毕业设计论文信息安全管理策略分析.docx
《毕业设计论文信息安全管理策略分析.docx》由会员分享,可在线阅读,更多相关《毕业设计论文信息安全管理策略分析.docx(8页珍藏版)》请在冰豆网上搜索。
毕业设计论文信息安全管理策略分析
中国某某某某学校
学生毕业设计(论文)
题目:
信息安全管理策略分析
姓名:
00000000
班级、学号:
0000000000000
系(部):
经济管理系
专业:
信息管理
指导教师:
00000000000
开题时间:
2008-11-1
完成时间:
2009-11-4
2009年11月4日
目录
毕业设计任务书…………………………………………………1
毕业设计成绩评定表……………………………………………2
答辩申请书……………………………………………………3-5
正文……………………………………………………………6-16
答辩委员会表决意见……………………………………………17
答辩过程记录表…………………………………………………18
课题信息安全管理策略分析
一、课题(论文)提纲
0.引言
1.信息安全及信息安全管理概述
1.1信息安全概述
1.2信息安全管理概述
2.信息安全管理的现状及问题
2.1信息安全管理的现状
2.2我国在宏观信息安全管理方面的问题
2.3我国在微观信息安全管理方面存在的问题
3.加强信息安全管理的策略
3.1建立集中统一、分工协作、各司其职的信息安全管理机制
3.2加强信息安全法制建设,为信息安全管理提供执法依据
3.3采取有效措施,积极推进信息安全等级保护工作的顺利开展
3.4努力探索,创立新形势下的信息网络违法犯罪防范打击体系
3.5政策面上采取各种措施,创造良好的信息安全发展环境
4.结束语
二、内容摘要
人们对信息的依赖日益增强,信息安全管理成了保障信息安全的关键。
在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。
理解并重视管理对信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。
本文介绍了信息安全、信息安全管理的涵义及重要性,分析了信息安全管理的现状及存在的问题,并着重讨论了加强信息安全管理的策略。
三、参考文献
[1]孙强,陈伟大,王东红.信息安全管理[M].北京:
清华大学出版社,2004
[2]李振汕.现代电子商务系统安全技术研究[J].中国管理信息化,2007,10.
[3]巨乃岐.信息安全的内涵与意义[J].齐鲁学刊.2003,2
[4]刘文艳.社会信息化环境下的信息安全管理研究[J].网络安全技术与应用,2007,3
[5]张红旗等.信息安全管理[M].北京:
人民邮电出版社,2007,11
信息安全管理策略分析
000000000
中文摘要:
人们对信息的依赖日益增强,信息安全管理成了保障信息安全的关键。
在信息安全保障的三大要素(人员、技术、管理)中,管理要素的地位和作用越来越受到重视。
理解并重视管理对信息安全的关键作用,对于真正实现信息安全目标来说尤其重要。
本文介绍了信息安全、信息安全管理的涵义及重要性,分析了信息安全管理的现状及存在的问题,并着重讨论了加强信息安全管理的策略。
关键词:
信息安全;管理;现状;策略
0.引言
随着Intemet应用的不断深入和电子商务、电子政务的不断发展,人们在日常生活、经济、军事、科技与教育等各个领域,对信息和信息系统依赖日益增强。
然而,安全一直是信息系统面临的严重问题。
早期,信息安全关注于技术方面,但实践证明,信息安全只靠技术是远远不够了,信息安全绝对不仅仅是技术的问题,它的解决涉及到规章制度、组织运行、技术应用等方方面面,任何单方面安全的措施都不可能提供真正的全方位的安全,信息安全问题的解决更应该站在系统工程的角度来考虑。
在这项系统工程中,信息安全管理占有重要的地位。
1.信息安全及信息安全管理概述
1.1信息安全概述
1.1.1信息安全的定义
信息安全是个古已有之的话题,长期以来,人们往往把信息理解为军事、政治、经济等社会生活中的情报,而信息安全也往往被理解为情报的真实、保密。
现代意义上的信息安全概念形成电子通讯技术,特别是数字技术问世之后,其内涵随着现代信息技术发展与应用逐步丰盈。
现代信息安全的基本内涵最早由信息技术安全评估标准定义。
阐述和强调了信息安全的三元组目标,即保密性、完整性和可用性。
这一界定获得了业界的公认,成为现代意义上的信息安全的基本内涵。
