信息技術系統工程范文
本站小編為你精心準備了信息技術系統工程參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
1信息系統安全度量
安全度量分為技術性安全度量、組織性安全度量以及操作性安全度量。技術性安全度量用于描述、比較技術方面的對象,如算法、規格說明書、體系結構、設計、產品以及實施的系統等;組織性安全度量用于描述組織過程、規程的有效性:操作性安全度量用于描述操作環境方面的風險.目前人們在使用安全度量這個詞時存在很多模糊和不同的含義,有研究指出,《信息技術安全評估通用準則》雖然是指導安全度量的一個非常好的標準,但它也沒有全面解決安全度量的問題,尤其是針對網絡系統的安全度量,目前仍有待于進一步的研究。
對于什么是信息系統安全度量(SecurityMetrics),有人認為,它是以科學法則為基礎進行測量的結果,有人認為它還應包括在主觀判斷基礎上做出的度量結論。目前這方面還存在爭議,有人還使用了具有類似含義的其他詞,如:measure,score,rating,rank,essmentresult等,.n。在對這些詞做出區別前,它們統一作了如下定義:信息系統安全度量(SecurityMetrics)是通過度量過程從一個偏序集中選擇的一個值,它表示了信息系統的信息安全相關的質量,它提供或用于產生一種關于信任程度的描述、預言或比較。
2信息系統安全管理度量方法
在度量過程中使用何種方法對度量的有效性有著舉足輕重的影響。度量方法的選擇直接影響到度量過程中的每個環節,甚至可以左右最終的度量結果,所以需要根據系統的具體情況,選擇合適的風險度量方法。風險度量的方法有很多種,概括起來可分為三大類:定量的風險度量方法、定性的風險度量方法、定性與定量相結合的度量方法。
(1)定量度量方法:定量的度量方法是指運用數量指標來對風險進行度量。典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、風險圖法、決策樹法等。
定量的度量方法的優點是用直觀的數據來表述度量的結果,看起來一目了然,而且比較客觀。定量分析方法的采用,可以使研究結果更科學、更嚴密、更深刻。有時一個數據所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的。但常常為了量化,使本來比較復雜的事物簡單化、模糊化了,有的風險因素被量化以后還可能被誤解和曲解。
(2)定性度量方法:定性的度量方法主要依據研究者的知識、經驗、歷史教訓、政策走向及特殊變例等非量化資料對系統風險狀況做出判斷的過程。它主要以與調查對象的深入訪談做出個案記錄為基本資料,然后通過一個理論推導演繹的分析框架,對資料進行編碼整理,在此基礎上做出調查結論。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德爾斐法。定性度量方法的優點是避免了定量方法的缺點,可以挖掘出一些蘊藏很深的思想,使度量的結論更全面、更深刻,但它的主觀性很強,對度量者本身的要求很高。
(3)定性與定量相結合的綜合度量方法:系統風險度量是一個復雜的過程,需要考慮的因素很多,有些度量要素是可以用量化的形式來表達,而對有些要素的量化又是很困難甚至是不可能的,所以我們不主張在風險度量過程中一味地追求量化,也不認為一切都是量化的風險度量過程是科學、準確的.我們認為定量分析是定性分析的基礎和前提,定性分析應建立在定量分析的基礎上才能揭示客觀事物的內在規律。定性分析則是靈魂;是形成概念、觀點,做出判斷,得出結論所必須依靠的。在復雜的信息系統風險度量過程中,不能將定性分析和定量分析兩種方法簡單的割裂開來.而是應該將這兩種方法融合起來,采用綜合的度量方法。
(4)信息安全管理度量過程:風險度量過程訓就是在度量標準的指導下,綜合利用相關度量技術、度量方法、度量工具,針對信息系統展開全方位的度量工作的完整歷程.對信息系統進行風險度量,首先應確保風險分析的內容與范圍應該覆蓋信息系統的整個體系,應包括:系統基本情況分析、信息系統基本安全狀況調查、信息系統安全組織、政策情況分析、信息系統弱點漏洞分析等。
(5)實體與環境安全:實體與環境指計算機設備及計算機網管人員工作的場所,這個場所內外的環境條件必須滿足計算機設備和網管人員的要求。對于各種災害、故障要采取充分的預防措施,萬一發生災害或故障,應能采取應急措施,將損失降到最低限度。可以從以下幾個方面來檢查:
①機房周圍環境機房是否建在電力、水源充足、自然環境清潔、通訊、交通運輸方便的地方。
②機房周圍l00m內有無危險建筑危險建筑指易燃、易爆、有害氣體等存在的場所,如加油站、煤氣站、煤氣管道等。
③有無監控系統監控系統,指對系統運行的外圍環境、操作環境實施監控(視)的設施,及時發現異常,可根據使用目的不同配備以下監視設備,如紅外線傳感器、監視攝像機等設備。
④有無防火、防水措施防火,指機房內安裝有火災自動報警系統,或有適用于計算機機房的滅火器材,如鹵代烷1211和1301自動消防系統或滅火器。防水,指機房內無滲水、漏水現象,如機房上層有用水設施需加防水層,有暖氣裝置的機房沿機房地面周圍應設排水溝,應注意對暖氣管道定期檢查和維修。是否裝有漏水傳感器。
⑤機房有無環境測控設施溫度控制:指機房有空調設備,機房溫度保持在1824攝氏度。濕度控制:指相對濕度保持在400/"0%。潔凈度控制:機房和設備應保持清潔、衛生,進出機房換鞋,機房門窗具有封閉性能。
⑥有無防雷措施計算機機房是否符合GB-157《建筑防雷設計規范》中的防雷措施.在雷電頻繁區域,是否設有浪涌電壓吸收裝置。
(6)是否使用UPSUPS(UninterruptiblePowerSystem)即不間斷電源,是一種含有儲能裝置,以逆變器為主要組成部分的恒壓、恒頻的不間斷電源。主要用于給單臺計算機、計算機網絡系統或其它電力電子設備提供不間斷的電力供應。
