论文部分内容阅读
摘 要:信息安全风险评估作为信息系统管理工作中的一项重要内容,能够及时找出存在的信息安全隐患,并采取针对性的应对措施,降低风险的发生概率,对保证信息系统的安全性及稳定性,充分发挥各项信息的利用价值具有重要意义。文章从信息系统管理中信息安全风险评估概念出发,结合影响信息安全风险的具体因素,对信息安全风险评估措施进行了讨论分析,对信息化建设及长远发展具有指导和借鉴作用。
关键词:信息系统管理;信息安全;风险评估;诱发因素;具体措施
网络的迅速发展和普及,推动社会进入了信息化、数字化时代,各项信息在日常生活及生产活动中所发挥的作用越来越重要,已经成为推动社会发展与进步的必要资源。但是,在网络技术发展和应用过程中,网络环境也变得越来越复杂,病毒木马、恶意攻击等现象屡见不鲜,对信息系统安全造成了严重威胁,再加上信息系统自身缺陷以及设备障碍等问题,都使得信息安全面临着较大风险,难以保证信息资源价值的充分发挥。如何提高信息系统的安全性能,确保信息安全,已经引起了业内人士的广泛关注和重视。
1 信息系统管理中信息安全风险评估概念
信息安全风险评估是指,以信息系统管理为契机,以确保信息安全为基本原则,采用科学的方法和技术,对计算机网络运行状态和信息系统的工作性能进行研究、分析,找出网络和信息系统所面临的威胁及存在的脆弱性,预测可能会出现的安全事件及其造成的影响,并采取针对性的措施加以解决和防护。
2 信息系统管理中信息安全风险评估内容
在对信息安全风险进行评估之前,需要明确信息安全风险评估内容,信息资产、信息威胁、信息脆弱性以及现有安全措施,都是信息安全风险评估时需要考虑的因素。
2.1 信息资产评估
在对信息资产进行评估之前,需要先对信息资产进行识别,硬件资产、软件资产以及数据资产都是信息系统中所包含的资产类型,这些都是信息资产识别时需要考虑的因素,需要列出详细清单。在明确具体信息资产之后,根据信息资产在信息系统中所发挥的作用,对其重要性进行判断,评估信息资产价值。通过信息资产评估,需要确保其保密性、完整性和可用性[1]。
2.2 威胁评估
信息威胁是信息系统管理不希望发生的事件,但也是不可避免的一个问题,很容易引发信息安全风险。造成信息威胁的因素有多种,因网络自身的开放性、虚拟性特点,网络环境变得尤为复杂,在存在大量有价值信息之外,还混杂有一些病毒木马和恶意软件,并且黑客入侵现象也比较常见。这些都会对信息安全造成威胁,因此需要进行威胁评估。
2.3 脆弱性评估
脆弱性评估主要是从技术层面和管理层面进行考虑的,能够找出信息系统的薄弱环节,进而采取针对性措施加以解决。在构建信息系统时,系统本身可能会存在缺陷和不足,这些系统漏洞和弱点严重降低了信息系统的安全等级,很容易引发信息安全风险问题。同时,因信息系统管理不善、管理力度不足等,也会使得信息系统具有脆弱性,抗风险能力较弱。所以在对信息系统进行脆弱性评估时,需要从这两方面进行考虑[2]。
2.4 现有安全措施评估
现有安全措施是预防信息安全风险,并对信息系统进行保护的主要方式,是在识别信息安全风险之后,所采取的针对性措施,主要是通过控制风险和降低风险来保障信息安全的。如果安全措施不到位或者不具备针对性,将无法发挥其基本作用,信息系统安全性将会大大降低,所以必须对现有安全措施的有效性进行评估。
3 信息系统管理中信息安全风险评估方法
在确定信息安全风险评估内容之后,需要采取最为合适的方法完成信息安全风险评估,并构建完善的信息安全风险评估体系,对信息安全风险进行综合分析。
3.1 风险评估方法
