开题报告科技企业信息安全管理分析.docx

1、开题报告科技企业信息安全管理分析科技企业信息安全管理分析开题报告摘要: 本文以晨讯科技集团信息安全管理所遇到的问题为切入点，综合分析信息安全管理的现状和面临的内外部环境的变化，提出晨讯科技集团有必要对信息安全管理进行战略调整，然后，结合新的信息安全风险和潜在威胁的不断出现，提出信息安全管理对企业的发展的重要性。本文认为晨讯科技集团应对信息安全管理采取更有效的措施，这样可以规避更多信息安全方面的风险，保护企业的核心信息资产安全。接着，本文对晨讯科技集团如何改善和加强信息安全管理建设进行了具体实施方法的解析。最后，针对如何在企业业务的便捷性与信息安全管理之间进行平衡给出了建议。关键词: 信息安全，

2、管理体系，风险管理，信息安全策略1研究背景1.1 研究背景及问题的提出在当今全球一体化的商业环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略，企业战略也恰当利用信息技术的优势。晨讯科技集团是国内领先的移动通信企业，连续多年在手机设计行业排名第一。其IT部门支持集团业务的发展多年，IT规模快速扩张。鉴于集团是知识产权型企业，信息安全工作是重中之重，IT部门平时亦在此上投入了大量资源，但存在以下困惑：

3、目前集团信息安全管理水准如何？这些资源投入是否足够、是否合理？业界有哪些信息安全管理好的经验及最佳实践可以借鉴？如何改进和提高？1.2 研究目的和意义通过对晨讯科技集团IT系统的信息安全管理的实际情况进行调研，并采用科学的方法进行分析与评估，对晨讯科技集团信息安全实际情况有客观、准确、清晰的认识；通过与晨讯科技集团IT管理人员的沟通，并对其安全需求进行分析与研究，整理出清晰明确的、量化的、在一定时限内可实现的相关目标；通过分析与研究，并结合相关国内国际最新理论、理念、最佳实践，提出一套完整的、实现其目标的、可行的方法。使其建立适合其自身的、并可以不断自我优化的信息安全管理体系。1.3 研究方法

4、和思路本文的研究方法是理论结合实际。首先通过对晨讯科技集团进行了介绍，并对晨讯科技集团面临的具体问题进行了分析，然后找出了晨讯科技集团在信息安全项目管理上存在的缺陷和处理的方法，其次查找了信息安全管理的相关理论，对理论进行了整理和辨析，并且分析了国外和国内对理论的应用回顾。再次，本文对晨讯科技集团信息安全的具体实施进行了分析指导。最后本文把理论与实践相结合，对晨讯科技集团信息安全管理的未来发展给出了建议。本文的研究思路是提出问题-分析问题-解决问题。2文献综述2.1 信息安全的发展历程随着以计算机和网络通信为代表的信息技术（IT）的迅猛发展，现代政府部门、金融机构、企事业单位和商业组织对IT系

5、统的依赖也日益加重，信息技术几乎渗透到了世界各地和社会生活的方方面面。正是因为组织机构的正常运转高度依赖IT系统，IT系统所承载的信息和服务的安全性就越发显得重要。从20世纪40年代开始，信息安全经历的发展历程：1、通信保密（COMSEC）：计算机发展初期，信息安全就是采用加密和基于计算机规则的访问控制来保证信息流通安全；2、计算机安全（COMPSEC）：20世纪70年代，人们开始意识到计算机在使用中存在着计算机安全问题：1969年美国兰德公司向美国国防部提出“计算机太脆弱了，有安全问题”，在这段时期，计算机安全的内涵主要是指实体（物理）安全；3、计算机信息系统安全（SYSSEC）：到了20世

