龔建 成都信息工程大學(xué)銀杏酒店管理學(xué)院

信息系統(tǒng)安全風(fēng)險(xiǎn)的評估

龔建 成都信息工程大學(xué)銀杏酒店管理學(xué)院

由于信息技術(shù)的不斷發(fā)展，對信息系統(tǒng)的安全性有了更高的要求，所以信息系統(tǒng)安全風(fēng)險(xiǎn)的評估顯得尤為的重要。信息系統(tǒng)安全風(fēng)險(xiǎn)評估的目的在于對信息化的系統(tǒng)進(jìn)行分析以及風(fēng)險(xiǎn)監(jiān)測，從而采取有效的手段消除安全隱患，保證信息系統(tǒng)的安全。基于此，本文首先研究了信息系統(tǒng)安全風(fēng)險(xiǎn)的工作流程，其次，對信息系統(tǒng)安全風(fēng)險(xiǎn)評估方法進(jìn)行了闡述，為推動信息系統(tǒng)安全風(fēng)險(xiǎn)評估的進(jìn)一步發(fā)展做出貢獻(xiàn)。

信息系統(tǒng)安全 風(fēng)險(xiǎn)評估方法

隨著經(jīng)濟(jì)的不斷發(fā)展，信息系統(tǒng)的復(fù)雜程度也進(jìn)一步提高，這就對信息系統(tǒng)安全風(fēng)險(xiǎn)的評估提出了更高的要求。目前，我國信息系統(tǒng)安全風(fēng)險(xiǎn)的評估還有待完善，針對這一問題，本文將從信息系統(tǒng)安全風(fēng)險(xiǎn)評估的工作流程和信息系統(tǒng)安全風(fēng)險(xiǎn)評估方法兩個(gè)方面進(jìn)行分析，從而保障信息系統(tǒng)的安全。

1 工作流程

信息系統(tǒng)安全風(fēng)險(xiǎn)評估的工作流程大致分為以下幾個(gè)方面。

1.1 對資產(chǎn)的識別

資產(chǎn)是信息安全風(fēng)險(xiǎn)評估的主要對象，是具有較高價(jià)值的信息資源。資產(chǎn)可大致分為人力資源、信息資源、硬件資源等方面。由于資產(chǎn)的重要性不同，所給予的保護(hù)程度也就不同，所以，信息系統(tǒng)安全風(fēng)險(xiǎn)評估工作的第一步就是將資產(chǎn)做出識別并進(jìn)行大致的劃分。

1.2 對威脅的識別

影響信息安全的主要因素就是風(fēng)險(xiǎn)造成的威脅，如果沒有完善的威脅識別體系，就有可能造成信息的泄露，從而造成嚴(yán)重的后果。對威脅識別的意義就在于對破壞資產(chǎn)安全的因素加以識別和分類，保證信息系統(tǒng)的安全。

1.3 對脆弱性的識別

脆弱性是對資產(chǎn)弱點(diǎn)的總體概括，對脆弱性的識別也可以解釋為對資產(chǎn)弱點(diǎn)進(jìn)行綜合概括的過程，只有掌握了資產(chǎn)的弱點(diǎn)，才可以更好的對資產(chǎn)進(jìn)行保護(hù)，所以，對脆弱性的識別是信息系統(tǒng)安全評估流程中尤為重要的一部分。

1.4 確認(rèn)現(xiàn)有的安全措施

安全措施可以有效的控制信息安全風(fēng)險(xiǎn)的發(fā)生概率，所以，在進(jìn)行信息安全風(fēng)險(xiǎn)評估之前，必須要確認(rèn)現(xiàn)有的安全措施并進(jìn)行分析，這樣才能為后面的工作打下良好的基礎(chǔ)。

1.5 對風(fēng)險(xiǎn)進(jìn)行分析

在完成了以上四點(diǎn)之后，就進(jìn)入分析風(fēng)險(xiǎn)的階段。對風(fēng)險(xiǎn)進(jìn)行分析的主要方式是通過計(jì)算機(jī)對以上數(shù)據(jù)進(jìn)行具體的分析和統(tǒng)計(jì)。

