信息系統安全風險的評估

龔建 成都信息工程大學銀杏酒店管理學院

信息系統安全風險的評估

龔建 成都信息工程大學銀杏酒店管理學院

由于信息技術的不斷發展，對信息系統的安全性有了更高的要求，所以信息系統安全風險的評估顯得尤為的重要。信息系統安全風險評估的目的在于對信息化的系統進行分析以及風險監測，從而采取有效的手段消除安全隱患，保證信息系統的安全。基于此，本文首先研究了信息系統安全風險的工作流程，其次，對信息系統安全風險評估方法進行了闡述，為推動信息系統安全風險評估的進一步發展做出貢獻。

信息系統安全 風險評估方法

隨著經濟的不斷發展，信息系統的復雜程度也進一步提高，這就對信息系統安全風險的評估提出了更高的要求。目前，我國信息系統安全風險的評估還有待完善，針對這一問題，本文將從信息系統安全風險評估的工作流程和信息系統安全風險評估方法兩個方面進行分析，從而保障信息系統的安全。

1 工作流程

信息系統安全風險評估的工作流程大致分為以下幾個方面。

1.1 對資產的識別

資產是信息安全風險評估的主要對象，是具有較高價值的信息資源。資產可大致分為人力資源、信息資源、硬件資源等方面。由于資產的重要性不同，所給予的保護程度也就不同，所以，信息系統安全風險評估工作的第一步就是將資產做出識別并進行大致的劃分。

1.2 對威脅的識別

影響信息安全的主要因素就是風險造成的威脅，如果沒有完善的威脅識別體系，就有可能造成信息的泄露，從而造成嚴重的后果。對威脅識別的意義就在于對破壞資產安全的因素加以識別和分類，保證信息系統的安全。

1.3 對脆弱性的識別

脆弱性是對資產弱點的總體概括，對脆弱性的識別也可以解釋為對資產弱點進行綜合概括的過程，只有掌握了資產的弱點，才可以更好的對資產進行保護，所以，對脆弱性的識別是信息系統安全評估流程中尤為重要的一部分。

1.4 確認現有的安全措施

安全措施可以有效的控制信息安全風險的發生概率，所以，在進行信息安全風險評估之前，必須要確認現有的安全措施并進行分析，這樣才能為后面的工作打下良好的基礎。

1.5 對風險進行分析

在完成了以上四點之后，就進入分析風險的階段。對風險進行分析的主要方式是通過計算機對以上數據進行具體的分析和統計。

2 信息系統安全風險評估的方法

2.1 對知識系統的風險分析

對知識系統的風險分析方法大多是基于大量經驗之上的，對技術的要求很低。主要是通過對資產信息的采集，利用工作人員自身具有的大量經驗，對采集來的信息進行對比分析，找出與相關標準的不同之處，制定出相對應的解決策略，加以分析和改進，起到對安全風險的控制作用。其中資產信息的采集大致可以通過開會討論、實地調查、與相關人員進行交談以及查閱資產信息相關文檔等方法進行收集。這一種方法由于對技術的要求較低，所以大多用在管理層面。

2.2 對技術系統的風險分析

對技術系統的風險分析方法大多是基于技術人員的技術之上的。通過對相關經驗的運用，對系統出現的問題作出完整的計算和評估，以此方法解決信息系統安全監測中存在的問題，其特點是加強評估方法的評估效率、提高了信息安全風險評估結果的質量和準確性、減少了相關技術人員之間的溝通障礙，使分析結果更加精確。這種方法相對于技術的要求較高，管理方面較為薄弱，所以大多運用于技術系統風險的分析。

2.3 對信息系統的定量及定性分析

定量分析法主要是通過對資產信息通過計算機轉化為數據的方法，使技術人員能夠直觀明了的對資產進行分析，這種方法的優點是分析結果精確、直觀，適用于管理層面。缺點是對資產的分析是基于技術人員主觀意識上的，具有一定的主觀性。定性分析是結合企業的歷史記錄，由相關的技術人員進行討論，進而對結果進行分析計算得出結果的方法。定性分析方法的優點是進一步的減少了對于風險分析結果的誤差，對于分析結果進行了有效的排列，方便管理人員進行管理。缺點是缺乏客觀性，可能會造成分析結果的偏差。

為了確保我國信息系統的安全，信息系統安全風險的評估已經擁有了舉足輕重的地位。本文通過對信息系統安全工作流程的介紹，大致了解了工作流程包括對資產的識別、對威脅的識別、對脆弱性的識別、對現有安全措施的確認以及對風險的分析幾個方面。接著闡述了信息系統安全風險評估的方法，包括對知識系統技術系統的分析以及對信息系統的定量以及定性分析。通過對以上技術方法的運用，進一步使我國信息系統安全風險評估得到保障。

[1]梁丁相,陳曦.基于模糊綜合評判理論的電力信息系統安全風險評估模型及應用[J].電力系統保護與控制,2015,05:61-64

[2]林洋.信息系統安全風險評估模型及其應用研究[D].大連海事大學,2013

[3]史美玲.第四方物流信息系統安全風險評估的研究[D].北京化工大學,2014