信息安全風(fēng)險管理思考

黃杰生

（廣州奧格智能科技有限公司，廣東 廣州 510663）

信息技術(shù)的發(fā)展，在根本上改變了傳統(tǒng)的生活形態(tài)和生產(chǎn)方式，但對于信息擁有者來說，信息資源又是最活躍和關(guān)鍵的因素，容易產(chǎn)生各種風(fēng)險。目前信息系統(tǒng)建設(shè)得越來越復(fù)雜，而信息資源的安全又很難得到有效保障，因此，需要采用恰當(dāng)、科學(xué)的方式對信息安全風(fēng)險進行管理，確保信息處于安全的狀態(tài)。信息安全風(fēng)險管理主要包括信息安全風(fēng)險評估和信息安全風(fēng)險控制兩方面。

1 信息安全風(fēng)險評估

1.1 評估方法

為了全面掌握信息安全的風(fēng)險程度，需要通過恰當(dāng)?shù)姆绞綄︼L(fēng)險進行識別評估。評估方法主要包括以下幾種：（1）模型分析法。根據(jù)應(yīng)用場景建立風(fēng)險模型，并對實際環(huán)境信息進行采集，然后將信息安全標(biāo)準(zhǔn)和實際情況進行對比與分析，識別出風(fēng)險隱患。（2）經(jīng)驗分析法。在識別評估信息安全風(fēng)險的過程中，可以通過經(jīng)驗分析的方式找出風(fēng)險隱患。此風(fēng)險評估方式并不需要太多時間、精力和資源，僅需要在完成環(huán)境信息的采集以后，對其進行集中分析，結(jié)合工作人員所積累的經(jīng)驗找出風(fēng)險點。（3）定量分析法。根據(jù)對數(shù)據(jù)對象分析所獲得的結(jié)果，對風(fēng)險進行評估，并將其轉(zhuǎn)化為財務(wù)風(fēng)險分析、資產(chǎn)風(fēng)險分析。采用這一方式能夠為信息擁有者提供更加具體、直觀的數(shù)字化結(jié)論，便于對風(fēng)險程度的量化掌握，從而制定更加有效的治理措施。但是該方式較依賴主觀判斷，且計算方式較為復(fù)雜，目前并沒有形成標(biāo)準(zhǔn)統(tǒng)一的體系。

1.2 計算方法

在信息安全評估的過程中，對風(fēng)險的量化計算是評估的主要手段，主要計算方式包括：（1）風(fēng)險等級劃分。首先，分析各種風(fēng)險對信息安全造成的具體影響，結(jié)合其造成破壞的程度實現(xiàn)劃分等級的目的；其次，根據(jù)風(fēng)險的級別，對風(fēng)險發(fā)生的概率進行全面分析，并通過計算將風(fēng)險影響值轉(zhuǎn)化為量化值；最后，根據(jù)量化值建立“信息資產(chǎn)—風(fēng)險威脅—風(fēng)險程度”之間的邏輯關(guān)系，全面掌握各種風(fēng)險的具體影響程度。（2）風(fēng)險結(jié)構(gòu)化分析法。首先，確定信息資產(chǎn)、業(yè)務(wù)流程中所包含的風(fēng)險種類及其影響，然后以層次分析的方式生成各種風(fēng)險的結(jié)構(gòu)化指標(biāo)。在結(jié)構(gòu)化分析的過程中，需要保證所有相關(guān)人員均參與其中，以提高分析結(jié)構(gòu)的客觀性、全面性和準(zhǔn)確性，但需要投入更多的資源和人力。與之相比，非結(jié)構(gòu)化風(fēng)險的計算，工作量相對較少，且具有較強的靈活性，但風(fēng)險評估的結(jié)果缺乏準(zhǔn)確性和全面性[1-2]。

1.3 信息安全風(fēng)險模型化定位

信息安全風(fēng)險管理對于數(shù)字化信息高效傳輸也非常重要，也是我國信息傳輸產(chǎn)業(yè)獲得更長遠(yuǎn)發(fā)展的保障。因此，除了加強信息系統(tǒng)的內(nèi)在安全性，也要做好對信息傳輸應(yīng)用環(huán)境風(fēng)險模型化定位的進一步解析。例如：在數(shù)字化程序信息傳輸?shù)幕A(chǔ)上，運用大數(shù)據(jù)資源庫，形成信息傳輸三維坐標(biāo)定位分析結(jié)構(gòu)，結(jié)合遠(yuǎn)程信息控制體系，與數(shù)字化信息傳輸節(jié)點相連接，當(dāng)系統(tǒng)傳輸信息借助外部遠(yuǎn)程空間定位時，空間信號模型就能夠直接進行信息傳輸?shù)娘L(fēng)險性評估，保障主體部分信息傳輸?shù)陌踩?。這一信息安全風(fēng)險模型化定位方式，是信息安全風(fēng)險管理的有效措施。