2 信息系統(tǒng)安全風(fēng)險(xiǎn)評估的方法

2.1 對知識系統(tǒng)的風(fēng)險(xiǎn)分析

對知識系統(tǒng)的風(fēng)險(xiǎn)分析方法大多是基于大量經(jīng)驗(yàn)之上的，對技術(shù)的要求很低。主要是通過對資產(chǎn)信息的采集，利用工作人員自身具有的大量經(jīng)驗(yàn)，對采集來的信息進(jìn)行對比分析，找出與相關(guān)標(biāo)準(zhǔn)的不同之處，制定出相對應(yīng)的解決策略，加以分析和改進(jìn)，起到對安全風(fēng)險(xiǎn)的控制作用。其中資產(chǎn)信息的采集大致可以通過開會討論、實(shí)地調(diào)查、與相關(guān)人員進(jìn)行交談以及查閱資產(chǎn)信息相關(guān)文檔等方法進(jìn)行收集。這一種方法由于對技術(shù)的要求較低，所以大多用在管理層面。

2.2 對技術(shù)系統(tǒng)的風(fēng)險(xiǎn)分析

對技術(shù)系統(tǒng)的風(fēng)險(xiǎn)分析方法大多是基于技術(shù)人員的技術(shù)之上的。通過對相關(guān)經(jīng)驗(yàn)的運(yùn)用，對系統(tǒng)出現(xiàn)的問題作出完整的計(jì)算和評估，以此方法解決信息系統(tǒng)安全監(jiān)測中存在的問題，其特點(diǎn)是加強(qiáng)評估方法的評估效率、提高了信息安全風(fēng)險(xiǎn)評估結(jié)果的質(zhì)量和準(zhǔn)確性、減少了相關(guān)技術(shù)人員之間的溝通障礙，使分析結(jié)果更加精確。這種方法相對于技術(shù)的要求較高，管理方面較為薄弱，所以大多運(yùn)用于技術(shù)系統(tǒng)風(fēng)險(xiǎn)的分析。

2.3 對信息系統(tǒng)的定量及定性分析

定量分析法主要是通過對資產(chǎn)信息通過計(jì)算機(jī)轉(zhuǎn)化為數(shù)據(jù)的方法，使技術(shù)人員能夠直觀明了的對資產(chǎn)進(jìn)行分析，這種方法的優(yōu)點(diǎn)是分析結(jié)果精確、直觀，適用于管理層面。缺點(diǎn)是對資產(chǎn)的分析是基于技術(shù)人員主觀意識上的，具有一定的主觀性。定性分析是結(jié)合企業(yè)的歷史記錄，由相關(guān)的技術(shù)人員進(jìn)行討論，進(jìn)而對結(jié)果進(jìn)行分析計(jì)算得出結(jié)果的方法。定性分析方法的優(yōu)點(diǎn)是進(jìn)一步的減少了對于風(fēng)險(xiǎn)分析結(jié)果的誤差，對于分析結(jié)果進(jìn)行了有效的排列，方便管理人員進(jìn)行管理。缺點(diǎn)是缺乏客觀性，可能會造成分析結(jié)果的偏差。

為了確保我國信息系統(tǒng)的安全，信息系統(tǒng)安全風(fēng)險(xiǎn)的評估已經(jīng)擁有了舉足輕重的地位。本文通過對信息系統(tǒng)安全工作流程的介紹，大致了解了工作流程包括對資產(chǎn)的識別、對威脅的識別、對脆弱性的識別、對現(xiàn)有安全措施的確認(rèn)以及對風(fēng)險(xiǎn)的分析幾個(gè)方面。接著闡述了信息系統(tǒng)安全風(fēng)險(xiǎn)評估的方法，包括對知識系統(tǒng)技術(shù)系統(tǒng)的分析以及對信息系統(tǒng)的定量以及定性分析。通過對以上技術(shù)方法的運(yùn)用，進(jìn)一步使我國信息系統(tǒng)安全風(fēng)險(xiǎn)評估得到保障。

[1]梁丁相,陳曦.基于模糊綜合評判理論的電力信息系統(tǒng)安全風(fēng)險(xiǎn)評估模型及應(yīng)用[J].電力系統(tǒng)保護(hù)與控制,2015,05:61-64

[2]林洋.信息系統(tǒng)安全風(fēng)險(xiǎn)評估模型及其應(yīng)用研究[D].大連海事大學(xué),2013

[3]史美玲.第四方物流信息系統(tǒng)安全風(fēng)險(xiǎn)評估的研究[D].北京化工大學(xué),2014