信息系統的安全風險評估及風險管理
2011-12-31 00:00:00傅璧丁爽張愷
企業導報 2011年13期
【摘要】信息科學技術的發展,使得計算機技術與網絡信息技術實現了進一步的融合發展,信息系統被廣泛的運用到經營和管理工作中,越來越多的網絡不安全事故也頻繁發生,病毒、黑客、網絡攻擊已經成為影響當前信息系統安全的重要因素。本文的主要內容就是針對信息系統的安全問題進行探討,如何進行系統安全的評估和風險的管理。
【關鍵詞】信息系統;安全;風險評估;管理
一、信息系統安全
何謂信息系統,依據美國國家信息系統安全詞匯表的定義,信息系統是指用于收集、處理、存儲、傳輸、顯示、傳播和清除信息的所有設施、組織、人員等部件的總和。在這個定義中,我們不難看出,信息系統應該是一種結合了人力因素、硬件設備、軟件系統等多方面元素的一種集合。信息系統的安全,主要就是圍繞著信息系統的功能,即數據的處理、存儲、傳輸等內容來展開。當前信息系統存在的安全隱患就是數據被篡改、被竊取、系統運行被破壞這幾種情形。信息系統的安全以數據為核心,但是其內容又并不局限于數據,理論上信息系統的安全包括四個方面的內容,即實體安全、運行安全、數據安全和管理安全四個方面。這其中的每一個方面對信息系統的安全評價角度都是不同的,不同角度的安全評價決定了我們在對信息系統進行風險評估時所選取的方式和角度也必然是不同的。
二、信息系統風險評估方法
根據信息系統的構建和組成,我們對信息系統的風險評估主要采用以下幾種方法:(1)事件樹分析:這是一種利用邏輯進行演繹推理的方法,它的作用發揮方式是以某一個給定的事件為依據。根據這個事件展開分析,尋找出可能出現的各種具有影響力的后果,通過多角度、多層面的推理演繹,實習對風險的預估。(2)層次分析法:是一種多指標綜合評價方法。這種評價方法的關鍵在于尋找不同因素直接存在的聯系,這種聯系可能表現為相互制約,也可能表現為一種形態上的隸屬關系。無論是那一種關系,都需要按照一定的標準,采用數學方法對不同的因素進行層次上的排序。然后根據排序的結果來對風險進行預估。(3)BP神經網絡:是一種按誤差逆向傳播算法訓練的多層前饋網絡,具有自學習能力,能夠實現輸入和輸出之間的復雜非線性關信息系統的風險管理系。缺點是風險因素的權值確定較難,優點是有自學能力,問題抽象化,適用于事故預測和方案擇優。(4)故障樹分析:這是一種較為形象的風險預測方法,即首先對具有潛在危險的各種因素進行初始的分析,根據這些因素繪畫出故障樹,利用故障樹來發現不同因素之間存在的復雜聯系,找出事件發生之間的聯系。(5)風險評審技術方法:通過模擬實際系統研制時間、費用及性能分布,針對不同條件對信息系統的風險進行預測,需多次訪問,數據準確性要求高。
三、信息系統的風險管理
無論是對信息系統安全還是風險評估方法,我們的目的都是希望其最終能夠服務于信息系統的風險管理工作。信息系統的風險管理,我們從以下幾個方面來進行分析:第一,信息系統的動態風險態勢評估。信息系統的風險管理,是一項動靜結合的工作。由于當前網絡環境是處于不斷運動的狀態,所以動態管理對信息系統的風險管理具有重要的意義。信息系統面臨的風險雖然具有突發性,但是我們通過對某一段時間的態勢值比較分析能夠做出一定的判斷,當一段時間內的態勢值與正常范圍內的態勢值有差異的時候,我們應該加強系統信息的風險預警。通過這種動態的評估,管理人員能夠在數據參考的基礎上做出一些應對。第二,ART-BP神經網絡的模糊專家系統風險管理。隨著計算機技術和網絡信息技術的進一步普及,信息系統在未來仍然會以規模化的趨勢覆蓋我們的日常生活,信息系統對人類生活產生的重要影響將越來越突出,風險管理的水平必須進一步提升和加強。ART-BP神經網絡的基本工作原理是:網絡接收外面環境的輸入狀況,對網絡已經存儲的模式和新來的網絡樣本進行比較和權衡,通過一定的程序對二者的相似度進行計算,利用閾值檢查已有的網絡存儲模式和輸入的樣本,并且對連接權重進行調整,實現最大的相似度。第三,加強風險管理中的人力因素管理。信息系統是由人力、硬軟件設備共同發揮作用而組成的一個管理系統。信息系統各種不安全因素的出現,最大的始作俑者也是人類,人力因素在整個信息系統的安全管理中有著重要的作用。信息系統的風險管理,必須加強對人力因素的控制和管理,人力因素在整個系統風險管理中作用的發揮的是首要的。加強人力因素的管理,首先我們要提高從業人員的素質,這種素質不僅僅是專業的信息技術素質,而且包括一個人的品行、工作態度等多方面素質的綜合。其次加強那個人力因素管理,還應該通過制度來予以明確的規定,用明文的制度來規范具體的操作行為和操作流程,加強風險預警意識的培養,是實現風險管理的另一個重要途徑。
參考文獻
[1]劉翠翠,王云.淺析網絡信息安全挑戰及其應對措施[J].電腦知識與技術.2008:36
[2]黃景文.基于知識的信息安全風險評估研究[D].東華大學.2008
[3]趙冬梅,劉海峰,劉晨光.基于BP神經網絡的信息安全風險評估[J].計算機工程與應用.2007(1)
