信息系統(tǒng)安全風(fēng)險的評估

龔建 成都信息工程大學(xué)銀杏酒店管理學(xué)院

信息系統(tǒng)安全風(fēng)險的評估

龔建 成都信息工程大學(xué)銀杏酒店管理學(xué)院

由于信息技術(shù)的不斷發(fā)展，對信息系統(tǒng)的安全性有了更高的要求，所以信息系統(tǒng)安全風(fēng)險的評估顯得尤為的重要。信息系統(tǒng)安全風(fēng)險評估的目的在于對信息化的系統(tǒng)進行分析以及風(fēng)險監(jiān)測，從而采取有效的手段消除安全隱患，保證信息系統(tǒng)的安全。基于此，本文首先研究了信息系統(tǒng)安全風(fēng)險的工作流程，其次，對信息系統(tǒng)安全風(fēng)險評估方法進行了闡述，為推動信息系統(tǒng)安全風(fēng)險評估的進一步發(fā)展做出貢獻。

信息系統(tǒng)安全 風(fēng)險評估方法

隨著經(jīng)濟的不斷發(fā)展，信息系統(tǒng)的復(fù)雜程度也進一步提高，這就對信息系統(tǒng)安全風(fēng)險的評估提出了更高的要求。目前，我國信息系統(tǒng)安全風(fēng)險的評估還有待完善，針對這一問題，本文將從信息系統(tǒng)安全風(fēng)險評估的工作流程和信息系統(tǒng)安全風(fēng)險評估方法兩個方面進行分析，從而保障信息系統(tǒng)的安全。

1 工作流程

信息系統(tǒng)安全風(fēng)險評估的工作流程大致分為以下幾個方面。

1.1 對資產(chǎn)的識別

資產(chǎn)是信息安全風(fēng)險評估的主要對象，是具有較高價值的信息資源。資產(chǎn)可大致分為人力資源、信息資源、硬件資源等方面。由于資產(chǎn)的重要性不同，所給予的保護程度也就不同，所以，信息系統(tǒng)安全風(fēng)險評估工作的第一步就是將資產(chǎn)做出識別并進行大致的劃分。

1.2 對威脅的識別

影響信息安全的主要因素就是風(fēng)險造成的威脅，如果沒有完善的威脅識別體系，就有可能造成信息的泄露，從而造成嚴(yán)重的后果。對威脅識別的意義就在于對破壞資產(chǎn)安全的因素加以識別和分類，保證信息系統(tǒng)的安全。

1.3 對脆弱性的識別

脆弱性是對資產(chǎn)弱點的總體概括，對脆弱性的識別也可以解釋為對資產(chǎn)弱點進行綜合概括的過程，只有掌握了資產(chǎn)的弱點，才可以更好的對資產(chǎn)進行保護，所以，對脆弱性的識別是信息系統(tǒng)安全評估流程中尤為重要的一部分。

1.4 確認現(xiàn)有的安全措施

安全措施可以有效的控制信息安全風(fēng)險的發(fā)生概率，所以，在進行信息安全風(fēng)險評估之前，必須要確認現(xiàn)有的安全措施并進行分析，這樣才能為后面的工作打下良好的基礎(chǔ)。

1.5 對風(fēng)險進行分析

在完成了以上四點之后，就進入分析風(fēng)險的階段。對風(fēng)險進行分析的主要方式是通過計算機對以上數(shù)據(jù)進行具體的分析和統(tǒng)計。

2 信息系統(tǒng)安全風(fēng)險評估的方法

2.1 對知識系統(tǒng)的風(fēng)險分析

對知識系統(tǒng)的風(fēng)險分析方法大多是基于大量經(jīng)驗之上的，對技術(shù)的要求很低。主要是通過對資產(chǎn)信息的采集，利用工作人員自身具有的大量經(jīng)驗，對采集來的信息進行對比分析，找出與相關(guān)標(biāo)準(zhǔn)的不同之處，制定出相對應(yīng)的解決策略，加以分析和改進，起到對安全風(fēng)險的控制作用。其中資產(chǎn)信息的采集大致可以通過開會討論、實地調(diào)查、與相關(guān)人員進行交談以及查閱資產(chǎn)信息相關(guān)文檔等方法進行收集。這一種方法由于對技術(shù)的要求較低，所以大多用在管理層面。

2.2 對技術(shù)系統(tǒng)的風(fēng)險分析

對技術(shù)系統(tǒng)的風(fēng)險分析方法大多是基于技術(shù)人員的技術(shù)之上的。通過對相關(guān)經(jīng)驗的運用，對系統(tǒng)出現(xiàn)的問題作出完整的計算和評估，以此方法解決信息系統(tǒng)安全監(jiān)測中存在的問題，其特點是加強評估方法的評估效率、提高了信息安全風(fēng)險評估結(jié)果的質(zhì)量和準(zhǔn)確性、減少了相關(guān)技術(shù)人員之間的溝通障礙，使分析結(jié)果更加精確。這種方法相對于技術(shù)的要求較高，管理方面較為薄弱，所以大多運用于技術(shù)系統(tǒng)風(fēng)險的分析。

2.3 對信息系統(tǒng)的定量及定性分析

定量分析法主要是通過對資產(chǎn)信息通過計算機轉(zhuǎn)化為數(shù)據(jù)的方法，使技術(shù)人員能夠直觀明了的對資產(chǎn)進行分析，這種方法的優(yōu)點是分析結(jié)果精確、直觀，適用于管理層面。缺點是對資產(chǎn)的分析是基于技術(shù)人員主觀意識上的，具有一定的主觀性。定性分析是結(jié)合企業(yè)的歷史記錄，由相關(guān)的技術(shù)人員進行討論，進而對結(jié)果進行分析計算得出結(jié)果的方法。定性分析方法的優(yōu)點是進一步的減少了對于風(fēng)險分析結(jié)果的誤差，對于分析結(jié)果進行了有效的排列，方便管理人員進行管理。缺點是缺乏客觀性，可能會造成分析結(jié)果的偏差。

為了確保我國信息系統(tǒng)的安全，信息系統(tǒng)安全風(fēng)險的評估已經(jīng)擁有了舉足輕重的地位。本文通過對信息系統(tǒng)安全工作流程的介紹，大致了解了工作流程包括對資產(chǎn)的識別、對威脅的識別、對脆弱性的識別、對現(xiàn)有安全措施的確認以及對風(fēng)險的分析幾個方面。接著闡述了信息系統(tǒng)安全風(fēng)險評估的方法，包括對知識系統(tǒng)技術(shù)系統(tǒng)的分析以及對信息系統(tǒng)的定量以及定性分析。通過對以上技術(shù)方法的運用，進一步使我國信息系統(tǒng)安全風(fēng)險評估得到保障。

[1]梁丁相,陳曦.基于模糊綜合評判理論的電力信息系統(tǒng)安全風(fēng)險評估模型及應(yīng)用[J].電力系統(tǒng)保護與控制,2015,05:61-64

[2]林洋.信息系統(tǒng)安全風(fēng)險評估模型及其應(yīng)用研究[D].大連海事大學(xué),2013

[3]史美玲.第四方物流信息系統(tǒng)安全風(fēng)險評估的研究[D].北京化工大學(xué),2014