信息技术系统工程范文

1信息系统安全度量

安全度量分为技术性安全度量、组织性安全度量以及操作性安全度量。技术性安全度量用于描述、比较技术方面的对象,如算法、规格说明书、体系结构、设计、产品以及实施的系统等;组织性安全度量用于描述组织过程、规程的有效性:操作性安全度量用于描述操作环境方面的风险.目前人们在使用安全度量这个词时存在很多模糊和不同的含义,有研究指出,《信息技术安全评估通用准则》虽然是指导安全度量的一个非常好的标准,但它也没有全面解决安全度量的问题,尤其是针对网络系统的安全度量,目前仍有待于进一步的研究。

对于什么是信息系统安全度量(SecurityMetrics),有人认为,它是以科学法则为基础进行测量的结果,有人认为它还应包括在主观判断基础上做出的度量结论。目前这方面还存在争议,有人还使用了具有类似含义的其他词,如:measure,score,rating,rank,essmentresult等,.n。在对这些词做出区别前,它们统一作了如下定义:信息系统安全度量(SecurityMetrics)是通过度量过程从一个偏序集中选择的一个值,它表示了信息系统的信息安全相关的质量,它提供或用于产生一种关于信任程度的描述、预言或比较。

2信息系统安全管理度量方法

在度量过程中使用何种方法对度量的有效性有着举足轻重的影响。度量方法的选择直接影响到度量过程中的每个环节,甚至可以左右最终的度量结果,所以需要根据系统的具体情况,选择合适的风险度量方法。风险度量的方法有很多种,概括起来可分为三大类:定量的风险度量方法、定性的风险度量方法、定性与定量相结合的度量方法。

(1)定量度量方法:定量的度量方法是指运用数量指标来对风险进行度量。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、风险图法、决策树法等。

定量的度量方法的优点是用直观的数据来表述度量的结果,看起来一目了然,而且比较客观。定量分析方法的采用,可以使研究结果更科学、更严密、更深刻。有时一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的。但常常为了量化,使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解和曲解。

(2)定性度量方法:定性的度量方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料,然后通过一个理论推导演绎的分析框架,对资料进行编码整理,在此基础上做出调查结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法。定性度量方法的优点是避免了定量方法的缺点,可以挖掘出一些蕴藏很深的思想,使度量的结论更全面、更深刻,但它的主观性很强,对度量者本身的要求很高。

(3)定性与定量相结合的综合度量方法:系统风险度量是一个复杂的过程,需要考虑的因素很多,有些度量要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的,所以我们不主张在风险度量过程中一味地追求量化,也不认为一切都是量化的风险度量过程是科学、准确的.我们认为定量分析是定性分析的基础和前提,定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂;是形成概念、观点,做出判断,得出结论所必须依靠的。在复杂的信息系统风险度量过程中,不能将定性分析和定量分析两种方法简单的割裂开来.而是应该将这两种方法融合起来,采用综合的度量方法。

(4)信息安全管理度量过程:风险度量过程训就是在度量标准的指导下,综合利用相关度量技术、度量方法、度量工具,针对信息系统展开全方位的度量工作的完整历程.对信息系统进行风险度量,首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系,应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。

(5)实体与环境安全:实体与环境指计算机设备及计算机网管人员工作的场所,这个场所内外的环境条件必须满足计算机设备和网管人员的要求。对于各种灾害、故障要采取充分的预防措施,万一发生灾害或故障,应能采取应急措施,将损失降到最低限度。可以从以下几个方面来检查:

①机房周围环境机房是否建在电力、水源充足、自然环境清洁、通讯、交通运输方便的地方。

②机房周围l00m内有无危险建筑危险建筑指易燃、易爆、有害气体等存在的场所,如加油站、煤气站、煤气管道等。

③有无监控系统监控系统,指对系统运行的环境、操作环境实施监控(视)的设施,及时发现异常,可根据使用目的不同配备以下监视设备,如红外线传感器、监视摄像机等设备。

④有无防火、防水措施防火,指机房内安装有火灾自动报警系统,或有适用于计算机机房的灭火器材,如卤代烷1211和1301自动消防系统或灭火器。防水,指机房内无渗水、漏水现象,如机房上层有用水设施需加防水层,有暖气装置的机房沿机房地面周围应设排水沟,应注意对暖气管道定期检查和维修。是否装有漏水传感器。

⑤机房有无环境测控设施温度控制:指机房有空调设备,机房温度保持在1824摄氏度。湿度控制:指相对湿度保持在400/"0%。洁净度控制:机房和设备应保持清洁、卫生,进出机房换鞋,机房门窗具有封闭性能。

⑥有无防雷措施计算机机房是否符合GB-157《建筑防雷设计规范》中的防雷措施.在雷电频繁区域,是否设有浪涌电压吸收装置。

(6)是否使用UPSUPS(UninterruptiblePowerSystem)即不间断电源,是一种含有储能装置,以逆变器为主要组成部分的恒压、恒频的不间断电源。主要用于给单台计算机、计算机网络系统或其它电力电子设备提供不间断的电力供应。