軍工行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)分析與評(píng)估

王坤曉

摘要：在維護(hù)信息系統(tǒng)安全過(guò)程當(dāng)中，必須要進(jìn)行的一步就是安全風(fēng)險(xiǎn)評(píng)估，這個(gè)系統(tǒng)的保障性是非常重要的，把風(fēng)險(xiǎn)評(píng)估系統(tǒng)提高，就可以為安全保障體系提供更好的基礎(chǔ)和前提，而本篇文章將會(huì)對(duì)于在軍工行業(yè)當(dāng)中的信息系統(tǒng)安全評(píng)估問(wèn)題進(jìn)行相應(yīng)的分析，結(jié)合實(shí)際中的問(wèn)題以及各項(xiàng)工作經(jīng)驗(yàn)來(lái)對(duì)風(fēng)險(xiǎn)評(píng)估的基本方法做出更好的完善，風(fēng)險(xiǎn)評(píng)估的方法決定了風(fēng)險(xiǎn)的存在性，這樣也能夠讓軍工行業(yè)更好地發(fā)展。

關(guān)鍵詞：信息系統(tǒng);風(fēng)險(xiǎn)評(píng)估

在近些年的發(fā)展過(guò)程當(dāng)中，互聯(lián)網(wǎng)也在不斷的進(jìn)步，但是在互聯(lián)網(wǎng)上的黑客病毒也在不斷增加，網(wǎng)絡(luò)中的攻擊事件和很多系統(tǒng)被入侵的事件也在日益增多，因此，信息安全問(wèn)題產(chǎn)生的損失是在不斷增加的，同時(shí)，信息安全保障技術(shù)也在不斷完善和發(fā)展，現(xiàn)在已經(jīng)發(fā)展到了憑借綜合的保護(hù)檢測(cè)以及恢復(fù)技術(shù)為主要的信息安全保障時(shí)期，所以說(shuō)，安全風(fēng)險(xiǎn)評(píng)估在信息安全保護(hù)體系中發(fā)揮著它不可替代的作用。然而，在軍工行業(yè)領(lǐng)域中的信息系統(tǒng)安全問(wèn)題也是非常重要的，需要提高重視，本文將會(huì)對(duì)軍工行業(yè)信息系統(tǒng)的各類(lèi)問(wèn)題進(jìn)行相應(yīng)的分析。

一、軍工行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估概述

在軍工行業(yè)信息系統(tǒng)的安全保障過(guò)程當(dāng)中，最重要的環(huán)節(jié)并且放在首要的環(huán)節(jié)就是安全風(fēng)險(xiǎn)評(píng)估，就是因?yàn)樵谛畔⑾到y(tǒng)當(dāng)中有很多的風(fēng)險(xiǎn)，并且還有特定的威脅，由此才引發(fā)了信息的安全問(wèn)題，所以要全面的了解安全威脅，并評(píng)估安全風(fēng)險(xiǎn)，對(duì)安全保障體系進(jìn)行整體的規(guī)劃和發(fā)展，為什么要去進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估，最主要的作用在于以下三點(diǎn)。首先，這項(xiàng)工作是非?；A(chǔ)性的工作，它是運(yùn)用了以往傳統(tǒng)的方法在信息系統(tǒng)中運(yùn)作，科學(xué)和理論的進(jìn)行了分析對(duì)于系統(tǒng)中所面臨的各種風(fēng)險(xiǎn)，其次，還要加強(qiáng)對(duì)風(fēng)險(xiǎn)評(píng)估工作的客觀需求和迫切的要求，如果缺乏有效的風(fēng)險(xiǎn)評(píng)估，就會(huì)使得信息安全需求和解決方案脫離很?chē)?yán)重，所以很多發(fā)達(dá)國(guó)家在這些年里也加強(qiáng)了對(duì)這方面的評(píng)估工作，最后，風(fēng)險(xiǎn)評(píng)估和分析是信息系統(tǒng)當(dāng)中最重點(diǎn)的體現(xiàn)，所以必須要從實(shí)際出發(fā)，進(jìn)行正確地評(píng)估風(fēng)險(xiǎn)，正確的分析之后，才能采取有效的措施來(lái)解決。