6、纪80年代，各类计算机管理系统相继发展，从而提出了计算机信息系统安全问题。此时人们关注的除了实体安全，还包括在该系统上运行的软件与保存的信息的安全；4、网络安全（NETSEC）：进入20世纪90年代，因特网飞速发展，计算机网络应用占据了重要位置。信息在网络上广泛传播使网络安全受到前所未有的重视，强调信息在网络环境中，尤其在外网环境中的安全；5、信息安全（IS）：20世纪90年代几乎与网络安全同时提出的还有信息安全，只是强调的重点不同。信息安全重视的是在社会信息化过程中存在的安全问题，强调的重点不再是技术手段的应用，而是倾向于管理方面；6、信息保障（IA）：近几年，国外提出了信息保障的概念，其内

7、涵主要包括评估、保护、监控、应急、恢复等方面，强调了信息系统的动态管理。开放复杂的信息系统面临着诸多风险，而为了解决这些风险问题，人们从无间断地研究着信息安全的自身特点，并且寻找问题的解决之道，最直接的做法就是各种安全技术和产品的选择使用，这也是一个从单一到全面、从静态防护到动态保障的发展过程。决定信息安全成败的除了技术因素，另一个就是管理。安全技术是信息安全控制的重要手段，但光有安全技术还不行，要让安全技术发挥应有的作用，必然要有适当的管理程序的支持，否则，安全技术只能趋于僵化和失败。如果说安全技术是信息安全的构筑材料，那安全管理就是真正的粘合剂和催化剂，只有将有效的安全管理从始至终贯彻落实

8、于安全建设的方方面面，信息安全的长期性和稳定性才能有所保证。2.2 信息安全管理的定义和内涵传统的信息安全研究，关注的焦点主要停留在技术层面上。国内外的不少机构和学者从技术层面对信息安全的基本概念、基本技术、体系结构以及发展战略等方面也进行了较为深入的研究，为信息安全工作奠定了很好的基础。但是，现实世界的任何系统都是由复杂的要素构成的，信息安全问题单纯依靠技术手段是解决不了的。信息安全建设应是一个系统工程，其主体应该是人（包括用户、团体、社会和国家），把信息安全管理与信息安全技术手段结合起来，对系统中的各个环节进行统一的规划和综合考虑，并要兼顾环境和系统内部不断发生的变化，建立系统化的管理体系

9、。信息安全建设不仅是一个技术问题，更是一个管理问题。据有关机构统计表明：网络与信息安全事件大约有70%以上的问题是由管理因素造成的，诸如政策法规的不完善、管理制度的不健全、安全意识的淡薄和操作过程的失误等，这正应了十几年前国家863 CIMS专家组“三分技术，七分管理”的箴言。即便有好的安全设备、系统和技术，若没有有效地贯穿于信息流通与信息活动中的安全管理工作，也是无法真正实现信息安全的。因此，管理是贯穿信息安全整个过程的生命线。2.3 信息安全管理的相关理论及标准ISO 2700是有关信息安全管理的国际标准。最初源于英国标准BS 7799，经过不断改版，在2005年被国际标准化组织(ISO)

10、转化为正式的国际标准，于2005年10月15日发布为ISO/IEC 27001：2005。该标准可用于组织的信息安全管理体系的建立的实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。其正式名称为ISO/IEC 27001：2005 信息技术-安全技术-信息安全管理体系-要求。英国标准协会BSI于1995年首次出版BS 7799-1，该标准规定了一套适用于工商业组织使用的信息系统的信息安全管理体系(ISMS)控制条件，包括网络和沟通中使用的信息处理技术，并提供了一套综合的信息安全实施规则，作为工商业组织的信息系统在大多数情况下所遵循的唯

11、一参考基准，标准的内容定期进行评定。2000年12月，BS 7799-1通过国际化标准组织ISO认可，正式成为国际标准ISO/IEC 17799。目前，已有二十多个国家引用BS 7799-2作为国标。信息安全公司都以BS 7799-1作为指导为客户提供信息安全咨询服务。该标准主要由两大部分组成：ISO 17799、ISO 27001。3技术路线3.1课题主要内容1.绪论 1.1 问题的提出 1.2 研究目的和意义1.3 研究方法和思路2.文献综述2.1 信息安全概述2.2 风险管理概述3.我国企业信息安全环境及现状分析3.1 企业的信息环境分析3.2 企业信息安全现状分析3.3 企业信息安全需