近来,国内外很多学者从通信、电子商务、电子政务等方面的应用出发,主张在三元目标的基础上,信息安全的内涵还应该包含可控制性、非抵赖性、可追溯性和真实性等属性,这些都是对三元目标的细化、补充和加强。
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。
1.1.2信息安全的重要性
信息安全本身包括的范围很大。
大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。
信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。
从文献中了解一个社会的内幕,早已是司空见惯的事情。
不管是机构还是个人,正把日益繁多的事情托付给计算机来完成。
敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,所有这一切,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。
信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。
不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。
信息安全所面临的各类风险,必须引起各方面的高度重视。
1.2信息安全管理概述
1.2.1信息安全管理的定义
信息安全管理是指导和控制组织的关于信息安全风险的相互协调,关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估控制目标与方式选择、风险控制、安全保证等。
而要对组织的信息的安全性进高效的、动态的管理就必须依据信息安全管理模型和信息安全管理标准构建组织信息安全管理体系。
在ISO/IEC17799中信息安全管理体系可以被理解为是组织管理体系的一部分,专门用于组织的信息资产风险管理,确保组织的信息安全包括为制定、实施、评审和保持信息安全方针所需要的组织机构、目标、职责、程序、过程和资源。
信息安全管理体系中包含很多的“反馈环路”。
这些“反馈环路”可以对系统的安全性进行监测和控制,以此使组织的残余风险最小化,确保组织满足客户和法律的要求。
1.2.2信息安全管理的重要性
信息安全管理是随着信息和信息安全的发展而发展的。
在信息社会中,一方面信息已经成为人类的重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面由于计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。
由于信息具有易传播、易扩散、易损毁的特点,信息资产比传统的实物资产更加脆弱,更容易受到损害,这样将使组织在业务运作过程中面临巨大的风险。
这种风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节和漏洞,以及大量存在于组织内外的各种威胁,因此对信息系统需要加以严格管理和妥善保护,信息安全管理也随之产生。
当前,认真分析信息安全面临的新形式,尽快采取措施建立健全信息安全管理体系,是信息安全面临的重大课题。
2.信息安全管理的现状及问题
2.1信息安全管理的现状
我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。
为了适应这一形势,通信技术发生了前所未有的爆炸性发展。
目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。
与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。
我国已初步建成了国家信息安全组织保障体系。
国务院信息办专门成立了网络与信息安全领导小组,各省、市、自治州也设立了相应的管理机构。
制定了一系列必需的信息安全管理的法律法规。
2.2我国在宏观信息安全管理方面的问题
(1)法律法规问题。
健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线。
我国已建立了法律、行政法规与部门规章及规范性文件等三个层面的有关信息安全的法律法规体系,对组织与个人的信息安全行为提出了安全要求。