安全風(fēng)險(xiǎn)評(píng)估是要改變以往的原始技術(shù)，采用現(xiàn)當(dāng)代安全體系設(shè)計(jì)來(lái)對(duì)軍工行業(yè)信息系統(tǒng)進(jìn)行安全的保護(hù)，要對(duì)用戶所關(guān)心的重要資產(chǎn)進(jìn)行分級(jí)，以及對(duì)客戶造成的安全威脅發(fā)生的可能性來(lái)進(jìn)行分析，還要通過(guò)已經(jīng)擁有的安全措施來(lái)確認(rèn)，借助相應(yīng)的方法，判斷出用戶所關(guān)心問(wèn)題當(dāng)前存在的安全風(fēng)險(xiǎn)，根據(jù)所分析出的風(fēng)險(xiǎn)來(lái)做出計(jì)劃，確定下一步的方向。

二、安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵環(huán)節(jié)和準(zhǔn)則

在軍工行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的過(guò)程當(dāng)中，需要遵循所規(guī)定的各項(xiàng)原則，在評(píng)估的過(guò)程當(dāng)中，有很多的評(píng)估方法，這就需要根據(jù)特定的活動(dòng)來(lái)進(jìn)行選擇，不同的評(píng)估方法有他們各自的優(yōu)點(diǎn)，就比如說(shuō)，對(duì)于自我評(píng)估，這個(gè)評(píng)估方法是可以非常便捷的來(lái)進(jìn)行日常性的評(píng)估，這樣也就能及時(shí)的計(jì)劃出相應(yīng)的策略來(lái)解決風(fēng)險(xiǎn)問(wèn)題，降低更多的安全風(fēng)險(xiǎn)，但是它也是有缺點(diǎn)的，他的缺點(diǎn)就是專(zhuān)業(yè)性和客觀性比較差，但是這方面好的評(píng)估方法就是委托評(píng)估，因此，在選擇評(píng)估方法的時(shí)候就要看當(dāng)時(shí)的環(huán)境特點(diǎn)和風(fēng)險(xiǎn)處境，在軍工行業(yè)領(lǐng)域的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估分為以下四個(gè)階段：

2.1前期階段

在準(zhǔn)備階段的工作，是要明確好風(fēng)險(xiǎn)評(píng)估的目標(biāo)，只有在明確目標(biāo)之后，才能對(duì)這個(gè)目標(biāo)進(jìn)行好評(píng)估，還要確定好項(xiàng)目的具體內(nèi)容和范圍，具體的效果展示以及最后的項(xiàng)目計(jì)劃，與此同時(shí)，還要明確好每個(gè)人的職責(zé)，分配好每個(gè)人的任務(wù)，以及每個(gè)人在項(xiàng)目的進(jìn)行過(guò)程中所要實(shí)施的相關(guān)工作。

2.2現(xiàn)場(chǎng)調(diào)查階段

現(xiàn)場(chǎng)調(diào)查工作是要分為人員訪談和技術(shù)調(diào)查這兩個(gè)部分，要對(duì)組織中的各種信息安全管理等問(wèn)題進(jìn)行詳細(xì)的收集和整理，并且形成調(diào)查報(bào)告為之后的工作做好基礎(chǔ)工作。

2.3風(fēng)險(xiǎn)分析

這個(gè)階段是要在以上階段之后才能進(jìn)行的，因?yàn)樗墓ぷ髦饕歉鶕?jù)所收集到的資料，結(jié)合相關(guān)的專(zhuān)業(yè)知識(shí)，對(duì)組織結(jié)構(gòu)中的信息系統(tǒng)所面臨的各種問(wèn)題進(jìn)行分析，這樣才能檢查出信息系統(tǒng)面臨的威脅以及系統(tǒng)中存在的脆弱性，這樣才能夠評(píng)估出信息系統(tǒng)所存在的各種風(fēng)險(xiǎn)。

