張征
摘 要 信息安全模型是保障網(wǎng)絡(luò)信息安全的關(guān)鍵部分,為降低網(wǎng)絡(luò)信息的風(fēng)險因素,必須展開對信息安全模型建設(shè)進行研究,并對具體的安全系統(tǒng)方案進行設(shè)計。然而,實際的安全系統(tǒng)中,缺乏有效的風(fēng)險評估能力,不能展開對安全風(fēng)險的評估和控制,制約企業(yè)的發(fā)展和進步。故此,結(jié)合中國移動廣東公司的基于4M模型的信息安全風(fēng)險評估能力模型展開探究,對于具體的信息安全模型和安全系統(tǒng)方案設(shè)計進行研究,旨在提升安全風(fēng)險的評估能力,提升信息安全效果,推動企業(yè)發(fā)展。
關(guān)鍵詞 信息安全模型;研究;安全系統(tǒng);方案設(shè)計
中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708(2017)193-0047-02
物聯(lián)網(wǎng)技術(shù)的不斷完善和進步,安全威脅的攻擊對象也不斷轉(zhuǎn)變,網(wǎng)絡(luò)安全威脅成為影響物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵,這也對網(wǎng)絡(luò)安全技術(shù)和手段提出了更高的要求。而且,頻繁發(fā)生的安全隱患,可能會造成大范圍損失,嚴重影響網(wǎng)絡(luò)安全,亟需改變?;诖耍铇?gòu)建有效的網(wǎng)絡(luò)安全防護體系。本次研究結(jié)合移動信息企業(yè)的基本情況,對具體的基于4M的信息安全風(fēng)險評估能力模型進行闡述,并對其具體的安全系統(tǒng)方案設(shè)計進行研究,具體內(nèi)容如下。
1 信息安全模型研究
信息安全模型的種類較多,可以根據(jù)具體的安全等級和能力,可分為單級和多級兩種形式。站在的安全控制角度,可以將安全模型分為訪問控制、信息控制等,具體如下所述。
1)訪問控制類模型。這類模型的特點主要體現(xiàn)在直觀性、系統(tǒng)直接對應(yīng)聯(lián)系,是建立在矩陣模型的基礎(chǔ)上。為降低矩陣的體積,可選擇按列存儲的矩陣方式。訪問矩陣有廣泛應(yīng)用,尤其是對保護系統(tǒng)安全的理論研究。訪問控制類模型,可引入角色概念,構(gòu)建基于角色訪問的控制模型,具有靈活可靠的特點。
2)信息流控制類模型。訪問矩陣模型借助方案監(jiān)控器,結(jié)合訪問矩陣的決定,確定用戶是否具備訪問權(quán)利,經(jīng)過確認后,則不再對用戶進行監(jiān)控。而信息流控制模型則是在信息流控制的基本理念下展開。信息流控制類模型,可根據(jù)主體與客體的基本情況,對安全等級進行劃分,從而完成對信息安全的控制。常見的信息流控制類模型有:軍用安全模型、BLP模型和Bilba模型等。不同的安全模型,需要結(jié)合實際情況,展開對其的應(yīng)用。
3)基于4M的信息安全風(fēng)險評估能力模型。模型是通過構(gòu)建體系(systeM)、工具(platforM)、機制(Means)、隊伍(teaM)4個層面,完成對系統(tǒng)安全態(tài)勢的度量,進而為信息安全奠定基礎(chǔ)?;?M的信息安全風(fēng)險評估能力模型,融入ISO27001:2013,并以系統(tǒng)—領(lǐng)域—要素—指標為核心框架,可順利完成系統(tǒng)安全狀態(tài)的量化評估。且能夠借助云服務(wù),實現(xiàn)有效的信息共享,符合現(xiàn)代移動通信企業(yè)的基本需求。
2 安全系統(tǒng)方案設(shè)計
選擇基于4M的信息安全風(fēng)險評估能力模型,作為信息安全模型,展開對安全系統(tǒng)方案設(shè)計,內(nèi)容如下。
2.1 體系設(shè)計
構(gòu)建全面適用的評估體系,實現(xiàn)對信息風(fēng)險的評估。系統(tǒng)風(fēng)險評估,是推動信息安全管理的關(guān)鍵部分。具體的體系設(shè)計中,需要對風(fēng)險評估標準框架進行構(gòu)建??蚣苤饕且韵到y(tǒng)、領(lǐng)域、要素和指標為核心骨架,按照逐級建設(shè)的方式,完成對風(fēng)險度量指標體系的構(gòu)建。具體的構(gòu)建中,可引入ISO27001:2013信息安全管理規(guī)范等內(nèi)容,其中指標作為體系的關(guān)鍵部分,從其具體的定義、分級等入手,進而完成對體系的設(shè)計。
