信息安全風(fēng)險(xiǎn)管理理論在IP網(wǎng)絡(luò)中的應(yīng)用

方婧潔

（長(zhǎng)江九江通信管理局，九江 332000）

隨著信息技術(shù)的發(fā)展，信息安全風(fēng)險(xiǎn)也在不斷提高，為了保證信息安全，可以從信息安全管理的層面著手，對(duì)信息安全問(wèn)題進(jìn)行分析，從而強(qiáng)化信息系統(tǒng)的可靠性與安全性，進(jìn)而保障用戶權(quán)益。

1 信息安全管理概念

通常來(lái)說(shuō)，信息安全管理指對(duì)信息和信息系統(tǒng)進(jìn)行保護(hù)，避免出現(xiàn)由于惡意侵犯或者其他原因?qū)е碌男畔⑿孤逗蛽p壞，確保信息系統(tǒng)能夠正常運(yùn)行。可以將信息安全看成一個(gè)管理過(guò)程，并且這個(gè)過(guò)程具有較強(qiáng)的動(dòng)態(tài)性，借助多種管理手段的應(yīng)用來(lái)保證信息與系統(tǒng)的可靠性，而信息系統(tǒng)中主要涉及到信息的保密性、真實(shí)和完整性、可追溯和防抵賴性等。從本質(zhì)上來(lái)講，所謂安全管理也就是風(fēng)險(xiǎn)動(dòng)態(tài)管理，可以對(duì)信息系統(tǒng)及其風(fēng)險(xiǎn)進(jìn)行高效與科學(xué)的管理與控制。

ISO17799，對(duì)11個(gè)領(lǐng)域的超過(guò)百項(xiàng)問(wèn)題進(jìn)行了規(guī)定，可供相關(guān)人員參考，這11個(gè)領(lǐng)域在此不再贅述。此外，該細(xì)則還提出了建立、運(yùn)行和維護(hù)信息安全管理系統(tǒng)的有關(guān)標(biāo)準(zhǔn)需求，提出對(duì)應(yīng)組織需要根據(jù)一定的安全風(fēng)險(xiǎn)評(píng)估來(lái)對(duì)控制對(duì)象進(jìn)行辨別，同時(shí)按照實(shí)際需求，利用有效措施進(jìn)行防范，并提出了建立管理體系的六大步驟。

2 IP網(wǎng)絡(luò)安全管理

基于互聯(lián)網(wǎng)與傳輸控制的雙協(xié)議下，構(gòu)成了一個(gè)全新的協(xié)議組，而該協(xié)議不僅完全遵守分層原則，同時(shí)每層的作用與功能都具備較強(qiáng)的明確性，從而保證每層功能都可以具備較強(qiáng)的獨(dú)立性。除此之外，在相鄰層之間都具備相應(yīng)的邊界接口，在借助接口展開(kāi)通信，在此過(guò)程中，應(yīng)用層相互之間會(huì)對(duì)應(yīng)用數(shù)據(jù)進(jìn)行傳輸，鏈路層之間會(huì)對(duì)幀數(shù)據(jù)據(jù)進(jìn)行傳輸，而網(wǎng)絡(luò)層之間則會(huì)對(duì)IP數(shù)據(jù)進(jìn)行傳輸。

對(duì)于IP網(wǎng)絡(luò)而言，其安全管理主要可以涉及安全服務(wù)以及安全機(jī)制管理兩個(gè)層次，由此表明，管理信息需要科學(xué)配置在每個(gè)服務(wù)與機(jī)制內(nèi)，同時(shí)可以對(duì)各類服務(wù)信息以及操作進(jìn)行全面的手機(jī)。而IP網(wǎng)絡(luò)安全管理又是由安全服務(wù)、系統(tǒng)安全以及安全機(jī)制所構(gòu)成，并且還應(yīng)該將IP網(wǎng)絡(luò)管理自身的安全性考慮其中。

3 信息安全管理體系的外包實(shí)踐

當(dāng)前，客戶對(duì)于IP網(wǎng)絡(luò)的安全性和可用性的需求不斷增高，并且IP網(wǎng)絡(luò)和用戶所面臨的安全威脅不斷升級(jí)，多數(shù)IP網(wǎng)絡(luò)運(yùn)營(yíng)人員已經(jīng)對(duì)IP網(wǎng)絡(luò)已經(jīng)對(duì)安全管理有了一定的意識(shí)，全面開(kāi)展安全管理，可以實(shí)時(shí)了解可能面臨的安全威脅。由于相關(guān)工作人員缺乏專業(yè)人才和管理經(jīng)驗(yàn)，所以通常采用外包的形式構(gòu)建IP網(wǎng)絡(luò)安全管理體系，一般的實(shí)踐過(guò)程分為以下幾點(diǎn)：

第一，準(zhǔn)備階段。該階段主要進(jìn)行項(xiàng)目信息的搜集和整理工作，并與客戶進(jìn)行溝通，掌握項(xiàng)目的目標(biāo)和范圍。根據(jù)項(xiàng)目具體情況組建工作組，科學(xué)配置人員，同時(shí)還需要對(duì)項(xiàng)目制約條件以及極易出現(xiàn)的風(fēng)險(xiǎn)做進(jìn)一步說(shuō)明。同時(shí)還應(yīng)該對(duì)客戶與工作者展開(kāi)培訓(xùn)，進(jìn)而提升工作者的意識(shí)與操作技術(shù)，再次過(guò)程中還需要把項(xiàng)目規(guī)劃與進(jìn)度提交至客戶手中，取得審批等。