12、求分析4.晨讯科技集团的信息安全风险现状分析4.1 晨讯科技集团简介4.2 晨讯科技集团面临的主要信息安全风险5.晨讯科技集团信息安全风险的特征与产生的原因5.1 晨讯科技集团信息安全风险的特征5.2 晨讯科技集团信息安全风险对信息安全的威胁5.3 晨讯科技集团信息安全风险产生的原因分析6.基于风险管理的晨讯科技集团信息安全策略6.1 技术类信息安全风险防范策略6.2 管理类信息安全风险防范策略3.2研究重点和难点3.2.1重点本文的重点在于针对晨讯科技集团日益增长的安全需求，单从技术角度不能从根本上解决信息安全问题的现状，对晨讯科技集团面临的内外部信息安全风险进行归类、分析，并从实际出发提出

13、能够为晨讯科技集团解决信息安全问题提供理论指导的风险管理策略，特别是从晨讯科技集团战略管理的高度，通过规范晨讯科技集团内部管理来保障企业信息的安全。3.2.2难点本文难点所在，主要通过对晨讯科技集团的实际调查研究，从信息安全的现状分析晨讯科技集团面临的主要信息安全风险和风险产生的原因，结合晨讯科技集团自身对信息安全的需求情况,提出以风险管理为基础降低晨讯科技集团信息安全风险的策略。3.3研究方法和研究思路本文在充分利用现有的文献资料和进行案例分析的基础上，对企业信息安全进行了系统的研究。通过理论归纳法论述信息安全和风险管理的相关理论，采用了理论和实际相结合的方法，深入分析了现今企业所面临的诸多

14、信息安全问题与隐患，通过对晨讯科技集团信息安全问题的调查研究，了解晨讯科技集团的信息安全现状、晨讯科技集团面临的信息安全风险。强调了在晨讯科技集团信息安全管理中引入风险管理的必要性和重要性。在总结分析研究结果的基础上，分别从晨讯科技集团内、外部环境管理和企业面临的技术类安全风险、管理类安全风险等方面提出基于风险管理的信息安全策略。4进度安排4.1第1周第4周 (1) 文献查阅 (2) 确定论文题目，列出论文的写作大纲4.2第5周第8周 (1) 撰写开题报告初稿 (2) 外文文献翻译 (3) 进一步搜集与课题研究有关的数据和资料4.3第9周第16周 (1) 修改开题报告 (2) 撰写论文初稿 (

15、3) 论文预审4.4第17周-第20周 (1) 修改论文 (2) 定稿 (3) 打印论文 (4) 提交正式论文4.5 第21周-22周 (1) 准备论文答辩 (2) 答辩5参考文献1 Code of Practice for Information Security ManagementS. ISO/IEC17799， 2000.2 陈慧勤企业信息安全风险管理的框架研究D上海：同济大学，20063 唐晓波信息安全概论M北京：科学出版社，20104 吕俊杰信息安全风险管理方法及应用M北京：知识产权出版社，20105 王淑江网络安全M北京：机械工业出版社，2007.6 刘丽然，苏城. 企业信息安全

16、研究J应用与安全，2008(2)：21-227 王军英，马国青. 企业信息安全风险分析及对策J信息资源建设与管理，2010(7)：71-728 韩慧群. 风险管理在信息系统安全中的应用研究D上海：同济大学， 2001.9 刘广学. 基于风险管理的企业信息安全保障策略研究D上海：同济大学，2005.10 Australian/New Zealand Standard AS/N7，S 4360 ：1999：Risk Management R.199911 International Organization for StandardizationIS0/IECTR 13335Guidelines

17、for the Management of IT Security(GMITS).1996-2001 12 范红，冯国登，吴亚飞. 信息安全风险评估方法与应用M. 北京：清华大学出版社， 200613 张灼，张勇. 信息系统安全与风险管理之我见J. 网络与通信， 2009(03)：23-25 14 The International Organization for StandardizationCommon Criteria for Information Technology Security EvaluationISOIECl5408，1999. 15 陈融圣，郭永. 对福建某企业信息安

