信息系統(tǒng)安全風(fēng)險評估與技術(shù)觀察

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息系統(tǒng)安全風(fēng)險評估與技術(shù)觀察范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要:本文介紹了信息系統(tǒng)安全評估的基本工作流程,分析了信息系統(tǒng)安全評估的基本方法。雖然當(dāng)前我國信息系統(tǒng)安全風(fēng)險評估工作上前沒有一個較為成熟的發(fā)展趨勢,但是隨著人們對信息系統(tǒng)依賴性的不斷增加,對信息安全越來越重視,也會越發(fā)的關(guān)注信息系統(tǒng)的安全風(fēng)險評估工作。

關(guān)鍵詞:信息系統(tǒng)；安全風(fēng)險；風(fēng)險評估；評估方法；技術(shù)觀察

1信息系統(tǒng)安全評估的工作流程

1.1資產(chǎn)識別

信息系統(tǒng)安全評估中的資產(chǎn)主要是包括相關(guān)重要信息系統(tǒng)的主體組織中,有價值的一系列信息資源,資產(chǎn)是當(dāng)前相關(guān)工作人員提高信息安全評估工作效率的保護對象。資產(chǎn)主要是由文檔,硬件軟件數(shù)據(jù)服務(wù)以及人員等共同組成,在進行相關(guān)工作人員的信息系統(tǒng)安全評估工作中,需要對所評估的信息系統(tǒng)主體中不同的資產(chǎn)進行不同的等級劃分,根據(jù)相關(guān)資料的完整性,可用性以及機密性作為有效的等級去進行判斷。

1.2脆弱性識別

脆弱性在信息系統(tǒng)安全風(fēng)險評估工作當(dāng)中,主要是指相關(guān)信息系統(tǒng)中一個或多個資產(chǎn)的弱點的總稱。相關(guān)工作人員需要能夠?qū)⑺u估的信息系統(tǒng)主體資產(chǎn)作為工作核心,盡可能的在評估當(dāng)中對每一個資產(chǎn)的弱點進行有效的分別標(biāo)注,最后運用有效的信息技術(shù)將不同資產(chǎn)的弱點進行總體評估。

1.3威脅識別

威脅是指可能導(dǎo)致危害系統(tǒng)或組織的不希望事故的潛在起因。威脅是一個客觀存在,正因為存在威脅,組織和信息系統(tǒng)才會存在風(fēng)險。威脅識別是盡可能的通過評估信息系統(tǒng)當(dāng)中發(fā)現(xiàn)的有效問題,直接排查出威脅的接觸過程。相關(guān)工作人員在開展具體的信息系統(tǒng)安全風(fēng)險評估的威脅識別工作當(dāng)中,需要盡可能的建立健全風(fēng)險分析所需要的威脅場景,并且進行有關(guān)直接威脅或者間接威脅的有效識別。1.4風(fēng)險分析相關(guān)工作人員在對信息系統(tǒng)進行資產(chǎn)識別脆弱識別以及威脅識別之后,還需要對相關(guān)的信息系統(tǒng)進行風(fēng)險評估階段,在這個階段當(dāng)中,相關(guān)工作人員需要盡可能的對信息系統(tǒng)進行有關(guān)風(fēng)險的分析以及計算工作,為后面的信息系統(tǒng)安全提供有效的相關(guān)信息。

2信息系統(tǒng)中的風(fēng)險評估方法

2.1信息系統(tǒng)定量分析法

在信息系統(tǒng)風(fēng)險分析過程當(dāng)中,信息系統(tǒng)定量分析法主要是將信息系統(tǒng)中的資產(chǎn)價值以及風(fēng)險進行一定標(biāo)準(zhǔn)的等量化財務(wù)價值評價。在信息系統(tǒng)的定量分析法當(dāng)中,首先需要保證其自身可以進行量化,在一定程度上保證信息系統(tǒng)中的相關(guān)威脅,對于資產(chǎn)內(nèi)造成的不同程度的損失,可以通過財務(wù)等情況進行相關(guān)的數(shù)據(jù)衡量,這種直觀的衡量方式,在一定程度上可以保證信息系統(tǒng)的主體結(jié)構(gòu)管理層可以更好的接收,并且辨別信息系統(tǒng)的風(fēng)險分析。

2.2基于知識的信息系統(tǒng)風(fēng)險分析方法

在實際操作當(dāng)中,基于知識的信息系統(tǒng)風(fēng)險分析方法主要依靠的是相關(guān)風(fēng)險評估的工作人員的自身的工作經(jīng)驗,通過對一系列信息系統(tǒng)資料的有效收集與分析,采用自身知識儲備以及相關(guān)的風(fēng)險評估標(biāo)準(zhǔn)進行有效的對比分析,在一定時間內(nèi)找出信息系統(tǒng)當(dāng)中存在可能會發(fā)生安全威脅的地方,通過相關(guān)的標(biāo)準(zhǔn)以及有效方法找出有效的解決措施,盡可能地保證信息系統(tǒng)減少風(fēng)險的可能[1]。

