組織安全保障體系與智能ISMS模型

介紹了ISO7498-2、ISO17799、ISO27001和ISO/IEC18028-2等四個信息安全保障的重要標準的相關(guān)內(nèi)容。針對組織安全問題，提出了一個適合不同組織模型的整體安全保障體系。在該安全保障體系中，把一個組織作為一個整體對象，以整體安全作為組織安全保障的重要措施，構(gòu)建了一個組織安全保障的過程模型。針對當前信息安全實施中的主要問題，結(jié)合信息安全管理系統(tǒng)的概念，提出了一個智能化的組織安全管理體系框架。

計算環(huán)境的高速發(fā)展給人類帶來了資源和效率，也造成了對各種高度發(fā)達的計算技術(shù)的依賴，其程度隨著計算機和網(wǎng)絡(luò)技術(shù)以及嵌入式終端的發(fā)展而在迅速加深，并且不可逆轉(zhuǎn)。人類對計算技術(shù)與環(huán)境的依賴，是造成信息安全問題的根源。研究人員對信息安全問題開展了大量的研究和開發(fā)工作，與信息安全相關(guān)的成果不斷出現(xiàn)，解決了計算環(huán)境的生存問題，但沒有給人們帶來真正的安全感。
文獻[1-2]對中國2000年12月～2006年12月期間接入互聯(lián)網(wǎng)的計算機數(shù)量和新增病毒數(shù)量進行了對比。由文獻[1-3]提供的數(shù)據(jù)可以看出：信息安全問題幾乎與互聯(lián)網(wǎng)的發(fā)展規(guī)模成正比。在當前的計算架構(gòu)下，安全只能是相對的。目前，在信息安全的研究領(lǐng)域，有三個方面引起廣泛關(guān)注：(1) 安全的網(wǎng)絡(luò)而不是網(wǎng)絡(luò)安全。網(wǎng)絡(luò)之所以存在安全問題，其根本原因是網(wǎng)絡(luò)體系本身存在安全漏洞，應(yīng)該從網(wǎng)絡(luò)體系著手解決安全問題。(2) 整體安全。將計算環(huán)境作為各個大小不同可能存在信息交換關(guān)系的局部，對各個局部采取組織、管理、技術(shù)等全面的措施，提供信息安全的保障。(3) 智能安全。依靠人工免疫、進化計算、神經(jīng)網(wǎng)絡(luò)、群體智能等理論的發(fā)展，建立智能安全體系。
1 內(nèi)網(wǎng)安全問題與組織安全
本文定義一個簡化的內(nèi)網(wǎng)模型為：(1) 可以有或沒有與Internet的連接通道；(2) 可以是一個組織內(nèi)部網(wǎng)絡(luò)的一部分或者全部；(3) 物理上或者邏輯上的局域網(wǎng)；(4) 網(wǎng)內(nèi)完成組織的業(yè)務(wù)，可能需要或不需要進行網(wǎng)外業(yè)務(wù)數(shù)據(jù)的交換。
文獻[4]把信息安全劃分為五個層次：(1) 家庭用戶和小企業(yè)；(2) 大企業(yè)；(3) 重要部門(如聯(lián)邦政府、州和地方政府、高等教育部門、秘密部門等)；(4) 國家優(yōu)勢；(5) 全球。第(1)~(3)層都涉及內(nèi)網(wǎng)的安全問題。
文獻[5]說明了ISO/IEC18028-2中所給出的安全威脅的定義：(1) 信息或者其他資源的破壞；(2) 信息損壞或者改變；(3) 信息以及其他資源的移除、被盜或丟失；(4) 信息的泄漏；(5) 服務(wù)的中斷。
可以把內(nèi)網(wǎng)的安全問題概括為：(1) 內(nèi)部資訊的保護；(2) 計算機系統(tǒng)的安全；(3) 與互聯(lián)網(wǎng)或網(wǎng)外的連接安全；(4) 安全事故的響應(yīng)。
員工的隱私問題是一個組織建立安全體系時不可回避的問題，不同的組織對此會有不同的認識和政策，但必須面對隱私問題的多樣性。組織安全是為了構(gòu)建安全的組織所采取的全面的技術(shù)和管理措施的集合。