18、全需求的分析J. 电陆知识识与技术，2008，4(9)：284-28516 熊甲林. 绕过企业信息安全的误区J. 计算机世界，2007(18)：1-217 孙星. 风险管理M. 北京：经济管理出版社，2007.18 章钢，谢阳群. 论企业信息安全风险及其防范对策J. 情报方法， 2005(5)：8-1119 侯卫超. 企业信息安全现状分析与管理对策J. 计算机与信息技术， 2007(28)：68-6920 尹鸿波. 企业信息安全策略研究J. 电脑与信息技术， 2011，19(3)：42-4321 刘晔，郭金根. 信息安全态势分析J. 浙江电力， 2010， 29(12)： 1-7文献翻译信息安

19、全：新的危机还是常见危机?Information Security: New Threats or Familiar Problems?信息安全专家夜以继日的工作，就是为了打败黑客伦敦会议证实了此类威胁和解决方案移动设备，银行账户以及网站成为最容易受到破坏的群体专家们建议，在任何行动之前，要充分认识到危机的存在。正文：一天中，很少有能出现信息安全不被破坏的消息。在上周的一轮黑客攻击当中，名为“好莱坞泄密”的网络攻击对私人，索尼公司，教会等处的信息到处散播，制造了相当多的麻烦。然而，就在几天前的黑客攻势出现后，问题尽管看上去一点也不显著，但是，同样具备相当技术的集团人员，在伦敦的一家旅店会面，针

20、对信息安全所有可能受到的威胁做了充分的讨论，他们的行动被称为“信安会”。44会议典礼的开幕代表着英国第一次大型的信息安全专家会议的诞生。300多名与会代表和发言人被戏称为“白色冒子”。程序员，专业测试人员，被邀请和雇佣到会议现场，测验商业中所存在的脆弱的信息点。通过这些道德性极高的黑客所提供的信息，制造商会在危机发生之前就把所存在的问题解决，相关的公司也会采取必要的措施保护好自己的数据。每一个人都会对索尼事件投以关注，而且会想，希望我不会成为下一个攻击目标。尽管破坏分子总能成为新闻首条，44会议却能证明他们在通黑客们一起战斗，与此同时，他们还在传统信息安全方面起着重要作用。“过去十年里人们对媒

21、体及信息的使用和消费发生了巨大变化”Steve Lord如此说道，他是一名信息专家，也是44会议的创建者之一。我们所思考的很多信息都会存储在计算机上面，在一个急速增长的网络世界里，这些信息可能会到处扩展，所以保持这些信息的安全，是日益增加的社会需求，否则人们就不会把信息放在网上了。44会议引来了包括政府，军方，风险经理，学生等人群的关注和参与。根据主办方的安排，会议的名号众多，以至于没有人能分清未来和名号本身。”每个人都希望能在会议上提出解决问题的方法来，这也是他们所共同追求的愿景。“主办方如此说道。高档的黑客手段，正参与到保护电子信息免于破坏的进程当中。在44会议里，许多旧式手法被证实，包括

22、对于其他智能手机的破坏行动，以致于美国航天局的信息也难逃被拦截的命运。“我们遇到了个大麻烦，就像世界范围的经济危机一样，Haroon Meer说道，他是一名信安会的咨询和研究者。我们的信息安全正遭受严重的威胁，我们必须努力，让破坏行动被制止于发生之时，另外，我们还得在防卫手法方面有所提高。 Alex de Joode是全球托管服务提供商的安全主管，他解释了为何web设计师应当始终具备安全意识以对抗互联网威胁。种种迹象表明，网络罪犯的人数越来越多，这是个挥之不去的严重问题，而互联网上的“坏蛋们”正靠他们的不法行为过着滋润的日子。虽说许多网络罪犯的确是倾其全力于个人用户，但还有一些更加险恶的“匪帮

