信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估

龔建 成都信息工程大學(xué)銀杏酒店管理學(xué)院

信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估

龔建 成都信息工程大學(xué)銀杏酒店管理學(xué)院

由于信息技術(shù)的不斷發(fā)展，對(duì)信息系統(tǒng)的安全性有了更高的要求，所以信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估顯得尤為的重要。信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的目的在于對(duì)信息化的系統(tǒng)進(jìn)行分析以及風(fēng)險(xiǎn)監(jiān)測(cè)，從而采取有效的手段消除安全隱患，保證信息系統(tǒng)的安全?；诖耍疚氖紫妊芯苛诵畔⑾到y(tǒng)安全風(fēng)險(xiǎn)的工作流程，其次，對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法進(jìn)行了闡述，為推動(dòng)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的進(jìn)一步發(fā)展做出貢獻(xiàn)。

信息系統(tǒng)安全 風(fēng)險(xiǎn)評(píng)估方法

隨著經(jīng)濟(jì)的不斷發(fā)展，信息系統(tǒng)的復(fù)雜程度也進(jìn)一步提高，這就對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估提出了更高的要求。目前，我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估還有待完善，針對(duì)這一問(wèn)題，本文將從信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的工作流程和信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法兩個(gè)方面進(jìn)行分析，從而保障信息系統(tǒng)的安全。

1 工作流程

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的工作流程大致分為以下幾個(gè)方面。

1.1 對(duì)資產(chǎn)的識(shí)別

資產(chǎn)是信息安全風(fēng)險(xiǎn)評(píng)估的主要對(duì)象，是具有較高價(jià)值的信息資源。資產(chǎn)可大致分為人力資源、信息資源、硬件資源等方面。由于資產(chǎn)的重要性不同，所給予的保護(hù)程度也就不同，所以，信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的第一步就是將資產(chǎn)做出識(shí)別并進(jìn)行大致的劃分。

1.2 對(duì)威脅的識(shí)別

影響信息安全的主要因素就是風(fēng)險(xiǎn)造成的威脅，如果沒(méi)有完善的威脅識(shí)別體系，就有可能造成信息的泄露，從而造成嚴(yán)重的后果。對(duì)威脅識(shí)別的意義就在于對(duì)破壞資產(chǎn)安全的因素加以識(shí)別和分類，保證信息系統(tǒng)的安全。

1.3 對(duì)脆弱性的識(shí)別

脆弱性是對(duì)資產(chǎn)弱點(diǎn)的總體概括，對(duì)脆弱性的識(shí)別也可以解釋為對(duì)資產(chǎn)弱點(diǎn)進(jìn)行綜合概括的過(guò)程，只有掌握了資產(chǎn)的弱點(diǎn)，才可以更好的對(duì)資產(chǎn)進(jìn)行保護(hù)，所以，對(duì)脆弱性的識(shí)別是信息系統(tǒng)安全評(píng)估流程中尤為重要的一部分。

1.4 確認(rèn)現(xiàn)有的安全措施

安全措施可以有效的控制信息安全風(fēng)險(xiǎn)的發(fā)生概率，所以，在進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估之前，必須要確認(rèn)現(xiàn)有的安全措施并進(jìn)行分析，這樣才能為后面的工作打下良好的基礎(chǔ)。

1.5 對(duì)風(fēng)險(xiǎn)進(jìn)行分析

在完成了以上四點(diǎn)之后，就進(jìn)入分析風(fēng)險(xiǎn)的階段。對(duì)風(fēng)險(xiǎn)進(jìn)行分析的主要方式是通過(guò)計(jì)算機(jī)對(duì)以上數(shù)據(jù)進(jìn)行具體的分析和統(tǒng)計(jì)。

