网学网为需要ASP的朋友们搜集整理了 基于ASP的信息安全管理机制研究 相关资料,希望对各位网友有所帮助!
0引言信息技术已经成为了21世纪生产不可缺少的1个元素,但是随之而来的问题就是信息网络安全管理面临越来越大的挑战。为防止信息网络本身以及其采集、加工、存储、传输的信息数据被故意或偶然的泄露、破坏或更改,从而确保信息的可用性、机密性和完整性,就需要人们不断地加强信息网络安全管理。基于ASP的信息安全管理是通过互联网的协同工作实现的,通过互联网作为信息传输的载体,而且基于ASP的信息安全策略也是实现信息化工作的前提。虽然目前有关安全认证技术的研究已经相对成熟,但是能够满足ASP网络化制造的相关策略和方案的研究还比较少。从这个角度来看,文中的研究具有非常重要的现实意义。
1 ASP信息安全策略体系实行的前提根据评估发起者的不同,来对信息安全风险评估的工作形式进行划分,主要包括2类:自评估和检查评估。所谓自评估,就是由组织自身发起的,目的是为了找出系统的缺陷所在而进行的评估;所谓检查评估,就是由被评估组织的上级主管机关或业务主管机关发起的,目的是为了采取行政手段来强化信息安全而进行的1种评估。风险评估应该以自评估为主,检查评估应该依据自评估过程记录与评估结果,对于系统存在的技术、管理和运行风险进行验证和确认。自评估和检查评估这2类评估方式是相辅相成的.
2者相互结合、优势互补、互为补充。自评估可由发起方实施或委托风险评估服务技术支持方实施。由发起方实施的评估可以降低实施的费用、提高信息系统相关人员的安全意识,但可能由于缺乏风险评估的专业技能,其缺点是结果不够深入准确;同时,受到组织内部各种因素的影响,结果缺乏一定的客观性。委托风险评估服务技术支持方实施的评估,过程比较规范、评估结果的客观性比较好,可信程度较高;但由于受到行业知识技能及业务了解的限制,对被评估系统的了解,尤其是在业务方面的特殊要求存在一定的局限。但由于引入第3方本身就是1个风险因素,因此,对其背景与资质、评估过程与结果的保密要求协商等方面应进行控制。
此外,为保证风险评估的实施,与系统相连的相关方也应配合,以防止给其他方的使用带来困难或引入新的风险。自评估和检查评估一方面都可以根据自身技术力量进行;另一方面,也能够委托具有相应资质的风险评估服务技术支持方进行实施。所谓风险评估服务技术支持方,就是具有风险评估的专业人才,对外提供风险评估服务的机构、组织或团体。ASP的信息安全策略确定的是ASP安全工作的目标以及对象,因此对于整个ASP安全管理机制而言,至关重要。安全策略涵盖的内容非常多,包括了总体安全策略、应用系统的安全策略以及部门安全策略、网络安全策略等。基于ASP的信息网络安全管理机制主要涉及到3个方面的内容,即法律标准体系、组织管理体系以及技术防护体系,详情见图1。
