信息安全風(fēng)險評估精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全風(fēng)險評估主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全風(fēng)險評估范文

從企業(yè)內(nèi)部業(yè)務(wù)出發(fā)，優(yōu)化信息安全風(fēng)險評估基本模型，設(shè)計了一個企業(yè)信息安全風(fēng)險自評估實施模型，并深入分析了該模型的內(nèi)容，使其適用于企業(yè)依托自身力量來有效開展自評估活動，從而提高企業(yè)信息安全風(fēng)險防護能力。

關(guān)鍵詞：

信息安全；自評估；風(fēng)險評估；模型設(shè)計

企業(yè)信息安全風(fēng)險評估主要有2種模式，即他評估和自評估。相比較而言，自評估展現(xiàn)出越來越多的優(yōu)點，比如外部依賴性小、投入費用低、評估周期短、次生風(fēng)險低和可以提高內(nèi)部安全意識等。除此之外，信息安全風(fēng)險的動態(tài)化決定信息安全評估工作應(yīng)是長期持續(xù)的，大部分的內(nèi)部信息安全風(fēng)險評估內(nèi)容企業(yè)可采用自評估方式來完成。但信息安全風(fēng)險評估的專業(yè)性、技術(shù)性、標(biāo)準(zhǔn)性比較高，企業(yè)難以掌握復(fù)雜的評估技術(shù)和方法。本文以企業(yè)業(yè)務(wù)為出發(fā)點，對信息安全風(fēng)險評估基本模型進行優(yōu)化，設(shè)計了一個更適用于企業(yè)依托自身力量來有效開展自評估的實施模型，以提高企業(yè)信息安全風(fēng)險防護能力。

1信息安全風(fēng)險評估基本模型

對風(fēng)險評估模型的研究一直是信息安全風(fēng)險評估領(lǐng)域的研究熱點之一。風(fēng)險評估基本模型是一種基于資產(chǎn)、威脅和脆弱性的信息安全風(fēng)險評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，估價準(zhǔn)則依賴于對其影響范圍的分析；威脅評估是對資產(chǎn)所受威脅發(fā)生可能性和威脅嚴重程度的評估；脆弱性評估是對資產(chǎn)脆弱程度的評估，也是對資產(chǎn)被威脅、利用成功的可能性的評估。信息安全風(fēng)險評估基本模型的評估過程就是對資產(chǎn)信息、威脅信息和脆弱性信息進行綜合分析評估并且生成風(fēng)險信息的過程，包含確定評估范圍、資產(chǎn)識別階段、安全威脅/脆弱性評估、風(fēng)險分析和風(fēng)險管理等階段?；谛畔踩L(fēng)險評估基本模型，很多學(xué)者從不同角度和目的做了優(yōu)化和完善。但是，信息安全風(fēng)險評估模型的研究還處于探索和完善階段，已有的研究存在一些缺陷，主要表現(xiàn)為以下3點：①缺乏對評估內(nèi)容的逐層細化，難以評價和量化各要素，可操作性比較差；②缺乏對風(fēng)險評估基本要素屬性的綜合思考，難以體現(xiàn)評估要素與企業(yè)業(yè)務(wù)的關(guān)系；③大部分模型比較復(fù)雜，評估方法和流程操作起來費時費力，企業(yè)難以采用。

2基于基本模型的企業(yè)信息安全自評估模型

針對信息安全風(fēng)險評估模型的不足，本文綜合考慮企業(yè)自身的業(yè)務(wù)和內(nèi)部約束條件，在基本模型和相關(guān)研究成果的基礎(chǔ)上，提出更加簡單、有效的企業(yè)信息安全風(fēng)險自評估模型。本文認為，企業(yè)信息安全風(fēng)險自評估模型應(yīng)遵循自主、簡單、規(guī)范性、可行性和可擴展性的原則，基本思路是從企業(yè)業(yè)務(wù)出發(fā)，多角度研究自評估模型中資產(chǎn)、威脅、脆弱性的關(guān)系和指標(biāo)，應(yīng)用相關(guān)統(tǒng)計分析方法統(tǒng)計，運用層次分析法（AHP）評價、量化相關(guān)要素和風(fēng)險，最終構(gòu)建一個科學(xué)、合理、可操作的企業(yè)自評估模型。在此過程中，需要解決3方面的問題：①明確評估的對象、內(nèi)容和流程；②構(gòu)建評價方法，統(tǒng)一評估和度量風(fēng)險基本要素；③統(tǒng)一不同層面、角度的評估結(jié)果。

2.1基于AHP的信息安全風(fēng)險要素度量方法

AHP（AnalyticHierarchyProcess，層次分析法）是一種定性分析與定量分析相結(jié)合的多目標(biāo)決策分析方法，其基本步驟是：①分析問題，建立遞階結(jié)構(gòu)（評價模型）；②構(gòu)造比較判斷矩陣；③層次單排序；④一致性檢驗；⑤層次總排序與一致性檢驗；⑥選擇最優(yōu)的解決方案。資產(chǎn)、威脅、脆弱性作為信息安全風(fēng)險自評估模型的3個基本要素，需要分別識別和分析，并提煉出各自的評價指標(biāo)。本文結(jié)合已有的理論和實踐成果，從自主性、簡單性、可行性和科學(xué)性原則出發(fā)，基于相關(guān)標(biāo)準(zhǔn)、企業(yè)環(huán)境和企業(yè)業(yè)務(wù)影響分析，提出信息資產(chǎn)的評價因素應(yīng)包含經(jīng)濟、名譽、法律法規(guī)、業(yè)務(wù)運營、社會秩序、商業(yè)利益和個人利益，等等，威脅可能性評價指標(biāo)應(yīng)包含威脅攻擊力、威脅動機、資產(chǎn)誘因和威脅頻率等，脆弱性嚴重程度賦值的評價因素應(yīng)包含可用性、機密性和完整性。根據(jù)資產(chǎn)受到損害時對其評價因素帶來的損失為資產(chǎn)價值賦值（比如從1～4取值），數(shù)值越大，表明資產(chǎn)價值越高。得到各評價因素的綜合分值后，分值最大的為該資產(chǎn)的價值，即資產(chǎn)價值為A＝max（i）。根據(jù)威脅評價指標(biāo)和脆弱性評價因素，利用AHP方法建立威脅、脆弱性評價體系，體系由目標(biāo)層、準(zhǔn)則層和指標(biāo)層（方案層）構(gòu)成。為了方便對不同威脅發(fā)生可能性概率、不同脆弱性的嚴重程度進行類比、度量，使用統(tǒng)一的度量標(biāo)準(zhǔn)，采用相對等級的方式處理評價結(jié)果（比如從1～4取值），數(shù)值越大，威脅發(fā)生的可能性越高，帶來的損害越大。通過AHP用數(shù)量形式表達和處理個人主觀判斷結(jié)果，采用專家和團隊評分進一步比較各要素的重要性，并做一致性檢驗，最終確定各要素的值。

2.2企業(yè)信息安全自評估風(fēng)險計算

在對資產(chǎn)價值、威脅、脆弱性分析和量化后，還要確定各要素之間的組合方式和具體的計算方法?！缎畔踩L(fēng)險評估規(guī)范》（2007）對風(fēng)險值的計算提出了如下函數(shù)：風(fēng)險值＝R（A，T，V）＝R（L（T，V），F(xiàn)（Ia，Va））.（1）式（1）中：R為安全風(fēng)險計算函數(shù)；A為資產(chǎn)；T為威脅；V為脆弱性；L為威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性；F為安全事件發(fā)生后造成的損失；Ia為安全事件所作用的資產(chǎn)價值；Va為脆弱性嚴重程度。信息安全風(fēng)險值的計算方法主要有矩陣法、相乘法和預(yù)先價值矩陣查表法等，并且可以將多種方法結(jié)合使用。因為相乘法操作簡單，所以，在風(fēng)險分析中的應(yīng)用比較廣泛。該方法是一種定量的計算方法，主要思路是利用2個相關(guān)要素值的乘積計算出結(jié)果要素的值。按照簡單性、科學(xué)性原則，對于企業(yè)自評估，本文認為，相乘法比較適合企業(yè)使用，但不限于該方法。根據(jù)相乘法，企業(yè)信息安全風(fēng)險值的計算過程是：①計算威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性，即L＝L（T，V）＝T×V；②計算安全事件發(fā)生后造成的損失，即F＝F（Ia，Va）＝Ia×Va；③計算風(fēng)險值，即R＝R（L，F(xiàn)）＝L×F.

2.3企業(yè)信息安全自評估模型和流程設(shè)計

企業(yè)信息安全風(fēng)險自評估的基本目的是依據(jù)企業(yè)自身業(yè)務(wù)，識別出信息系統(tǒng)中存在的主要安全風(fēng)險，并排列優(yōu)先級，為風(fēng)險信息計算提供數(shù)據(jù)支撐，進而為提出風(fēng)險應(yīng)對措施提供建議?；谏鲜龇椒ǎ疚奶岢隽似髽I(yè)信息安全風(fēng)險自評估模型，如圖1所示。企業(yè)信息安全風(fēng)險自評估模型的實施分為范圍確定、資產(chǎn)識別與量化、威脅分析、脆弱性分析、風(fēng)險分析與計算、風(fēng)險應(yīng)對建議6個階段，每個階段的具體任務(wù)如圖2所示。本文提出的自評估模型綜合了企業(yè)自評估的約束條件、風(fēng)險評估的基本原理、關(guān)鍵環(huán)節(jié)與流程、基本要素度量等，具有以下5個特點：①模型提供了統(tǒng)一的資產(chǎn)、威脅、脆弱性3個基本要素的度量和評價方法，依據(jù)模型中的評價指標(biāo)可以進行量化和排序。②模型將企業(yè)業(yè)務(wù)與風(fēng)險評估結(jié)合起來，體現(xiàn)了IT服務(wù)企業(yè)、服務(wù)業(yè)務(wù)的理念，在一定程度上反映出了信息安全風(fēng)險評估對業(yè)務(wù)的影響程度和對企業(yè)的價值。③模型滿足信息安全的動態(tài)性要求，適應(yīng)企業(yè)業(yè)務(wù)不斷發(fā)展和調(diào)整的需要。當(dāng)業(yè)務(wù)調(diào)整時，企業(yè)僅需分析業(yè)務(wù)信息流，識別出相關(guān)資產(chǎn)、威脅和脆弱性等。④模型滿足信息安全的持續(xù)性要求，企業(yè)可建立相關(guān)制度，將自評估設(shè)立為日常性工作。當(dāng)業(yè)務(wù)無法調(diào)整時，自評估活動僅需識別和分析新的脆弱性和威脅信息，從而節(jié)省大量資源。⑤模型具有較強的適應(yīng)性，適用于不同類型的企業(yè)，企業(yè)可根據(jù)實際情況裁減和優(yōu)化，根據(jù)各自的偏好選擇風(fēng)險計算方法。

3結(jié)束語

第2篇：信息安全風(fēng)險評估范文

關(guān)鍵詞：信息安全；風(fēng)險評估；教學(xué)

