淺談信息安全管理的有效性測(cè)量方法

王輝

摘 要 隨著時(shí)代的發(fā)展人們對(duì)信息系統(tǒng)的依賴越來(lái)越來(lái)明顯，信息系統(tǒng)已經(jīng)滲透到生活的每一個(gè)角落，可以說(shuō)現(xiàn)代人已經(jīng)離開不了信息系統(tǒng)帶來(lái)的便利，而許多犯罪分子就是利用了網(wǎng)絡(luò)便利這一特點(diǎn)實(shí)施犯罪，如今的網(wǎng)絡(luò)詐騙屢見不鮮，因此，在網(wǎng)絡(luò)信息安全保護(hù)方面逐漸突出和嚴(yán)峻。實(shí)現(xiàn)對(duì)企業(yè)信息系統(tǒng)的有效測(cè)量才能對(duì)企業(yè)信息系統(tǒng)安全做一個(gè)評(píng)估，保證信息系統(tǒng)是否能抵御外界的一切侵襲才可以達(dá)到自我控制的水平，也體現(xiàn)了對(duì)企業(yè)信息系統(tǒng)安全整體提高的重要性。對(duì)信息系統(tǒng)安全實(shí)施的重要性可以提高整體經(jīng)濟(jì)水平來(lái)做比較，從而得知維護(hù)信息系統(tǒng)安全的重要性。

關(guān)鍵詞 信息系統(tǒng)；安全管理；有效測(cè)量；方法

中圖分類號(hào) G2 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2018）206-0110-02

在現(xiàn)代發(fā)展潮流中，信息系統(tǒng)、網(wǎng)絡(luò)、計(jì)算機(jī)大量納入生產(chǎn)生活的管理當(dāng)中，先不論它具體的作用，就它的便利之處就能讓人們緊緊依賴著，在生產(chǎn)生活中我們把大量的信息都儲(chǔ)存在了信息網(wǎng)絡(luò)里，我們隨時(shí)隨地都可以從中調(diào)取使用，而這樣的便利便成為了許多高智商犯罪分子利用網(wǎng)絡(luò)系統(tǒng)的漏洞、便利來(lái)實(shí)施犯罪，例如：如今在中國(guó)流行的支付方式微信、支付寶，讓其他國(guó)家看的目瞪口呆，因?yàn)楝F(xiàn)在出門完全不用帶任何的現(xiàn)金，都不用擔(dān)心找錢麻煩或者被偷的風(fēng)險(xiǎn)，十分的便利。因此，網(wǎng)絡(luò)犯罪分子有了見縫插針的機(jī)會(huì)，借此機(jī)會(huì)盜取錢財(cái)，只需要用一張二維碼，如果消費(fèi)者掃了二維碼并且支付相應(yīng)的金額后，卡里所有的金額都會(huì)被一掃而空。

因此，在對(duì)信息系統(tǒng)安全性方面一定要實(shí)施嚴(yán)峻的測(cè)量方法，檢測(cè)一切漏洞防止犯罪分子有機(jī)可乘，在逐漸深入運(yùn)用信息系統(tǒng)的同時(shí)，對(duì)信息系統(tǒng)安全管理也應(yīng)該增強(qiáng)，并通過(guò)多樣化的方法來(lái)改善當(dāng)前出現(xiàn)的問(wèn)題。在強(qiáng)化信息安全在技術(shù)方面建設(shè)的同時(shí)還要有效的開展信息系統(tǒng)安全的評(píng)估工作，從而降低信息系統(tǒng)整體安全中出現(xiàn)漏洞的機(jī)會(huì)。