当前常用的信息安全风险评估方法主要有定性评估法、人工评估法、定量评估法、工具辅助评估法等多种,其中定性评估法和人工评估法使用最为广泛。定性评估法的主要评估依据是信息安全风险造成的影响及损失,很少将风险出现的次数考虑在内,评估工作一般是由风险评估机构或者专家完成的,进而得到信息安全风险具体等级。定性评估法主观性较强,评估结果与实际结果容易出现较大出入,往往表现为风险控制不到位。人工评估法是指采用人工作业方式,对信息安全风险评估内容进行全面分析,以此来判断风险发生概率及具体影响,并结合风险效益,采取最为合理、有效的对策,实现对信息安全风险的预防和控制,以此来降低风险发生概率。
3.2 风险评估体系
风险评估体系的构建,是信息安全风险评估过程中非常重要的一个环节,能够对所有风险问题进行全面性的综合考虑。在构建风险评估体系时,一般采用层次分析法来实现,能够对信息安全风险中包括的所有要素之间的相对重要的权数进行评价,结合所有要素的排序进行横向比较分析,评估信息安全的风险。风险评估体系的构建,能够使信息安全风险评估更加规范化、科学化、全面化,可以将资产、威胁信、脆弱性、安全措施等所有要素考虑在内,提供更加可靠的依据,在很大程度上提高了风险评估结果的准确性,对加强信息安全风险控制力度,提高信息系统管理水平具有重要意义。
4 结束语
在信息系统管理工作中,通过信息安全风险评估,能够将信息安全风险控制在可接受范围内,使信息系统能够以安全平稳状态运行,避免出现信息泄露、系统入侵现象,可以确保信息具有较高的保密性、安全性、完整性及真实性,为信息资源价值的有效利用提供基础保障。只有从影响信息安全风险的主要因素出发,明确信息安全风险评估内容,并运用科学、有效的评估方法,构建完善的风险评估体系,对信息系统所面临的安全风险威胁做出准确判断,才能采取针对性的预防和处理措施加以改善,提高信息系统管理水平和管理质量。
参考文献
[1]陈绮琦.对信息系统管理中信息安全風险评估研究[J].信息系统工程,2016,(7):77.
[2]温盈盈.对信息系统管理中信息安全风险评估研究[J].数字技术与应用,2015,(1):173.
(作者单位:国家计算机网络应急技术处理协调中心)
关键词:信息系统管理;信息安全;风险评估;诱发因素;具体措施
网络的迅速发展和普及,推动社会进入了信息化、数字化时代,各项信息在日常生活及生产活动中所发挥的作用越来越重要,已经成为推动社会发展与进步的必要资源。但是,在网络技术发展和应用过程中,网络环境也变得越来越复杂,病毒木马、恶意攻击等现象屡见不鲜,对信息系统安全造成了严重威胁,再加上信息系统自身缺陷以及设备障碍等问题,都使得信息安全面临着较大风险,难以保证信息资源价值的充分发挥。如何提高信息系统的安全性能,确保信息安全,已经引起了业内人士的广泛关注和重视。
1 信息系统管理中信息安全风险评估概念
信息安全风险评估是指,以信息系统管理为契机,以确保信息安全为基本原则,采用科学的方法和技术,对计算机网络运行状态和信息系统的工作性能进行研究、分析,找出网络和信息系统所面临的威胁及存在的脆弱性,预测可能会出现的安全事件及其造成的影响,并采取针对性的措施加以解决和防护。
2 信息系统管理中信息安全风险评估内容
在对信息安全风险进行评估之前,需要明确信息安全风险评估内容,信息资产、信息威胁、信息脆弱性以及现有安全措施,都是信息安全风险评估时需要考虑的因素。
2.1 信息资产评估
在对信息资产进行评估之前,需要先对信息资产进行识别,硬件资产、软件资产以及数据资产都是信息系统中所包含的资产类型,这些都是信息资产识别时需要考虑的因素,需要列出详细清单。在明确具体信息资产之后,根据信息资产在信息系统中所发挥的作用,对其重要性进行判断,评估信息资产价值。通过信息资产评估,需要确保其保密性、完整性和可用性[1]。
