信息安全風險管理思考

黃杰生

（廣州奧格智能科技有限公司，廣東 廣州 510663）

信息技術的發展，在根本上改變了傳統的生活形態和生產方式，但對于信息擁有者來說，信息資源又是最活躍和關鍵的因素，容易產生各種風險。目前信息系統建設得越來越復雜，而信息資源的安全又很難得到有效保障，因此，需要采用恰當、科學的方式對信息安全風險進行管理，確保信息處于安全的狀態。信息安全風險管理主要包括信息安全風險評估和信息安全風險控制兩方面。

1 信息安全風險評估

1.1 評估方法

為了全面掌握信息安全的風險程度，需要通過恰當的方式對風險進行識別評估。評估方法主要包括以下幾種：（1）模型分析法。根據應用場景建立風險模型，并對實際環境信息進行采集，然后將信息安全標準和實際情況進行對比與分析，識別出風險隱患。（2）經驗分析法。在識別評估信息安全風險的過程中，可以通過經驗分析的方式找出風險隱患。此風險評估方式并不需要太多時間、精力和資源，僅需要在完成環境信息的采集以后，對其進行集中分析，結合工作人員所積累的經驗找出風險點。（3）定量分析法。根據對數據對象分析所獲得的結果，對風險進行評估，并將其轉化為財務風險分析、資產風險分析。采用這一方式能夠為信息擁有者提供更加具體、直觀的數字化結論，便于對風險程度的量化掌握，從而制定更加有效的治理措施。但是該方式較依賴主觀判斷，且計算方式較為復雜，目前并沒有形成標準統一的體系。

1.2 計算方法

在信息安全評估的過程中，對風險的量化計算是評估的主要手段，主要計算方式包括：（1）風險等級劃分。首先，分析各種風險對信息安全造成的具體影響，結合其造成破壞的程度實現劃分等級的目的；其次，根據風險的級別，對風險發生的概率進行全面分析，并通過計算將風險影響值轉化為量化值；最后，根據量化值建立“信息資產—風險威脅—風險程度”之間的邏輯關系，全面掌握各種風險的具體影響程度。（2）風險結構化分析法。首先，確定信息資產、業務流程中所包含的風險種類及其影響，然后以層次分析的方式生成各種風險的結構化指標。在結構化分析的過程中，需要保證所有相關人員均參與其中，以提高分析結構的客觀性、全面性和準確性，但需要投入更多的資源和人力。與之相比，非結構化風險的計算，工作量相對較少，且具有較強的靈活性，但風險評估的結果缺乏準確性和全面性[1-2]。

1.3 信息安全風險模型化定位

信息安全風險管理對于數字化信息高效傳輸也非常重要，也是我國信息傳輸產業獲得更長遠發展的保障。因此，除了加強信息系統的內在安全性，也要做好對信息傳輸應用環境風險模型化定位的進一步解析。例如：在數字化程序信息傳輸的基礎上，運用大數據資源庫，形成信息傳輸三維坐標定位分析結構，結合遠程信息控制體系，與數字化信息傳輸節點相連接，當系統傳輸信息借助外部遠程空間定位時，空間信號模型就能夠直接進行信息傳輸的風險性評估，保障主體部分信息傳輸的安全性。這一信息安全風險模型化定位方式，是信息安全風險管理的有效措施。

2 信息安全風險控制

2.1 計算機系統安全防護

由于信息管理主要依賴計算機系統，為了實現有效的信息安全風險管理，需要針對計算機系統相關組件建立全面的安全防護措施，主要對象包括基礎設備、數據儲存、信息傳輸通道等。主要有以下幾種系統安全防護措施：（1）在計算機中設置安全防火墻，從而有效控制網絡訪問行為，通過此方式可以在很大程度上降低信息被非法訪問的可能性。（2）利用入侵檢測技術，計算機可以自動監控訪問者的行為動態，一旦訪問者的操作不符合安全標準，或者存在越權的操作行為，計算機都會自動對其屏蔽，避免信息泄露。（3）利用電子簽名與數據加密技術，可以在很大程度上避免信息被假冒偽造或被竊取。（4）采用嚴密的用戶認證與權限控制的方式，降低系統被非法入侵的風險。（5）重視查毒技術和防毒軟件的應用，應及時對計算機系統進行病毒查殺以及補丁升級，不斷增加計算機系統的健壯性。（6）重視數據的容災備份，以合理的頻率和范圍對數據進行備份，并應該保證可以將數據無損地恢復至任意時間點。

