信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的發(fā)展趨勢(shì)分析與方法

【摘要】隨著社會(huì)不斷的發(fā)展，信息技術(shù)已成為當(dāng)今社會(huì)發(fā)展最為重要的經(jīng)濟(jì)動(dòng)力之一。但是信息系統(tǒng)的安全風(fēng)險(xiǎn)的薄弱性對(duì)國(guó)家社會(huì)存在著威脅，因此，信息系統(tǒng)的信息安全風(fēng)險(xiǎn)管理已經(jīng)成為社會(huì)關(guān)注和發(fā)展的基礎(chǔ)。本文主要探討了信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的發(fā)展歷程和趨勢(shì)，以及風(fēng)險(xiǎn)管理的方法分析。

【關(guān)鍵詞】信息系統(tǒng)；信息安全；風(fēng)險(xiǎn)管理；發(fā)展歷程；分析方法；發(fā)展趨勢(shì)

0.前言

隨著社會(huì)不斷的發(fā)展，信息技術(shù)已成為當(dāng)今社會(huì)發(fā)展最為強(qiáng)勁的因素，是世界經(jīng)濟(jì)增長(zhǎng)的強(qiáng)勁動(dòng)力。計(jì)算機(jī)在全球范圍內(nèi)的普及，不僅為人類的生活、工作和學(xué)習(xí)上帶來(lái)了很大的影響，同時(shí)也使很多國(guó)家的經(jīng)濟(jì)、軍事、政治上也帶來(lái)影響，所以說(shuō)，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的依賴性是越來(lái)越大。但是，信息系統(tǒng)在信息安全上還是很脆弱的，存在著很大的風(fēng)險(xiǎn)，這將會(huì)給整個(gè)社會(huì)中的關(guān)鍵設(shè)施造成嚴(yán)重的威脅。所以，信息安全風(fēng)險(xiǎn)管理作為實(shí)現(xiàn)全社會(huì)可持續(xù)發(fā)展和信息化的保障，已經(jīng)成為社會(huì)關(guān)注信息系統(tǒng)的重點(diǎn)之一。

風(fēng)險(xiǎn)管理的理論是一項(xiàng)為了市場(chǎng)競(jìng)爭(zhēng)策略的定制和經(jīng)濟(jì)戰(zhàn)略發(fā)展，而由西方資本主義國(guó)家提出的方法、措施及理論。風(fēng)險(xiǎn)管理具有廣泛適用性的特點(diǎn)，這就造就風(fēng)險(xiǎn)管理被廣泛的應(yīng)用在了國(guó)家的建設(shè)、安全，社會(huì)與經(jīng)濟(jì)的發(fā)展，公共和信息安全等眾多的方面。風(fēng)險(xiǎn)管理是在20世紀(jì)60年代應(yīng)用于信息系統(tǒng)的信息安全方面上的。本文主要探討了信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的發(fā)展歷程和趨勢(shì)，以及風(fēng)險(xiǎn)管理的方法分析。

1.信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理發(fā)展的歷程

1.1在理論基礎(chǔ)上的研究

在20世紀(jì)60年代中，隨著早期的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和計(jì)算機(jī)資源共享系統(tǒng)的出現(xiàn)，計(jì)算機(jī)信息安全也存在著問題。在1967年11月，美國(guó)委托全球多個(gè)相關(guān)企業(yè)以及研究機(jī)構(gòu)，主要針對(duì)計(jì)算機(jī)系統(tǒng)的安全問題，開啟了歷史上第一次針對(duì)計(jì)算機(jī)遠(yuǎn)程終端及大型機(jī)的研究評(píng)估，并且在1970年初，《計(jì)算機(jī)安全控制》出版，該報(bào)告全文長(zhǎng)達(dá)數(shù)百頁(yè)。而該報(bào)告也為全球研究信息系統(tǒng)安全風(fēng)險(xiǎn)拉開序幕。

1.2在理論深入上的研究

在社會(huì)不斷發(fā)展的同時(shí)，也帶動(dòng)了計(jì)算機(jī)信息技術(shù)的飛速進(jìn)步，也使之在網(wǎng)絡(luò)上得到廣泛的應(yīng)用。在1989年，美國(guó)建立計(jì)算機(jī)應(yīng)急組織，也是全球最早；隨后，1990年，建立應(yīng)急論壇；1994年，作為美國(guó)聯(lián)合委員會(huì)之一的安全組織，強(qiáng)調(diào)要在信息安全風(fēng)險(xiǎn)管理的基礎(chǔ)上建立美國(guó)信息系統(tǒng)，1996年4月，美國(guó)國(guó)會(huì)提出“加強(qiáng)信息安全，降低信息戰(zhàn)略威脅”，美國(guó)總審局為響應(yīng)號(hào)召，對(duì)國(guó)防系統(tǒng)信息安全做了首次風(fēng)險(xiǎn)評(píng)估，之后的1996年，發(fā)表了《信息安全：針對(duì)國(guó)防部的計(jì)算機(jī)攻擊正構(gòu)成日益增大的風(fēng)險(xiǎn)》的報(bào)告。

