信息安全管理系统模型设计

1信息安全管理系统现状

信息安全管理系统作为信息安全的支撑体系以及实施信息安全维护的落脚点，是信息安全管理中的重要组成部分。目前我国的信息安全管理系统还尚未完善，其不足之处首先表现为缺少统一的存储平台来对众多的文档进行储存，从而导致大量文档的丢失；其次，如果信息安全管理系统不完善，就不能降低资产等的风险评估以及对资产进行集中式的管理；最后，由于信息安全系统中各个报表功能的不完善，文档信息就无法快速、准确地透露出信息安全的实际状况，从而起到有效地保护作用。信息安全管理系统主要能够通过对关键资产实行定性和定量分析，从而得出资产的精确风险值，识别系统中存在的重要因患资产，并进一步通知信息管理员采取适当地方法来减少隐患事件的发生，通过科学的管理降低企业的资产风险。由此可见，完善的信息安全管理系统是不可或缺的，它一方面决定着信息安全管理体系的具体实施，另一方面也可以促进企业信息安全管理体系的进一步维护与建设。

2信息安全管理系统标准

科学统一的国家信息安全标准，有利于协调与融合各个信息安全管理系统的工作，充分促进信息安全标准系统的功能发挥。我国的信息安全管理标准主要分为ISO/IEC27000系列标准与信息安全等级保护标准两个部分。

2.1ISO/IEC27000系列标准

1995年，英国标准协会(BSI)了BS7799-1和BS7799-2两部标准，随着时代的进步其逐渐发展为ISO/IEC27001和ISO/IEC27002两个部分，并进一步成为目前信息安全管理体系的主要核心标准。BS7799的最初提出目的主要在于建立起一套能够用于开发、实施以及测量的科学信息安全管理惯例，并作为一种通用框架来促进贸易伙伴之间的信任。ISO/IEC27001重视ISMS的建构以及在PDCA基础之上的进一步循环与完善，这一过程实质上就是在宏观的角度上来指导整个项目的有效实施。它意在风险管理的基础之上，用风险分析的途径，把发生信息风险的概率降到最低程度，同时采取适当地措施来保障主体业务的顺利进行。ISO/IEC27002主要阐述了133项控制细则，以及11项需要有效控制的项目，其中包括安全策略、安全组织、信息安全事件管理、人力资源安全、符合性物理与环境安全、访问控制、资产管理、系统的开发与维护、业务连续性管理、通信与操作安全等一系列的安全风险评估与控制。

2.2信息安全等级保护

1994年国务院出台了《中华人民共和国计算机信息系统安全保护条例》，该项基本制度的主要目的在于提高信息安全保障能力的水平、保障并促进信息化的健康与发展，从而进一步维护国家安全、社会发展以及人民群众的利益。它的核心标准《GB17859-1999计算机信息系统安全保护等级划分准则》是在TCSEC的分级保护思想基础之上，针对我国信息安全的发展实际进行改善，最终把安全等级缩减成更具可操作性的5个级别。《GB/T22239-2008信息系统安全等级保护基本要求》则把信息安全控制要求进一步整理为管理要求与技术要求两类，其中前者主要包括系统建设管理、安全管理制度、系统运维管理、安全管理机构和人员安全管理；后者主要包括应用安全、网络安全、物理安全、主机安全以及数据安全与备份恢复。此外，信息安全等级保护的系列标准里还包括《GB/T20270-2006网络基础安全技术要求》以及《GB/T20271-2006信息系统安全通用要求》等一些关于信息安全维护细则的具体操作要求。

3信息安全管理系统的模型设计

根据信息安全管理系统标准，结合以往的信息安全管理系统设计，提出一种新型的四层信息安全管理系统：第一层为信息采集：主要包括人工脆弱性检查、漏洞扫描工具以及日志采集系统三部分。这一信息采集层的主要功能在于采集安全保护对象的漏洞与安全事件。第二层是数据库层：包括日志、资产库、异常日志以及资产弱点库和资产风险库等。该数据库层的主要功能在于对信息安全管理系统中的数据进行存储。第三层为功能模块层：包括资产管理、风险管理、弱点管理、信息安全管理规范下载管理资产等级评估管理、拓补管理以及日志分析。最后一层为展示层：它包含某个具体业务系统中的业务系统整体安全状况、资产安全状况、业务系统拓补以及异常安全事件等相关部分。上述新型信息安全管理系统模型主要体现出以下六点创新之处：

（1）业务系统的动态建模和系统支持资产，可以把业务系统和资产二者绑定在一起，由此，整个信息安全系统一方面可以准确地体现出在一个具体业务系统环境下，其单独资产的具体安全状况；另一方面该信息安全系统还能够根据IS027001的具体标准，反应出整个资产所承载的整体业务系统的安全状况。

（2）所设计的风险模块管理可以把风险评估常态化、主动化，使其对整个业务周期内的所有资产风险进行动态的跟踪与准确分析；另外，该信息安全系统的日志审计功能也可以实现被动式的安全管理，从而使主动管理与被动管理在信息安全管理系统中充分融合。

（3）该新安全管理系统增加并促进了拓补管理功能的发挥。

（4）该信息安全管理系统模型提供了统一的知识库管理，能够对日志、资产库、异常日志以及资产弱点库和资产风险库等部分进行更有效的数据存储与管理。根据科学的信息安全标准、建构科学合理的信息安全管理系统，能够有效地降低各个单位所面临的信息安全风险，提高起信息安全保障能力。世界处于不断地技术发展过程中，信息安全管理系统也会随着时间的推移与技术的更新而不断改进、完善，协调好众多的信息安全标准，充分促进信息安全标准系统的功能发挥，在良好的系统效应基础上，争取更高的社会效益与经济效益。

作者：刘剑楠 单位：沈阳电信工程局