2.2 基礎環境保護

基礎環境是導致信息安全風險的重要因素，應采用恰當的方式進行控制預防，其中以辦公場所、物理設備、通信網絡為主要控制對象。控制的方式主要包含以下幾點：（1）應用門禁系統。通過該系統的應用，加強對涉密人員的管理和權限控制。在此基礎上，還需要在內部安裝監控設備，主要將其置于服務器機房、辦公區域中，進行實時的環境監控。（2）對于物理設備而言，應禁止服務器、涉密計算機等關鍵設備接入非涉密外掛設備，特別是可移動存儲設備。可以通過建立內部涉密網絡的方式實現對涉密計算機的控制與管理，不僅能實現信息共享，還可以避免信息泄露或遭受破壞。內部的涉密網絡與外部網絡必須嚴格分離。（3）對不同的網絡用戶進行分組，如研發組、行政組、維護組等，根據分組之間的差異設置具體的網絡控制規則，并通過統一的網絡控制設備來控制不同分組的網絡社會。（4）對社交通信行為（如微信、QQ等）進行必要的限制和過濾審查，避免內部信息的泄露，提高信息保密性[3]。

另外，對于信息底層傳輸通道的安全風險管理，可以通過進一步介入監測信息傳輸渠道實現信息安全風險控制。即對于通過傳輸渠道傳輸的大量數據信息，可通過本次傳輸信號對應的安全保護代碼的監測和控制，將數據傳輸圈定在安全范圍內，當安全保護代碼發現傳送到外部空間的信息數據內容超越安全范圍時，系統就會阻止信息傳輸，避免信息傳輸風險。但我們進行這種介入控制時，必須同時保證信息傳輸的穩定性，然后再建立信息安全風險控制框架，否則，就會在信息傳輸期間，出現內部信息互相干擾導致錯亂的情況。此時，保護數據非但不會對原始信息起到安全防護的作用，反而會造成原始信息丟失。

2.3 動態信息病毒審查系統

信息安全風險控制工作的有效實施，也需要加強對信息傳輸過程的動態性特征的監測控制。當前，基于網絡平臺之上的信息安全防護管理工作，都是將本次傳輸的信息，“固定”在某一時間點上，然后分段進行信息傳輸的安全保護。但如果在網絡信息傳輸過程中有病毒入侵，只要侵入一個信息點，就會導致信息整體癱瘓。而使用動態信息病毒審查系統，可以將傳統的節點分段式病毒防護方式轉化為動態病毒審核方法，一旦審查系統在傳輸信息節點中發現病毒并發出警報信號，系統將終止本次信息傳輸，并將受感染的信息進行集中銷毀，從而保障信息傳輸的安全性。

2.4 完善管理機制

構建完善的信息安全管理制度，并確保在工作中落實，真正起到監督與規范工作人員行為的作用。在對相關人員的權限進行設置時，需要全面深入進行調研和規劃，包括不同角色可以訪問的信息類別和網絡區域。要注意對重要的機密信息進行隔離和單獨管理；對于非機密的信息，可以結合工作人員的崗位實施授權管理的方式，有效提高信息的共享和可利用程度。還可以實行多人協同、互相監督的管理方式，定期輪換信息管理崗位，避免集中管理所造成的風險。

另外，人員素質能力是造成信息安全風險的重要因素之一，要注重培養工作人員的安全意識和安全管理能力，其重要性甚至超過對技術能力的要求。特別對于信息安全管理人員，更加要注重加強培養和監督，并應具備如下能力：（1）信息安全管理人員需要具有較強的權威，并能夠在發生信息安全風險時及時制定應對措施，即需要具備足夠的安全工作能力。（2）信息安全管理人員應該掌握、熟悉業務流程，能夠主動及時發現信息安全隱患，并優化信息管理工作。（3）信息安全負責人要明確自身的職責，并能夠結合實際現狀制定、調整信息安全管理策略，以身作則在實際工作中進行落實，并嚴格指導和規范他人的信息安全管理工作。

3 結語

綜上所述，信息資源對于信息擁有者的發展至關重要，一旦發生安全風險將帶來不可估量的損失。因此信息安全管理人員應重視安全風險管理，并采取全面可行的策略和方法，對風險進行預先評估，避免風險的發生，同時也要建立完善和周密的風險控制和應對措施，在風險真實發生的時候可以盡快消除風險并最大限度地減少損失。

[參考文獻]

[1]劉劍.石油企業IT風險管理體系研究[D].成都：西南石油大學，2016.

[2]任妮.數字圖書館信息安全規范化管理研究[D].南京：南京農業大學，2016.

[3]孫誼.中國農業銀行廣東省分行信息安全管理研究[D].蘭州：蘭州大學，2016.