但是我国的法律法规体系还存在缺陷,一是现有的法律法规存在不完善的地方,如法律法规之间有内容重复交叉,同一行为有多个行政处罚主体,有的规章与行政法规相互抵触,处罚幅度不一致;二是法律法规建设跟不上信息技术发展的需要,这主要涉及网络规划与建设、网络管理与经营、网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪与刑事立法、计算机证据的法律效力等方面的法律法规缺乏。
(2)管理问题。
管理包括三个层次的内容:
组织建设、制度建设和人员意识。
组织建设是指有关信息安全管理机构的建设。
信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容,因此只靠一个机构是无法解决这些问题的。
在各信息安全管理机构之间,要有明确的分工,以避免“政出多门”和“政策拉车”现象的发生。
明确了各机构的职责之后,还需要建立切实可行的规章制度,即进行制度建设,以保证信息安全。
如对人的管理,需要解决多人负责、责任到人的问题,任期有限的问题,职责分离的问题,最小权限的问题等。
有了组织机构和相应的制度,还需要领导的高度重视和群防群治,即强化人员的安全意识,这需要信息安全意识的教育和培训,以及对信息安全问题的高度重视。
(3)国家信息基础设施建设问题。
《国家信息安全报告》指出:
我国计算机硬件、通信设备制造业的基础集成芯片,主要依赖进口,系统软件、支撑软件基本上是国外产品。
在这种形势下,我们必须清醒地承认一个基本事实:
目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。
关于国家信息基础设施方面存在的问题已引起国家的高度重视。
如“十五”期间,国家863计划和科技攻关的重要项目就有“信息安全与电子政务”和“金融信息化”两个有关信息安全的研究项目;2002年1月1日开始实施的《电信业务经营许可证管理办法》明确要求:
电信产品软件商不能在软件上预留“后门”,外国供货商不能远程登录中国电信商的操作系统,高级网管系统要用国内可靠机构开发的软件产品。
2.3我国在微观信息安全管理方面存在的问题
(1)缺乏信息安全意识与明确的信息安全方针。
大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足,或者仅局限于IT方面的安全,没有形成一个合理的信息安全方针来指导组织的信息安全管理工作,这表现为缺乏完整的信息安全管理制度,缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训,现有的安全规章组织未必能严格实施等。
(2)重视安全技术,轻视安全管理。
目前组织普遍采用现代通信、计算机和网络技术来构建信息系统,以提高组织效率与竞争能力,但相应的管理措施不到位,如系统的运行、维护和开发等岗位不清,职责不分,存在一人身兼数职现象。
而大约70%以上的信息安全问题是由管理方面的原因造成的,也就是说解决信息安全问题不仅应从技术方面着手,同时更应加强信息安全的管理工作。
(3)安全管理缺乏系统管理的思想。
大多数组织现有的安全管理模式仍是传统的管理方法,出现了问题才去想补救的办法,是一种就事论事、静态的管理,不是建立在安全风险评估基础上的动态的持续改进管理方法。
3.加强信息安全管理的策略
当前,我国的信息安全管理工作尚处于起步阶段,基础薄弱,水平不高,存在许多亟待解决的问题,我们要以全局性的眼光,加强信息安全的组织管理工作。
3.1建立集中统一、分工协作、各司其职的信息安全管理机制
信息安全保障的关键在于组织领导,要从根本上加强我国的信息安全保障工作,必须建立全国集中统一、分工协作、各司其职的信息安全管理机制。
一是国家应建立能够协调维护各种安全利益的综合职能机构,成立有高度权威的国家信息安全委员会,作为国务院信息化领导小组的常设委员会,以改变目前在维护国家信息安全中各部门条块分割、职责不清、多头管理、协调不力和政出多门的现状;二是各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系,按照“谁主管、谁负责”的原则,共同履行信息安全管理的职责;三是尽早建立省、市两级比较完善的信息安全领导管理体系,以便积极调动各种资源主动配合和协调信息安全保障工作,形成纵横结合的信息安全协调与信息共享机制;四是充分调动政府、企业和个人的积极性,实现有机联动,形成合力,共同构筑国家信息安全保障体系;五是健全和完善信息安全责任体系,要求各部门、各单位明确信息安全工作负责人,配备相应的信息安全员,把信息安全责任真正落实到人。