信息安全風(fēng)險評估是進行信息安全管理的重要依據(jù)，通過對信息系統(tǒng)進行系統(tǒng)的風(fēng)險分析和評估，發(fā)現(xiàn)存在的安全問題并提出相應(yīng)的措施，這對于保護和管理信息系統(tǒng)至關(guān)重要。目前國內(nèi)外都高度重視信息安全風(fēng)險評估工作。美國政府2002年頒布《聯(lián)邦信息安全管理法》，對信息安全風(fēng)險評估提出了具體的要求；歐盟國家也把開展信息安全風(fēng)險評估作為提高信息安全保障水平的重要手段；2003年7月23日，國家信息中心組建成立“信息安全風(fēng)險評估課題組”，提出了我國開展信息安全風(fēng)險評估的對策和辦法。2004年，國務(wù)院信息辦研究制訂了《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》兩個風(fēng)險評估的標(biāo)準(zhǔn)；2006年又起草了《關(guān)于開展信息安全風(fēng)險評估工作的意見》[1]。這些工作都對信息安全人才的培養(yǎng)提出了更高的要求，同時也為《信息安全風(fēng)險評估》課程的開設(shè)和講授提供了必要的基礎(chǔ)和條件?！缎畔踩L(fēng)險評估》課程教學(xué)，是信息安全專業(yè)一門重要的專業(yè)課程，能全面培養(yǎng)學(xué)生綜合運用專業(yè)知識，評估并解決信息系統(tǒng)安全問題的能力，是培養(yǎng)符合國家和社會需要的信息安全專業(yè)人才的重要課程之一。《信息安全風(fēng)險評估》課程本身的理論性與實踐性都很強，課程發(fā)展十分迅速，涉及的學(xué)科范圍也較廣，傳統(tǒng)的教學(xué)的模式不能使該課程的特點很好地展示出來，無法適應(yīng)社會經(jīng)濟發(fā)展對信息安全從業(yè)人員的新要求，教學(xué)改革勢在必行。

一、現(xiàn)狀與存在的問題

信息安全風(fēng)險評估是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的安全威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。它涉及信息系統(tǒng)的社會行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風(fēng)險評估的結(jié)果可以作為信息安全風(fēng)險管理的指南，用來確定合適的管理方針和選擇相應(yīng)的控制措施來保護信息資產(chǎn)，全面提高信息安全保障能力[2]。自2001年信息安全專業(yè)建立以來，高校在制訂本科專業(yè)教學(xué)培養(yǎng)目標(biāo)和教學(xué)計劃時，側(cè)重于具體安全理論和技術(shù)的教學(xué)和講授，特別是重點強調(diào)了密碼學(xué)、防火墻、入侵檢測、網(wǎng)絡(luò)安全等安全理論與技術(shù)的傳授。從目前高校的教學(xué)內(nèi)容看，多數(shù)側(cè)重于對“信息風(fēng)險管理”、“風(fēng)險識別”、“風(fēng)險評估”和“風(fēng)險控制”等基本內(nèi)容的介紹上，而且教學(xué)課時數(shù)也較少，只有十個學(xué)時。當(dāng)前從《信息安全風(fēng)險評估》課程的教學(xué)情況來看，該課程在信息安全教育教學(xué)過程中地位有待提高，實踐教學(xué)的建設(shè)與研究迫切需要深化。

當(dāng)前該課程的教學(xué)實踐中普遍存在以下幾個方面的問題，嚴重制約了《信息安全風(fēng)險評估》課程教學(xué)質(zhì)量的提高：

1.本科教學(xué)大都以理論內(nèi)容為主體，實驗和課程設(shè)計的學(xué)時安排較少。一般高校的《信息安全風(fēng)險評估》課程主要以理論內(nèi)容的講授為主，實驗和課程設(shè)計的學(xué)時較少，實驗內(nèi)容也大多屬于驗證性質(zhì)，缺少具有研究和探索性質(zhì)的信息安全風(fēng)險評估實踐內(nèi)容和課程設(shè)計；

2.教學(xué)方法單一，缺乏激勵學(xué)生求知欲的教學(xué)方法和手段。當(dāng)前開設(shè)《信息安全風(fēng)險評估》課程的高校還較少，師資力量相對薄弱，教學(xué)經(jīng)驗也比較缺乏，仍以主要由教師講述的傳統(tǒng)教學(xué)方式為主，學(xué)生進行具體實踐和操作的課時較少，缺乏創(chuàng)新性的教學(xué)和研究，基本沒有具有探索性和創(chuàng)新性特點的教學(xué)內(nèi)容，不利于發(fā)揮學(xué)生主觀能動性，提高其創(chuàng)新能力；

3.實驗環(huán)境無法滿足教學(xué)需求，缺乏專業(yè)的信息安全風(fēng)險評估師資。我國信息安全風(fēng)險評估的研究和教學(xué)工作起步晚，缺乏相關(guān)的實驗設(shè)備；而且受到資金和專業(yè)發(fā)展等多方面因素的制約，難以設(shè)立專門的信息安全風(fēng)險評估實驗室。此外，信息安全風(fēng)險評估是以計算機技術(shù)為核心，涉及管理科學(xué)、安全技術(shù)、通信和信息工程等多個學(xué)科，對于理論和實踐要求都很高。這就要求教師既要學(xué)習(xí)好各學(xué)科的基本知識，又要加強實踐訓(xùn)練。

二、教學(xué)改革與探索

高校計算機相關(guān)專業(yè)開設(shè)《信息安全風(fēng)險評估》課程，不是培養(yǎng)網(wǎng)絡(luò)信息安全方面的全才或戰(zhàn)略人才，而是培養(yǎng)在實際生活和工作中確實能解決某些具體安全問題的實用型人才。針對《信息安全風(fēng)險評估》課程的特點和教學(xué)中存在的不足，我們從以下幾個方面對該課程的教學(xué)改革進行了探索：

1.重新確立課程培養(yǎng)目標(biāo)。①重點培養(yǎng)學(xué)生分析和評估信息安全問題的能力：《信息安全風(fēng)險評估》課程是一門理論性和實踐性緊密結(jié)合的課程，目前開設(shè)該課程的高校較少，各學(xué)校的教學(xué)內(nèi)容也多種多樣。該課程的教學(xué)目標(biāo)即要培養(yǎng)學(xué)生發(fā)現(xiàn)信息系統(tǒng)存在的安全風(fēng)險，同時也需要培養(yǎng)他們科學(xué)地提出解決安全隱患的方案及能力。如何提高學(xué)生分析和評估信息安全問題的能力是該課程教學(xué)的首要目標(biāo)。②培養(yǎng)學(xué)生實際操作的能力：信息安全風(fēng)險評估的關(guān)鍵是對信息系統(tǒng)的資產(chǎn)進行分類，對其風(fēng)險的識別、估計和評價做出全面的、綜合的分析。這就要求學(xué)生熟練地掌握目標(biāo)對象的檢測和評估方法，包括使用各種自動化和半自動化的工具，可在模擬實驗里，通過不斷地訓(xùn)練實現(xiàn)。③培養(yǎng)學(xué)生繼續(xù)學(xué)習(xí)、勇于探索創(chuàng)新的能力：隨著信息化的不斷發(fā)展，信息系統(tǒng)所面臨的安全威脅急劇增加，為此各國政府都不斷提出和完善了各類信息安全測評標(biāo)準(zhǔn)。這就要求我們在教學(xué)中不斷地學(xué)習(xí)、理解和解釋最新的國際、國內(nèi)以及相關(guān)的行業(yè)標(biāo)準(zhǔn)，培養(yǎng)和提高學(xué)生繼續(xù)學(xué)習(xí)的能力。另外，《信息安全風(fēng)險評估》課程也要求通過課堂教學(xué)、課后練習(xí)、實驗驗證和考試、考查等教學(xué)環(huán)節(jié)培養(yǎng)學(xué)生獨力分析信息系統(tǒng)安全的能力，培養(yǎng)學(xué)生對信息安全風(fēng)險評估領(lǐng)域進行探索和研究的興趣，最終使學(xué)生掌握信息安全風(fēng)險評估的知識和技能，能夠解決具體信息系統(tǒng)的安全問題。

2.增加信息安全風(fēng)險評估理論和相關(guān)標(biāo)準(zhǔn)的教學(xué)。信息安全測評標(biāo)準(zhǔn)和相關(guān)法律法規(guī)是進行信息系統(tǒng)安全風(fēng)險評估的依據(jù)和保障。2006年由原國信辦《關(guān)于開展信息安全風(fēng)險評估工作的意見》（國信辦2006年5號文）；同時，隨著信息安全等級保護制度的推行，公安部會同有關(guān)部門出臺了一系列政策文件，主要包括：《關(guān)于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》等；國家信息安全標(biāo)準(zhǔn)化委員會頒發(fā)了《信息安全風(fēng)險評估規(guī)范》（GB/T 20984~2007）、《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）等多個國家標(biāo)準(zhǔn)[3]。為了保證《信息安全風(fēng)險評估》課程目標(biāo)的實現(xiàn)，我們在教學(xué)過程中，增加了《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》、《GB/Z24364-2009信息安全風(fēng)險管理指南》、《GB/T

22080-2008信息安全管理體系要求》、《GB/T22081-

2008信息安全管理實用規(guī)則》、《GB/T20269-2006信息系統(tǒng)安全管理要求》、《GB/T25063-2010?搖信息安全技術(shù)服務(wù)器安全測評要求》、《GB/T 20010-2005信息安全技術(shù)包過濾防火墻評估準(zhǔn)則》、《GB/T20011-2005信息安全技術(shù)路由器安全評估準(zhǔn)則》、《GA/T 672-2006信息安全技術(shù)終端計算機系統(tǒng)安全等級評估準(zhǔn)則》、《GA/T 712-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護通用測試指南》等相關(guān)評估標(biāo)準(zhǔn)和指南的學(xué)習(xí)，并編制相關(guān)的調(diào)查、檢查、測試表，重點強調(diào)對脆弱性檢測的理論依據(jù)的描述，檢測方法及其步驟的詳細記錄。

3.利用各種測評工具，提高學(xué)生實踐能力。在信息安全風(fēng)險評估過程中，資產(chǎn)賦值、威脅量化分析、安全模型的建立等環(huán)節(jié)的教學(xué)和實踐對教師和學(xué)生都提出了較高的專業(yè)課程要求。我們在《信息安全風(fēng)險評估》課程實踐中通過使用風(fēng)險評估工具，并對具體的信息系統(tǒng)進行自動化或半自動化的分析，加深了學(xué)生信息安全風(fēng)險評估的理論知識理解，同時注重培養(yǎng)學(xué)生動手實踐能力和探索新知識的能力。我們增加了主動型風(fēng)險評估工具Tenable掃描門戶網(wǎng)站系統(tǒng)的實踐性教學(xué)內(nèi)容。通過評估，該系統(tǒng)的服務(wù)器存在感染病毒的癥狀，其原因是服務(wù)器存在特定漏洞。為此我們使用漏洞掃描器對該服務(wù)器進行掃描，發(fā)現(xiàn)了“遠程代碼被執(zhí)行”漏洞，而且該漏洞能被蠕蟲病毒利用，形成針對系統(tǒng)的攻擊。通過案例特征提供了的信息，培養(yǎng)學(xué)生使用測評工具對具體信息系統(tǒng)進行安全風(fēng)險評估的能力，并進一步使其認識到主動型評估工具是信息安全風(fēng)險評估中快速了解目標(biāo)系統(tǒng)安全狀況不可或缺的重要手段。

筆者結(jié)合自己的教學(xué)實踐體會，論述了當(dāng)前《信息安全風(fēng)險評估》課程中存在的問題以及解決對策?！缎畔踩L(fēng)險評估》課程教學(xué)改革和建設(shè)是一個長期的、系統(tǒng)化的工程，需要不斷地根據(jù)信息系統(tǒng)在新環(huán)境下面臨的各種威脅，制定新的評估標(biāo)準(zhǔn)和評估方案，并使得學(xué)生在有限的時間和環(huán)境下掌握相應(yīng)的知識和技能，以滿足社會對信息安全人才的需求。

參考文獻：

[1]付沙.加強信息安全風(fēng)險評估工作的研究[J].微型電腦應(yīng)用，2010，26（8）：6-8.