2.3基于技術(shù)的信息系統(tǒng)風(fēng)險分析方法

信息系統(tǒng)安全風(fēng)險評估相關(guān)工作人員在開展基于技術(shù)的信息系統(tǒng)風(fēng)險分析方法的具體操作過程當(dāng)中,通常情況下主要依賴的風(fēng)險評估依據(jù)是自身的技術(shù)能力,通過對于相關(guān)信息系統(tǒng)中程序系統(tǒng)以及基礎(chǔ)結(jié)構(gòu)的全面排查,盡可能的用相應(yīng)的信息系統(tǒng)內(nèi)部脆弱性以及安全性的完整估計,有效的找出信息系統(tǒng)中可能會發(fā)現(xiàn)的一系列風(fēng)險隱患。通常情況下,基于技術(shù)的信息系統(tǒng)風(fēng)險分析方法主要采取的分析方法技術(shù)研究十分多,但是在實際管理過程當(dāng)中存在一系列的不足之處,往往過于依賴工作人員的工作經(jīng)驗,進一步導(dǎo)致信息系統(tǒng)安全風(fēng)險評估在管理工作當(dāng)中出現(xiàn)漏洞[2]。

2.4綜合的信息系統(tǒng)風(fēng)險分析方法

通常情況下,基于知識的信息系統(tǒng)風(fēng)險分析方法過于主觀,分析風(fēng)險有著很好的準(zhǔn)確性,相對來說工作的計算量很小,操作簡單可以充分的運用相關(guān)工作人員的專業(yè)知識,但是在實際過程當(dāng)中十分容易受到工作人員的主觀影響,導(dǎo)致分析經(jīng)準(zhǔn)度不夠,并且要求相關(guān)工作人員必須要有著一定工作經(jīng)驗以及很高的工作能力水平,在實際操作過程當(dāng)中,對于信息系統(tǒng)的評估對象通常只能用到一些小系統(tǒng),并且信息系統(tǒng)安全風(fēng)險評估的結(jié)果很難進行統(tǒng)一。最常見的信息系統(tǒng)安全風(fēng)險評估綜合評估方法是層次分析法,主要的分析思想是盡可能的將要分析的安全風(fēng)險的性質(zhì)和想要達到的總體目標(biāo)進行有效的總結(jié),盡可能的將問題分解成不同的組成要素,按照要素之間的內(nèi)在關(guān)系和所屬關(guān)系,按照不同的層次進行排列組合,將各個因素排列成一個有層次的結(jié)構(gòu)模型,盡可能地將系統(tǒng)分析中的實際內(nèi)容按照相關(guān)的重要性權(quán)重來進行有效的排序[3]。層次分析法的分析核心是盡可能地將風(fēng)險評估人員的工作經(jīng)驗以及專業(yè)知識水平進行量化,盡可能的為決策者提供定量的決策依據(jù)。首先需要將系統(tǒng)進行分解,搭建有層次的內(nèi)在結(jié)構(gòu)模型。風(fēng)險評估人員需要將信息系統(tǒng)安全風(fēng)險的對象進行有效的系統(tǒng)分解,主要的分解層次,包括方案層,準(zhǔn)則層以及目標(biāo)層。準(zhǔn)則層是可以有很多個層次組成,主要包括的內(nèi)容,是在分解過程當(dāng)中考慮的準(zhǔn)則以其子準(zhǔn)則等[4]。目的層則是基于信息系統(tǒng)自身所獨有的基本特性而建立起的系統(tǒng)的安全風(fēng)險評估指標(biāo)體系。

3結(jié)語

隨著我們國家社會與經(jīng)濟的不斷前進發(fā)展,信息技術(shù)也得到了廣泛的應(yīng)用,為了保障信息系統(tǒng)的安全,信息系統(tǒng)風(fēng)險評估行業(yè)的發(fā)展是當(dāng)前信息安全領(lǐng)域的主要發(fā)展趨勢之一。在一定程度上,對信息系統(tǒng)風(fēng)險評估方法以及評估技術(shù)進行有效研究,可以更好的為我國信息安全保障體系的建設(shè)發(fā)展打下扎實的基礎(chǔ),相信在不久的將來,信息系統(tǒng)安全風(fēng)險評估一定會在我國信息安全服務(wù)領(lǐng)域占據(jù)一個重要地位。

參考文獻

[1]李鶴田,劉云,何德全.信息系統(tǒng)安全風(fēng)險評估研究綜述疆[J].中國安全科學(xué)學(xué)報,2006(1):108-113+0-1.

[2]張利,彭建芬,杜宇鴿,等.信息安全風(fēng)險評估的綜合評估方法綜述[J].清華大學(xué)學(xué)報(自然科學(xué)版),2012(10):1364-1369.

[3]唐作其,陳選文,戴海濤,等.多屬性群決策理論信息安全風(fēng)險評估方法研究[J].計算機工程與應(yīng)用,2011(15):104-107+144.

[4]楊曉明,羅衡峰,范成瑜,等.信息系統(tǒng)安全風(fēng)險評估技術(shù)分析[J].計算機應(yīng)用,2008(08):1920-1923.

作者：李雪峰 單位：云南省電子信息產(chǎn)品檢驗院