信息安全風(fēng)險(xiǎn)管理理論在IP城域網(wǎng)的應(yīng)用

信息安全風(fēng)險(xiǎn)管理理論在IP城域網(wǎng)的應(yīng)用 摘要：

隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長，用戶對寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng)，對電信運(yùn)營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手，結(jié)合電信IP城域網(wǎng)，提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評估和加固的實(shí)踐方法建議。

關(guān)鍵字（Keywords）：

安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評估、城域網(wǎng)、IP、AAA、DNS

1 信息安全管理概述

普遍意義上，對信息安全的定義是“保護(hù)信息系統(tǒng)和信息，防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏，保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說信息安全應(yīng)該理解為一個(gè)動態(tài)的管理過程，通過一系列的安全管理活動來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。

信息安全管理的本質(zhì)，可以看作是動態(tài)地對信息安全風(fēng)險(xiǎn)的管理，即要實(shí)現(xiàn)對信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408－1（信息安全風(fēng)險(xiǎn)管理和評估規(guī)則），給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型，如下圖一所示：

圖一 信息安全風(fēng)險(xiǎn)管理模型

既然信息安全是一個(gè)管理過程，則對PDCA模型有適用性，結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT（計(jì)劃－實(shí)施與部署－監(jiān)控與評估－維護(hù)和改進(jìn)）的循環(huán)過程。

圖二 信息安全體系的“PDCA”管理模型

2 建立信息安全管理體系的主要步驟

如圖二所示，在PLAN階段，就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況，建設(shè)適合于自身的ISMS信息安全管理體系，ISMS的構(gòu)建包含以下主要步驟：

（1） 確定ISMS的范疇和安全邊界

（2） 在范疇內(nèi)定義信息安全策略、方針和指南

（3） 對范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估

a) Planning（規(guī)劃）

b) Information Gathering（信息搜集）

c) Risk Analysis（風(fēng)險(xiǎn)分析）

u Assets Identification