[2]楊春暉，張昊，王勇.信息安全風(fēng)險評估及輔助工具應(yīng)用[J].信息安全與通信保密，2007，（12）：75-77.

[3]潘平，楊平，羅東梅，何朝霞.信息系統(tǒng)安全風(fēng)險檢查評估實踐教學(xué)探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security（NTS-CIS 2011），2011，（8）.

第3篇：信息安全風(fēng)險評估范文

風(fēng)險評估是一項周期性工作，是進行風(fēng)險管理。由于風(fēng)險評估的結(jié)果將直接影響到信息系統(tǒng)防護措施的選擇，從而在一定程度上決定了風(fēng)險管理的成效。風(fēng)險評估可以概括為：①風(fēng)險評估是一個技術(shù)與管理的過程。②風(fēng)險評估是根據(jù)威脅、脆弱性判斷系統(tǒng)風(fēng)險的過程。③風(fēng)險評估貫穿于系統(tǒng)建設(shè)生命周期的各階段。

2.信息安全風(fēng)險評估方法

（1）安全風(fēng)險評估。為確定這種可能性，需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性。影響是按照系統(tǒng)在單位任務(wù)實施中的重要程度來確定的。風(fēng)險評估以現(xiàn)實系統(tǒng)安全為目的，按照科學(xué)的程序和方法，對系統(tǒng)中的危險要素進行充分的定性、定量分析，并作出綜合評價，以便針對存在的問題，根據(jù)當(dāng)前科學(xué)技術(shù)和經(jīng)濟條件，提出有效的安全措施，消除危險或?qū)⑽ｋU降到最低程度。即：風(fēng)險評估是對系統(tǒng)存在的固有和潛在危險及風(fēng)險性進行定性和定量分析，得出系統(tǒng)發(fā)送危險的可能性和程度評價，以尋求最低的事故率、最少的損失和最優(yōu)的安全投資效益。（2）風(fēng)險評估的主要內(nèi)容。①技術(shù)層面。評估和分析網(wǎng)絡(luò)和主機上存在的安全技術(shù)風(fēng)險，包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等軟、硬件設(shè)備。②管理層面。從本單位的工作性質(zhì)、人員組成、組織結(jié)構(gòu)、管理制度、網(wǎng)絡(luò)系統(tǒng)運行保障措施及其他運行管理規(guī)范等角度，分析業(yè)務(wù)運作和管理方面存在的安全缺陷。（3）風(fēng)險評估方法。①技術(shù)評估和整體評估。技術(shù)評估是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序系統(tǒng)、及時地檢查，包括對組織內(nèi)部計算環(huán)境的安全性及對內(nèi)外攻擊脆弱性的完整性攻擊。整體風(fēng)險評估擴展了上述技術(shù)評估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險，包括內(nèi)部和外部的風(fēng)險源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險。②定性評估和定量評估。定性分析方法是使用最廣泛的風(fēng)險分析方法。根據(jù)組織本身歷史事件的統(tǒng)計記錄等方法確定資產(chǎn)的價值權(quán)重，威脅發(fā)生的可能性以及如將其賦值為“極低、低、中、高、極高”。③基于知識的評估和基于模型的評估?；谥R的風(fēng)險評估方法主要依靠經(jīng)驗進行。經(jīng)驗從安全專家處獲取并憑此來解決相似場景的風(fēng)險評估問題。該方法的優(yōu)越性在于能直接提供推薦的保護措施、結(jié)構(gòu)框架和實施計劃。（4）信息安全風(fēng)險的計算。①計算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及弱點的狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。具體評估中，應(yīng)綜合攻擊者技術(shù)能力、脆弱性被利用的難易程度、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性。②計算安全事件發(fā)生后的損失。根據(jù)資產(chǎn)價值及脆弱性的嚴重程度，計算安全事件一旦發(fā)生后的損失。部分安全事件損失的發(fā)生不僅針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續(xù)性；不同安全事件的發(fā)生對組織造成的影響也不一樣。③計算風(fēng)險值。根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失計算風(fēng)險值。

3.風(fēng)險評估模型選擇

參考多個國際風(fēng)險評估標(biāo)準(zhǔn)，建立了由安全風(fēng)險管理流程模型、安全風(fēng)險關(guān)系模型和安全風(fēng)險計算模型共同組成的安全風(fēng)險模型（見圖1）。（1）安全風(fēng)險管理過程模型。①風(fēng)險評估過程。信息安全評估包括技術(shù)評估和管理評估。②安全風(fēng)險報告。提交安全風(fēng)險報告，獲知安全風(fēng)險狀況是安全評估的主要目標(biāo)。③風(fēng)險評估管理系統(tǒng)。根據(jù)單位安全風(fēng)險分析與風(fēng)險評估的結(jié)果，建立本單位的風(fēng)險管理系統(tǒng)，將風(fēng)險評估結(jié)果入庫保存，為安全管理和問題追蹤提供數(shù)據(jù)基礎(chǔ)。④安全需求分析。根據(jù)本單位安全風(fēng)險評估報告，確定有效安全需求。⑤安全建議。依據(jù)風(fēng)險評估結(jié)果，提出相關(guān)建議，協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu)，結(jié)合組織本地、遠程網(wǎng)絡(luò)架構(gòu)，為制定完整動態(tài)的安全解決方案提供參考。⑥風(fēng)險控制。根據(jù)安全風(fēng)險報告，結(jié)合單位特點，針對面對的安全風(fēng)險，分析將面對的安全影響，提供相應(yīng)的風(fēng)險控制建議。⑦監(jiān)控審核。風(fēng)險管理過程中每一個步驟都需要進行監(jiān)控和審核程序，保證整個評估過程規(guī)范、安全、可信。⑧溝通、咨詢與文檔管理。整個風(fēng)險管理過程的溝通、咨詢是保證風(fēng)險評估項目成功實施的關(guān)鍵因素。（2）安全風(fēng)險關(guān)系模型。安全風(fēng)險關(guān)系模型以風(fēng)險為中心，形象地描述了面臨的風(fēng)險、弱點、威脅及其相應(yīng)的資產(chǎn)價值、防護需求、保護措施等動態(tài)循環(huán)的復(fù)雜關(guān)系。（3）安全風(fēng)險計算模型。安全風(fēng)險計算模型中詳細、具體地提供了風(fēng)險計算的方法，通過威脅級別、威脅發(fā)生的概率及風(fēng)險評估矩陣得出安全風(fēng)險。

4.結(jié)語

第4篇：信息安全風(fēng)險評估范文

 

1 信息安全風(fēng)險評估基本理論

 

1.1 信息安全風(fēng)險

 

信息安全風(fēng)險具有客觀性、多樣性、損失性、可變性、不確定性和可測性等多個特點?？陀^性是因為信息安全風(fēng)險在信息系統(tǒng)中普遍存在;多樣性是指信息系統(tǒng)安全涉及多個方面;損失性是指任何一種信息安全風(fēng)險，都會對信息系統(tǒng)造成或大或小的損失;可變性是指信息安全風(fēng)險在系統(tǒng)生命周期的各個階段動態(tài)變化;不確定性是一個安全事件可以有多種風(fēng)險;可測試性是預(yù)測和計算信息安全風(fēng)險的方法。

 

1.2 信息安全風(fēng)險評估

 

信息安全風(fēng)險評估，采用科學(xué)的方法和技術(shù)和脆弱性分析信息系統(tǒng)面臨的威脅，利用系統(tǒng)，評估安全事件可能會造成的影響，提出了防御威脅和保護策略，從而防止和解決信息安全風(fēng)險，或控制在可接受范圍內(nèi)的風(fēng)險，最大限度地保護系統(tǒng)的信息安全。通過評價過程對信息系統(tǒng)的脆弱性進行評價，面臨威脅和漏洞威脅利用的負面影響，并根據(jù)信息安全事件的可能性和嚴重程度，確定信息系統(tǒng)的安全風(fēng)險。

 

2 信息安全風(fēng)險評估原理

 

2.1 風(fēng)險評估要素及其關(guān)系

 

一般說來，信息安全風(fēng)險評估要素有五個，除以上介紹的安全風(fēng)險外，還有資產(chǎn)、威脅、脆弱性、安全措施等。信息安全風(fēng)評估工作都是圍繞這些基本評估要素展開的。

 

2.1.1 資產(chǎn)

 

資產(chǎn)是在系統(tǒng)中有價值的信息或資源，是安全措施的對象。資產(chǎn)價值是資產(chǎn)的財產(chǎn)，也是資產(chǎn)識別的主要內(nèi)容。它是資產(chǎn)的重要程度或敏感性。

 

2.1.2 威脅

 

威脅是導(dǎo)致不期望事件發(fā)生的潛在起因，這些不期望事件可能危害系統(tǒng)。

 

2.1.3 脆弱性

 

脆弱性是資產(chǎn)存在的弱點，利用這些弱點威脅資產(chǎn)的使用。

 

2.1.4 安全措施

 

安全措施是系統(tǒng)實施的各種保護機制，這種機制能有效地保護資產(chǎn)、減少脆弱性、抵御威脅、減少安全事件的發(fā)生或降低影響。風(fēng)險評估圍繞上述基本要素。各要素之間存在著這樣的關(guān)系：

 

(1)資產(chǎn)是風(fēng)險評估的對象，資產(chǎn)價值是由資產(chǎn)價值計量的，資產(chǎn)價值越高，證券需求越高，風(fēng)險越小。

 

(2)漏洞可能會暴露資產(chǎn)的價值，使其被破壞，資產(chǎn)的脆弱性越大，風(fēng)險越大;

 

(3)威脅引發(fā)風(fēng)險事件的發(fā)生，威脅越多風(fēng)險越大;

 

(4)威脅利用脆弱性來危害資產(chǎn);

 

(5)安全措施可以防御威脅，減小安全風(fēng)險，從而保護資產(chǎn)。

 

2.2 風(fēng)險分析模型及算法

 

在信息安全風(fēng)險評估標(biāo)準(zhǔn)中，風(fēng)險分析涉及資產(chǎn)的三個基本要素，威脅和脆弱性。每個元素都有它自己的屬性，并由它的屬性決定。資產(chǎn)的屬性是資產(chǎn)的價值，而財產(chǎn)的威脅可以是主體、客體、頻率、動機等。財產(chǎn)的脆弱性是資產(chǎn)脆弱性的嚴重性。在風(fēng)險分析模型中，資產(chǎn)的價值、威脅的可能性、脆弱性的嚴重程度、安全事件的可能性和安全事件造成的損失，兩者是整合的，它是風(fēng)險的價值。

 

風(fēng)險分析的主要內(nèi)容為：

 

(1)識別資產(chǎn)并分配資產(chǎn);

 

(2)確定威脅，并分配潛在的威脅;

 

(3)確定漏洞，并分配資產(chǎn)的脆弱性的嚴重程度;