1 信息系統(tǒng)安全管理有效測(cè)量目的

通過(guò)有效的測(cè)量，能夠得知信息系統(tǒng)里出現(xiàn)的安全隱患，例如：得知一個(gè)企業(yè)信息系統(tǒng)安全評(píng)估的真正水平，是否把握在控制范圍內(nèi)，使企業(yè)在后續(xù)的信息安全管理發(fā)展中有明確穩(wěn)定的發(fā)展目標(biāo)，而企業(yè)的信息系統(tǒng)在建立之初往往會(huì)根據(jù)企業(yè)自身的發(fā)展需求、安全標(biāo)準(zhǔn)、組織結(jié)構(gòu)、利益關(guān)系等方面考慮信息系統(tǒng)的建設(shè)，從中構(gòu)建一個(gè)完整的安全信息系統(tǒng)體系。

通過(guò)對(duì)信息系統(tǒng)安全管理進(jìn)行有效的測(cè)量，可以在有技術(shù)管理的支撐條件下對(duì)信息系統(tǒng)安全管理進(jìn)行客觀評(píng)估與安全檢測(cè)，能實(shí)現(xiàn)企業(yè)信息系統(tǒng)制定的目標(biāo)，并能對(duì)企業(yè)信息系統(tǒng)安全管理進(jìn)行準(zhǔn)確科學(xué)的安全檢測(cè)，為企業(yè)提供進(jìn)行系統(tǒng)安全管理的檢測(cè)依據(jù)。

對(duì)系統(tǒng)安全管理檢測(cè)有利于提升用戶使用的可靠性，在中國(guó)已經(jīng)使用微信、支付寶作為支付方式，在使用支付過(guò)程中往往疏忽大意，很容易誤入騙子圈套里，人們防范意識(shí)低很容易被網(wǎng)絡(luò)犯罪分子欺騙，例如：支付二維碼，很多網(wǎng)絡(luò)犯罪分子利用二維碼，改寫里面的收款對(duì)象，用戶支付過(guò)后，金額會(huì)轉(zhuǎn)入犯罪分子手里。

還有一些借助網(wǎng)絡(luò)活動(dòng)，用戶一旦點(diǎn)開所有信息都會(huì)暴露出來(lái)，之后就把用戶賬戶里面的金錢一筆筆的轉(zhuǎn)走，用戶卻無(wú)能為力，只能眼看著賬戶里的錢一筆筆的被轉(zhuǎn)走，網(wǎng)絡(luò)犯罪分子就是利用了網(wǎng)絡(luò)出現(xiàn)的漏洞伺機(jī)而入，實(shí)施犯罪，因此，在對(duì)信息系統(tǒng)安全管理的檢測(cè)維護(hù)信息系統(tǒng)安全是必不可缺的。

2 信息系統(tǒng)安全管理的有效測(cè)量方法

在開展對(duì)信息系統(tǒng)安全管理有效的測(cè)量方法時(shí)，要時(shí)刻注意用戶的個(gè)人財(cái)產(chǎn)問(wèn)題，在保證不被不法分子有機(jī)可乘和不影響用戶的利益的情況下進(jìn)行，實(shí)施抽取部分用戶信息系統(tǒng)安全進(jìn)行檢測(cè)，從中得出整體的信息安全指標(biāo)，對(duì)不同指標(biāo)進(jìn)行不同的檢測(cè)，這屬于一個(gè)量化的檢測(cè)方式，采取多個(gè)指標(biāo)進(jìn)行對(duì)比對(duì)出現(xiàn)相同的問(wèn)題進(jìn)行探討并及時(shí)總結(jié)，得出結(jié)論以后再統(tǒng)一進(jìn)行更正，提高信息系統(tǒng)安全管理的能力，除此之外還有問(wèn)卷調(diào)查、內(nèi)部分析、個(gè)人訪談、內(nèi)外對(duì)比等方面的檢測(cè)方法，對(duì)提供信息量進(jìn)行不同的檢測(cè)方式。

