| 标题 | 信息安全模型的研究及安全系统方案设计 |
| 范文 | 张征 摘 要 信息安全模型是保障网络信息安全的关键部分,为降低网络信息的风险因素,必须展开对信息安全模型建设进行研究,并对具体的安全系统方案进行设计。然而,实际的安全系统中,缺乏有效的风险评估能力,不能展开对安全风险的评估和控制,制约企业的发展和进步。故此,结合中国移动广东公司的基于4M模型的信息安全风险评估能力模型展开探究,对于具体的信息安全模型和安全系统方案设计进行研究,旨在提升安全风险的评估能力,提升信息安全效果,推动企业发展。 关键词 信息安全模型;研究;安全系统;方案设计 中图分类号 TP3 文献标识码 A 文章編号 1674-6708(2017)193-0047-02 物联网技术的不断完善和进步,安全威胁的攻击对象也不断转变,网络安全威胁成为影响物联网、工业互联网安全的关键,这也对网络安全技术和手段提出了更高的要求。而且,频繁发生的安全隐患,可能会造成大范围损失,严重影响网络安全,亟需改变。基于此,需构建有效的网络安全防护体系。本次研究结合移动信息企业的基本情况,对具体的基于4M的信息安全风险评估能力模型进行阐述,并对其具体的安全系统方案设计进行研究,具体内容如下。 1 信息安全模型研究 信息安全模型的种类较多,可以根据具体的安全等级和能力,可分为单级和多级两种形式。站在的安全控制角度,可以将安全模型分为访问控制、信息控制等,具体如下所述。 1)访问控制类模型。这类模型的特点主要体现在直观性、系统直接对应联系,是建立在矩阵模型的基础上。为降低矩阵的体积,可选择按列存储的矩阵方式。访问矩阵有广泛应用,尤其是对保护系统安全的理论研究。访问控制类模型,可引入角色概念,构建基于角色访问的控制模型,具有灵活可靠的特点。 2)信息流控制类模型。访问矩阵模型借助方案监控器,结合访问矩阵的决定,确定用户是否具备访问权利,经过确认后,则不再对用户进行监控。而信息流控制模型则是在信息流控制的基本理念下展开。信息流控制类模型,可根据主体与客体的基本情况,对安全等级进行划分,从而完成对信息安全的控制。常见的信息流控制类模型有:军用安全模型、BLP模型和Bilba模型等。不同的安全模型,需要结合实际情况,展开对其的应用。 3)基于4M的信息安全风险评估能力模型。模型是通过构建体系(systeM)、工具(platforM)、机制(Means)、队伍(teaM)4个层面,完成对系统安全态势的度量,进而为信息安全奠定基础。基于4M的信息安全风险评估能力模型,融入ISO27001:2013,并以系统—领域—要素—指标为核心框架,可顺利完成系统安全状态的量化评估。且能够借助云服务,实现有效的信息共享,符合现代移动通信企业的基本需求。 2 安全系统方案设计 选择基于4M的信息安全风险评估能力模型,作为信息安全模型,展开对安全系统方案设计,内容如下。 2.1 体系设计 构建全面适用的评估体系,实现对信息风险的评估。系统风险评估,是推动信息安全管理的关键部分。具体的体系设计中,需要对风险评估标准框架进行构建。框架主要是以系统、领域、要素和指标为核心骨架,按照逐级建设的方式,完成对风险度量指标体系的构建。具体的构建中,可引入ISO27001:2013信息安全管理规范等内容,其中指标作为体系的关键部分,从其具体的定义、分级等入手,进而完成对体系的设计。 为实现系统的量化评估,则需对量化评分手段进行研究,具体的量化评估方式,可以按照4层递归评分方式。 2.2 工具设计 为实现对安全系统方案的设计,需加强对安全度量平台的建设,借助安全度量平台,实现对系统风险的综合评估,并借助云服务推动度量平台的推广。安全度量平台可有效提升计算自动化水平,降低成本,并降低门槛推动人员的运维效果,且数据能够可视化、对比和共享,符合通信企业的基本需求。 2.3 队伍设计 队伍无需专业评估人员,评价者仅仅需要对系统具体操作进行了解,具体的评价设计方式,主要以答卷化为主,并对评估内容进行简化,将选择题、判断题作为主要的风险评价指标度量的关键。而且,还可以指定度量分配方案,由不同的人员完成对不同类型的指标评价,满足信息安全的基本需求。 2.4 机制设计 为保障信息安全评估的有效性,需要建立有效的机制,本文通过构建系统交互、人工识别验证、系统设备自动采集信息等方式,满足系统原始数据信息的客观性和准确性。只有保障数据信息的可靠稳定,才能保障风险识别的效果。其中系统交互验证机制的具体交互方式,是由运维人员,将数据信息上传到度量平台。对于人工识别验证机制,主要是通过工作人员识别提取的文件类型,并借助定期提交管理规范文件的方式,实现交互。 在此基础上,还需要综合对访问控制、保密、验证和安全保护等内容进行设计。其中对于系统访问控制对每个用户进行命令授权、等级划分等内容,并选择多级保密的方式,确保系统信息的整体安全性。为进一步保障系统的安全,本次研究可选择智能卡进行用户的身份验证,对不同类型用户的权限进行划分,并保障用户身份真实的基础上,完成对用户的识别验证。系统自身的安全保护。为保护系统整体安全,必须对安全系统自身的安全保护部分的设计。另外,为实现基于4M的信息安全风险评估能力模型的安全系统,还需要对各个模块进行设计,模块包括系统管理员操作模块、量化评分模块等内容。 3 应用研究 基于4M的信息安全风险评估能力模型所构建的安全系统,于2015年1月—12月,安全系统已经在广东省得到了全面的实施,且在试用期间,也得到较好的节约成本的目的。借助安全系统的应用,有效的规避安全风险的带来的损失,未来在全省9 000余套系统的全面推广,可预计节约成本3 240万元,规避信息安全问题的产生,符合企业持续健康发展的需求。 另外,安全系统的应用,在基本控制安全风险的基础上,还可以提供安全工作的效率,可提升60%,并为重点管理工作提供有效的决策依据,推动企业的信息安全。 4 结论 结合中国移动广东公司的信息安全模型展开研究,对具体的基于4M模型的信息安全评价体系进行研究,结合实际情况,对具体的安全系统方案设计进行研究,最后对具体的系统应用情况进行阐述,得到有效的安全系统方案设计,对改善企业信息安全具有积极的作用与意义。 参考文献 [1]刘静.基于模拟攻击方式的信息安全性检测模型的研究与设计[D].西安:西北大学,2011:35-36. [2]李军,郭红梅.计算机信息安全技术的应用探究[J].电子测试,2014(21):152-153. [3]曹祥飞,王奔,黄承键.计算机信息系统安全防护体系模型建立与实现分析探究[J].工程技术:全文版,2016(12):00320. [4]陈泽徐.基于RBAC的信息安全模型的研究与设计[J].电子制作,2012(11):10. [5]曹霞.基于面向服务的信息安全模型探究[J].电脑编程技巧与维护,2015(11):99-100. |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。