中国某某某某学校学生毕业设计(论文)题目: 信息安全管理策略分析姓名: 00000000班级、学号 : 0000000000000系 (部) : 经济管理系专业 : 信息管理指导教师 : 00000000000开题时间 : 2008-11-1完成时间 : 2009-11-42009年11月4日目录课题信息安全管理策略分析一、课题(论文)提纲二、内容摘要三、参考文献信息安全管理策略分析000000000中文摘要：人们对信息的依赖日益增强，信息安全管理成了保障信息安全的关键。

在信息安全保障的三大要素（人员、技术、管理）中，管理要素的地位和作用越来越受到重视。

理解并重视管理对信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。

本文介绍了信息安全、信息安全管理的涵义及重要性，分析了信息安全管理的现状及存在的问题，并着重讨论了加强信息安全管理的策略。

关键词：信息安全；管理；现状；策略0.引言随着Intemet应用的不断深入和电子商务、电子政务的不断发展，人们在日常生活、经济、军事、科技与教育等各个领域，对信息和信息系统依赖日益增强。

然而，安全一直是信息系统面临的严重问题。

早期，信息安全关注于技术方面，但实践证明，信息安全只靠技术是远远不够了，信息安全绝对不仅仅是技术的问题，它的解决涉及到规章制度、组织运行、技术应用等方方面面，任何单方面安全的措施都不可能提供真正的全方位的安全，信息安全问题的解决更应该站在系统工程的角度来考虑。

在这项系统工程中，信息安全管理占有重要的地位。

1.信息安全及信息安全管理概述1.1信息安全概述1.1.1信息安全的定义信息安全是个古已有之的话题,长期以来,人们往往把信息理解为军事、政治、经济等社会生活中的情报,而信息安全也往往被理解为情报的真实、保密。

现代意义上的信息安全概念形成电子通讯技术，特别是数字技术问世之后,其内涵随着现代信息技术发展与应用逐步丰盈。

现代信息安全的基本内涵最早由信息技术安全评估标准定义。

阐述和强调了信息安全的三元组目标,即保密性、完整性和可用性。

这一界定获得了业界的公认,成为现代意义上的信息安全的基本内涵。

近来,国内外很多学者从通信、电子商务、电子政务等方面的应用出发,主张在三元目标的基础上,信息安全的内涵还应该包含可控制性、非抵赖性、可追溯性和真实性等属性,这些都是对三元目标的细化、补充和加强。

信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。

1.1.2信息安全的重要性信息安全本身包括的范围很大。

大到国家军事政治等机密安全，小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。

网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。

信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。

从文献中了解一个社会的内幕，早已是司空见惯的事情。

不管是机构还是个人，正把日益繁多的事情托付给计算机来完成。

敏感信息正经过脆弱的通信线路在计算机系统之间传送，专用信息在计算机内存储或在计算机之间传送，电子银行业务使财务账目可通过通信线路查阅，执法部门从计算机中了解罪犯的前科，医生们用计算机管理病历，所有这一切，最重要的问题是不能在对非法（非授权）获取（访问）不加防范的条件下传输信息。

信息在存储、处理和交换过程中，都存在泄密或被截收、窃听、窜改和伪造的可能性。

不难看出，单一的保密措施已很难保证通信和信息的安全，必须综合应用各种保密措施，即通过技术的、管理的、行政的手段，实现信源、信号、信息三个环节的保护，藉以达到秘密信息安全的目的。

信息安全所面临的各类风险，必须引起各方面的高度重视。

1.2信息安全管理概述1.2.1信息安全管理的定义信息安全管理是指导和控制组织的关于信息安全风险的相互协调，关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估控制目标与方式选择、风险控制、安全保证等。

而要对组织的信息的安全性进高效的、动态的管理就必须依据信息安全管理模型和信息安全管理标准构建组织信息安全管理体系。

在ISO/IEC17799中信息安全管理体系可以被理解为是组织管理体系的一部分，专门用于组织的信息资产风险管理，确保组织的信息安全包括为制定、实施、评审和保持信息安全方针所需要的组织机构、目标、职责、程序、过程和资源。

信息安全管理体系中包含很多的“反馈环路”。

这些“反馈环路”可以对系统的安全性进行监测和控制，以此使组织的残余风险最小化，确保组织满足客户和法律的要求。

1.2.2信息安全管理的重要性信息安全管理是随着信息和信息安全的发展而发展的。

在信息社会中，一方面信息已经成为人类的重要资产，在政治、经济、军事、教育、科技、生活等方面发挥着重要作用，另一方面由于计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。

由于信息具有易传播、易扩散、易损毁的特点，信息资产比传统的实物资产更加脆弱，更容易受到损害，这样将使组织在业务运作过程中面临巨大的风险。

这种风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节和漏洞，以及大量存在于组织内外的各种威胁，因此对信息系统需要加以严格管理和妥善保护，信息安全管理也随之产生。

当前，认真分析信息安全面临的新形式，尽快采取措施建立健全信息安全管理体系，是信息安全面临的重大课题。

2.信息安全管理的现状及问题2.1信息安全管理的现状我国的改革开放带来了各方面信息量的急剧增加，并要求大容量、高效率地传输这些信息。

为了适应这一形势，通信技术发生了前所未有的爆炸性发展。

目前，除有线通信外，短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。

与此同时，国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息，运用侦察台、侦察船、卫星等手段，形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网，截取我通信传输中的信息。

