江西移动网络信息安全管理研究
|
摘要
随着通信业发展的突飞猛进,江西移动在网用户数突破2000万,网络规模日益扩大,信息量飞速增长。研究江西移动网络信息安全管理问题、制定相应的流程规范、管理办法,管理维护手段是当前江西移动管理工作的重要内容。深入研究江西移动信息安全管理新模式,对保证江西省通信网络的稳定运行,企业平稳有序发展具有重要的现实意义。
本文将江西移动的信息安全体系设计成具有分层结构的完整体系,包含了从宏观到微观,从原则方向到具体措施等多方面的内容。通过江西移动信息安全体系来指导江西省移动公司全省的网络与信息安全工作。本体系依据国际规范,参考业界的成熟经验,结合江西移动的实际情况,设计了江西移动网络与信息安全管理体系的基本原则和细节要求。将安全工作要点归结到组织与人员、网络与信息资产管理、物理与环境安全、通信与运营管理安全、访问控制、开发与维护、安全事件响应与业务连续性、安全审计、手段应用监控信息安全管理等八个方面。通过从信息安全管理的理论综述入手,详细叙述有关信息安全管理的相关理论基础。通过对江西移动网络信息安全管理现状进行分析,分析存在的现状和主要问题,其中运用了管理标准政策法规学习法、现场调研法等方式方法,最后提出江西移动网络信息安全管理体系建设办法与实施方法。使体系适用于江西移动的所有网络与信息系统,及组织和人员。
Along with the development of networking industry by leaps and bounds, Jiangxi mobile in nets subscribers exceeded 20 million, Network scale expanding gradually and Rapid growth information. Jiangxi mobile networking security research management problem, make corresponding process specifications, management method, management and maintenance method which Is the current management work in jiangxi province the important content of the move. n-depth study jiangxi mobile information security management mode, to ensure the stable operation of the jiangxi communication network, enterprise stable and orderly development has the important practical significance.
This article will research Jiangxi mobile information security system into a layered structure design, including a complete system from macroscopical to microcosmic, principle of concrete measures from aspects of the direction to the content. This system based on the international standard, reference industry of jiangxi ripe experience, and combining the actual situation, design move the jiangxi mobile network and information security management system, the basic principles and detail requirement.The system contains Organization and personnel, network and information asset management, physics and environmental safety, communications and operation management security, access control, development and maintenance, security incident response and business continuity, safety audit, means application monitoring information security management. Based on Jiangxi mobile networking are analyzed, and the analysis of the present situation and existing problems, Finally proposed Jiangxi mobile networking information security management system.
本文将江西移动的信息安全体系设计成具有分层结构的完整体系,包含了从宏观到微观,从原则方向到具体措施等多方面的内容。通过江西移动信息安全体系来指导江西省移动公司全省的网络与信息安全工作。本体系依据国际规范,参考业界的成熟经验,结合江西移动的实际情况,设计了江西移动网络与信息安全管理体系的基本原则和细节要求。将安全工作要点归结到组织与人员、网络与信息资产管理、物理与环境安全、通信与运营管理安全、访问控制、开发与维护、安全事件响应与业务连续性、安全审计、手段应用监控信息安全管理等八个方面。通过从信息安全管理的理论综述入手,详细叙述有关信息安全管理的相关理论基础。通过对江西移动网络信息安全管理现状进行分析,分析存在的现状和主要问题,其中运用了管理标准政策法规学习法、现场调研法等方式方法,最后提出江西移动网络信息安全管理体系建设办法与实施方法。使体系适用于江西移动的所有网络与信息系统,及组织和人员。
Along with the development of networking industry by leaps and bounds, Jiangxi mobile in nets subscribers exceeded 20 million, Network scale expanding gradually and Rapid growth information. Jiangxi mobile networking security research management problem, make corresponding process specifications, management method, management and maintenance method which Is the current management work in jiangxi province the important content of the move. n-depth study jiangxi mobile information security management mode, to ensure the stable operation of the jiangxi communication network, enterprise stable and orderly development has the important practical significance.
This article will research Jiangxi mobile information security system into a layered structure design, including a complete system from macroscopical to microcosmic, principle of concrete measures from aspects of the direction to the content. This system based on the international standard, reference industry of jiangxi ripe experience, and combining the actual situation, design move the jiangxi mobile network and information security management system, the basic principles and detail requirement.The system contains Organization and personnel, network and information asset management, physics and environmental safety, communications and operation management security, access control, development and maintenance, security incident response and business continuity, safety audit, means application monitoring information security management. Based on Jiangxi mobile networking are analyzed, and the analysis of the present situation and existing problems, Finally proposed Jiangxi mobile networking information security management system.
