現代企業信息安全管理度量方案的研究

摘要：由于我國信息安全技術起步較晚，雖然各大企業已經建立了較為完善的信息安全保障體系，并且進一步提高了信息安全管理的標準，但是仍然存在著企業信息安全管理狀況混亂、力度不夠、執行不強等問題。本文首先介紹了信息安全管理度量的基本原理，并且闡述了企業信息系統安全管理度量的意義，建立了信息系統安全管理度量數據模型，最后提出了信息系統安全管理度量方案研究。

關鍵詞：現代企業；信息安全管理；安全度量

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-7712 （2012） 14-0027-01

隨著現代社會科學不斷進步，企業的信息化建設也在穩步推進。然而，支持企業網絡化運營的信息系統卻暴露出越來越多的問題，尤其是企業信息安全問題更是引起了社會各界的廣泛關注，由此，對于企業信息系統安全性進行度量是目前亟待解決的問題，也是保證企業信息安全的基礎。

一、信息安全管理度量的基本原理

（一）度量目標的明確。度量目標影響著安全度量采用的指標參數和安全基線，也是一個企業實施信息安全度量的動機，度量目標可以分為兩類，一類是長期度量目標，另一類是短期度量目標。企業信息安全的長期度量目標包括對信息安全的發展進行分析判斷、對信息安全進行有效控制、為信息安全管理提供必要支持等；企業信息安全的短期目標包括對安全項目投入后的收益、為短期信息安全管理提供支持等。

（二）度量指標的確定。度量指標的確定是根據企業度量目標和企業信息安全的實際需求得出的，在選取度量目標的過程中要遵循兩個重要原則，一是定性與定量相互結合的原則，二是可操作性原則。但是，在企業信息安全度量的過程中經常遇到多種因素，這就使得部分度量指標可以做到量化，而部分度量指標是非量化的，企業信息安全度量建立的數學模型也應該能夠滿足量化計算，否則，很有可能導致由于度量指標無法計算而得不到最終有效結果。

（三）度量制度的制定。對企業信息管理系統進行安全度量之前需要建立完善的信息安全度量模型，對于建立專業人員隊伍、對人員進行專業培訓、確定信息安全度量時間等等，都需要一套完整的信息安全度量制度來進行支持。

二、企業信息系統安全管理度量的意義

對企業信息安全系統進行安全度量主要是為企業信息系統的安全指明方向，安全度量是需要數字進行支持的，但是，數字在任何情況之下都會存在部分偏差，我們需要不斷地努力改正，才能使得安全度量更為完善可靠，才能夠通過安全度量達到對企業進行風險管理的目的，不斷提高企業信息系統的穩定性和可靠性。企業通過風險管理可以加強預防措施，降低信息安全事故的發生概率，企業風險管理是為信息系統決策提供服務的，而對企業信息系統進行安全度量則是為風險管理提供服務。由此，我們要通過將企業信息風險進行量化來達到對企業信息系統的風險進行管理的目的。

對于企業來說，進行信息安全度量能夠幫助企業找到信息安全問題所在、理解安全風險的危害、明確安全管理的弱點等，并且針對這些問題提出進一步的改進措施。

通過對企業信息系統安全管理的度量，能夠了解企業信息系統中存在的風險，并且針對相應的風險問題提出解決方法，去除企業信息系統中存在的安全隱患，這就需要一套完善的企業信息系統安全度量方案，并且要保證這個度量方案能夠正確實施，這樣才能夠將企業信息系統中存在的安全隱患問題全部消除，解決了企業網絡化運營中存在的風險問題，為企業的發展決策提供有力支持。

三、信息系統安全管理度量數據模型

為了能夠保證企業安全管理度量方案能夠有效實施，需要一個數據模型來提供安全威脅、風險對策、資產度量的數量值。

圖1 企業安全控制邏輯模型

圖1是企業信息技術安全控制的邏輯模型，表述的是對策、威脅和暴露作為整個信息系統的控制措施之間的影響，而對策、威脅和暴露作為三個相互影響的因數顯示在塊狀圖表中，威脅指的是企業信息系統中可能發生的安全事故，可能對企業的資產造成嚴重破壞，而且企業資產的脆弱性會使得資產趨向于被某個威脅攻擊，或者使某個威脅攻擊能夠成功。威脅則利用了企業資產的脆弱性使得資產最終暴露，對策是為了防止威脅發生，或者減輕威脅發生時對企業信息系統帶來的破壞和影響。

四、企業信息系統安全管理度量方案研究

（一）覆蓋和控制。覆蓋和控制是用來度量企業在進行安全體系的擴展和延時的時候其范圍和面積的大小，通常情況下，企業制定的安全計劃的目的都是能夠保證企業信息安全能夠可持續發展，但是，現實情況經常發生的是實施部門與被實施用戶之間相互配合不夠，而覆蓋和控制的度量能夠幫助企業管理者清楚明了安全計劃與實際實施中存在的差距。覆蓋指的是安全控制應用到獲得資源的目標群之間的一個特定范圍，覆蓋的度量目的是測量企業安全部門執行命令的能力。

（二）可靠性度量。企業信息系統可靠性度量包括兩個部分，一是系統正常運行的時間，二是系統停機的時間。系統停機時間指的是企業信息系統的計算資源，包括服務器、軟件程序、設備運行時間、設備是否正常運行等等，系統的停機時間通常被分為計劃停機時間和意外停機時間兩類，計劃停機時間指的是由于企業信息系統在某段時間內需要安全管理人員進行日常維護工作時的停機時間，包括信息系統的數據備份、程序升級等一系列事務性工作，信息資源暫時無法提供有效服務，而意外停機時間經常是因為系統軟件錯誤、突發災難等不可預見的因素造成。

五、結論

企業信息系統的安全度量是企業進行信息安全管理的重要環節，企業信息系統的安全度量是收集系統中安全威脅的過程，其中關鍵因素包括質量指標、基線、模型和方法等等，安全度量是一個極為復雜的過程，在企業信息安全保障體系中的作用顯得日益重要。

參考文獻：

[1]袁皓，楊曉懿.信息安全模型安全控制研究[J].信息安全與通信保密，2007，2.

[2]胡萬兵，趙彬，周明，周保群.基于可能性計算模型的信息系統風險評估系統設計[J].微計算機信息，2006，3.

[作者簡介]沈嘉靈（1992-），女，江蘇省啟東市，西北工業大學，本科大三學生，軟件工程專業，課題方向：電子服務方向。