第二，實(shí)施階段。根據(jù)項(xiàng)目區(qū)域劃分安全范圍，在劃分過(guò)程中需要做好訪談工作于資料收集工作，其中主要涉及到網(wǎng)絡(luò)結(jié)構(gòu)、認(rèn)證策略與協(xié)議、相關(guān)數(shù)據(jù)庫(kù)信息、安全防范措施和已發(fā)生的安全事件等[2]。在安全域開(kāi)展價(jià)值分析、資產(chǎn)鑒別、弱點(diǎn)與威脅分析、影響和可行性分析等，制成威脅與風(fēng)險(xiǎn)評(píng)估、資產(chǎn)表等。對(duì)于主要風(fēng)險(xiǎn)進(jìn)行綜合評(píng)估，按照風(fēng)險(xiǎn)程度進(jìn)行排序，并提出相關(guān)安全策略和處理意見(jiàn)。對(duì)于提出的安全策略應(yīng)該協(xié)調(diào)一致，確保安全策略的有效性。

第三，總結(jié)階段。對(duì)該項(xiàng)目所產(chǎn)生的各種文件型材料進(jìn)行審批，對(duì)項(xiàng)目資產(chǎn)鑒定、風(fēng)險(xiǎn)鑒定等報(bào)告進(jìn)行審批，同時(shí)落實(shí)安全風(fēng)險(xiǎn)處理建議。

4 IP網(wǎng)絡(luò)安全管理實(shí)踐分析

對(duì)于IP網(wǎng)絡(luò)而言，其無(wú)論是覆蓋范圍，還是影響因素均有差別，因此按照項(xiàng)目實(shí)施階段的差別，應(yīng)該著重注意以下幾點(diǎn)：

首先，安全目標(biāo)。若想確保IP網(wǎng)絡(luò)及其系統(tǒng)的可靠性與安全性，就需要保證業(yè)務(wù)的可實(shí)施性與質(zhì)量，IP網(wǎng)絡(luò)安全管理的三方面應(yīng)該全面支持安全目標(biāo)。

其次，項(xiàng)目范圍。通常項(xiàng)目范圍主要涉及到服務(wù)及數(shù)據(jù)系統(tǒng)、IP網(wǎng)絡(luò)接入設(shè)備、路由及應(yīng)用系統(tǒng)、交換及鏈路、允許管理運(yùn)行系統(tǒng)等，需要呈現(xiàn)出IP網(wǎng)絡(luò)分層的一切需求。

然后，項(xiàng)目成員。該項(xiàng)目需要獲得管理層支持，項(xiàng)目負(fù)責(zé)人應(yīng)該由具有豐富經(jīng)驗(yàn)的工作者擔(dān)任，同時(shí)，項(xiàng)目成員需要由專業(yè)人員與IP網(wǎng)絡(luò)人員所構(gòu)成。

最后，信息搜集。在搜集相關(guān)信息之前，應(yīng)該針對(duì)不同的搜集對(duì)象劃分安全域組，分組搜集信息，這些信息應(yīng)該包括：IP網(wǎng)絡(luò)的整體結(jié)構(gòu)和配置、相關(guān)設(shè)備的軟件和硬件信息、有關(guān)操作規(guī)范和流程、各種數(shù)據(jù)儲(chǔ)存和安全信息、已經(jīng)發(fā)生的安全事故信息、已布置的安全產(chǎn)品和安全管控措施、機(jī)房的環(huán)境信息、現(xiàn)有的安全措施、安全服務(wù)和機(jī)制、其他問(wèn)題等[3]。

第五，資產(chǎn)鑒別。資產(chǎn)鑒別應(yīng)該具有層次性，應(yīng)該依據(jù)自上而下的鑒別順序，在最頂層可以將網(wǎng)絡(luò)管理系統(tǒng)和數(shù)據(jù)服務(wù)中心作為一級(jí)資產(chǎn)組，然后根據(jù)區(qū)域或功能分成二級(jí)資產(chǎn)組，并對(duì)各資產(chǎn)組進(jìn)行仔細(xì)的鑒別，搜集設(shè)備類型、軟件與硬件配置信息等。

第六，威脅分析。對(duì)于不同的資產(chǎn)組應(yīng)該進(jìn)行不同的威脅分析。例如針對(duì)IP網(wǎng)絡(luò)，主要風(fēng)險(xiǎn)可能有路由攻擊、蠕蟲(chóng)等。

5 結(jié)束語(yǔ)

由于人們?cè)絹?lái)越重視信息安全問(wèn)題，解決信息安全風(fēng)險(xiǎn)不僅是一個(gè)技術(shù)問(wèn)題，還是一個(gè)管理問(wèn)題。ISO17799中提出的基本原則和PDCA循環(huán)，本文在這一原則和方法的基礎(chǔ)上分析了IP網(wǎng)絡(luò)安全管理的過(guò)程和注意問(wèn)題，希望對(duì)網(wǎng)絡(luò)安全管理有所幫助。