23、”眼界则要高出许多。这些网络罪犯瞄准的是价值不菲的企业，他们窃取那些防范森严的知识产权、登录细节、金融数据及其他敏感信息，而这些信息都存放在“安全”的企业网络或web应用界限内。每一天，都会出现愈渐精细复杂的特洛伊和恶意软件变种，它们狡猾的设计，能够避开银行、网上商店和支付平台所采取的安全措施。这类攻击最常见的目标就是Windows，因为它为最多的用户提供了最多的网上服务（银行、商店、支付平台等等）。不过，得益于iPhone这类设备的推出，苹果公司的市场份额扩大，由此，基于苹果的系统也正愈加受到青睐。此类移动设备的增长只会让企业世界对安全问题更加头痛。政治黑客与此同时，基于政治原因，罪犯攻击热

24、门网站和广告引擎以窃取信息和紧用网站的事件也在显著上升。最近一波“激进黑客”给web开发者提出了新的考验，许多传统组织的网站现正遭受黑客攻击。利用分布式拒绝服务（DDOS）攻击，激进黑客使用僵尸网络和用服务器请求淹没目标网站的方式，让网站无法访问。然而，近来的匿名攻击显示其复杂程度又上了新台阶，通过招募志愿者下载工具来创建“虚拟”僵尸网络，几乎可以让人人成为潜在的黑客。安全步骤那么web开发者可以有何作为来确保企业在线网络的安全呢？解决安全问题的第一步始于开发和设计阶段。如果开发者忽视了解决所有安全问题，未来的黑客便很可能利用这一缺陷，从网站抽取机密信息。为修复这一问题，网站设计师必须确保他们

25、的脚本得到非常妥善的规划和测试，特别是那些处理私人信息的部分。在许多国家，现在已有法规要求来确保医疗和金融记录的隐私。使用发自可信的证书授权中心的数字证书（数字ID），连同SSL加密，可为交易中的各方提供很高等级的安全保障。使内容管理系统（CMS）保持最新也很关键，并且确保网站的其他安全方面也更新了。Web开发者最终必须不断提升他们对自家平台系统安全的了解，以便保护终端用户及自己的客户。Web设计师是这场抵御网络犯罪之战的一条重要防线，对创建安全网站负有极为重要的责任。动技术、虚拟化、社交网络，还有云计算 - 一份智库研究已经把我们所有的好朋友全都列入了黑名单上。这份研究在军队和政府的博主间四

26、处传播，显示了美国政府的IT领导者对安全和隐私的主要担忧。政策制定者被告知，那些我们所了解和喜爱的应用是危险的，会给网络恐怖主义留下许多安全漏洞。这是一场老大哥保护过度的灾难，抑或是我们的前沿技术的确会给用户带来巨大的风险？部分技术趋势已经出现了相当一段时间了；然而，它们仍旧引起我们的信息安全方面的朋友极大的忧虑。资料外泄 (40%)，网络犯罪(40%)，云计算 (39%)，外包(34%)，还有开源应用 (18%)在政府的IT专家眼里也存在安全漏洞，同样被列入该研究的漏洞清单之列。不过2.0的拥护者，联邦政府的CIO Vivek Kundra在最近的一篇文章中说：“我们的政策滞后于新趋势，导致

27、了对新技术的使用进行不必要的限.这种技术支撑着政府执行的每一项行动 - 从维护边疆到环境保护等等。IT对政府工作来说是必不可少的，而我们得以接触最前沿、最具创新性的技术是不可或缺的。”看到移动技术、社交网络以及云计算被视为数据安全的威胁，落入与网络犯罪及信息恐怖主义为伍，这真令人恐惧悲哀。但美国领导者们害怕的正确性又如何？波耐蒙研究所报告称：“ IT运营和IT安全专家将云计算和敏感信息外包向第三方、有组织的信息犯罪集团这种外部威胁还有信息恐怖主义以及移动办公用户敞开. 我们相信这份研究的发现给政府组织提供了找到哪些威胁更具危险性的指南。”你对这些知名度甚高、流行甚广的技术趋势被政府IT主管认为

