信息安全管理体系的建设方法

　　信息是现代社会中不可缺少的一项重要元素，尤其是在商业活动中，信息已经成为市场竞争的重要手段，因此对信息安全的管理在商业活动中显得尤为重要。信息安全管理体系（Information Security Management System，简称为ISMS），是建立和维持信息安全管理体系的标准，标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系；体系一旦建立组织应按体系规定的要求进行运作，保持体系运作的有效性；信息安全管理体系应形成一定的文件，即组织应建立并保持一个文件化的信息安全管理体系，其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
　　1 信息安全的风险评估与策略
　　1.1 信息安全的风险评估
　　信息安全管理属于风险管理，即如何在一个确定有风险的环境里把风险减至最低的管理过程。因此，管理的核心要素就是对风险进行准确识别和有效的评估，通过对信息安全进行风险评估可以获得安全管理的需求，帮助组织制定出最佳的信息安全管理策略，并且将风险控制在可承受的范围之内。一个科学、合理的信息安全风险评估策略应该具有形影的标准体系、技术措施、组织框架以及法律法规。
　　1.2 信息安全策略
　　信息安全策略（Information Security Policy）是一个组织机构中解决信息安全问题的重要组成部分。在一个组织内部，通常是由技术管理者指定信息安全策略，如果是一个较为庞大的组织，制定信息安全策略的则可能是一个技术团队。信息安全策略是基于风险评估结果以保护组织的信息资产。信息安全策略对访问组织的不同资产进行权限设定，它是组织管理人员在建立、使用和审计信息系统时的信息来源。
　　信息安全策略具有非常广泛的应用范围，在其基础上做出的安全决定需要提供一个较高层次的原则性观点。一个组织的信息安全策略能够反映出一个组织对现实和未来安全风险的认识水平，对于组织内部业务人员和技术人员安全风险的处理。信息俺去那策略的制定同时还需要参考相关标准文本和安全管理的经验。
　　1.3 信息安全管理措施
　　信息加密技术是网络安全管理的核心问题，通过对网络传输的信息资源进行加密，以确保传递过程中的安全性和可靠性。用户通过互联网进行网络访问时，应该能够控制访问属于自己的数据的访问者身份，并且可以对访问者的访问情况进行审核。这种访问权限的控制，需要开发相应的权限控制程度，以作为安全防范措施使用。
　　用户在对云计算网络的数据进行存储时，其他用户及云服务提供商在未被所有者允许的情况下不得对数据进行查看及更改。这需要将数据在网络存储时，对其他用户实行存储隔离措施，同时对服务提供商实行存储加密和文件系统的加密措施。鉴于云平台的搭建多数基于商业方面，因此用户的数据在基于云计算的网络上进行传输时要具有极高的保密性，包括在计算中心的内部网络和开放互联网络上。所以，应该对所传输的数据信息在传输层进行加密（HTTPS、VPN和SSL等），对服务提供商进行网络加密。由于基于云计算的网络的数据重要性，为了防止各种数据毁灭性灾难和突发性事件，进行按期定时的数据备份，使用数据库镜像策略和分布式存储策略等，是确保网络信息安全的一系列防范措施。
　　病毒对互联网的安全威胁最为严重，主要可以通过病毒防御技术提升信息管理安全性。病毒是利用计算机软硬件系统的缺陷，在原本正常运行的程序中插入的一段能够破坏计算机或数据的指令或代码段，从而在执行时影响计算机系统的正常运作而不易被人察觉，对计算机及信息安全的威胁最大。针对日益猖獗的计算机病毒，选择一款适合系统使用环境的反病毒软件显得尤为重要，发现病毒侵入应该及时查杀，同时要注意按时地更新病毒库，并升级反病毒软件版本。在杀毒的同时做好预防工作是最为行之有效的措施。防火墙是设置在不同类型网络间的一系列硬件和软件的集合，旨在控制不同网络间的访问、拒绝外部网络对内部网络或网络资源的非法访问，保证通过防火墙的数据包符合预设的安全策略，从而确保了网络信息的服务安全。
　　入侵检测作为防火墙技术的补充手段，是对成功绕过防火墙限制而入侵内部网络系统的行为进行技术攻防的策略。其实质是在不损耗网络性能的前提下进行监听分析用户系统活动和违反安全策略的行为，对已威胁网络安全的入侵行为识别并发出警报，同时生成异常行为分析，评估入侵行为带来的损害程度。
　　目前，利用防火墙和入侵检测相结合的方式，是防护网络、拒绝外部网络攻击的最有效手段之一。任何一个系统都会存在安全漏洞，这包含已知的和未知的在应用软件和操作系统两方面上的安全漏洞。在进行漏洞扫描时，可以及时系统和网络存在的安全漏洞，并打上漏洞补丁，进行主动防御。在使用时可以将漏洞扫描与防火墙技术、入侵检测技术三者相结合，形成网络安全防范和防御的“黄金三角”。数据加密分为对称性和非对称性加密两种，是在发送端以某种算法将数据明文转换成密文，在接收端以密钥进行解密，从而保证信息在网络存储和传输的过程中都是保密的，并且对网络环境没有任何特别的要求和限制。数据加密技术与防火墙技术相比较，对于信息安全的防护作用是全局性的，也是最后一道防线。
　　系统备份和数据恢复，是指对系统的重要核心数据和资料进行备份，当切防范和防御技术都失效并且计算机网络遭到黑客攻击时，能够对系统实施立即恢复的手段，这也是保证信息安全的挽救措施。除了以上所提及的技术性手段之外，大力开展信息安全教育和完善相关法律法规作为人为防范措施也不容被忽视。近年来，信息安全威胁之一的网络欺骗就是因为当事人的信息安全意识淡薄和相关的调查取证困难造成的。因此，有必要做出改善措施，与技术手段相结合对信息安全发挥行之有效的影响。
　　2 结束语
　　综上所述，随着计算机技术、网络通信技术和高密度存储技术的发展，电子信息化进程在各个领域中得到了广泛推广和不断深入研究。结合当今社会的信息量爆炸式的增长情况，以及现阶段的研究成果得出结论，当今电子信息工程的安全问题和信息的有效利用问题仍将为研究的重点。本文重点研究了信息安全管理体系，根 据信息安全管理的标准以及信息安全风险的特征，提出了一些具有针对性的信息安全管理措施，以实现对信息安全风险的有效评估和准确预测，危险性安全管理体系的实施提供重要保证。
　　参考文献：
　　[1]张健.电子文件信息安全管理评估体系研究[J].档案学通讯，2011，4.
　　[2]马晓珺，赵哲.电子商务信息安全管理体系研究[J].安阳市师范学院学报，2008，2.
　　[3]刘晓红.信息安全管理体系认证及认可[J].认证技术，2011，5.
　　[4]乔甜.基于全员参与的信息安全管理体系研究[J].科技致富向导，2013，6.
　　[5]王新辉，张建，李伟涛.基于生命周期分析信息安全管理体系[J].计算机技术与发展，2012，3.
　　作者简介：刘斌（1981-），男，本科，助教，从事计算机科学与技术研究