引文
[1]SHANNON C E. Communication theory of secrecy systems [J]. Bell System Technical Journal,1949,28(4):656-715.
[2]美国国防部.计算机安全控制[Z].美国:美国国防部,1949.
[3]曼纽尔·卡斯特,信息安全管理之道[M],(夏铸九),北京,社会科学文献出版社,2006(9)
[4]BS 7799-3-2006.信息安全管理系统.信息安全性风险管理指南[S].
[5]ISO IEC17799 2000信息技术信息安全管理实用规则[S].
[6]姚轶崭;江常青;张利;李建彬;ISMS概念模型探索[J];计算机工程;2008(2)
[7]Howard Kunreuther, Geoffrey Heal. Interdependent security. Journal of Risk and Uncertainty.2003,26 (231):231-249
[8]Schneier, B., Computer Security:It's the Economics, Stupid. Workshop on Economics and Information Security, UC, Berkeley,2002:203-214
[9]Hal R.Varian. Managing Online Security Risks. New York Times; New York, N.Y.;Jun 1,2000:2-3
[10]Alfredo Garcia, Barry Horowitz. The Potential for Underinvestment in Internet Security: Implications for Regulatory Policy. The Fifth Workshop on Economics and Information Security, University of Cambridge,2006:32-43
[11]Anindya Ghose, Uday Rajan. The Economic Impact of Regulatory Information Disclosure on Information Security Investments, Competition, and Social Welfare. Workshop on Economics and Information Security, Cambridge University,2006,6:79-94
[12]刘艳.曹鸿强信息安全经济学初探[J],网络安全技术与应用 2003(3)
[13]黄菊,全面加强信息安全保障工作[R],促进信息化健康发展2004(1)
[14]郑皆亮,基于灰色理论的网络信息安全评估模型的研究[D],南京,南京信息工程大学,2005
[15]陈慧勤,企业信息安全风险管理的框架研究[D],上海,同济大学,2006
[16]范红,国家信息安全风险评估标准编制和试点工作进展.信息技术与标准化,2005,(7):12--14.
[17]吕俊杰.邱菀华.王元卓基于相互依赖性的信息安全投资博弈[J],中国管理科学2006(3)
[18]张冰,电信网网络安全漏洞与补丁管理研究[J],电信网技术,2006(7)
[19]王英梅,信息安全风险评估,北京,电子工业出版社,2007(7)
[20]奥斯本,信息安全管理之道,(周广辉),北京,水利水电出版社,2008(1):11-20
[21]惠特曼,信息安全管理/信息安全丛书,(向宏,傅鹂),重庆,重庆大学出版社2005(3):20-30
[22]王春东,杨宏,赵俊阁,信息安全管理,武汉,武汉大学出版社,2008(4):100-120
[23]王正德,杨世松,信息安全管理论,北京,军事科学出版社,2009(7):20-30
[24]CEAC国家信息化计算机教育认证项目电子政务与信息安全认证专项组,信息安全管理基础,北京,人民邮电出版社,2008(5)
[25]谢宗晓,信息安全管理体系应用手册——ISO/IEC 27001标准解读及应用模板,北京,中国标准出版社,2008(10)
[26]陈珍成,信息安全管理体系审核指南,北京,中国标准出版社,2008(7)
[27]张红旗,信息安全管理,北京,人民邮电出版社,2007(11)
[28]于军,信息安全的体系化管理ISMS在电子政务中的应用,北京,国防工业出版社,2008(6)
[29]陈福莉,谭兴烈,信息安全管理平台及其应用[J].信息安全与通信保密,2006(12)。
[30]李劲松,信息时代如何保障国家安全(四)——信息安全的主要威胁及其对策.信息安全的主要威胁及其对策.国家安全通讯.2001,(7)
[31]ErnieJordan, LukeSileoek,基于IT治理的风险管理之道,(汤大马),北京,清华大学出版社,2006(12)
[32]卢新德,构建信息安全保障新体系:全球信息战的新形势与我国的信息安全战略,北京,中国经济出版社,2007(5)
[33]王玫,建设银行信息安全管理体系建设研究[D],山东,山东大学,2008