 

(4)判斷安全事件的可能性。根據(jù)漏洞的威脅和使用的漏洞來計算安全事件的可能性。

 

安全事件發(fā)生可能性=L(威脅可能性，脆弱性)=L(T，V)

 

(5)計算安全事件損失。根據(jù)脆弱性嚴重程度和資產(chǎn)價值計算安全事件的損失。

 

安全事件造成的損失=F(資產(chǎn)價值，脆弱性嚴重程度)=F(Ia，Va);

 

(6)確定風(fēng)險值。根據(jù)安全事件發(fā)生可能性和安全事件造成的損失，計算安全事件發(fā)生對組織的影響。

 

風(fēng)險值=R(A，T，V)=R(F(Ia，Va)，L(T，V))

 

其中，A是資產(chǎn);T是威脅可能性;V是脆弱性;Ia是資產(chǎn)價值;Va是脆弱性的嚴重程度;L是威脅利用脆弱性發(fā)生安全事件的可能性;F是安全事件造成的損失，R是風(fēng)險計算函數(shù)。

 

3 信息風(fēng)險分析方法探析

 

作為保障信息安全的重要措施，信息安全系統(tǒng)是信息安全的重要組成部分，而信息安全風(fēng)險評估的算法分析方法，風(fēng)險評估作為風(fēng)險分析的重要手段，早已被提出并做了大量的研究工作和一些算法已成為正式信息安全標(biāo)準(zhǔn)的一部分。從定性定量的角度可以將風(fēng)險分析方法分為三類，也就是定性方法、定量方法和定性定量相結(jié)合。

 

3.1 定性的風(fēng)險分析方法

 

定性的方法是憑借分析師的經(jīng)驗和知識的國際和國內(nèi)的標(biāo)準(zhǔn)或做法，風(fēng)險管理因素的大小或程度的定性分類，以確定風(fēng)險概率和風(fēng)險的后果。定性的方法的優(yōu)點是，信息系統(tǒng)是不容易得到的具體數(shù)據(jù)的相對值計算，沒有太多的計算負擔(dān)。它有一定的缺陷，是很主觀的，要求分析有一定的經(jīng)驗和能力。比較著名的定性分析方法有歷史比較法、因素分析方法、邏輯分析法、Delphi法等，這些方法的成敗與執(zhí)行者的經(jīng)驗有很大的關(guān)系。

 

3.2 定量的風(fēng)險分析方法

 

定量方法是用數(shù)字來描述風(fēng)險，通過數(shù)學(xué)和統(tǒng)計的援助，對一些指標(biāo)進行處理和處理，來量化安全風(fēng)險的結(jié)果。定量方法的優(yōu)點是評價結(jié)果直觀，使用數(shù)據(jù)表示，使分析結(jié)果更加客觀、科學(xué)、嚴謹、更有說服力。缺點是，計算過程復(fù)雜，數(shù)據(jù)詳細，可靠的數(shù)據(jù)難以獲得。正式且嚴格的評估方法的數(shù)據(jù)一般是估計而來的，風(fēng)險分析達到完全的量化也不太可能。與著名的定時模型定量分析方法、聚類分析法、因子分析法、回歸模型、決策樹等方法相比較，這些方法都是具有數(shù)學(xué)或統(tǒng)計工具的風(fēng)險模型。

 

3.3 定性定量相結(jié)合的風(fēng)險分析方法

 

是因為有優(yōu)點和缺點的定量和定量的方法，只使用定性的方法，太主觀，但只有使用定量方法，數(shù)據(jù)是難以獲得的，所以目前常用的是定性和定量的風(fēng)險分析方法相結(jié)合。這樣，既能克服定性方法主觀性太強的缺點，又能解決數(shù)據(jù)不好獲取的困難。典型的定性定量相結(jié)合的風(fēng)險評估工具有@Risk、CORA等。

第5篇：信息安全風(fēng)險評估范文

關(guān)鍵詞：信息安全、風(fēng)險評估、重要問題

中圖分類號：TP309 文獻標(biāo)識碼：A 文章編號：1007-9599 （2012） 17-0000-02

在現(xiàn)階段，由于快速發(fā)展的信息技術(shù)，致使那些極大影響著國計民生的關(guān)鍵信息資源，從其規(guī)模來看，具有越來越大的變化趨勢，至于其信息系統(tǒng)的結(jié)構(gòu)，具有越來越高的復(fù)雜程度；在當(dāng)前要促使我國國民經(jīng)濟的持續(xù)發(fā)展以及能夠順利進行信息化建設(shè)，其中的一個關(guān)鍵因素就是要讓這些信息資源以及信息系統(tǒng)的安全性得到有力保障。而有關(guān)可用性、機密性以及完整性等等內(nèi)容正是信息安全目標(biāo)的具體表現(xiàn)。在當(dāng)前進行安全建設(shè)一個出發(fā)點就是要進行信息安全風(fēng)險評估，進行風(fēng)險評估具有很多重要意義，其中把傳統(tǒng)的以技術(shù)驅(qū)動為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計進行有力改變，這是它的一個重要意義；有關(guān)，信息安全風(fēng)險評估，其對信息系統(tǒng)安全風(fēng)險的識別，主要是結(jié)合資產(chǎn)的重要程度來進行，在遵循成本—效益這一原則的基礎(chǔ)上，當(dāng)信息系統(tǒng)面臨著以下這兩種情況時，對它進行全面評估：第一種情況，當(dāng)信息系統(tǒng)面臨著威脅；第二種情況，當(dāng)信息系統(tǒng)因本身脆弱性而被威脅源所利用、導(dǎo)致本身可能出現(xiàn)安全問題、由此可見，所謂信息安全風(fēng)險評估，就是基于安全管理這個角度考慮，采用合理的手段和分析方法，對有關(guān)信息系統(tǒng)以及信息化業(yè)務(wù)，當(dāng)其面臨來自自然或者人為威脅時所產(chǎn)生的脆弱性進行比較系統(tǒng)地分析，并對可能造成安全事件的危害程度進行相應(yīng)的評估，在此基礎(chǔ)上，并能夠把那些具有防御效果的對策以及整改措施有針對性地提出來，以讓網(wǎng)絡(luò)和信息安全能夠得到最大的保障。

1 有關(guān)信息安全風(fēng)險評估中的幾個重要問題的認識

1.1 對有關(guān)網(wǎng)絡(luò)信息安全的主要內(nèi)容以及主要因素這個重要問題的認識

（1）有關(guān)網(wǎng)絡(luò)信息安全的主要內(nèi)容。所謂網(wǎng)絡(luò)信息安全，顧名思義就是指當(dāng)前網(wǎng)絡(luò)中各種各樣網(wǎng)絡(luò)信息的安全，這是從狹義這個層面來考慮的；如果從廣義這個層面來看，除了前面所提到的各種信息安全外，還包括整個網(wǎng)絡(luò)系統(tǒng)的安全，諸如各種軟硬件、存儲以及傳輸、數(shù)據(jù)以及數(shù)據(jù)處理等等使用過程。總的看來，網(wǎng)絡(luò)信息安全具有以下五大方面上的典型特征，如下表所示：

五大典型特征 具體含義

①具有保密性特征 也就是不準(zhǔn)把有關(guān)網(wǎng)絡(luò)信息泄漏給非授權(quán)的實體或者個人

②具有完整性特征 也就是對于未經(jīng)授權(quán)的信息，一律不準(zhǔn)對其進行修改或者加以破壞

③具有可用性特征 對于那些合法的用戶，能夠正常訪問相關(guān)的信息

④具有可控性特征 能夠有效并且合法控制相關(guān)的信息內(nèi)容及其傳播過程

⑤具有可審查性特征 為使能事后查詢核對，在信息使用過程中要而且必須有進行相關(guān)的記錄

表一：網(wǎng)絡(luò)信息安全的典型特征

（2）有關(guān)網(wǎng)絡(luò)信息安全的風(fēng)險因素。為了能夠?qū)@個網(wǎng)絡(luò)信息安全問題所具有的復(fù)雜性進行有效解決并且能夠順利地找到一個解決或者考慮這類問題的出發(fā)點，就必須從研究有關(guān)網(wǎng)絡(luò)信息安全的那些風(fēng)險因素入手，為了更好地認識和研究有關(guān)這些網(wǎng)絡(luò)信息安全風(fēng)險因素，在現(xiàn)階段，可以把它們分為幾大類型，如下表所示：

主要類型 具體內(nèi)容

①來自自然方面的因素 例如火災(zāi)、水災(zāi)、地震、雷電、臺風(fēng)、寒潮、海嘯等等

②來自網(wǎng)絡(luò)硬件方面的因素 例如機房的（路由器、交換機以及服務(wù)器）等，因受外界因素（溫度、濕度、灰塵、電磁干擾）等所產(chǎn)生的影響

③來自軟件方面的因素 主要包括①機房設(shè)備（機房服務(wù)器和管理軟件等），②用戶計算機操作系統(tǒng)，③各種服務(wù)器數(shù)據(jù)庫配置的合理性與否，④殺毒軟件、防火墻等等其他應(yīng)用軟件

④來自人為方面的因素 具體包括那些對網(wǎng)絡(luò)信息進行使用和管理的種種行為所帶來的種種影響，諸如惡意代碼、木馬攻擊、操作失誤、數(shù)據(jù)泄露、騙取口令、拒絕服務(wù)等等

表二：網(wǎng)絡(luò)信息安全風(fēng)險因素的主要類型

1.2 對有關(guān)安全風(fēng)險評估方法這個重要問題的認識

（1）有關(guān)定制個性化這種評估方法。在當(dāng)前有關(guān)比較標(biāo)準(zhǔn)的評估方法極其流程雖然已經(jīng)有了很多種，但是在具體的實際應(yīng)用當(dāng)中，單純的套用或者拷貝這些方法是不可取的，比較正確的做法應(yīng)該是把它們作為一個參考，結(jié)合企業(yè)的具體情況以及企業(yè)相關(guān)安全風(fēng)險評估方面的能力，對這些標(biāo)準(zhǔn)的評估方法進行重新組合，以產(chǎn)生出具有個性化特點的評估方法，從而促使相關(guān)進行的評估服務(wù)能夠具有靈活性以及可裁剪性的特點。具體的評估種類比較多，諸如網(wǎng)絡(luò)結(jié)構(gòu)評估、IT安全評估、滲透測試以及整體評估等等。

（2）有關(guān)安全整體框架的設(shè)計。進行風(fēng)險評估，其目的不僅僅要懂得風(fēng)險，更為重要的是要進行風(fēng)險管理并為之提供所需要的依據(jù)。管理風(fēng)險，其安全整體框架在于評估的直接輸出；但是對于具體的企業(yè)來說，由于它們所處的環(huán)境不一樣，各自的需求也都不相同，此外，從他們工作層面這個角度考慮，其可供參考的模版都不是很多，這就到來了不是很多的整體框架應(yīng)用。但是，把最近一、兩年內(nèi)的框架完成好，這是企業(yè)至少也要做到的，這樣才有可能做到有據(jù)可依。

（3）有關(guān)多用戶決策的評估。由于不同的問題可以被不同層面的用戶所看到，因而要對風(fēng)險進行全面了解，有關(guān)多用戶溝通評估這項工作就要經(jīng)常進行。把多用戶的相關(guān)決策過程取自于其評估過程，將大大有利對風(fēng)險進行全面的了解和深入的理解，并且能夠把對風(fēng)險的管理真正落實到行動上。很多實踐表明，讓多用戶共同參與，具有非常顯著的效果。因此，進行多用戶相關(guān)的決策評估，具有一個具體的方法以及流程也顯得極其重要。