2 信息安全風(fēng)險控制

2.1 計算機系統(tǒng)安全防護

由于信息管理主要依賴計算機系統(tǒng)，為了實現(xiàn)有效的信息安全風(fēng)險管理，需要針對計算機系統(tǒng)相關(guān)組件建立全面的安全防護措施，主要對象包括基礎(chǔ)設(shè)備、數(shù)據(jù)儲存、信息傳輸通道等。主要有以下幾種系統(tǒng)安全防護措施：（1）在計算機中設(shè)置安全防火墻，從而有效控制網(wǎng)絡(luò)訪問行為，通過此方式可以在很大程度上降低信息被非法訪問的可能性。（2）利用入侵檢測技術(shù)，計算機可以自動監(jiān)控訪問者的行為動態(tài)，一旦訪問者的操作不符合安全標(biāo)準(zhǔn)，或者存在越權(quán)的操作行為，計算機都會自動對其屏蔽，避免信息泄露。（3）利用電子簽名與數(shù)據(jù)加密技術(shù)，可以在很大程度上避免信息被假冒偽造或被竊取。（4）采用嚴(yán)密的用戶認(rèn)證與權(quán)限控制的方式，降低系統(tǒng)被非法入侵的風(fēng)險。（5）重視查毒技術(shù)和防毒軟件的應(yīng)用，應(yīng)及時對計算機系統(tǒng)進行病毒查殺以及補丁升級，不斷增加計算機系統(tǒng)的健壯性。（6）重視數(shù)據(jù)的容災(zāi)備份，以合理的頻率和范圍對數(shù)據(jù)進行備份，并應(yīng)該保證可以將數(shù)據(jù)無損地恢復(fù)至任意時間點。

2.2 基礎(chǔ)環(huán)境保護

基礎(chǔ)環(huán)境是導(dǎo)致信息安全風(fēng)險的重要因素，應(yīng)采用恰當(dāng)?shù)姆绞竭M行控制預(yù)防，其中以辦公場所、物理設(shè)備、通信網(wǎng)絡(luò)為主要控制對象?？刂频姆绞街饕韵聨c：（1）應(yīng)用門禁系統(tǒng)。通過該系統(tǒng)的應(yīng)用，加強對涉密人員的管理和權(quán)限控制。在此基礎(chǔ)上，還需要在內(nèi)部安裝監(jiān)控設(shè)備，主要將其置于服務(wù)器機房、辦公區(qū)域中，進行實時的環(huán)境監(jiān)控。（2）對于物理設(shè)備而言，應(yīng)禁止服務(wù)器、涉密計算機等關(guān)鍵設(shè)備接入非涉密外掛設(shè)備，特別是可移動存儲設(shè)備。可以通過建立內(nèi)部涉密網(wǎng)絡(luò)的方式實現(xiàn)對涉密計算機的控制與管理，不僅能實現(xiàn)信息共享，還可以避免信息泄露或遭受破壞。內(nèi)部的涉密網(wǎng)絡(luò)與外部網(wǎng)絡(luò)必須嚴(yán)格分離。（3）對不同的網(wǎng)絡(luò)用戶進行分組，如研發(fā)組、行政組、維護組等，根據(jù)分組之間的差異設(shè)置具體的網(wǎng)絡(luò)控制規(guī)則，并通過統(tǒng)一的網(wǎng)絡(luò)控制設(shè)備來控制不同分組的網(wǎng)絡(luò)社會。（4）對社交通信行為（如微信、QQ等）進行必要的限制和過濾審查，避免內(nèi)部信息的泄露，提高信息保密性[3]。