[34]蓝志强,航天科技集团信息安全管理体系存在问题研究[D],哈尔滨工业大学,哈尔滨工业大学,2009
[35]王晓梅,政府门户网站信息安全保障体系研究[D],湖南,湘潭大学,2008
[36]陈国华,安全管理信息系统,北京,国防工业出版社,2007(6)
[37]李建华,信息系统安全管理理论及应用,北京,机械工业出版社,2009(9)
[38]麦克劳德,管理信息系统,(张成洪),电子工业出版社,2007(8)
[39]俞小清,信息安全管理体系的建立[J],电子标准化与质量;2000(4)
[40]俞小清,试论以BS7799的要求建立组织的信息安全管理体系[J],电子质量,2000(5)
[41]左晓栋,ISO/IEC 17799释疑[J],信息网络安全,2001(11)
[42]张宏,韩硕祥,浅谈ISO17799《信息安全管理体系》标准的产生与应用[J];信息技术与标准化;2002(11)
[43]王毅刚,吴吕伦;BS7799-2:2002及风险评估[J];信息技术与标准化[J];2002(10)
[44]李森,细节决定成败确保信息安全的基础知识[J],现代军事,2007(8)
[45]韩尚鹏,基于代理的信息安全PKI及应用D],大连,大连理工大学,2003年
[46]刘海光,基于用户诊断方式的反恶意软件系统的研究与实现[D],四川,四川师范大学,2008
[47]肖锟,浅议网络环境下的企业信息安全管理[J],标准科学,2010(8)
[48]胡若,信息安全管理的概念映射方法[J],计算机工程与应用,2010(21)
[49]方清涛,中国国家信息安全与策略研究[D],河北,河北师范大学,2009
[50]赵冬梅,信息安全风险评估量化方法研究[D],西安,西安电子科技大学,2007
[51]中国信息协会信息安全专业委员会编,中国信息安全年鉴(2006年)[G],北京,中国水利水电出版社,2007
[52]戴宗坤.信息安全法律法规与管理—信息安全理论与实用技术丛书[M],重庆:重庆大学出版社,2005
[53]步山岳,张有东.计算机信息安全技术[M],北京,高等教育出版社,2005
[54]吴亚非,李新友,禄凯.信息安全风险评估[M],北京,清华大学出版社,2007
[55]乔丽萍.企业IT治理和信息系统风险控制方法的研究[D],上海,同济大学,2003
[2]美国国防部.计算机安全控制[Z].美国:美国国防部,1949.
[3]曼纽尔·卡斯特,信息安全管理之道[M],(夏铸九),北京,社会科学文献出版社,2006(9)
[4]BS 7799-3-2006.信息安全管理系统.信息安全性风险管理指南[S].
[5]ISO IEC17799 2000信息技术信息安全管理实用规则[S].
[6]姚轶崭;江常青;张利;李建彬;ISMS概念模型探索[J];计算机工程;2008(2)
[7]Howard Kunreuther, Geoffrey Heal. Interdependent security. Journal of Risk and Uncertainty.2003,26 (231):231-249
[8]Schneier, B., Computer Security:It's the Economics, Stupid. Workshop on Economics and Information Security, UC, Berkeley,2002:203-214
[9]Hal R.Varian. Managing Online Security Risks. New York Times; New York, N.Y.;Jun 1,2000:2-3
[10]Alfredo Garcia, Barry Horowitz. The Potential for Underinvestment in Internet Security: Implications for Regulatory Policy. The Fifth Workshop on Economics and Information Security, University of Cambridge,2006:32-43
[11]Anindya Ghose, Uday Rajan. The Economic Impact of Regulatory Information Disclosure on Information Security Investments, Competition, and Social Welfare. Workshop on Economics and Information Security, Cambridge University,2006,6:79-94
[12]刘艳.曹鸿强信息安全经济学初探[J],网络安全技术与应用 2003(3)
[13]黄菊,全面加强信息安全保障工作[R],促进信息化健康发展2004(1)
[14]郑皆亮,基于灰色理论的网络信息安全评估模型的研究[D],南京,南京信息工程大学,2005
[15]陈慧勤,企业信息安全风险管理的框架研究[D],上海,同济大学,2006
[16]范红,国家信息安全风险评估标准编制和试点工作进展.信息技术与标准化,2005,(7):12--14.