2 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的方法

2.1 對(duì)知識(shí)系統(tǒng)的風(fēng)險(xiǎn)分析

對(duì)知識(shí)系統(tǒng)的風(fēng)險(xiǎn)分析方法大多是基于大量經(jīng)驗(yàn)之上的，對(duì)技術(shù)的要求很低。主要是通過(guò)對(duì)資產(chǎn)信息的采集，利用工作人員自身具有的大量經(jīng)驗(yàn)，對(duì)采集來(lái)的信息進(jìn)行對(duì)比分析，找出與相關(guān)標(biāo)準(zhǔn)的不同之處，制定出相對(duì)應(yīng)的解決策略，加以分析和改進(jìn)，起到對(duì)安全風(fēng)險(xiǎn)的控制作用。其中資產(chǎn)信息的采集大致可以通過(guò)開(kāi)會(huì)討論、實(shí)地調(diào)查、與相關(guān)人員進(jìn)行交談以及查閱資產(chǎn)信息相關(guān)文檔等方法進(jìn)行收集。這一種方法由于對(duì)技術(shù)的要求較低，所以大多用在管理層面。

2.2 對(duì)技術(shù)系統(tǒng)的風(fēng)險(xiǎn)分析

對(duì)技術(shù)系統(tǒng)的風(fēng)險(xiǎn)分析方法大多是基于技術(shù)人員的技術(shù)之上的。通過(guò)對(duì)相關(guān)經(jīng)驗(yàn)的運(yùn)用，對(duì)系統(tǒng)出現(xiàn)的問(wèn)題作出完整的計(jì)算和評(píng)估，以此方法解決信息系統(tǒng)安全監(jiān)測(cè)中存在的問(wèn)題，其特點(diǎn)是加強(qiáng)評(píng)估方法的評(píng)估效率、提高了信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果的質(zhì)量和準(zhǔn)確性、減少了相關(guān)技術(shù)人員之間的溝通障礙，使分析結(jié)果更加精確。這種方法相對(duì)于技術(shù)的要求較高，管理方面較為薄弱，所以大多運(yùn)用于技術(shù)系統(tǒng)風(fēng)險(xiǎn)的分析。

2.3 對(duì)信息系統(tǒng)的定量及定性分析

定量分析法主要是通過(guò)對(duì)資產(chǎn)信息通過(guò)計(jì)算機(jī)轉(zhuǎn)化為數(shù)據(jù)的方法，使技術(shù)人員能夠直觀明了的對(duì)資產(chǎn)進(jìn)行分析，這種方法的優(yōu)點(diǎn)是分析結(jié)果精確、直觀，適用于管理層面。缺點(diǎn)是對(duì)資產(chǎn)的分析是基于技術(shù)人員主觀意識(shí)上的，具有一定的主觀性。定性分析是結(jié)合企業(yè)的歷史記錄，由相關(guān)的技術(shù)人員進(jìn)行討論，進(jìn)而對(duì)結(jié)果進(jìn)行分析計(jì)算得出結(jié)果的方法。定性分析方法的優(yōu)點(diǎn)是進(jìn)一步的減少了對(duì)于風(fēng)險(xiǎn)分析結(jié)果的誤差，對(duì)于分析結(jié)果進(jìn)行了有效的排列，方便管理人員進(jìn)行管理。缺點(diǎn)是缺乏客觀性，可能會(huì)造成分析結(jié)果的偏差。

為了確保我國(guó)信息系統(tǒng)的安全，信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估已經(jīng)擁有了舉足輕重的地位。本文通過(guò)對(duì)信息系統(tǒng)安全工作流程的介紹，大致了解了工作流程包括對(duì)資產(chǎn)的識(shí)別、對(duì)威脅的識(shí)別、對(duì)脆弱性的識(shí)別、對(duì)現(xiàn)有安全措施的確認(rèn)以及對(duì)風(fēng)險(xiǎn)的分析幾個(gè)方面。接著闡述了信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的方法，包括對(duì)知識(shí)系統(tǒng)技術(shù)系統(tǒng)的分析以及對(duì)信息系統(tǒng)的定量以及定性分析。通過(guò)對(duì)以上技術(shù)方法的運(yùn)用，進(jìn)一步使我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估得到保障。

[1]梁丁相,陳曦.基于模糊綜合評(píng)判理論的電力信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估模型及應(yīng)用[J].電力系統(tǒng)保護(hù)與控制,2015,05:61-64

[2]林洋.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估模型及其應(yīng)用研究[D].大連海事大學(xué),2013

[3]史美玲.第四方物流信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的研究[D].北京化工大學(xué),2014