信息安全風險管理理論在IP網(wǎng)絡中的應用

方婧潔

（長江九江通信管理局，九江 332000）

隨著信息技術(shù)的發(fā)展，信息安全風險也在不斷提高，為了保證信息安全，可以從信息安全管理的層面著手，對信息安全問題進行分析，從而強化信息系統(tǒng)的可靠性與安全性，進而保障用戶權(quán)益。

1 信息安全管理概念

通常來說，信息安全管理指對信息和信息系統(tǒng)進行保護，避免出現(xiàn)由于惡意侵犯或者其他原因?qū)е碌男畔⑿孤逗蛽p壞，確保信息系統(tǒng)能夠正常運行?？梢詫⑿畔踩闯梢粋€管理過程，并且這個過程具有較強的動態(tài)性，借助多種管理手段的應用來保證信息與系統(tǒng)的可靠性，而信息系統(tǒng)中主要涉及到信息的保密性、真實和完整性、可追溯和防抵賴性等。從本質(zhì)上來講，所謂安全管理也就是風險動態(tài)管理，可以對信息系統(tǒng)及其風險進行高效與科學的管理與控制。

ISO17799，對11個領(lǐng)域的超過百項問題進行了規(guī)定，可供相關(guān)人員參考，這11個領(lǐng)域在此不再贅述。此外，該細則還提出了建立、運行和維護信息安全管理系統(tǒng)的有關(guān)標準需求，提出對應組織需要根據(jù)一定的安全風險評估來對控制對象進行辨別，同時按照實際需求，利用有效措施進行防范，并提出了建立管理體系的六大步驟。

2 IP網(wǎng)絡安全管理

基于互聯(lián)網(wǎng)與傳輸控制的雙協(xié)議下，構(gòu)成了一個全新的協(xié)議組，而該協(xié)議不僅完全遵守分層原則，同時每層的作用與功能都具備較強的明確性，從而保證每層功能都可以具備較強的獨立性。除此之外，在相鄰層之間都具備相應的邊界接口，在借助接口展開通信，在此過程中，應用層相互之間會對應用數(shù)據(jù)進行傳輸，鏈路層之間會對幀數(shù)據(jù)據(jù)進行傳輸，而網(wǎng)絡層之間則會對IP數(shù)據(jù)進行傳輸。

對于IP網(wǎng)絡而言，其安全管理主要可以涉及安全服務以及安全機制管理兩個層次，由此表明，管理信息需要科學配置在每個服務與機制內(nèi)，同時可以對各類服務信息以及操作進行全面的手機。而IP網(wǎng)絡安全管理又是由安全服務、系統(tǒng)安全以及安全機制所構(gòu)成，并且還應該將IP網(wǎng)絡管理自身的安全性考慮其中。

3 信息安全管理體系的外包實踐

當前，客戶對于IP網(wǎng)絡的安全性和可用性的需求不斷增高，并且IP網(wǎng)絡和用戶所面臨的安全威脅不斷升級，多數(shù)IP網(wǎng)絡運營人員已經(jīng)對IP網(wǎng)絡已經(jīng)對安全管理有了一定的意識，全面開展安全管理，可以實時了解可能面臨的安全威脅。由于相關(guān)工作人員缺乏專業(yè)人才和管理經(jīng)驗，所以通常采用外包的形式構(gòu)建IP網(wǎng)絡安全管理體系，一般的實踐過程分為以下幾點：

第一，準備階段。該階段主要進行項目信息的搜集和整理工作，并與客戶進行溝通，掌握項目的目標和范圍。根據(jù)項目具體情況組建工作組，科學配置人員，同時還需要對項目制約條件以及極易出現(xiàn)的風險做進一步說明。同時還應該對客戶與工作者展開培訓，進而提升工作者的意識與操作技術(shù)，再次過程中還需要把項目規(guī)劃與進度提交至客戶手中，取得審批等。

第二，實施階段。根據(jù)項目區(qū)域劃分安全范圍，在劃分過程中需要做好訪談工作于資料收集工作，其中主要涉及到網(wǎng)絡結(jié)構(gòu)、認證策略與協(xié)議、相關(guān)數(shù)據(jù)庫信息、安全防范措施和已發(fā)生的安全事件等[2]。在安全域開展價值分析、資產(chǎn)鑒別、弱點與威脅分析、影響和可行性分析等，制成威脅與風險評估、資產(chǎn)表等。對于主要風險進行綜合評估，按照風險程度進行排序，并提出相關(guān)安全策略和處理意見。對于提出的安全策略應該協(xié)調(diào)一致，確保安全策略的有效性。

第三，總結(jié)階段。對該項目所產(chǎn)生的各種文件型材料進行審批，對項目資產(chǎn)鑒定、風險鑒定等報告進行審批，同時落實安全風險處理建議。

4 IP網(wǎng)絡安全管理實踐分析

對于IP網(wǎng)絡而言，其無論是覆蓋范圍，還是影響因素均有差別，因此按照項目實施階段的差別，應該著重注意以下幾點：

首先，安全目標。若想確保IP網(wǎng)絡及其系統(tǒng)的可靠性與安全性，就需要保證業(yè)務的可實施性與質(zhì)量，IP網(wǎng)絡安全管理的三方面應該全面支持安全目標。

其次，項目范圍。通常項目范圍主要涉及到服務及數(shù)據(jù)系統(tǒng)、IP網(wǎng)絡接入設備、路由及應用系統(tǒng)、交換及鏈路、允許管理運行系統(tǒng)等，需要呈現(xiàn)出IP網(wǎng)絡分層的一切需求。

然后，項目成員。該項目需要獲得管理層支持，項目負責人應該由具有豐富經(jīng)驗的工作者擔任，同時，項目成員需要由專業(yè)人員與IP網(wǎng)絡人員所構(gòu)成。

最后，信息搜集。在搜集相關(guān)信息之前，應該針對不同的搜集對象劃分安全域組，分組搜集信息，這些信息應該包括：IP網(wǎng)絡的整體結(jié)構(gòu)和配置、相關(guān)設備的軟件和硬件信息、有關(guān)操作規(guī)范和流程、各種數(shù)據(jù)儲存和安全信息、已經(jīng)發(fā)生的安全事故信息、已布置的安全產(chǎn)品和安全管控措施、機房的環(huán)境信息、現(xiàn)有的安全措施、安全服務和機制、其他問題等[3]。

第五，資產(chǎn)鑒別。資產(chǎn)鑒別應該具有層次性，應該依據(jù)自上而下的鑒別順序，在最頂層可以將網(wǎng)絡管理系統(tǒng)和數(shù)據(jù)服務中心作為一級資產(chǎn)組，然后根據(jù)區(qū)域或功能分成二級資產(chǎn)組，并對各資產(chǎn)組進行仔細的鑒別，搜集設備類型、軟件與硬件配置信息等。

第六，威脅分析。對于不同的資產(chǎn)組應該進行不同的威脅分析。例如針對IP網(wǎng)絡，主要風險可能有路由攻擊、蠕蟲等。

5 結(jié)束語

由于人們越來越重視信息安全問題，解決信息安全風險不僅是一個技術(shù)問題，還是一個管理問題。ISO17799中提出的基本原則和PDCA循環(huán)，本文在這一原則和方法的基礎上分析了IP網(wǎng)絡安全管理的過程和注意問題，希望對網(wǎng)絡安全管理有所幫助。