故而國(guó)際化組織在1996年就制定了《信息技術(shù)信息安全管理指南》，這項(xiàng)規(guī)定分成了《信息安全管理技術(shù)》、《信息安全管理和規(guī)劃》以及《網(wǎng)絡(luò)安全管理指南》等等幾個(gè)部分。而這個(gè)階段的風(fēng)險(xiǎn)管理的時(shí)間和理論的特點(diǎn)是：從只注重信息系統(tǒng)信息上的單機(jī)安全問題轉(zhuǎn)變成為可以同時(shí)注重網(wǎng)絡(luò)、數(shù)據(jù)以及操作系統(tǒng)方面的安全問題；在根據(jù)安全評(píng)測(cè)和安全質(zhì)量的保證來(lái)進(jìn)行對(duì)系統(tǒng)安全的保障。

1.3在理論深入上進(jìn)行實(shí)踐基礎(chǔ)的研究

由于20世紀(jì)90年代以來(lái)，很多國(guó)家信息網(wǎng)絡(luò)都是局限于國(guó)內(nèi)方面，隨著移動(dòng)通信、因特網(wǎng)等方面的快速發(fā)展，信息網(wǎng)路與國(guó)土疆域的網(wǎng)絡(luò)界限連成一體了，很多發(fā)達(dá)的國(guó)家在經(jīng)濟(jì)、政治、軍事以及社會(huì)活動(dòng)上都對(duì)信息系統(tǒng)的依賴性達(dá)到了很高的尺度。但是，在當(dāng)前的社會(huì)中出現(xiàn)了很多的黑客，信息系統(tǒng)的安全受到了很大程度的攻擊，促使了信息戰(zhàn)的理論正走向一種新型的、成熟的作戰(zhàn)模式，信息系統(tǒng)信息安全風(fēng)險(xiǎn)問題得到了全球范圍內(nèi)的重視和挑戰(zhàn)。

在這一階段的信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的特點(diǎn)是：信心安全風(fēng)險(xiǎn)管理的對(duì)象是信息系統(tǒng)和信息這兩個(gè)方面，其中包含了網(wǎng)絡(luò)基礎(chǔ)設(shè)施、局域計(jì)算環(huán)境等。同時(shí)研究人員與安全專家們達(dá)成一致共識(shí)，就是從管理、人員和技術(shù)這三個(gè)方面的能力來(lái)對(duì)信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理進(jìn)行管理。而信息安全風(fēng)險(xiǎn)管理的應(yīng)從檢測(cè)、反應(yīng)、保護(hù)和恢復(fù)這四個(gè)方面的能力進(jìn)行決策，這樣就可以對(duì)信息系統(tǒng)信息安全建立縱深的防御體系保障。因此，風(fēng)險(xiǎn)管理作為一項(xiàng)通用的基礎(chǔ)理論和方法論，廣泛的應(yīng)用到了信息系統(tǒng)信息安全的實(shí)踐基礎(chǔ)工作中。

2.信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的方法介紹

2.1信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的故障樹分析法（FTA）

在20世紀(jì)60年代，最初的故障樹是為了便于火箭系統(tǒng)進(jìn)行分析而提出的，到后來(lái)這種方法廣泛的應(yīng)用在電子設(shè)備、化學(xué)工業(yè)、航天工業(yè)以及核工業(yè)等等方面中的可靠性分析，并且在這些方面中取得很好的成果。目前，故障樹分析法現(xiàn)在主要用在分析一些比較大型復(fù)雜系統(tǒng)中的安全性和可靠性，被公認(rèn)為是一種對(duì)復(fù)雜系統(tǒng)進(jìn)行安全可靠上分析的有效方法。同時(shí)它還是top-down分析的一種方法，通過對(duì)系統(tǒng)中的硬件、軟件和人為因素等方面可能會(huì)造成的故障進(jìn)行分析，總結(jié)畫出故障原因的發(fā)生概率和各種組合的方式，由總體到部分，呈樹狀的結(jié)構(gòu)模式，進(jìn)行逐層細(xì)化的進(jìn)行分析。