1.3 對有關(guān)風(fēng)險評估過程這個重要問題的認識

（1）準(zhǔn)備階段—前期。在這一階段，主要的工作有，首先要明確所評估的目標(biāo)；其次是對于所涉及的評估范圍要進行確定，并且要把相關(guān)的協(xié)議以及合同簽署好；最后要把已經(jīng)存在的那些被評估對象的相關(guān)材料進行接收，并就此對評估對象展開其研究調(diào)查工作。

（2）現(xiàn)場階段—中期。在這一階段，相關(guān)測評方案要進行編寫，并且要把相應(yīng)的管理問卷以及現(xiàn)場測試表準(zhǔn)備好，在這個基礎(chǔ)上，再把調(diào)查研究階段以及現(xiàn)場階段的測試有條不紊地進行開展。

（3）評估階段—后期。在最后這一階段，要把測試報告進行系統(tǒng)編寫，相關(guān)調(diào)查研究要進行相應(yīng)的補充和完善，在把這兩項重要工作完成后，評估者要據(jù)此得出最終的風(fēng)險評估報告。

2 結(jié)束語

總而言之，建設(shè)信息系統(tǒng)管理體系和安全體系的基礎(chǔ)就是信息安全風(fēng)險評估；進行風(fēng)險評估，不僅可以讓信息系統(tǒng)的安全狀況得到進一步的明確，也可以讓信息系統(tǒng)的主要安全風(fēng)險得到進一步的明確；因此，在當(dāng)前進行信息安全風(fēng)險評估，對于及早發(fā)現(xiàn)信息系統(tǒng)的安全隱患并且采取相應(yīng)的防御方案以保證信息系統(tǒng)安全具有極其重要的意義。

參考文獻：

[1]剛.信息安全風(fēng)險評估的策劃[J].信息技術(shù)與標(biāo)準(zhǔn)化，2008，9.

第6篇：信息安全風(fēng)險評估范文

關(guān)鍵詞：信息系統(tǒng)；安全風(fēng)險；研究進展

一、國外研究進展

國外對動態(tài)風(fēng)險評估研究主要包括動態(tài)風(fēng)險評估的體系架構(gòu)、工具和關(guān)鍵技術(shù)等。在動態(tài)風(fēng)險評估的體系架構(gòu)方面，1999年Tim Bass首次提出了網(wǎng)絡(luò)安全態(tài)勢感知概念，隨即又提出了基于多傳感器數(shù)據(jù)融合的入侵檢測框架，并把該框架用于下一代入侵檢測系統(tǒng)和網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，采用該框架實現(xiàn)入侵行為檢測、入侵率計算、入侵者身份和入侵者行為識別、態(tài)勢評估以及威脅評估等功能。StephenG. Batsell，JasonShifflet等人也提出了類似的模型。美國國防部提出了JDL（Joint Director of Laboratories）模型的網(wǎng)絡(luò)態(tài)勢感知總體框架結(jié)構(gòu)，此模型主要包括多源異構(gòu)數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)和目標(biāo)識別、態(tài)勢評估、威脅評估、響應(yīng)與預(yù)警、態(tài)勢可視化顯示以及過程優(yōu)化控制與管理等功能模塊。動態(tài)風(fēng)險評估由于評估頻次高，因此應(yīng)充分使用自動化工具代替人工勞動，力爭做到對實時風(fēng)險的監(jiān)控和計算，同時抓住最重要風(fēng)險來分析。在動態(tài)風(fēng)險評估的工具方面，可依托的工具包括評估威脅的入侵檢測系統(tǒng)、異常流量分析系統(tǒng)、日志分析系統(tǒng)等，評估脆弱性的網(wǎng)絡(luò)掃描器、應(yīng)用掃描工具等。

在動態(tài)風(fēng)險評估的技術(shù)方面，動態(tài)風(fēng)險評估領(lǐng)域涉及到數(shù)據(jù)采集、數(shù)據(jù)融合、態(tài)勢可視化等多項技術(shù)，網(wǎng)絡(luò)動態(tài)風(fēng)險評估的難點主要集中在對態(tài)勢的正確理解和合理預(yù)測上。關(guān)于動態(tài)風(fēng)險評估相關(guān)技術(shù)研究很多，例如在數(shù)據(jù)采集技術(shù)方面，按照數(shù)據(jù)源分為基于系統(tǒng)配置信息（服務(wù)設(shè)置系統(tǒng)中存在的漏洞等）和基于系統(tǒng)運行信息（IDS日志中顯示的系統(tǒng)所受攻擊狀況等）兩大類數(shù)據(jù)采集；在數(shù)據(jù)融合技術(shù)方面，Tim Bass首次提出將JDL模型直接運用到網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域，這為以后數(shù)據(jù)融合技術(shù)在網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域的應(yīng)用奠定了基礎(chǔ)，Christos Siaterlis等人運用數(shù)據(jù)融合技術(shù)設(shè)計出檢測DDoS攻擊的模型；在態(tài)勢可視化技術(shù)方面，H.Koike和K.Ohno專門為分析Snort日志以及Syslog數(shù)據(jù)開發(fā)了SnortView系統(tǒng)，可以實現(xiàn)每2min對視圖的一次更新，并可以顯示4h以內(nèi)的報警數(shù)據(jù)。

二、國內(nèi)研究進展

我國對網(wǎng)絡(luò)和信息安全保障工作高度重視，了中辦發(fā)[2003]27號《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》、中辦發(fā)[2006]11號《2006—2020年國家信息化發(fā)展戰(zhàn)略》等文件部署安全風(fēng)險評估等安全工作，但是由于我國關(guān)于安全風(fēng)險評估研究起步的較晚，目前國內(nèi)整體處于起步和借鑒階段，大多數(shù)研究主要面向信息系統(tǒng)，針對電信網(wǎng)絡(luò)的特點進行風(fēng)險評估的研究和應(yīng)用較少。

在安全風(fēng)險評估模型、方法和工具方面，我國雖然已經(jīng)有一些相關(guān)的文章和專著，但是也還局限在對已有國際模型、方法和工具的分析和模仿上，缺乏科學(xué)、有效、得到廣泛認可的方法和工具，尤其針對電信網(wǎng)的業(yè)務(wù)和網(wǎng)絡(luò)特點的可操作性強、得到普遍認可的風(fēng)險評估方法和工具較少。

國內(nèi)對安全動態(tài)風(fēng)險評估的研究還屬于起步階段，相關(guān)研究主要包括動態(tài)風(fēng)險評估的體系架構(gòu)、相關(guān)關(guān)鍵技術(shù)等。在體系架構(gòu)方面，西安交通大學(xué)研究并實現(xiàn)了基于IDS和防火墻的集成化網(wǎng)絡(luò)安全監(jiān)控平臺，提出了基于統(tǒng)計分析的層次化（從上到下分為系統(tǒng)、主機、服務(wù)和攻擊/漏洞4個層次）安全態(tài)勢量化評估模型，采用了自下而上、先局部后整體的評估策略及相應(yīng)計算方法，此方面也是在動態(tài)風(fēng)險評估領(lǐng)域普遍采用的方法。北京理工大學(xué)信息安全與對抗技術(shù)研究中心研制了一套基于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)，由網(wǎng)絡(luò)安全風(fēng)險狀態(tài)評估和網(wǎng)絡(luò)威脅發(fā)展趨勢預(yù)測兩部分組成，用于評估網(wǎng)絡(luò)設(shè)備及結(jié)構(gòu)的脆弱性、安全威脅水平等。在關(guān)鍵技術(shù)方面，安全領(lǐng)域?qū)＜荫T毅從我軍信息與網(wǎng)絡(luò)安全的角度出發(fā)，闡述了我軍積極開展網(wǎng)絡(luò)安全態(tài)勢感知研究的必要性和重要性，指出了多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘兩項關(guān)鍵技術(shù)。國防科技大學(xué)的胡華平等人提出了面向大規(guī)模網(wǎng)絡(luò)的入侵檢測與預(yù)警系統(tǒng)的基本框架及其關(guān)鍵技術(shù)與難點問題。另外，國內(nèi)也有一些科研機構(gòu)嘗試把數(shù)據(jù)融合技術(shù)應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域，提出了應(yīng)用數(shù)據(jù)融合技術(shù)的網(wǎng)絡(luò)安全分析評估系統(tǒng)、入侵檢測系統(tǒng)等。

但是總體來說，國內(nèi)在動態(tài)風(fēng)險評估研究方面取得的成果有限，仍沒有成熟的、實用的技術(shù)或工具，更缺乏針對電信網(wǎng)進行動態(tài)風(fēng)險評估的相關(guān)研究，現(xiàn)有研究成果還存在動態(tài)評估的實時性不強、采集的數(shù)據(jù)不夠豐富有效、對風(fēng)險態(tài)勢的預(yù)測研究不夠等諸多問題。

參考文獻：

[1] 彭凌西;陳月峰;劉才銘;曾金全;劉孫俊;趙輝;;基于危險理論的網(wǎng)絡(luò)風(fēng)險評估模型[J];電子科技大學(xué)學(xué)報;2007年06期

[2] 李波;;入侵檢測技術(shù)面臨的挑戰(zhàn)與未來發(fā)展趨勢[J];電子科技;2007年07期

[3] 丁麗萍;論計算機取證的原則和步驟[J];中國人民公安大學(xué)學(xué)報(自然科學(xué)版);2005年01期

[4] 趙冬梅;張玉清;馬建峰;;網(wǎng)絡(luò)安全的綜合風(fēng)險評估[J];計算機科學(xué);2004年07期

第7篇：信息安全風(fēng)險評估范文

【關(guān)鍵詞】電力企業(yè)；信息安全；風(fēng)險防御

和諧社會的發(fā)展是政治、經(jīng)濟、文化、社會和生態(tài)多方面合力的結(jié)果，科技的進步使得電力企業(yè)意識到亟需盡快的對電力系統(tǒng)進行革新，從計劃經(jīng)濟到市場經(jīng)濟體制的改革中，電力企業(yè)為了適應(yīng)這樣的變化，加強了對管理體制的合理改變和生產(chǎn)效率的大步提高，拉開了電力系統(tǒng)改革的序幕。安全的信息網(wǎng)絡(luò)系統(tǒng)的構(gòu)建是電力企業(yè)發(fā)展改革過程中至關(guān)重要的一個環(huán)節(jié)，有效的將電力企業(yè)的信息安全系統(tǒng)與其管理和考核進行有機結(jié)合，更好的服務(wù)于電力企業(yè)的生產(chǎn)、經(jīng)營和管理，電力企業(yè)安全信息系統(tǒng)風(fēng)險評估與防御也就成為了電力企業(yè)在經(jīng)濟全球化進程中亟待重視的問題所在。