28、是威胁的看法如何？这是不食人间烟火的政府要员镇压社交网络却放纵真正该负责任的黑帽黑客的一个例子，还是被称为社交媒体专家者忽视了其应尽之义务，在任何产品推出供全面使用之前未能确保充分的安全呢？或者二者皆有之？最重要的是，我们该如何解决这个问题，让用户在享受互联网应用所带来的好处的同时确保政府和企业的敏感信息安全依旧呢？专注于信息安全的波耐蒙研究所调查了217名分布在不同联邦组织里的高级IT主管。 他们大声疾呼以下这5大互联网技术的发展趋势 - 起码在他们看来 - 会至商业、政府和个人于危险的境地：社区协助同样重要的是，要与那些监控web上不法行为的组织保持联络，以便了解最新的安全问题。Lease

29、Web发起了“社区拓展计划”（Community Outreach Project），它就恶意软件和互联网“罪恶”之源，进行监测并与托管社区共享信息，由此，为企业组织对抗网络犯罪提供支持。这些信息用于帮助发现潜在的安全“漏洞”，此类弱点可能被利用向客户发起攻击。高质量的托管服务提供商，如LeaseWeb会极为关注怎样确保客户得到一个安全的托管环境，并会与诸多关注互联网安全的组织合作，以求将安全威胁降到最小。合作是对抗网络犯罪的关键要素。一方面，企业组织能确保他们创建了安全可靠的站点和在线网络，另一方面，托管服务提供商通过与恶意软件较量，可以设法确保互联网成为更好的交易场所，那些依靠安全互联网的

30、其他企业组织可以进行日常操作。对于IT和web托管行业中的每个人来说，重要的是要齐心协力全面控制安全风险。专家们通常会对某一语言性的问题加以争论，虽然不会立即出现结果，但是他们的努力通常会出现非常清晰的思路。佐治亚理工学院信息安全中心一份新的报告把搜索引擎、移动电话和个人信息列为黑客攻击的首要目标。生物信息学家马克格斯坦和他的同事们架设了一台服务器用以提供一些经常被使用的基因组数据。他用来操作的是一套叫做“Snort”的免费应用软件，它能主动监视网络流量中的各种反常举动，包括那些暗中的扫描和可能危害系统完整性的入侵服务器的行为。然后研究人员便坐下来等着看看发生什么。七个月里，研究人员所看到的就

31、是一副兵临城下的场景。“如果你架设一台服务器，那么它接下来就会一直生活在枪林弹雨之中。”康涅狄格州纽黑文耶鲁大学的格斯坦说道。在大多数日子里，服务器每天会挨上不到十次，但偶然间这个数字会突然飙升至上千次。其中很多都是攻击行为，格斯坦解释说。在两天高峰时期里，超过90%的尝试都想让“缓存区溢出”，他们想通过把过量的数据写入系统的存储区让它瘫痪，然后他们就可以予取予夺。面对着这么穷凶极恶的杀手，当你在万维网上想搞点什么的时候务必万分小心。假设你只是个初出茅庐的本科生却想去建个网站，结果将可能是灾难性的，格斯坦说道。如果你对你的计算机硬件和操作系统这样的访问界面不设置或者只设置很简单的密码，黑客将会在你的网站页面上加料，更糟的是，他会在你的机器里安装恶意程序。这些攻击者们神通广大，他们有可能给你安装程序，把系统资源设置成只能通过键盘登录，还会下一种扫描软件，偷窃你的用户信息和密码。有些黑客瞄准的就是大学系统以图偷取计算机资源甚至是知识产权，包括化合物专利，仪器设计，病人资料和个人通信记录。2009年九月，英国东安格利亚大学气候研究小组中就怀疑发生了通过电邮的黑客泄密行为，这导致了气候科学中的全球信任危机。“现在还没有哪个部门能够抵抗得住这些入侵者的频繁骚扰。”FBI计算机技术部的副助理署长史蒂文卡宾斯基警告说。