2.2信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的失效式及效果/危害程度分析方法（FMECA）

它是由危害性分析和故障模式影響分析兩個(gè)部分工作構(gòu)成的。同時(shí)它還是用來(lái)分析審查信息系統(tǒng)和設(shè)備的一種潛在的故障模式，具有安全性、可靠性、維修性、保障性的特點(diǎn)。還可以確定其對(duì)信息系統(tǒng)和設(shè)備的工作能力產(chǎn)生的影響，從而發(fā)現(xiàn)潛在的薄弱環(huán)節(jié)，在針對(duì)這些問題提出預(yù)防改進(jìn)的措施，來(lái)減少和消除信息系統(tǒng)發(fā)生故障的可能性，故而提高了信息系統(tǒng)和設(shè)備的安全性、可靠性、維修性、保障性的水平。它還是bottom-up分析的一種方法，只要是按照規(guī)定記錄產(chǎn)品中可能發(fā)生故障的模式，來(lái)分析各種故障對(duì)信息系統(tǒng)的狀態(tài)和工作的影響，并確定其單點(diǎn)的故障，將各種故障按對(duì)信息系統(tǒng)的影響的發(fā)生概率和程度來(lái)進(jìn)行排序，從而發(fā)現(xiàn)潛在的薄弱環(huán)節(jié)，再根據(jù)這些問題提出預(yù)防改進(jìn)的措施，確保了信息系統(tǒng)信息安全的可靠性。

3.信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的發(fā)展趨勢(shì)

20世紀(jì)90年代，隨著全球經(jīng)濟(jì)化的發(fā)展，信息技術(shù)也成為世界各國(guó)所關(guān)注、所需要的重要科技技術(shù)之一，而我國(guó)在信息產(chǎn)業(yè)、技術(shù)、網(wǎng)絡(luò)上也在不斷的蓬勃發(fā)展當(dāng)中。隨之而來(lái)的信息安全風(fēng)險(xiǎn)問題也日益突出，故而，信息風(fēng)險(xiǎn)管理的重要性得到空前的關(guān)注。2002年我國(guó)首次規(guī)劃了關(guān)于信息安全風(fēng)險(xiǎn)管理方面的課題—《系統(tǒng)安全風(fēng)險(xiǎn)分析和評(píng)估方法研究》。在2003年8月中由國(guó)家組織成立了關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估的課題小組，對(duì)信息系統(tǒng)的信息安全管理和評(píng)估進(jìn)行理論上的研究。而我國(guó)很多的企業(yè)和研究機(jī)構(gòu)都介紹了發(fā)達(dá)國(guó)家在信息安全風(fēng)險(xiǎn)評(píng)估、管理上的方法、經(jīng)驗(yàn)和理論，為我國(guó)在信息安全風(fēng)險(xiǎn)管理領(lǐng)域可以進(jìn)行研究和探討，同時(shí)也是我國(guó)應(yīng)該關(guān)注和解決的重要課題。我國(guó)信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理研究的時(shí)間較短，而（下轉(zhuǎn)第292頁(yè)）（上接第317頁(yè)）國(guó)外已有的方法和結(jié)論，不符合我國(guó)信息系統(tǒng)安全保障時(shí)間理論和研究成果均比較薄弱的情況；另一方面，傳統(tǒng)的信息安全風(fēng)險(xiǎn)管理的方法和理論，在信息系統(tǒng)規(guī)模逐漸擴(kuò)大和網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜的情況下，不再能達(dá)到信息系統(tǒng)信息安全的要求。尋求適合我國(guó)信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的理論與方法成為當(dāng)務(wù)之急。

4.結(jié)語(yǔ)

綜上所述，信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理在經(jīng)過一定發(fā)展歷程之后，又通過綜合使用各種信息風(fēng)險(xiǎn)管理的分析方法的思路，來(lái)克服了信息系統(tǒng)中所存在的各種問題和故障，為以后信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的發(fā)展奠定了基礎(chǔ)。

【參考文獻(xiàn)】

[1]翟雪榮，劉志剛，卞春.信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理的發(fā)展趨勢(shì)分析[J].農(nóng)業(yè)網(wǎng)絡(luò)信息，2007（12）：116-118.

[2]張利，江常青，陳曉樺.傳統(tǒng)風(fēng)險(xiǎn)分析方法在信息系統(tǒng)安全風(fēng)險(xiǎn)管理過程中的應(yīng)用[J].中國(guó)信息協(xié)會(huì)，45-51.