2.2 威胁评估
信息威胁是信息系统管理不希望发生的事件,但也是不可避免的一个问题,很容易引发信息安全风险。造成信息威胁的因素有多种,因网络自身的开放性、虚拟性特点,网络环境变得尤为复杂,在存在大量有价值信息之外,还混杂有一些病毒木马和恶意软件,并且黑客入侵现象也比较常见。这些都会对信息安全造成威胁,因此需要进行威胁评估。
2.3 脆弱性评估
脆弱性评估主要是从技术层面和管理层面进行考虑的,能够找出信息系统的薄弱环节,进而采取针对性措施加以解决。在构建信息系统时,系统本身可能会存在缺陷和不足,这些系统漏洞和弱点严重降低了信息系统的安全等级,很容易引发信息安全风险问题。同时,因信息系统管理不善、管理力度不足等,也会使得信息系统具有脆弱性,抗风险能力较弱。所以在对信息系统进行脆弱性评估时,需要从这两方面进行考虑[2]。
2.4 现有安全措施评估
现有安全措施是预防信息安全风险,并对信息系统进行保护的主要方式,是在识别信息安全风险之后,所采取的针对性措施,主要是通过控制风险和降低风险来保障信息安全的。如果安全措施不到位或者不具备针对性,将无法发挥其基本作用,信息系统安全性将会大大降低,所以必须对现有安全措施的有效性进行评估。
3 信息系统管理中信息安全风险评估方法
在确定信息安全风险评估内容之后,需要采取最为合适的方法完成信息安全风险评估,并构建完善的信息安全风险评估体系,对信息安全风险进行综合分析。
3.1 风险评估方法
当前常用的信息安全风险评估方法主要有定性评估法、人工评估法、定量评估法、工具辅助评估法等多种,其中定性评估法和人工评估法使用最为广泛。定性评估法的主要评估依据是信息安全风险造成的影响及损失,很少将风险出现的次数考虑在内,评估工作一般是由风险评估机构或者专家完成的,进而得到信息安全风险具体等级。定性评估法主观性较强,评估结果与实际结果容易出现较大出入,往往表现为风险控制不到位。人工评估法是指采用人工作业方式,对信息安全风险评估内容进行全面分析,以此来判断风险发生概率及具体影响,并结合风险效益,采取最为合理、有效的对策,实现对信息安全风险的预防和控制,以此来降低风险发生概率。
3.2 风险评估体系
风险评估体系的构建,是信息安全风险评估过程中非常重要的一个环节,能够对所有风险问题进行全面性的综合考虑。在构建风险评估体系时,一般采用层次分析法来实现,能够对信息安全风险中包括的所有要素之间的相对重要的权数进行评价,结合所有要素的排序进行横向比较分析,评估信息安全的风险。风险评估体系的构建,能够使信息安全风险评估更加规范化、科学化、全面化,可以将资产、威胁信、脆弱性、安全措施等所有要素考虑在内,提供更加可靠的依据,在很大程度上提高了风险评估结果的准确性,对加强信息安全风险控制力度,提高信息系统管理水平具有重要意义。
4 结束语
在信息系统管理工作中,通过信息安全风险评估,能够将信息安全风险控制在可接受范围内,使信息系统能够以安全平稳状态运行,避免出现信息泄露、系统入侵现象,可以确保信息具有较高的保密性、安全性、完整性及真实性,为信息资源价值的有效利用提供基础保障。只有从影响信息安全风险的主要因素出发,明确信息安全风险评估内容,并运用科学、有效的评估方法,构建完善的风险评估体系,对信息系统所面临的安全风险威胁做出准确判断,才能采取针对性的预防和处理措施加以改善,提高信息系统管理水平和管理质量。
参考文献
[1]陈绮琦.对信息系统管理中信息安全風险评估研究[J].信息系统工程,2016,(7):77.
[2]温盈盈.对信息系统管理中信息安全风险评估研究[J].数字技术与应用,2015,(1):173.
(作者单位:国家计算机网络应急技术处理协调中心)