2.4安全規(guī)劃

這個(gè)階段是要根據(jù)第三個(gè)階段做出的成果才能進(jìn)行，通過(guò)分析出的各種風(fēng)險(xiǎn)，做出正確的安全策略，并且必須根據(jù)組織機(jī)構(gòu)中具體的特點(diǎn)來(lái)形成更好準(zhǔn)確的策略體系，形成的體系能夠?yàn)樽詈蟮臎Q策提供更好的參考。

三、安全風(fēng)險(xiǎn)評(píng)估方法

評(píng)估的過(guò)程當(dāng)中缺少不了評(píng)估方法，選擇好方法才能及時(shí)的發(fā)現(xiàn)風(fēng)險(xiǎn)問(wèn)題，并且評(píng)估方法的好壞會(huì)影響到評(píng)估的結(jié)果，所以，在選擇的過(guò)程當(dāng)中必須謹(jǐn)慎的選擇，每一種方法所對(duì)應(yīng)的問(wèn)題不同，在一些調(diào)查中，我們可以發(fā)現(xiàn)，很多風(fēng)險(xiǎn)問(wèn)題，依靠的解決方法都是根據(jù)以往的經(jīng)驗(yàn)，并且在風(fēng)險(xiǎn)的分析過(guò)程當(dāng)中，還是存在很多問(wèn)題，這些問(wèn)題的解決，也只能依靠不斷的去實(shí)踐去積累經(jīng)驗(yàn)再去解決，因此，就需要我國(guó)發(fā)展這方面相應(yīng)的科技，利用現(xiàn)當(dāng)代的科學(xué)技術(shù)來(lái)去解決風(fēng)險(xiǎn)問(wèn)題。

在評(píng)估的過(guò)程當(dāng)中，要使用相應(yīng)的方法，而對(duì)于一些比較完善的評(píng)估系統(tǒng)來(lái)說(shuō)，就需要我們?cè)诠ぷ鬟^(guò)程當(dāng)中去發(fā)現(xiàn)它存在的薄弱環(huán)節(jié)，對(duì)這方面進(jìn)行相應(yīng)的分析和解決，對(duì)于以上所說(shuō)的，都需要在實(shí)踐中遵循，但是在實(shí)際的工作當(dāng)中，可以根據(jù)具體的需要來(lái)簡(jiǎn)化一些步驟的實(shí)行，這樣也能夠提高風(fēng)險(xiǎn)評(píng)估的效率，為解決更多的問(wèn)題打好基礎(chǔ)。

結(jié)束語(yǔ)：安全風(fēng)險(xiǎn)評(píng)估是在建立信息系統(tǒng)過(guò)程當(dāng)中最重要的前提，尤其是對(duì)于現(xiàn)在軍工行業(yè)中的信息系統(tǒng)安全問(wèn)題，軍工行業(yè)領(lǐng)域是我國(guó)非常重要的領(lǐng)域，這方面的發(fā)展會(huì)直接影響到我國(guó)的發(fā)展，所以對(duì)信息的保護(hù)必須加強(qiáng)，而相當(dāng)大的互聯(lián)網(wǎng)當(dāng)中會(huì)出現(xiàn)很多的病毒，這時(shí)就需要相應(yīng)的系統(tǒng)來(lái)進(jìn)行對(duì)這些病毒的分析，并且做出相應(yīng)的對(duì)策解決這些問(wèn)題，最終也就能保護(hù)好軍工行業(yè)領(lǐng)域中的信息系統(tǒng)，還能夠促進(jìn)我國(guó)軍工行業(yè)的發(fā)展。

參考文獻(xiàn)：

[1]蘇景志，田新廣.軍工行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)分析與評(píng)估[J].信息安全與通信保密，2010（01）：64-66+69.

[2]張朝，林奇，田志民，范久文.軍工行業(yè)信息安全保密管理制度規(guī)范化探討[J].保密科學(xué)技術(shù)，2011（04）：35-40+1.