1 電力企業(yè)安全信息系統(tǒng)風(fēng)險評估

1.1 企業(yè)規(guī)模發(fā)展迅速，信息網(wǎng)絡(luò)安全意識淡薄

電力資源是我們社會生活中必不可少的一部分，電力企業(yè)在相對壟斷的情況下，發(fā)展極其迅速，但在這樣的過程中，我們可以看到，大多數(shù)電力企業(yè)僅僅對基礎(chǔ)設(shè)施和簡單的網(wǎng)絡(luò)構(gòu)建有著重視力度，卻沒有對安全信息系統(tǒng)的風(fēng)險認識足夠，這種情況下必然產(chǎn)生了諸如網(wǎng)絡(luò)安全防御意識差，對網(wǎng)絡(luò)信息安全防范的資金投入不足等不良情況的出現(xiàn)。企業(yè)規(guī)模越來越大，對企業(yè)安全信息系統(tǒng)的維護資金投入?yún)s并不高，網(wǎng)絡(luò)安全技術(shù)沒能及時加強，電力企業(yè)也就不能很好的抵御網(wǎng)絡(luò)風(fēng)險，對網(wǎng)絡(luò)入侵也顯得無所適從。

1.2 信息化安全資金投入少，管理機制有待完善

電力企業(yè)對安全信息網(wǎng)絡(luò)的建設(shè)的重視并不充分，有些電力企業(yè)在管理過程中對信息管理部門完全忽視，只是將企業(yè)的網(wǎng)絡(luò)信息安全的管理安排給幾個技術(shù)員或掛靠到生產(chǎn)技術(shù)部門，電力企業(yè)作為高盈利企業(yè)卻對信息安全資金投入并不充分，信息化管理制度也很不健全。電力企業(yè)安全信息機制的構(gòu)建是個長期的系統(tǒng)工程，我們必須注意到構(gòu)建專門的信息化部門的重要性，才能在激烈的市場競爭中使得電力企業(yè)更好的滿足其發(fā)展體制對信息化管理的需求。

2 電力企業(yè)安全信息系統(tǒng)的主要問題

2.1 信息安全化管理未分區(qū)

國家電力管理委員會出臺的5號規(guī)定，對電網(wǎng)企業(yè)、發(fā)電企業(yè)、供電企業(yè)等電力相關(guān)企業(yè)做出了有關(guān)其信息安全網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)構(gòu)建的明確規(guī)定，將這些企業(yè)的計算機和網(wǎng)絡(luò)技術(shù)系統(tǒng)大致分為了管理信息的部分以及生產(chǎn)控制的區(qū)域。信息管理區(qū)域可以依托各個企業(yè)不同的經(jīng)營管理模式對安全區(qū)進行劃分，而生產(chǎn)控制區(qū)域一般來說應(yīng)該由可控制區(qū)和非可控區(qū)兩大部分構(gòu)成。在這樣兩個大的區(qū)域之間，電力企業(yè)必須在國家電力監(jiān)測認定部門的監(jiān)督下安裝電力生產(chǎn)專用的單向橫向安全的隔離裝置。如若不能很好的遵從這樣一個標(biāo)準(zhǔn)對電力企業(yè)網(wǎng)絡(luò)系統(tǒng)進行管理，就經(jīng)常會出現(xiàn)企業(yè)管理信息大區(qū)部分網(wǎng)絡(luò)直接可以對生產(chǎn)控制區(qū)域的數(shù)據(jù)進行訪問，出現(xiàn)網(wǎng)絡(luò)安全事件，影響電力企業(yè)的安全生產(chǎn)和發(fā)展。

2.2 網(wǎng)絡(luò)端口接點存在風(fēng)險

互聯(lián)網(wǎng)技術(shù)的革新的步伐越來越快，企業(yè)的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)卻并不牢靠，在部分環(huán)節(jié)仍然十分脆弱，在電力企業(yè)的信息安全網(wǎng)絡(luò)建設(shè)中， Web程序漏洞、系統(tǒng)漏洞不斷出現(xiàn)，對病毒的侵入無力抵抗，為黑客、病毒制造者提供了入侵的機會，這些信息安全威脅的發(fā)生可能會引起電力企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的癱瘓和網(wǎng)絡(luò)故障，為企業(yè)造成了這些安全威脅使得企業(yè)利益造成了巨大的損失。在最近的一項調(diào)查數(shù)據(jù)中顯示，電力企業(yè)中遭受到的網(wǎng)絡(luò)安全信息系統(tǒng)威脅中約有70%是由于網(wǎng)絡(luò)系統(tǒng)內(nèi)部的危險侵襲。這種危害的可能發(fā)現(xiàn)于諸多方面：對于敏感數(shù)據(jù)的濫用，對于內(nèi)部員工的信息監(jiān)管不力使得信息泄露都提升了企業(yè)的運行風(fēng)險。

2.3 互聯(lián)網(wǎng)病毒的侵害

從口語傳播時代到印刷傳播時代，直至現(xiàn)在的網(wǎng)絡(luò)傳播時代，互聯(lián)網(wǎng)的高速發(fā)展使得網(wǎng)絡(luò)病毒也迅速得以傳播和擴散。諸多的電力企業(yè)網(wǎng)絡(luò)內(nèi)外相連，覆蓋范圍相當(dāng)廣泛，網(wǎng)絡(luò)病毒經(jīng)?？梢杂袡C可乘，牽一發(fā)而動全身，從一臺電腦的病毒侵害到整個電力網(wǎng)絡(luò)系統(tǒng)，造成網(wǎng)絡(luò)通信的阻塞，使得整個系統(tǒng)中的文件和關(guān)鍵數(shù)據(jù)得不到完整的保存，造成不可預(yù)計的后果。

2.4 信息安全人員防范意識較低

電力企業(yè)信息防范人員對信息安全應(yīng)用系統(tǒng)的管理是保障信息網(wǎng)絡(luò)安全系統(tǒng)的重要一部分。數(shù)據(jù)庫操作系統(tǒng)的規(guī)劃和防范都離不開信息安全人員的有力防范，但在如今的電力企業(yè)信息安全系統(tǒng)的管理過程中，相關(guān)人員防范意識低下的情況屢屢發(fā)生，由此引發(fā)的網(wǎng)絡(luò)安全漏洞泄露了電力企業(yè)機密信息，造成了很大的安全隱患，使企業(yè)遭受安全沖擊。用戶的網(wǎng)絡(luò)安全防范意識低下是現(xiàn)如今網(wǎng)絡(luò)安全的通病，大多數(shù)的用戶都認為網(wǎng)絡(luò)自身有著一定的自我安全防范意識，對電腦提示的病毒預(yù)警視而不見，電力企業(yè)中也沒有很好的避免這一點，部分工作人員重技術(shù)輕管理，網(wǎng)絡(luò)安全信息管理機制的不完善，也給企業(yè)的網(wǎng)絡(luò)帶來了十分大的管理風(fēng)險，這就迫切的要求應(yīng)該對網(wǎng)絡(luò)的安全機制進行完善，也應(yīng)該主動自高工作人員自身的安全防范意識。

3 電力企業(yè)安全信息系統(tǒng)風(fēng)險防御

3.1 防火墻技術(shù)的運用

防火墻技術(shù)是現(xiàn)今社會經(jīng)常用于互聯(lián)網(wǎng)風(fēng)險防御的重要手段之一，多用于將可信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間相隔開來。電力企業(yè)的生產(chǎn)經(jīng)營和管理的過程中的運行調(diào)度中都應(yīng)該加強在安全檢查中對網(wǎng)絡(luò)節(jié)點的關(guān)注，限制對含帶危險信息的領(lǐng)域的訪問。電力企業(yè)在生產(chǎn)經(jīng)營、分散控制和運行調(diào)度的過程中對防火墻技術(shù)的運用有效的將信息的采集、整合和應(yīng)用都限制在可掌控的范圍內(nèi)，在不同的權(quán)限內(nèi)最大限度的合理的運用著相關(guān)資源。

3.2 網(wǎng)絡(luò)病毒侵襲的防護

電力企業(yè)關(guān)系著國家重要電力資源的開發(fā)和應(yīng)用，為了保護電力資源的安全，必須要從內(nèi)到外的構(gòu)建起全方位的網(wǎng)絡(luò)病毒防侵害系統(tǒng)，更好的對來自于各個方面的病毒信息進行防護。只有提高了企業(yè)的整體安全性，在互聯(lián)網(wǎng)和周邊的局域網(wǎng)內(nèi)都安裝好防病毒侵襲的安全網(wǎng)關(guān)和內(nèi)置的病毒防護軟件，才能使得電力企業(yè)免受網(wǎng)絡(luò)病毒的侵襲，各個方面的數(shù)據(jù)得以安全與穩(wěn)定的保存。

在電力企業(yè)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)中，對接入點客戶的安全策略檢測和身份認證都是必不可少的，若不能通過檢測的用戶應(yīng)該被嚴令禁止在網(wǎng)絡(luò)之外進行隔離。無論是無線用戶還是有限用戶，都將面對互聯(lián)網(wǎng)訪問客戶端從驗證、授權(quán)到阻止未授權(quán)的計算機網(wǎng)絡(luò)資源的過程，只有在一系列的檢測中得到審核通過才可以拿到進入內(nèi)部網(wǎng)絡(luò)的通行證，網(wǎng)絡(luò)病毒越來越厲害，愈發(fā)侵入性越強，對此，電力企業(yè)對客戶端主機應(yīng)該進行更加嚴密的考察，不間斷的對病毒特征信息庫進行更新，維護好網(wǎng)絡(luò)的完整和安全性。

3.3 虛擬網(wǎng)的數(shù)據(jù)備份技術(shù)

互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)置，加之很好的利用交換機、路由器等功能設(shè)置，可以使網(wǎng)絡(luò)管理員將任何一個相關(guān)局域網(wǎng)內(nèi)的一些網(wǎng)段結(jié)合起來，組成一個局域網(wǎng)。在這個局域網(wǎng)里的信息傳遞速度更加迅速，傳播速度的加快使得網(wǎng)絡(luò)信息安全生產(chǎn)過程中的管理效率得到提高，使得電力企業(yè)的數(shù)據(jù)被竊聽的可能性不斷的降低。與此同時，現(xiàn)在電力企業(yè)在大多數(shù)情況下都會對重要的資料進行數(shù)據(jù)庫的備份工作，這樣構(gòu)建起對電力企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)急預(yù)案，可以在出現(xiàn)網(wǎng)絡(luò)侵襲時及時的對關(guān)鍵業(yè)務(wù)和應(yīng)用程序進行保護，確保核心數(shù)據(jù)系統(tǒng)在出現(xiàn)損害時，企業(yè)核心安全得到保護。

3.4 終端設(shè)備的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

可采用基于網(wǎng)關(guān)認證的硬件控制技術(shù)，實現(xiàn)對通過無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)、VPN網(wǎng)絡(luò)、wifi網(wǎng)絡(luò)等方式連接的設(shè)備進行接入控制。同時，采用“報備重定向+注冊重定向”的雙重認證保護技術(shù)，對非法接入的終端設(shè)備進行強制重定向安全檢查。對不符合安全等級要求的終端設(shè)備，可根據(jù)系統(tǒng)策略限制用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū)。

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)應(yīng)以細致、準(zhǔn)確、迅速為原則，對網(wǎng)絡(luò)資源訪問進行控制，尤其是一些核心的網(wǎng)絡(luò)應(yīng)用，包括C/S、B/S以及服務(wù)器應(yīng)用；以精益化的客戶端聯(lián)動管理為核心，基于多種授權(quán)方式，包括單用戶授權(quán)、用戶組授權(quán)、白名單授權(quán)等方式，實現(xiàn)對未受控客戶端實施不同用戶級別的可靠便捷的接入控制。

4 結(jié)論

電力企業(yè)的安全信息系統(tǒng)是電力企業(yè)信息化管理的重要內(nèi)容之一，有效的對電力企業(yè)安全信息系統(tǒng)將要面臨的風(fēng)險進行評估并且提出切實可行的防御措施，是保障電力企業(yè)現(xiàn)代化管理的有力手段。隨著近些年來互聯(lián)網(wǎng)技術(shù)的增強，電力企業(yè)的安全系統(tǒng)構(gòu)建也愈發(fā)的完善，為電力企業(yè)的良性循環(huán)運行提供了必要的技術(shù)支持和保障，因此，我們應(yīng)該重視對互聯(lián)網(wǎng)信息的保護，防御病毒的侵害，為為電力企業(yè)的安全信息系統(tǒng)的正常運行營造起安全的網(wǎng)絡(luò)環(huán)境。

參考文獻：

[1]陳偉.電力系統(tǒng)網(wǎng)絡(luò)安全體系研究[J].電力系統(tǒng)通信，2008（01）.