為實現(xiàn)系統(tǒng)的量化評估,則需對量化評分手段進行研究,具體的量化評估方式,可以按照4層遞歸評分方式。
2.2 工具設(shè)計
為實現(xiàn)對安全系統(tǒng)方案的設(shè)計,需加強對安全度量平臺的建設(shè),借助安全度量平臺,實現(xiàn)對系統(tǒng)風(fēng)險的綜合評估,并借助云服務(wù)推動度量平臺的推廣。安全度量平臺可有效提升計算自動化水平,降低成本,并降低門檻推動人員的運維效果,且數(shù)據(jù)能夠可視化、對比和共享,符合通信企業(yè)的基本需求。
2.3 隊伍設(shè)計
隊伍無需專業(yè)評估人員,評價者僅僅需要對系統(tǒng)具體操作進行了解,具體的評價設(shè)計方式,主要以答卷化為主,并對評估內(nèi)容進行簡化,將選擇題、判斷題作為主要的風(fēng)險評價指標度量的關(guān)鍵。而且,還可以指定度量分配方案,由不同的人員完成對不同類型的指標評價,滿足信息安全的基本需求。
2.4 機制設(shè)計
為保障信息安全評估的有效性,需要建立有效的機制,本文通過構(gòu)建系統(tǒng)交互、人工識別驗證、系統(tǒng)設(shè)備自動采集信息等方式,滿足系統(tǒng)原始數(shù)據(jù)信息的客觀性和準確性。只有保障數(shù)據(jù)信息的可靠穩(wěn)定,才能保障風(fēng)險識別的效果。其中系統(tǒng)交互驗證機制的具體交互方式,是由運維人員,將數(shù)據(jù)信息上傳到度量平臺。對于人工識別驗證機制,主要是通過工作人員識別提取的文件類型,并借助定期提交管理規(guī)范文件的方式,實現(xiàn)交互。
在此基礎(chǔ)上,還需要綜合對訪問控制、保密、驗證和安全保護等內(nèi)容進行設(shè)計。其中對于系統(tǒng)訪問控制對每個用戶進行命令授權(quán)、等級劃分等內(nèi)容,并選擇多級保密的方式,確保系統(tǒng)信息的整體安全性。為進一步保障系統(tǒng)的安全,本次研究可選擇智能卡進行用戶的身份驗證,對不同類型用戶的權(quán)限進行劃分,并保障用戶身份真實的基礎(chǔ)上,完成對用戶的識別驗證。系統(tǒng)自身的安全保護。為保護系統(tǒng)整體安全,必須對安全系統(tǒng)自身的安全保護部分的設(shè)計。另外,為實現(xiàn)基于4M的信息安全風(fēng)險評估能力模型的安全系統(tǒng),還需要對各個模塊進行設(shè)計,模塊包括系統(tǒng)管理員操作模塊、量化評分模塊等內(nèi)容。
3 應(yīng)用研究
基于4M的信息安全風(fēng)險評估能力模型所構(gòu)建的安全系統(tǒng),于2015年1月—12月,安全系統(tǒng)已經(jīng)在廣東省得到了全面的實施,且在試用期間,也得到較好的節(jié)約成本的目的。借助安全系統(tǒng)的應(yīng)用,有效的規(guī)避安全風(fēng)險的帶來的損失,未來在全省9 000余套系統(tǒng)的全面推廣,可預(yù)計節(jié)約成本3 240萬元,規(guī)避信息安全問題的產(chǎn)生,符合企業(yè)持續(xù)健康發(fā)展的需求。
另外,安全系統(tǒng)的應(yīng)用,在基本控制安全風(fēng)險的基礎(chǔ)上,還可以提供安全工作的效率,可提升60%,并為重點管理工作提供有效的決策依據(jù),推動企業(yè)的信息安全。
4 結(jié)論
結(jié)合中國移動廣東公司的信息安全模型展開研究,對具體的基于4M模型的信息安全評價體系進行研究,結(jié)合實際情況,對具體的安全系統(tǒng)方案設(shè)計進行研究,最后對具體的系統(tǒng)應(yīng)用情況進行闡述,得到有效的安全系統(tǒng)方案設(shè)計,對改善企業(yè)信息安全具有積極的作用與意義。
參考文獻
[1]劉靜.基于模擬攻擊方式的信息安全性檢測模型的研究與設(shè)計[D].西安:西北大學(xué),2011:35-36.
[2]李軍,郭紅梅.計算機信息安全技術(shù)的應(yīng)用探究[J].電子測試,2014(21):152-153.
[3]曹祥飛,王奔,黃承鍵.計算機信息系統(tǒng)安全防護體系模型建立與實現(xiàn)分析探究[J].工程技術(shù):全文版,2016(12):00320.
[4]陳澤徐.基于RBAC的信息安全模型的研究與設(shè)計[J].電子制作,2012(11):10.
[5]曹霞.基于面向服務(wù)的信息安全模型探究[J].電腦編程技巧與維護,2015(11):99-100.