3.2加强信息安全法制建设,为信息安全管理提供执法依据
作为信息安全保障体系的重要部分,相关法律法规和标准体系的建设已经势在必行。
下一步,应着力建立健全信息安全法律法规体系;同时,要注重和加强信息安全执法队伍的建设;各信息安全职能部门的执法活动必须严格按照法律规定的权限和程序进行,正确行使权力和履行职责,保护企业和公民的合法权益,打击网络违法犯罪;各有关主管部门和运营单位要积极支持执法机关工作,履行应尽的义务;社会团体、企业和个人要认真履行法律规定的信息安全责任和义务,在信息网络环境中依法开展活动。
3.3采取有效措施,积极推进信息安全等级保护工作的顺利开展
实行信息安全等级保护是国家解决信息安全保护问题的基本政策。
信息安全等级保护是信息系统的社会价值和经济价值保护的客观要求,即按信息的敏感和重要程度、系统应用性质和资严价值、部门重要程度,分级采取科学、合理的保护措施;对于涉及国计民生的国家关键信息基础设施应分级加以重点保护;适度保护,效费合理,避免盲目和浪费。
国家实行信息安全等级保护,必须从总体战略角度考虑,把握关键环节,建立长效保护机制。
当前,信息安全等级保护的试点工作已积累了一定的经验,为推动信息安全等级保护工作的全面开展,应着力做好以下几个方面的工作:
明确信息系统等级保护各方责任;制定各项信息安全等级保护管理制度;制定、完善信息安全等级保护管理规范和技术标准体系;依托社会技术力量,组建技术支撑体系;研制开发信息安全等级保护备案、检测、评估信息系统和技术工具;加强宣传、培训工作等等。
3.4努力探索,创立新形势下的信息网络违法犯罪防范打击体系
近年来,我国在打击网络违法犯罪方面做了大量的工作,也取得了很大的成绩,但是随着信息技术的不断发展,网络违法犯罪的形式更加多样化,技术手段更加先进,这就要求我们不断建立健全信息网络违法犯罪防范打击体系,以执法职能部门为主体,动员社会各方力量,运用网络技术手段在信息网络领域建立系统、完整、有机衔接的预防、控制、侦查、惩处信息网络违法犯罪的行政执法和刑事执法体系,提高对信息网络违法犯罪的防范、控制和侦查、打击能力。
重点要做好以下四方面机制建设:
一是全社会防范控制机制。
二是统一指挥、快速反应的侦查机制。
三是有关部门、单位的支持、配合机制。
四是公检法三机关的协调、协作机制。
3.5政策面上采取各种措施,创造良好的信息安全发展环境
一是加大对信息安全工作的资金投入。
在政府层面,财政应拿出专门的资金,用于机关及相关事业单位、公益性等信息网络的安全建设及维护;在企业层面,在必须明确建设网络的真正需求,加强安全资金投入,针对自身的网络建立安全防御体系;另外,科研管理部门应当加大对信息安全技术研究的科研投入,对若干前瞻性、基础性的信息安全核心技术,统一部署,组织攻关,力争有所突破。
二是加快信息安全人才培养。
要从信息安全建设和管理对信息安全人才的实际需求出发,加强信息安全学科、专业和培训机构建设,加快信息安全人才培养。
要采取积极措施,吸引并用好高素质的信息安全管理和技术人才,最大限度的发挥人才效益。
三是要大力支持信息网络安全服务行业的发展。
建议出台支持信息安全服务行业发展的相关政策,加强对信息安全服务行业的监管,积极引导信息网络使用单位借助信息安全服务单位提高其安全管理水平和能力。
四是要增强全民信息安全意识。
要充分利用新闻媒体和互联网,加大信息安全宣传力度,增强全民信息安全意识。
要开展全社会特别是对青少年的信息安全教育和法律法规教育,使其掌握必要的信息安全知识与技能。
4.结束语
信息安全管理是保护国家、组织、个人等各个层面上信息安全的重要基础。
只有以有效的信息安全管理体系为基础,完善信息安全管理结构,综合应用信息安全管理策略和信息安全技术产品,才可能建立起一个真正意义上的信息安全防护体系。
参考文献:
[1]孙强.陈伟大.王东红.信息安全管理[M].北京.清华大学出版社,2004.
[2]李振汕.现代电子商务系统安全技术研究[J].中国管理信息化.2007.10.
[3]巨乃岐.信息安全的内涵与意义[J].齐鲁学刊.2003.2.
[4]刘文艳.社会信息化环境下的信息安全管理研究[J].网络安全技术与应用.2007.3.
[5]张红旗等.信息安全管理[M].北京.人民邮电出版社.2007.11.
升级会员 