原创《信息安全管理系列之十九从行为信息安全到行为标准智库》:本文是一篇关于信息安全论文范文,可作为相关选题参考,和写作参考文献。
“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编.自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作.目前,已发表论文42篇,出版专著12本.
信息安全管理系列之十九
IFIP TC8/WG11和TC11/WG13在2013年定义了一个信息系统管理的研究分支:行为信息安全研究.但是,在国内尚没有明确的学科设置,下文对该研究方向进行介绍的同时,并认为在后续的研究中,应该更多地关注行为网络安全研究.
谢宗晓(特约编辑)
摘 要:本文对信息安全研究的主要方向进行了梳理,由此给出了行为信息安全研究所处的位置,并介绍了该研究领域的关注点.最后,讨论了在网络空间中个体行为所表现的不同特征,指出研究趋势必然从行为信息安全研究过渡到行为网络安全研究.
关键词: 网络空间安全 网络安全 信息安全 行为信息安全研究 行为网络安全研究
Abstract: This paper summarized the main directions of information security research, and introduced the focus of Behioral InfoSec Research. Finally, we discussed the different characteristics of the individual behior in cyberspace, and proposed that the research trend should shift from Behioral InfoSec Research to Behioral Cybersecurity Research.
Key words: cyberspace security, cybersecurity, information security, Behioral InfoSec Research, Behioral Cybersecurity Research
1 信息安全的主要研究方向
1.1 学(cryptography)
从之前的讨论中,我们可以看出,“信息安全”的词汇随着“载体”或者“关注点”保持了持续的变化,从“通信安全”“计算机安全”,到“网络安全(network security)”直至“信息安全”[1],本质都是为了保护最核心的资产,即“信息”.ISO/IEC 27000:2014中对信息安全的定义为:保证信息的保密性(confidentiality)、完整性(integrity)和可用性(ailability);另外也可包括例如真实性(authenticity)、可核査性(accountability)、不可否认性(non-repudiation)和可靠性(reliability)等.
这其中的诸多安全属性主要依靠学的相关技术或机制解决[2],具体如表1所示,表中的数据来自GB/T 9387.2—1995 / ISO 7498-2:1989.
因此,一直以来,学都是信息安全最重要的研究方向之一.在通信安全时代及其之前,载体方面主要防止窃听,这并不需要形成单独的学科,最重要的安全措施是加密传输,但是在计算机与信息系统出现之后,仅靠消息加解密已经不能解决所有的问题,更重要的是,在信息大爆炸的时代,这不现实也没必要.
信息安全引起广泛重视,一个很重要的原因还是信息系统的普及.围绕信息系统,存在两个最重要的研究方向,即关注如何设计信息系统的计算机科学与技术领域,以及关注如何应用信息系统的信息系统管理领域,具体如图1所示.
通过图1,也给出了解决信息安全问题的两种主要途径:一是技术,即通过安全防护系统加固现有的信息系统;或者二,通过管理,即通过信息安全制度加强对个体行为的约束.
1.2 起源于计算机领域的安全防护系统研发
防火墙、防病毒和入侵检测系统(Intrusion Detection Systems,IDS)等信息安全防护系统研发是目前实践中最常见的手段,也是研究领域的热点之一.按照Basie von Solms[3,4]对信息安全实践的划分,技术部署是最早出现的浪潮.当然,在今天的信息安全实践中,已经不再可以区分技术手段还是管理手段,更多的是关注安全目标,例如,在ISO/IEC 27001:2013中,一个安全控制目标所对应的不仅是技术,也包括管理.
1.3 起源于管理学领域的信息系统安全管理
单纯的技术不会解决任何问题,在目前信息安全业界已经得到公认[5].首先,技术不是万能的,不能解决所有的问题;此外,即使是技术系统,最终需要人去操作,依然需要相应的制度或策略.例如,防火墙策略的配置.即使在“最技术”的学领域,BruceSchneier也曾经指出“再强的算法也抵不过前克格勃的*”[6].
2 为什么研究重点会转移到行为信息安全
2.1 安全机制中最薄弱的环节
普遍认为,人是安全机制中最薄弱的环节,航空领域的诸多事故基本证实了这一点.在集中计算时代,每一个管理员都如同飞行员一样,都是专业人员,这种脆弱性表现的并不突出.但是在个人PC广泛普及的时代,人在安全机制中的脆弱性就暴露无遗.
以信息安全风险评估为例.在集中计算的时代,信息安全风险评估并没有完整的流程,而是一系列的检查表(checklist)[7],例如PD3000系列.这实际是最经济,也是最有效的方式之一,例如在其他行业,医疗领域的新生儿阿普加(Apgar)评分表2),原理不复杂,但是有效地降低了新生儿死亡率,到现在仍然应用于临床.再如,飞行员做安全检查的主要依据是一系列的检查表.但是,要使定性的检查表有效,一个重要前提是操作者是专业人员,因此当分布式计算时代来临的时候,检查表就不再能够有效地发挥作用.或者说,基于主观判断的检查表并不适用于非专业人员,于是促生了现在常用的“经典六因素法”(资产,威胁,脆弱性,控制措施,可能性和影响),信息安全风险评估成了规范的流程/方法,检查表只是其中的一个技术工具.
信息安全论文参考资料:
结论:信息安全管理系列之十九从行为信息安全到行为标准智库为关于信息安全方面的论文题目、论文提纲、信息安全论文开题报告、文献综述、参考文献的相关大学硕士和本科毕业论文。