我国已初步建成了国家信息安全组织保障体系。

国务院信息办专门成立了网络与信息安全领导小组，各省、市、自治州也设立了相应的管理机构。

制定了一系列必需的信息安全管理的法律法规。

2.2我国在宏观信息安全管理方面的问题(1)法律法规问题。

健全的信息安全法律法规体系是确保国家信息安全的基础，是信息安全的第一道防线。

我国已建立了法律、行政法规与部门规章及规范性文件等三个层面的有关信息安全的法律法规体系，对组织与个人的信息安全行为提出了安全要求。

但是我国的法律法规体系还存在缺陷，一是现有的法律法规存在不完善的地方，如法律法规之间有内容重复交叉，同一行为有多个行政处罚主体，有的规章与行政法规相互抵触，处罚幅度不一致；二是法律法规建设跟不上信息技术发展的需要，这主要涉及网络规划与建设、网络管理与经营、网络安全、数据的法律保护、电子资金划转的法律认证、计算机犯罪与刑事立法、计算机证据的法律效力等方面的法律法规缺乏。

(2)管理问题。

管理包括三个层次的内容：组织建设、制度建设和人员意识。

组织建设是指有关信息安全管理机构的建设。

信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容，因此只靠一个机构是无法解决这些问题的。

在各信息安全管理机构之间，要有明确的分工，以避免“政出多门”和“政策拉车”现象的发生。

明确了各机构的职责之后，还需要建立切实可行的规章制度，即进行制度建设，以保证信息安全。

如对人的管理，需要解决多人负责、责任到人的问题，任期有限的问题，职责分离的问题，最小权限的问题等。

有了组织机构和相应的制度，还需要领导的高度重视和群防群治，即强化人员的安全意识，这需要信息安全意识的教育和培训，以及对信息安全问题的高度重视。

(3)国家信息基础设施建设问题。

《国家信息安全报告》指出：我国计算机硬件、通信设备制造业的基础集成芯片，主要依赖进口，系统软件、支撑软件基本上是国外产品。

在这种形势下，我们必须清醒地承认一个基本事实：目前构成我国信息基础设施的网络、硬件、软件等产品几乎完全是建立在外国的核心信息技术之上的。

关于国家信息基础设施方面存在的问题已引起国家的高度重视。

如“十五”期间，国家863计划和科技攻关的重要项目就有“信息安全与电子政务”和“金融信息化”两个有关信息安全的研究项目；2002年1月1日开始实施的《电信业务经营许可证管理办法》明确要求：电信产品软件商不能在软件上预留“后门”，外国供货商不能远程登录中国电信商的操作系统，高级网管系统要用国内可靠机构开发的软件产品。

2.3我国在微观信息安全管理方面存在的问题(1)缺乏信息安全意识与明确的信息安全方针。

大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足，或者仅局限于IT 方面的安全，没有形成一个合理的信息安全方针来指导组织的信息安全管理工作，这表现为缺乏完整的信息安全管理制度，缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训，现有的安全规章组织未必能严格实施等。

(2)重视安全技术，轻视安全管理。

目前组织普遍采用现代通信、计算机和网络技术来构建信息系统，以提高组织效率与竞争能力，但相应的管理措施不到位，如系统的运行、维护和开发等岗位不清，职责不分，存在一人身兼数职现象。

而大约70%以上的信息安全问题是由管理方面的原因造成的，也就是说解决信息安全问题不仅应从技术方面着手，同时更应加强信息安全的管理工作。

(3)安全管理缺乏系统管理的思想。

大多数组织现有的安全管理模式仍是传统的管理方法，出现了问题才去想补救的办法，是一种就事论事、静态的管理，不是建立在安全风险评估基础上的动态的持续改进管理方法。

3.加强信息安全管理的策略当前，我国的信息安全管理工作尚处于起步阶段，基础薄弱，水平不高，存在许多亟待解决的问题，我们要以全局性的眼光，加强信息安全的组织管理工作。

3.1建立集中统一、分工协作、各司其职的信息安全管理机制信息安全保障的关键在于组织领导，要从根本上加强我国的信息安全保障工作，必须建立全国集中统一、分工协作、各司其职的信息安全管理机制。

一是国家应建立能够协调维护各种安全利益的综合职能机构，成立有高度权威的国家信息安全委员会，作为国务院信息化领导小组的常设委员会，以改变目前在维护国家信息安全中各部门条块分割、职责不清、多头管理、协调不力和政出多门的现状；二是各个职能部门要形成一个分工明确、责任落实、相互衔接、有机配合的组织管理体系，按照“谁主管、谁负责”的原则，共同履行信息安全管理的职责；三是尽早建立省、市两级比较完善的信息安全领导管理体系，以便积极调动各种资源主动配合和协调信息安全保障工作，形成纵横结合的信息安全协调与信息共享机制；四是充分调动政府、企业和个人的积极性，实现有机联动，形成合力，共同构筑国家信息安全保障体系；五是健全和完善信息安全责任体系，要求各部门、各单位明确信息安全工作负责人，配备相应的信息安全员，把信息安全责任真正落实到人。