[2]牟奕欣.關(guān)于電力系統(tǒng)的網(wǎng)絡(luò)安全的探討[J].中國經(jīng)貿(mào)，2010（14）.

第8篇：信息安全風(fēng)險評估范文

【 關(guān)鍵詞 】 內(nèi)蒙古電力公司信息系統(tǒng)；信息安全；風(fēng)險評估；探索與思考

The Exploration and Inspiration of Risk Assessment on Information Systems

in Inner Mongolia Power （Group） Co.， Ltd.

Ao Wei 1 Zhuang Su-shuai 2

（1.Information Communication Branch of the Inner Mongolia Power （Group）Co.， Ltd Inner MongoliaHohhot 010020；

2.Beijing Certificate Authority Co.， Ltd Beijing 100080）

【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power （Group） Co. Ltd.， we analyzed the general methods of risk assessment on power information systems. Besides， we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power （Group） Co. Ltd.， whose exploration provides valuable inspiration to information security in electric power industry.

【 Keywords 】 information systems of Inner Mongolia Power （Group） Co.， Ltd.； information security； risk assessment； exploration and inspiration

1 引言

目前，電力行業(yè)信息安全的研究只停留于網(wǎng)絡(luò)安全防御框架與防御技術(shù)的應(yīng)用層面，缺少安全評估方法與模型研究。文獻[1]-[3]只初步分析了信息安全防護體系的構(gòu)架與策略，文獻[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術(shù)構(gòu)建的層次式信息安全防護體系。這些成果都局限于單純的信息安全保障技術(shù)的改進與應(yīng)用。少數(shù)文獻對電力信息安全評估模型進行了討論，但對于安全風(fēng)險評估模型的研究都不夠深入。文獻[6]、文獻[7]只定性指出了安全風(fēng)險分析需要考慮的內(nèi)容；文獻[8]討論了一種基于模糊數(shù)學(xué)的電力信息安全評估模型，這種模型本質(zhì)上依賴于專家的經(jīng)驗，帶有主觀性；文獻[9]只提出了一種電力信息系統(tǒng)安全設(shè)計的建模語言和定量化評估方法，但是并未對安全風(fēng)險的評估模型進行具體分析。

本文介紹了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險評估的相關(guān)工作，并探討了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險評估工作在推動行業(yè)信息安全保護方面帶給我們的啟示。

2 內(nèi)蒙古電力信息安全風(fēng)險評估工作

隨著電網(wǎng)規(guī)模的日益擴大，內(nèi)蒙古電力信息系統(tǒng)日益復(fù)雜，電網(wǎng)運行對信息系統(tǒng)的依賴性不斷增加，對電力系統(tǒng)信息安全的要求也越來越高。因此，在電力行業(yè)開展信息安全風(fēng)險評估工作，研究電力信息安全問題，顯得尤為必要。

根據(jù)國家關(guān)于信息安全的相關(guān)標(biāo)準(zhǔn)與政策，并根據(jù)實際業(yè)務(wù)情況，內(nèi)蒙古電力公司委托北京數(shù)字認證股份有限公司（BJCA）對信息系統(tǒng)進行了有效的信息安全風(fēng)險評估工作。評估的內(nèi)容主要包括系統(tǒng)面臨的安全威脅與系統(tǒng)脆弱性兩個方面，以解決電力信息系統(tǒng)面臨的的安全風(fēng)險。

3 電力系統(tǒng)信息安全風(fēng)險評估的解決方案

通過對內(nèi)蒙古電力信息系統(tǒng)的風(fēng)險評估工作，我們可以總結(jié)出電力信息系統(tǒng)風(fēng)險評估的解決方案。

4 電力信息系統(tǒng)風(fēng)險評估的流程

電力信息系統(tǒng)風(fēng)險評估的一般流程。

（1） 前期準(zhǔn)備階段。本階段為風(fēng)險評估實施之前的必需準(zhǔn)備工作，包括對風(fēng)險評估進行規(guī)劃、確定評估團隊組成、明確風(fēng)險評估范圍、準(zhǔn)備調(diào)查資料等。

（2） 現(xiàn)場調(diào)查階段：實施人員對評估信息系統(tǒng)進行詳細調(diào)查，收集數(shù)據(jù)信息，包括信息系統(tǒng)資產(chǎn)組成、系統(tǒng)資產(chǎn)脆弱點、組織管理脆弱點、威脅因素等。

（3） 風(fēng)險分析階段：根據(jù)現(xiàn)場調(diào)查階段獲得的相關(guān)數(shù)據(jù)，選擇適當(dāng)?shù)姆治龇椒▽δ繕?biāo)信息系統(tǒng)的風(fēng)險狀況進行綜合分析。

（4） 策略制定階段：根據(jù)風(fēng)險分析結(jié)果，結(jié)合目標(biāo)信息系統(tǒng)的安全需求制定相應(yīng)的安全策略，包括安全管理策略、安全運行策略和安全體系規(guī)劃。

5 數(shù)據(jù)采集

在風(fēng)險評估實踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類。

（1） 調(diào)查表格。根據(jù)一定的采集目的而專門設(shè)計的表格，根據(jù)調(diào)查內(nèi)容、調(diào)查對象、調(diào)查方式、工作計劃的安排而設(shè)計。常用的調(diào)查表有資產(chǎn)調(diào)查表、安全威脅調(diào)查表、安全需求調(diào)查表、安全策略調(diào)查表等。

（2） 技術(shù)分析工具。常用的是一些系統(tǒng)脆弱性分析工具。通過技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性，并確認已有安全技術(shù)措施是否發(fā)揮作用。

（3） 信息系統(tǒng)資料。風(fēng)險評估還需要通過查閱、分析、整理信息系統(tǒng)相關(guān)資料來收集相關(guān)資料。如：系統(tǒng)規(guī)劃資料、建設(shè)資料、運行記錄、事故處理記錄、升級記錄、管理制度等。

a） 分析方法

風(fēng)險評估的關(guān)鍵在于根據(jù)所收集的資料，采取一定的分析方法，得出信息系統(tǒng)安全風(fēng)險的結(jié)論，因此，分析方法的正確選擇是風(fēng)險評估的核心。

結(jié)合內(nèi)蒙電力信息系統(tǒng)風(fēng)險評估工作的實踐，我們認為電力行業(yè)信息安全風(fēng)險分析的方法可以分為三類。

定量分析方法是指運用數(shù)量指標(biāo)來對風(fēng)險進行評估，在風(fēng)險評估與成本效益分析期間收集的各個組成部分計算客觀風(fēng)險值，典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風(fēng)險圖法等。

定性分析方法主要依據(jù)評估者的知識、經(jīng)驗、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對系統(tǒng)風(fēng)險狀況做出判斷的過程。在實踐中，可以通過調(diào)查表和合作討論會的形式進行風(fēng)險分析，分析活動會涉及來自信息系統(tǒng)運行和使用相關(guān)的各個部門的人員。

綜合分析方法中的安全風(fēng)險管理的定性方法和定量方法都具有各自的優(yōu)點與缺點。在某些情況下會要求采用定量方法，而在其他情況下定性的評估方法更能滿足組織需求。

表1概括介紹了定量和定性方法的優(yōu)點與缺點。

b） 質(zhì)量保證

鑒于風(fēng)險評估項目具有一定的復(fù)雜性和主觀性，只有進行完善的質(zhì)量控制和嚴格的流程管理，才能保證風(fēng)險評估項目的最終質(zhì)量。風(fēng)險評估項目的質(zhì)量保障主要體現(xiàn)在實施流程的透明性以及對整體項目的可控性，質(zhì)量保障活動需要在評估項目實施中提供足夠的可見性，確保項目實施按照規(guī)定的標(biāo)準(zhǔn)流程進行。在內(nèi)蒙古電力風(fēng)險評估的實踐中，設(shè)立質(zhì)量監(jiān)督員（或聘請獨立的項目監(jiān)理擔(dān)任）是一個有效的方法。質(zhì)量監(jiān)督員依照相應(yīng)各階段的實施標(biāo)準(zhǔn)，通過記錄審核、流程監(jiān)理、組織評審、異常報告等方式對項目的進度、質(zhì)量進行控制。

6 內(nèi)蒙古電力信息安全風(fēng)險評估的啟示

為了更好地開展風(fēng)險評估工作，可以采取以下安全措施及管理辦法。

6.1 建立定期風(fēng)險評估制度

信息安全風(fēng)險管理是發(fā)達國家信息安全保障工作的通行做法。按照風(fēng)險管理制度，適時開展風(fēng)險評估工作，或建立風(fēng)險評估的長效機制，將風(fēng)險評估工作與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來，讓風(fēng)險評估成為信息安全保障工作運行機制的基石。

6.2 編制電力信息系統(tǒng)風(fēng)險評估實施細則

由于所有的信息安全風(fēng)險評估標(biāo)準(zhǔn)給出的都是指導(dǎo)性文件，并沒有給出具體實施過程、風(fēng)險要素識別方法、風(fēng)險分析方法、風(fēng)險計算方法、風(fēng)險定級方法等，因此建議在國標(biāo)《信息安全風(fēng)險評估指南》的框架下，編制適合電力公司業(yè)務(wù)特色的實施細則，根據(jù)選用的或自定義的風(fēng)險計算方法，，制各種模板，以在電力信息系統(tǒng)實現(xiàn)評估過程和方法的統(tǒng)一。

6.3 加強風(fēng)險評估基礎(chǔ)設(shè)施建設(shè)，統(tǒng)一選配風(fēng)險評估工具

風(fēng)險評估工具是保障風(fēng)險評估結(jié)果可信度的重要因素。應(yīng)根據(jù)選用的評估標(biāo)準(zhǔn)和評估方法，選擇配套的專業(yè)風(fēng)險評估工具，向分支機構(gòu)配發(fā)或推薦。如漏洞掃描、滲透測試等評估輔助工具，及向評估人員提供幫助的資產(chǎn)分類庫、威脅參考庫、脆弱性參考庫、可能性定義庫、算法庫等評估輔助專家系統(tǒng)。

6.4 統(tǒng)一組織實施核心業(yè)務(wù)系統(tǒng)的評估

由于評估過程本身的風(fēng)險性，對于重要的實時性強、社會影響大的核心業(yè)務(wù)系統(tǒng)的評估，由電力公司統(tǒng)一制定評估方案、組織實施、指導(dǎo)加固整改工作。

6.5 以自評估為主，自評估和檢查評估相結(jié)合

自評估和檢查評估各有優(yōu)缺點，要發(fā)揮各自優(yōu)勢，配合實施，使評估的過程、方法和風(fēng)險控制措施更科學(xué)合理。自評估時，通過對實施過程、風(fēng)險要素識別、風(fēng)險分析、風(fēng)險計算方法、評估結(jié)果、風(fēng)險控制措施等重要環(huán)節(jié)的科學(xué)性、合理性進行分析，得出風(fēng)險判斷。

6.6 風(fēng)險評估與信息系統(tǒng)等級保護應(yīng)結(jié)合起來

信息系統(tǒng)等級保護若與風(fēng)險評估結(jié)合起來，則可相互促進，相互依托。等級保護的級別是依據(jù)系統(tǒng)的重要程度和安全三性來定義，而風(fēng)險評估中的風(fēng)險等級則是綜合考慮了信息的重要性、安全三性、現(xiàn)有安全控制措施的有效性及運行現(xiàn)狀后的綜合結(jié)果。通過風(fēng)險評估為信息系統(tǒng)確定安全等級提供依據(jù)。確定安全等級后，根據(jù)風(fēng)險評估的結(jié)果作為實施等級保護、安全等級建設(shè)的出發(fā)點和參考，檢驗網(wǎng)絡(luò)與信息系統(tǒng)的防護水平是否符合等級保護的要求。

參考文獻

[1] 魏曉菁， 柳英楠， 來風(fēng)剛. 國家電力信息網(wǎng)信息安全防護體系框架與策略. 計算機安全，2004，6.

