信息安全風險管理理論在IP網絡中的應用

方婧潔

（長江九江通信管理局，九江 332000）

隨著信息技術的發展，信息安全風險也在不斷提高，為了保證信息安全，可以從信息安全管理的層面著手，對信息安全問題進行分析，從而強化信息系統的可靠性與安全性，進而保障用戶權益。

1 信息安全管理概念

通常來說，信息安全管理指對信息和信息系統進行保護，避免出現由于惡意侵犯或者其他原因導致的信息泄露和損壞，確保信息系統能夠正常運行。可以將信息安全看成一個管理過程，并且這個過程具有較強的動態性，借助多種管理手段的應用來保證信息與系統的可靠性，而信息系統中主要涉及到信息的保密性、真實和完整性、可追溯和防抵賴性等。從本質上來講，所謂安全管理也就是風險動態管理，可以對信息系統及其風險進行高效與科學的管理與控制。

ISO17799，對11個領域的超過百項問題進行了規定，可供相關人員參考，這11個領域在此不再贅述。此外，該細則還提出了建立、運行和維護信息安全管理系統的有關標準需求，提出對應組織需要根據一定的安全風險評估來對控制對象進行辨別，同時按照實際需求，利用有效措施進行防范，并提出了建立管理體系的六大步驟。

2 IP網絡安全管理

基于互聯網與傳輸控制的雙協議下，構成了一個全新的協議組，而該協議不僅完全遵守分層原則，同時每層的作用與功能都具備較強的明確性，從而保證每層功能都可以具備較強的獨立性。除此之外，在相鄰層之間都具備相應的邊界接口，在借助接口展開通信，在此過程中，應用層相互之間會對應用數據進行傳輸，鏈路層之間會對幀數據據進行傳輸，而網絡層之間則會對IP數據進行傳輸。

對于IP網絡而言，其安全管理主要可以涉及安全服務以及安全機制管理兩個層次，由此表明，管理信息需要科學配置在每個服務與機制內，同時可以對各類服務信息以及操作進行全面的手機。而IP網絡安全管理又是由安全服務、系統安全以及安全機制所構成，并且還應該將IP網絡管理自身的安全性考慮其中。

3 信息安全管理體系的外包實踐

當前，客戶對于IP網絡的安全性和可用性的需求不斷增高，并且IP網絡和用戶所面臨的安全威脅不斷升級，多數IP網絡運營人員已經對IP網絡已經對安全管理有了一定的意識，全面開展安全管理，可以實時了解可能面臨的安全威脅。由于相關工作人員缺乏專業人才和管理經驗，所以通常采用外包的形式構建IP網絡安全管理體系，一般的實踐過程分為以下幾點：

第一，準備階段。該階段主要進行項目信息的搜集和整理工作，并與客戶進行溝通，掌握項目的目標和范圍。根據項目具體情況組建工作組，科學配置人員，同時還需要對項目制約條件以及極易出現的風險做進一步說明。同時還應該對客戶與工作者展開培訓，進而提升工作者的意識與操作技術，再次過程中還需要把項目規劃與進度提交至客戶手中，取得審批等。

第二，實施階段。根據項目區域劃分安全范圍，在劃分過程中需要做好訪談工作于資料收集工作，其中主要涉及到網絡結構、認證策略與協議、相關數據庫信息、安全防范措施和已發生的安全事件等[2]。在安全域開展價值分析、資產鑒別、弱點與威脅分析、影響和可行性分析等，制成威脅與風險評估、資產表等。對于主要風險進行綜合評估，按照風險程度進行排序，并提出相關安全策略和處理意見。對于提出的安全策略應該協調一致，確保安全策略的有效性。

第三，總結階段。對該項目所產生的各種文件型材料進行審批，對項目資產鑒定、風險鑒定等報告進行審批，同時落實安全風險處理建議。

4 IP網絡安全管理實踐分析

對于IP網絡而言，其無論是覆蓋范圍，還是影響因素均有差別，因此按照項目實施階段的差別，應該著重注意以下幾點：

首先，安全目標。若想確保IP網絡及其系統的可靠性與安全性，就需要保證業務的可實施性與質量，IP網絡安全管理的三方面應該全面支持安全目標。

其次，項目范圍。通常項目范圍主要涉及到服務及數據系統、IP網絡接入設備、路由及應用系統、交換及鏈路、允許管理運行系統等，需要呈現出IP網絡分層的一切需求。

然后，項目成員。該項目需要獲得管理層支持，項目負責人應該由具有豐富經驗的工作者擔任，同時，項目成員需要由專業人員與IP網絡人員所構成。

最后，信息搜集。在搜集相關信息之前，應該針對不同的搜集對象劃分安全域組，分組搜集信息，這些信息應該包括：IP網絡的整體結構和配置、相關設備的軟件和硬件信息、有關操作規范和流程、各種數據儲存和安全信息、已經發生的安全事故信息、已布置的安全產品和安全管控措施、機房的環境信息、現有的安全措施、安全服務和機制、其他問題等[3]。

第五，資產鑒別。資產鑒別應該具有層次性，應該依據自上而下的鑒別順序，在最頂層可以將網絡管理系統和數據服務中心作為一級資產組，然后根據區域或功能分成二級資產組，并對各資產組進行仔細的鑒別，搜集設備類型、軟件與硬件配置信息等。

第六，威脅分析。對于不同的資產組應該進行不同的威脅分析。例如針對IP網絡，主要風險可能有路由攻擊、蠕蟲等。

5 結束語

由于人們越來越重視信息安全問題，解決信息安全風險不僅是一個技術問題，還是一個管理問題。ISO17799中提出的基本原則和PDCA循環，本文在這一原則和方法的基礎上分析了IP網絡安全管理的過程和注意問題，希望對網絡安全管理有所幫助。