通過(guò)不同指標(biāo)進(jìn)行檢測(cè)后，得出了各個(gè)指標(biāo)的檢測(cè)結(jié)果，在此基礎(chǔ)上要通過(guò)不同的結(jié)果以不同的技術(shù)進(jìn)行科學(xué)有效的取值分析，及時(shí)告知用戶其中存在的安全隱患，讓用戶提高對(duì)信息系統(tǒng)的防范意識(shí)，其次綜合計(jì)算所有的指標(biāo)得出最終結(jié)論，及時(shí)修復(fù)信息系統(tǒng)存在的漏洞，在第一時(shí)間內(nèi)保證用戶的個(gè)人利益不受侵犯。最后對(duì)環(huán)境安全、個(gè)人安全、安全意識(shí)以及事件管理開展管理有效的評(píng)估做總結(jié)，對(duì)終結(jié)方案有著良好的實(shí)施性。

在信息系統(tǒng)安全管理的有效檢測(cè)發(fā)展中，通過(guò)相關(guān)機(jī)構(gòu)提出的通過(guò)整體的系統(tǒng)模型來(lái)實(shí)現(xiàn)對(duì)信息系統(tǒng)安全整體管理的安全性方法，通過(guò)信息系統(tǒng)模型來(lái)進(jìn)行安全檢測(cè)，系統(tǒng)模型的作用是一旦出現(xiàn)問(wèn)題后不會(huì)導(dǎo)致用戶使用系統(tǒng)進(jìn)入癱瘓狀態(tài)，這就好比游戲里面的正服和體驗(yàn)服，體驗(yàn)服是通過(guò)研究新事物在游戲里面的運(yùn)行狀態(tài)是否出現(xiàn)卡頓現(xiàn)象等進(jìn)行研究，在用戶體驗(yàn)過(guò)程中一旦發(fā)現(xiàn)漏洞會(huì)對(duì)相關(guān)人員進(jìn)行提示，逐漸進(jìn)行更正最終才能進(jìn)入正服。同理，對(duì)模型進(jìn)行測(cè)量不會(huì)影響信息系統(tǒng)整體的運(yùn)行狀態(tài)，最終對(duì)得出的測(cè)量的結(jié)果分析總結(jié)，從而得出最后的策略方案。

3 糾正預(yù)防措施驗(yàn)證

對(duì)已經(jīng)納入整體有效的測(cè)量計(jì)劃糾正防御措施，在系統(tǒng)安全管理檢測(cè)中進(jìn)行檢查和回顧，這樣做的目的是為了對(duì)信息系統(tǒng)安全管理測(cè)量做二次保障，為用戶在體驗(yàn)產(chǎn)品造成問(wèn)題的幾率降到最低，以保證用戶自身的經(jīng)濟(jì)利益不受侵犯，保證檢驗(yàn)過(guò)程中對(duì)信息系統(tǒng)安全管理，實(shí)施各種方案是否符合當(dāng)前的狀況和具體要求，以實(shí)現(xiàn)有效的防治和有效影響的最小化。

3.1 信息安全管理體系

管理人員在設(shè)計(jì)信息管理體系時(shí)候，必須針對(duì)流程、產(chǎn)品、項(xiàng)目計(jì)劃、資源等進(jìn)行測(cè)量信息的模型構(gòu)建。其構(gòu)建的方式可以有：基礎(chǔ)測(cè)量、推論測(cè)量、指標(biāo)測(cè)量。

3.2 信息安全管理體系測(cè)量方法

管理人員在對(duì)管理體系有效測(cè)量的方法方面，可以針對(duì)ISMS需要的實(shí)體測(cè)量進(jìn)行研究，并形成《信息安全管理體系策劃書》，最終的策劃方法應(yīng)該得到信息技術(shù)部的領(lǐng)導(dǎo)審批，所需要調(diào)查的表格也應(yīng)該有管理人員以電子郵件的形式傳送到各個(gè)相關(guān)部門。

3.3 搜集整理數(shù)據(jù)

管理人員應(yīng)該先搜集相關(guān)數(shù)據(jù)制作出《信息安全體系測(cè)量數(shù)據(jù)搜集報(bào)告》，并對(duì)數(shù)據(jù)作分類整理，同是分析相關(guān)聯(lián)的數(shù)據(jù)管理流程，研究相關(guān)的風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)，提出可承受的風(fēng)險(xiǎn)標(biāo)準(zhǔn)，羅列可能發(fā)生的問(wèn)題及對(duì)策；協(xié)同相關(guān)職能人員與部門進(jìn)行問(wèn)題上的修改，以及可能發(fā)生的問(wèn)題作出預(yù)案，最終總結(jié)出《信息安全管理體系測(cè)量結(jié)果報(bào)告》。

