全状况为背景研究的前提下，概述了安全管理体系和信息安全评估这两个目前最为重要的信息安全话题。

参考文献：

[1] 沈昌祥.关于加强信息安全保障体系的思考[J].计算机安全，2002（9）.

[2] 张焕国，王丽娜，黄传河，等.信息安全学科建设与人才培养的研究与实践[C].全国计算机系主任（院长）会议论文集.北京：高等教育出版社，2005.

[3] Pfleeger C P，Pfleeger S L.Security in Computing.3rd Editon.NJ：Prentice Hall，2003.

[4] 孟庆树，王丽娜，傅建明.密码编码学与网络安全原理与实践[M].4版.西安：电子工业出版社，2006.

[5] 卿斯汉，刘文清，温红予.操作系统安全[M].北京：清华大学出版社，2004.

[6] 科飞管理咨询公司.信息安全管理概论—BS 7799 理解与实施[M].北京：机械工业出版社，2002.

[7] BUTLER S A.Security Attribute Evaluation Method：A Cost-Benefit Approach[Z].Computer Science.Department，2001.