[2] 魏曉菁，柳英楠，來風(fēng)剛. 國家電力信息網(wǎng)信息安全防護體系框架與策略研究. 電力信息化，2004，2（1）.

[3] 沈亮. 構(gòu)建電力信息網(wǎng)安全防護框架. 電力信息化，2004，2（7）.

[4] 梁運華，李明，談順濤. 電力企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全層次式防護體系探究. 電力信息化，2003，2（1）.

[5] 周亮，劉開培，李俊娥. 一種安全的電力系統(tǒng)計算機網(wǎng)絡(luò)構(gòu)建方案. 電網(wǎng)技術(shù)，2004，28（23）.

[6] 陳其，陳鐵，姚林等. 電力系統(tǒng)信息安全風(fēng)險評估策略研究. 計算機安全，2007，6.

[7] 阮文峰. 電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險分析和評估. 計算機安全，2003（4）.

[8] 叢林，李志民，潘明惠等. 基于模糊綜合評判法的電力系統(tǒng)信息安全評估. 電力系統(tǒng)自動化，2004，28（12）.

[9] 胡炎，謝小榮，辛耀中. 電力信息系統(tǒng)建模和定量安全評估. 電力系統(tǒng)自動化，2005，29（10）.

作者簡介：

第9篇：信息安全風(fēng)險評估范文

關(guān)鍵詞：信息安全管理；ISO/IEC 27001；PDCA；資產(chǎn)識別；風(fēng)險評估

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-2374（2011）30-0034-02

一、項目背景

電力工業(yè)是國民經(jīng)濟的支柱產(chǎn)業(yè)，電力工業(yè)的安全問題直接關(guān)系到各行各業(yè)的發(fā)展和人民的生活水平，關(guān)系到國家安全和社會穩(wěn)定。當(dāng)前流行的信息技術(shù)的廣泛應(yīng)用大大改變了電力企業(yè)傳統(tǒng)的經(jīng)營管理模式和手段，支撐著電力生產(chǎn)、營銷和管理的全過程。如何有效保障信息安全，從而保證整個電力企業(yè)的生產(chǎn)安全，成為電力行業(yè)目前積極探索的新課題。

在這個大環(huán)境下，玉溪供電局作為云南電網(wǎng)的改革試點單位，大力進行改革創(chuàng)新，引入國際信息安全管理標(biāo)準(zhǔn)ISO/IEC 27001，建立了完整的信息安全管理體系，有效的保證了信息安全，取得了很好的收效。

二、ISO/IEC 27001簡介

ISO/IEC 27001是有關(guān)信息安全管理的國際標(biāo)準(zhǔn)。最初源于英國標(biāo)準(zhǔn)BS7799，經(jīng)過十年的不斷改版，終于在2005年被國際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為正式的國際標(biāo)準(zhǔn)，于2005年10月15日為ISO/IEC 27001:2005。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實施，保障組織的信息安全。標(biāo)準(zhǔn)的要求主要包括11個安全控制域、39個安全控制目標(biāo)和133項安全控制措施。標(biāo)準(zhǔn)采用PDCA過程方法，基于風(fēng)險評估的風(fēng)險管理理念，全面系統(tǒng)地持續(xù)改進組織的安全管理。其正式名稱為：《ISO/IEC 27001:2005 信息技術(shù)―安全技術(shù)―信息安全管理體系―要求》。

三、項目實施方法論

玉溪供電局在整個信息安全體系建設(shè)過程中，根據(jù)安全風(fēng)險是相對的和動態(tài)的基本概念，遵循P(Plan 計劃)-D(Do 實施)-C(Check 檢查)-A(Act 持續(xù)改進)的方法論，見下圖：

四、項目實施中若干重要環(huán)節(jié)

標(biāo)準(zhǔn)中只是提出了一些原則性的建議和要求，但是如何按照這些要求建立一套符合局實際情況，能夠順利推行和實施的信息安全管理體系是非常具有挑戰(zhàn)性的。局項目組成員與上海天帷公司的同事一起積極探索，緊密結(jié)合局信息安全建設(shè)的現(xiàn)狀和要求，認為資產(chǎn)識別、風(fēng)險評估、文件編制、運行實施、審核等是整個過程的重要環(huán)節(jié)。

（一）資產(chǎn)識別

資產(chǎn)識別是信息安全管理工作的重要步驟和基礎(chǔ)，信息安全就是要保證信息和資產(chǎn)的安全。所謂資產(chǎn)識別就是要識別ISMS管理范圍內(nèi)的信息資產(chǎn)以及這些資產(chǎn)的所有者，形成資產(chǎn)清單。玉溪供電局在資產(chǎn)識別中把資產(chǎn)分為5類：文檔和數(shù)據(jù)、軟件和系統(tǒng)、硬件和設(shè)施、人力資源、其他等。

（二）風(fēng)險評估

風(fēng)險評估是信息安全工作的一個重要步驟，通過風(fēng)險評估，找到組織在信息安全方面的差距，才能有針對性的制定相應(yīng)的策略和改進措施。

通過風(fēng)險評估，形成《風(fēng)險評估表》、《風(fēng)險評估報告》、《風(fēng)險處置計劃》等。為了保證風(fēng)險評估結(jié)果的客觀性和可操作性，建立了一個定量的風(fēng)險評估方法論。

風(fēng)險值＝威脅發(fā)生可能性×影響程度等級×現(xiàn)有控制措施有效性賦值。通過制定風(fēng)險等級劃分標(biāo)準(zhǔn)來確定風(fēng)險等級。將等級劃分為五級，等級越高，風(fēng)險越高。

對于不可接受風(fēng)險的確定和處理要慎重，不要一味的將所有的風(fēng)險都歸為不可接受風(fēng)險，要時刻牢記風(fēng)險的處理是要付出成本的，所以需要綜合考慮風(fēng)險控制成本與風(fēng)險造成的影響來制定風(fēng)險的可接受準(zhǔn)則。風(fēng)險的處置有4種方式：規(guī)避風(fēng)險、降低風(fēng)險、轉(zhuǎn)移風(fēng)險、接受風(fēng)險。對于不可接受風(fēng)險應(yīng)根據(jù)選擇的風(fēng)險處理方式控制殘余風(fēng)險。

（三）文件編制

為了響應(yīng)云南電網(wǎng)公司的一體化管理制度，在信息安全建設(shè)中將針對信息安全標(biāo)準(zhǔn)ISO/IEC 27001要求的文件進行統(tǒng)一整理，對原有《信息安全管理辦法》的修編。形成了新版的《信息安全管理辦法》，覆蓋了27001的11個安全領(lǐng)域的要求。

另外，為了使新版的《信息安全管理辦法》能夠更好的落地執(zhí)行，在信息安全體系建設(shè)過程中，制定了60多個操作性很強的記錄表格表單，以輔助各部門能夠更好的執(zhí)行信息安全體系的要求，比如：《機房巡檢記錄表》、《防范病毒管理表》、《重要應(yīng)用系統(tǒng)權(quán)限評審表》等。

（四）運行實施

我局在信息安全體系運行實施的過程中采取了多種措施來促進體系的落地工作，比如進行信息安全意識和知識培訓(xùn)，張貼宣傳海報，在電梯口液晶電視和LED大屏上播放信息安全宣傳視頻，進行模擬審核和安全工作檢查等，真正做到了全員參與。

同時我局還建立了暢通的意見反饋機制，任何人對當(dāng)前的信息安全體系有意見和建議，都可以通過局OA系統(tǒng)提交。信息運營中心會對所有提交的建議進行整理和歸納，以發(fā)現(xiàn)改進的機會，真正實現(xiàn)了PDCA循環(huán)，使局的信息安全管理工作持續(xù)改進和螺旋式上升。

五、項目實施經(jīng)驗和注意事項

玉溪供電局按照ISO/IEC 27001的要求建立了符合本局實際情況的信息安全管理體系，經(jīng)歷了資產(chǎn)識別、風(fēng)險評估、體系建設(shè)和實施、內(nèi)審和審核，最后取得了認證證書。在這個過程當(dāng)中，總結(jié)了一些實施的經(jīng)驗和注意事項。

（一）領(lǐng)導(dǎo)重視

信息安全管理工作是一項牽扯到局各部門的工作，需要投入相應(yīng)的人力、物力和財力，所以必須有局領(lǐng)導(dǎo)的大力支持，才能順利的進行和更好的實施。

（二）全員參與

安全不是某一個部門或者某一個人的事情，而是關(guān)乎全局所有部門。需要各個部門的共同努力和協(xié)調(diào)一致的工作，才能保證真正意義上的信息安全，任何一個部門出了問題都將對局信息安全構(gòu)成威脅。

（三）持續(xù)改進

信息安全工作不是一朝一夕的事情，需要持續(xù)改進和不斷完善。而且風(fēng)險也是動態(tài)的，為了保證信息安全和控制風(fēng)險始終在可接受的范圍內(nèi)，信息安全工作應(yīng)當(dāng)是一件長期的工作。

（四）平衡原則

安全只是相對的，沒有絕對的安全，而且任何降低風(fēng)險的措施都是需要一定的投資，可能是金錢的，也可能是人力資源的。所以一定要平衡投資和風(fēng)險降低之間的關(guān)系，不要一味的為了降低風(fēng)險而作一些不適當(dāng)?shù)耐度搿?/p>

六、結(jié)語

玉溪供電局通過ISO 27001的認證并獲得證書，不僅是對前期信息安全體系建設(shè)工作的充分肯定，而且對后續(xù)信息安全管理體系運行工作提出了新的更高的要求和目標(biāo)。局信息運營中心要在局領(lǐng)導(dǎo)的正確領(lǐng)導(dǎo)和大力支持下，在以后局信息安全工作中，對現(xiàn)有體系進行持續(xù)改進，使本體系更加符合玉溪供電局的實際情況，為玉溪供電局的信息安全工作保駕

護航。

參考文獻