[17]吕俊杰.邱菀华.王元卓基于相互依赖性的信息安全投资博弈[J],中国管理科学2006(3)
[18]张冰,电信网网络安全漏洞与补丁管理研究[J],电信网技术,2006(7)
[19]王英梅,信息安全风险评估,北京,电子工业出版社,2007(7)
[20]奥斯本,信息安全管理之道,(周广辉),北京,水利水电出版社,2008(1):11-20
[21]惠特曼,信息安全管理/信息安全丛书,(向宏,傅鹂),重庆,重庆大学出版社2005(3):20-30
[22]王春东,杨宏,赵俊阁,信息安全管理,武汉,武汉大学出版社,2008(4):100-120
[23]王正德,杨世松,信息安全管理论,北京,军事科学出版社,2009(7):20-30
[24]CEAC国家信息化计算机教育认证项目电子政务与信息安全认证专项组,信息安全管理基础,北京,人民邮电出版社,2008(5)
[25]谢宗晓,信息安全管理体系应用手册——ISO/IEC 27001标准解读及应用模板,北京,中国标准出版社,2008(10)
[26]陈珍成,信息安全管理体系审核指南,北京,中国标准出版社,2008(7)
[27]张红旗,信息安全管理,北京,人民邮电出版社,2007(11)
[28]于军,信息安全的体系化管理ISMS在电子政务中的应用,北京,国防工业出版社,2008(6)
[29]陈福莉,谭兴烈,信息安全管理平台及其应用[J].信息安全与通信保密,2006(12)。
[30]李劲松,信息时代如何保障国家安全(四)——信息安全的主要威胁及其对策.信息安全的主要威胁及其对策.国家安全通讯.2001,(7)
[31]ErnieJordan, LukeSileoek,基于IT治理的风险管理之道,(汤大马),北京,清华大学出版社,2006(12)
[32]卢新德,构建信息安全保障新体系:全球信息战的新形势与我国的信息安全战略,北京,中国经济出版社,2007(5)
[33]王玫,建设银行信息安全管理体系建设研究[D],山东,山东大学,2008
[34]蓝志强,航天科技集团信息安全管理体系存在问题研究[D],哈尔滨工业大学,哈尔滨工业大学,2009
[35]王晓梅,政府门户网站信息安全保障体系研究[D],湖南,湘潭大学,2008
[36]陈国华,安全管理信息系统,北京,国防工业出版社,2007(6)
[37]李建华,信息系统安全管理理论及应用,北京,机械工业出版社,2009(9)
[38]麦克劳德,管理信息系统,(张成洪),电子工业出版社,2007(8)
[39]俞小清,信息安全管理体系的建立[J],电子标准化与质量;2000(4)
[40]俞小清,试论以BS7799的要求建立组织的信息安全管理体系[J],电子质量,2000(5)
[41]左晓栋,ISO/IEC 17799释疑[J],信息网络安全,2001(11)
[42]张宏,韩硕祥,浅谈ISO17799《信息安全管理体系》标准的产生与应用[J];信息技术与标准化;2002(11)
[43]王毅刚,吴吕伦;BS7799-2:2002及风险评估[J];信息技术与标准化[J];2002(10)
[44]李森,细节决定成败确保信息安全的基础知识[J],现代军事,2007(8)
[45]韩尚鹏,基于代理的信息安全PKI及应用D],大连,大连理工大学,2003年
[46]刘海光,基于用户诊断方式的反恶意软件系统的研究与实现[D],四川,四川师范大学,2008
[47]肖锟,浅议网络环境下的企业信息安全管理[J],标准科学,2010(8)
[48]胡若,信息安全管理的概念映射方法[J],计算机工程与应用,2010(21)
[49]方清涛,中国国家信息安全与策略研究[D],河北,河北师范大学,2009
[50]赵冬梅,信息安全风险评估量化方法研究[D],西安,西安电子科技大学,2007
[51]中国信息协会信息安全专业委员会编,中国信息安全年鉴(2006年)[G],北京,中国水利水电出版社,2007
[52]戴宗坤.信息安全法律法规与管理—信息安全理论与实用技术丛书[M],重庆:重庆大学出版社,2005
[53]步山岳,张有东.计算机信息安全技术[M],北京,高等教育出版社,2005
[54]吴亚非,李新友,禄凯.信息安全风险评估[M],北京,清华大学出版社,2007
[55]乔丽萍.企业IT治理和信息系统风险控制方法的研究[D],上海,同济大学,2003