信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估與技術(shù)觀察

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估與技術(shù)觀察范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

摘要:本文介紹了信息系統(tǒng)安全評(píng)估的基本工作流程,分析了信息系統(tǒng)安全評(píng)估的基本方法。雖然當(dāng)前我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作上前沒有一個(gè)較為成熟的發(fā)展趨勢(shì),但是隨著人們對(duì)信息系統(tǒng)依賴性的不斷增加,對(duì)信息安全越來越重視,也會(huì)越發(fā)的關(guān)注信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估工作。

關(guān)鍵詞:信息系統(tǒng)；安全風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評(píng)估；評(píng)估方法；技術(shù)觀察

1信息系統(tǒng)安全評(píng)估的工作流程

1.1資產(chǎn)識(shí)別

信息系統(tǒng)安全評(píng)估中的資產(chǎn)主要是包括相關(guān)重要信息系統(tǒng)的主體組織中,有價(jià)值的一系列信息資源,資產(chǎn)是當(dāng)前相關(guān)工作人員提高信息安全評(píng)估工作效率的保護(hù)對(duì)象。資產(chǎn)主要是由文檔,硬件軟件數(shù)據(jù)服務(wù)以及人員等共同組成,在進(jìn)行相關(guān)工作人員的信息系統(tǒng)安全評(píng)估工作中,需要對(duì)所評(píng)估的信息系統(tǒng)主體中不同的資產(chǎn)進(jìn)行不同的等級(jí)劃分,根據(jù)相關(guān)資料的完整性,可用性以及機(jī)密性作為有效的等級(jí)去進(jìn)行判斷。

1.2脆弱性識(shí)別

脆弱性在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作當(dāng)中,主要是指相關(guān)信息系統(tǒng)中一個(gè)或多個(gè)資產(chǎn)的弱點(diǎn)的總稱。相關(guān)工作人員需要能夠?qū)⑺u(píng)估的信息系統(tǒng)主體資產(chǎn)作為工作核心,盡可能的在評(píng)估當(dāng)中對(duì)每一個(gè)資產(chǎn)的弱點(diǎn)進(jìn)行有效的分別標(biāo)注,最后運(yùn)用有效的信息技術(shù)將不同資產(chǎn)的弱點(diǎn)進(jìn)行總體評(píng)估。

1.3威脅識(shí)別

威脅是指可能導(dǎo)致危害系統(tǒng)或組織的不希望事故的潛在起因。威脅是一個(gè)客觀存在,正因?yàn)榇嬖谕{,組織和信息系統(tǒng)才會(huì)存在風(fēng)險(xiǎn)。威脅識(shí)別是盡可能的通過評(píng)估信息系統(tǒng)當(dāng)中發(fā)現(xiàn)的有效問題,直接排查出威脅的接觸過程。相關(guān)工作人員在開展具體的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的威脅識(shí)別工作當(dāng)中,需要盡可能的建立健全風(fēng)險(xiǎn)分析所需要的威脅場(chǎng)景,并且進(jìn)行有關(guān)直接威脅或者間接威脅的有效識(shí)別。1.4風(fēng)險(xiǎn)分析相關(guān)工作人員在對(duì)信息系統(tǒng)進(jìn)行資產(chǎn)識(shí)別脆弱識(shí)別以及威脅識(shí)別之后,還需要對(duì)相關(guān)的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估階段,在這個(gè)階段當(dāng)中,相關(guān)工作人員需要盡可能的對(duì)信息系統(tǒng)進(jìn)行有關(guān)風(fēng)險(xiǎn)的分析以及計(jì)算工作,為后面的信息系統(tǒng)安全提供有效的相關(guān)信息。

2信息系統(tǒng)中的風(fēng)險(xiǎn)評(píng)估方法

2.1信息系統(tǒng)定量分析法

在信息系統(tǒng)風(fēng)險(xiǎn)分析過程當(dāng)中,信息系統(tǒng)定量分析法主要是將信息系統(tǒng)中的資產(chǎn)價(jià)值以及風(fēng)險(xiǎn)進(jìn)行一定標(biāo)準(zhǔn)的等量化財(cái)務(wù)價(jià)值評(píng)價(jià)。在信息系統(tǒng)的定量分析法當(dāng)中,首先需要保證其自身可以進(jìn)行量化,在一定程度上保證信息系統(tǒng)中的相關(guān)威脅,對(duì)于資產(chǎn)內(nèi)造成的不同程度的損失,可以通過財(cái)務(wù)等情況進(jìn)行相關(guān)的數(shù)據(jù)衡量,這種直觀的衡量方式,在一定程度上可以保證信息系統(tǒng)的主體結(jié)構(gòu)管理層可以更好的接收,并且辨別信息系統(tǒng)的風(fēng)險(xiǎn)分析。

2.2基于知識(shí)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法

在實(shí)際操作當(dāng)中,基于知識(shí)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法主要依靠的是相關(guān)風(fēng)險(xiǎn)評(píng)估的工作人員的自身的工作經(jīng)驗(yàn),通過對(duì)一系列信息系統(tǒng)資料的有效收集與分析,采用自身知識(shí)儲(chǔ)備以及相關(guān)的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)進(jìn)行有效的對(duì)比分析,在一定時(shí)間內(nèi)找出信息系統(tǒng)當(dāng)中存在可能會(huì)發(fā)生安全威脅的地方,通過相關(guān)的標(biāo)準(zhǔn)以及有效方法找出有效的解決措施,盡可能地保證信息系統(tǒng)減少風(fēng)險(xiǎn)的可能[1]。