4 信息系統(tǒng)安全事故統(tǒng)計(jì)

對(duì)信息系統(tǒng)安全管理的事故進(jìn)行統(tǒng)計(jì)是為了得出問(wèn)題的原因，如上文所述檢測(cè)到不同指標(biāo)可以從不同的解決方案中解決存在的漏洞，對(duì)不同的信息系統(tǒng)事故進(jìn)行統(tǒng)計(jì)和分析，有利于相關(guān)機(jī)構(gòu)提供多種指標(biāo)以便研究，為檢測(cè)的有效性方式提出了更合理的方法，以實(shí)現(xiàn)更高程度的信息系統(tǒng)安全評(píng)估以及控制方面措施運(yùn)用的有效性。

這樣的方式為實(shí)現(xiàn)綜合型檢測(cè)提供了基本的方案，有計(jì)劃的和與信息事故統(tǒng)計(jì)相結(jié)合，有利于對(duì)相應(yīng)的問(wèn)題進(jìn)行研究，例如：出現(xiàn)相關(guān)的問(wèn)題可以借助以往的解決方案再做研究，在相似點(diǎn)上面解決問(wèn)題后再對(duì)新問(wèn)題進(jìn)行研究找出相似與不同點(diǎn)，就不用從頭去解決信息系統(tǒng)帶來(lái)的事故問(wèn)題，對(duì)信息系統(tǒng)測(cè)量的有效性能夠達(dá)到一個(gè)新的層次。

5 結(jié)論

通過(guò)對(duì)信息安全管理系統(tǒng)進(jìn)行測(cè)量能夠?qū)π畔⑾到y(tǒng)出現(xiàn)的漏洞進(jìn)行修復(fù)，用戶的個(gè)人財(cái)產(chǎn)在第一時(shí)間內(nèi)得到保障，這是信息系統(tǒng)測(cè)量的最終目的。而就目前我國(guó)測(cè)量信息系統(tǒng)安全處在起步狀態(tài)，對(duì)各項(xiàng)相關(guān)的理論研究和測(cè)量指標(biāo)的應(yīng)對(duì)方案都處在欠缺情況，需要不斷進(jìn)行研究和探討。

在對(duì)信息系統(tǒng)安全的測(cè)量中對(duì)不同的信息系統(tǒng)事故進(jìn)行分類、統(tǒng)計(jì)、研究、糾正、回顧方法測(cè)量過(guò)后運(yùn)用各種方式解決信息系統(tǒng)出現(xiàn)的不同問(wèn)題，能夠有效應(yīng)對(duì)了未知領(lǐng)域信息系統(tǒng)可能會(huì)出現(xiàn)的問(wèn)題。

事實(shí)證明在保證整體信息系統(tǒng)運(yùn)行安全時(shí)，能夠有效提高企業(yè)自身的競(jìng)爭(zhēng)力和生存能力，并且能夠得出結(jié)論對(duì)企業(yè)信息系統(tǒng)測(cè)量得出的問(wèn)題進(jìn)行研究分析，對(duì)企業(yè)信息系統(tǒng)可能面對(duì)的問(wèn)題最大化的解決，最終達(dá)到企業(yè)的基本物流能夠穩(wěn)定的進(jìn)行。

參考文獻(xiàn)

[1]朱英菊.劉紅麗.信息安全管理有效性的測(cè)量研究[J].情報(bào)雜志，2010（1）：73-76，41.

[2]張立偉.信息安全管理有效性的測(cè)量研究[J].中國(guó)管理信息化，2014（10）：78.

[3]田世杰.閔樂(lè)泉.趙戰(zhàn)生.信息安全管理測(cè)量研究[J].信息安全與通信，2009（5）：70-74.