另外，對于信息底層傳輸通道的安全風(fēng)險管理，可以通過進一步介入監(jiān)測信息傳輸渠道實現(xiàn)信息安全風(fēng)險控制。即對于通過傳輸渠道傳輸?shù)拇罅繑?shù)據(jù)信息，可通過本次傳輸信號對應(yīng)的安全保護代碼的監(jiān)測和控制，將數(shù)據(jù)傳輸圈定在安全范圍內(nèi)，當(dāng)安全保護代碼發(fā)現(xiàn)傳送到外部空間的信息數(shù)據(jù)內(nèi)容超越安全范圍時，系統(tǒng)就會阻止信息傳輸，避免信息傳輸風(fēng)險。但我們進行這種介入控制時，必須同時保證信息傳輸?shù)姆€(wěn)定性，然后再建立信息安全風(fēng)險控制框架，否則，就會在信息傳輸期間，出現(xiàn)內(nèi)部信息互相干擾導(dǎo)致錯亂的情況。此時，保護數(shù)據(jù)非但不會對原始信息起到安全防護的作用，反而會造成原始信息丟失。

2.3 動態(tài)信息病毒審查系統(tǒng)

信息安全風(fēng)險控制工作的有效實施，也需要加強對信息傳輸過程的動態(tài)性特征的監(jiān)測控制。當(dāng)前，基于網(wǎng)絡(luò)平臺之上的信息安全防護管理工作，都是將本次傳輸?shù)男畔ⅲ肮潭ā痹谀骋粫r間點上，然后分段進行信息傳輸?shù)陌踩Ｗo。但如果在網(wǎng)絡(luò)信息傳輸過程中有病毒入侵，只要侵入一個信息點，就會導(dǎo)致信息整體癱瘓。而使用動態(tài)信息病毒審查系統(tǒng)，可以將傳統(tǒng)的節(jié)點分段式病毒防護方式轉(zhuǎn)化為動態(tài)病毒審核方法，一旦審查系統(tǒng)在傳輸信息節(jié)點中發(fā)現(xiàn)病毒并發(fā)出警報信號，系統(tǒng)將終止本次信息傳輸，并將受感染的信息進行集中銷毀，從而保障信息傳輸?shù)陌踩浴?/p>

2.4 完善管理機制

構(gòu)建完善的信息安全管理制度，并確保在工作中落實，真正起到監(jiān)督與規(guī)范工作人員行為的作用。在對相關(guān)人員的權(quán)限進行設(shè)置時，需要全面深入進行調(diào)研和規(guī)劃，包括不同角色可以訪問的信息類別和網(wǎng)絡(luò)區(qū)域。要注意對重要的機密信息進行隔離和單獨管理；對于非機密的信息，可以結(jié)合工作人員的崗位實施授權(quán)管理的方式，有效提高信息的共享和可利用程度。還可以實行多人協(xié)同、互相監(jiān)督的管理方式，定期輪換信息管理崗位，避免集中管理所造成的風(fēng)險。

另外，人員素質(zhì)能力是造成信息安全風(fēng)險的重要因素之一，要注重培養(yǎng)工作人員的安全意識和安全管理能力，其重要性甚至超過對技術(shù)能力的要求。特別對于信息安全管理人員，更加要注重加強培養(yǎng)和監(jiān)督，并應(yīng)具備如下能力：（1）信息安全管理人員需要具有較強的權(quán)威，并能夠在發(fā)生信息安全風(fēng)險時及時制定應(yīng)對措施，即需要具備足夠的安全工作能力。（2）信息安全管理人員應(yīng)該掌握、熟悉業(yè)務(wù)流程，能夠主動及時發(fā)現(xiàn)信息安全隱患，并優(yōu)化信息管理工作。（3）信息安全負(fù)責(zé)人要明確自身的職責(zé)，并能夠結(jié)合實際現(xiàn)狀制定、調(diào)整信息安全管理策略，以身作則在實際工作中進行落實，并嚴(yán)格指導(dǎo)和規(guī)范他人的信息安全管理工作。

3 結(jié)語

綜上所述，信息資源對于信息擁有者的發(fā)展至關(guān)重要，一旦發(fā)生安全風(fēng)險將帶來不可估量的損失。因此信息安全管理人員應(yīng)重視安全風(fēng)險管理，并采取全面可行的策略和方法，對風(fēng)險進行預(yù)先評估，避免風(fēng)險的發(fā)生，同時也要建立完善和周密的風(fēng)險控制和應(yīng)對措施，在風(fēng)險真實發(fā)生的時候可以盡快消除風(fēng)險并最大限度地減少損失。

[參考文獻]

[1]劉劍.石油企業(yè)IT風(fēng)險管理體系研究[D].成都：西南石油大學(xué)，2016.

[2]任妮.數(shù)字圖書館信息安全規(guī)范化管理研究[D].南京：南京農(nóng)業(yè)大學(xué)，2016.

[3]孫誼.中國農(nóng)業(yè)銀行廣東省分行信息安全管理研究[D].蘭州：蘭州大學(xué)，2016.