2.3基于技術(shù)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估相關(guān)工作人員在開展基于技術(shù)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法的具體操作過程當(dāng)中,通常情況下主要依賴的風(fēng)險(xiǎn)評(píng)估依據(jù)是自身的技術(shù)能力,通過對(duì)于相關(guān)信息系統(tǒng)中程序系統(tǒng)以及基礎(chǔ)結(jié)構(gòu)的全面排查,盡可能的用相應(yīng)的信息系統(tǒng)內(nèi)部脆弱性以及安全性的完整估計(jì),有效的找出信息系統(tǒng)中可能會(huì)發(fā)現(xiàn)的一系列風(fēng)險(xiǎn)隱患。通常情況下,基于技術(shù)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法主要采取的分析方法技術(shù)研究十分多,但是在實(shí)際管理過程當(dāng)中存在一系列的不足之處,往往過于依賴工作人員的工作經(jīng)驗(yàn),進(jìn)一步導(dǎo)致信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估在管理工作當(dāng)中出現(xiàn)漏洞[2]。

2.4綜合的信息系統(tǒng)風(fēng)險(xiǎn)分析方法

通常情況下,基于知識(shí)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法過于主觀,分析風(fēng)險(xiǎn)有著很好的準(zhǔn)確性,相對(duì)來說工作的計(jì)算量很小,操作簡(jiǎn)單可以充分的運(yùn)用相關(guān)工作人員的專業(yè)知識(shí),但是在實(shí)際過程當(dāng)中十分容易受到工作人員的主觀影響,導(dǎo)致分析經(jīng)準(zhǔn)度不夠,并且要求相關(guān)工作人員必須要有著一定工作經(jīng)驗(yàn)以及很高的工作能力水平,在實(shí)際操作過程當(dāng)中,對(duì)于信息系統(tǒng)的評(píng)估對(duì)象通常只能用到一些小系統(tǒng),并且信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的結(jié)果很難進(jìn)行統(tǒng)一。最常見的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估綜合評(píng)估方法是層次分析法,主要的分析思想是盡可能的將要分析的安全風(fēng)險(xiǎn)的性質(zhì)和想要達(dá)到的總體目標(biāo)進(jìn)行有效的總結(jié),盡可能的將問題分解成不同的組成要素,按照要素之間的內(nèi)在關(guān)系和所屬關(guān)系,按照不同的層次進(jìn)行排列組合,將各個(gè)因素排列成一個(gè)有層次的結(jié)構(gòu)模型,盡可能地將系統(tǒng)分析中的實(shí)際內(nèi)容按照相關(guān)的重要性權(quán)重來進(jìn)行有效的排序[3]。層次分析法的分析核心是盡可能地將風(fēng)險(xiǎn)評(píng)估人員的工作經(jīng)驗(yàn)以及專業(yè)知識(shí)水平進(jìn)行量化,盡可能的為決策者提供定量的決策依據(jù)。首先需要將系統(tǒng)進(jìn)行分解,搭建有層次的內(nèi)在結(jié)構(gòu)模型。風(fēng)險(xiǎn)評(píng)估人員需要將信息系統(tǒng)安全風(fēng)險(xiǎn)的對(duì)象進(jìn)行有效的系統(tǒng)分解,主要的分解層次,包括方案層,準(zhǔn)則層以及目標(biāo)層。準(zhǔn)則層是可以有很多個(gè)層次組成,主要包括的內(nèi)容,是在分解過程當(dāng)中考慮的準(zhǔn)則以其子準(zhǔn)則等[4]。目的層則是基于信息系統(tǒng)自身所獨(dú)有的基本特性而建立起的系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系。

3結(jié)語(yǔ)

隨著我們國(guó)家社會(huì)與經(jīng)濟(jì)的不斷前進(jìn)發(fā)展,信息技術(shù)也得到了廣泛的應(yīng)用,為了保障信息系統(tǒng)的安全,信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估行業(yè)的發(fā)展是當(dāng)前信息安全領(lǐng)域的主要發(fā)展趨勢(shì)之一。在一定程度上,對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法以及評(píng)估技術(shù)進(jìn)行有效研究,可以更好的為我國(guó)信息安全保障體系的建設(shè)發(fā)展打下扎實(shí)的基礎(chǔ),相信在不久的將來,信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估一定會(huì)在我國(guó)信息安全服務(wù)領(lǐng)域占據(jù)一個(gè)重要地位。

參考文獻(xiàn)

[1]李鶴田,劉云,何德全.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究綜述疆[J].中國(guó)安全科學(xué)學(xué)報(bào),2006(1):108-113+0-1.

[2]張利,彭建芬,杜宇鴿,等.信息安全風(fēng)險(xiǎn)評(píng)估的綜合評(píng)估方法綜述[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2012(10):1364-1369.

[3]唐作其,陳選文,戴海濤,等.多屬性群決策理論信息安全風(fēng)險(xiǎn)評(píng)估方法研究[J].計(jì)算機(jī)工程與應(yīng)用,2011(15):104-107+144.

[4]楊曉明,羅衡峰,范成瑜,等.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估技術(shù)分析[J].計(jì)算機(jī)應(yīng)用,2008(08):1920-1923.

作者：李雪峰 單位：云南省電子信息產(chǎn)品檢驗(yàn)院