前言:想要寫出一篇引人入勝的文章?我們特意為您整理了信息系統(tǒng)安全風(fēng)險評估與技術(shù)觀察范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:本文介紹了信息系統(tǒng)安全評估的基本工作流程,分析了信息系統(tǒng)安全評估的基本方法。雖然當(dāng)前我國信息系統(tǒng)安全風(fēng)險評估工作上前沒有一個較為成熟的發(fā)展趨勢,但是隨著人們對信息系統(tǒng)依賴性的不斷增加,對信息安全越來越重視,也會越發(fā)的關(guān)注信息系統(tǒng)的安全風(fēng)險評估工作。
關(guān)鍵詞:信息系統(tǒng);安全風(fēng)險;風(fēng)險評估;評估方法;技術(shù)觀察
1信息系統(tǒng)安全評估的工作流程
1.1資產(chǎn)識別
信息系統(tǒng)安全評估中的資產(chǎn)主要是包括相關(guān)重要信息系統(tǒng)的主體組織中,有價值的一系列信息資源,資產(chǎn)是當(dāng)前相關(guān)工作人員提高信息安全評估工作效率的保護(hù)對象。資產(chǎn)主要是由文檔,硬件軟件數(shù)據(jù)服務(wù)以及人員等共同組成,在進(jìn)行相關(guān)工作人員的信息系統(tǒng)安全評估工作中,需要對所評估的信息系統(tǒng)主體中不同的資產(chǎn)進(jìn)行不同的等級劃分,根據(jù)相關(guān)資料的完整性,可用性以及機(jī)密性作為有效的等級去進(jìn)行判斷。
1.2脆弱性識別
脆弱性在信息系統(tǒng)安全風(fēng)險評估工作當(dāng)中,主要是指相關(guān)信息系統(tǒng)中一個或多個資產(chǎn)的弱點的總稱。相關(guān)工作人員需要能夠?qū)⑺u估的信息系統(tǒng)主體資產(chǎn)作為工作核心,盡可能的在評估當(dāng)中對每一個資產(chǎn)的弱點進(jìn)行有效的分別標(biāo)注,最后運(yùn)用有效的信息技術(shù)將不同資產(chǎn)的弱點進(jìn)行總體評估。
1.3威脅識別
威脅是指可能導(dǎo)致危害系統(tǒng)或組織的不希望事故的潛在起因。威脅是一個客觀存在,正因為存在威脅,組織和信息系統(tǒng)才會存在風(fēng)險。威脅識別是盡可能的通過評估信息系統(tǒng)當(dāng)中發(fā)現(xiàn)的有效問題,直接排查出威脅的接觸過程。相關(guān)工作人員在開展具體的信息系統(tǒng)安全風(fēng)險評估的威脅識別工作當(dāng)中,需要盡可能的建立健全風(fēng)險分析所需要的威脅場景,并且進(jìn)行有關(guān)直接威脅或者間接威脅的有效識別。1.4風(fēng)險分析相關(guān)工作人員在對信息系統(tǒng)進(jìn)行資產(chǎn)識別脆弱識別以及威脅識別之后,還需要對相關(guān)的信息系統(tǒng)進(jìn)行風(fēng)險評估階段,在這個階段當(dāng)中,相關(guān)工作人員需要盡可能的對信息系統(tǒng)進(jìn)行有關(guān)風(fēng)險的分析以及計算工作,為后面的信息系統(tǒng)安全提供有效的相關(guān)信息。
2信息系統(tǒng)中的風(fēng)險評估方法
2.1信息系統(tǒng)定量分析法
在信息系統(tǒng)風(fēng)險分析過程當(dāng)中,信息系統(tǒng)定量分析法主要是將信息系統(tǒng)中的資產(chǎn)價值以及風(fēng)險進(jìn)行一定標(biāo)準(zhǔn)的等量化財務(wù)價值評價。在信息系統(tǒng)的定量分析法當(dāng)中,首先需要保證其自身可以進(jìn)行量化,在一定程度上保證信息系統(tǒng)中的相關(guān)威脅,對于資產(chǎn)內(nèi)造成的不同程度的損失,可以通過財務(wù)等情況進(jìn)行相關(guān)的數(shù)據(jù)衡量,這種直觀的衡量方式,在一定程度上可以保證信息系統(tǒng)的主體結(jié)構(gòu)管理層可以更好的接收,并且辨別信息系統(tǒng)的風(fēng)險分析。
2.2基于知識的信息系統(tǒng)風(fēng)險分析方法
在實際操作當(dāng)中,基于知識的信息系統(tǒng)風(fēng)險分析方法主要依靠的是相關(guān)風(fēng)險評估的工作人員的自身的工作經(jīng)驗,通過對一系列信息系統(tǒng)資料的有效收集與分析,采用自身知識儲備以及相關(guān)的風(fēng)險評估標(biāo)準(zhǔn)進(jìn)行有效的對比分析,在一定時間內(nèi)找出信息系統(tǒng)當(dāng)中存在可能會發(fā)生安全威脅的地方,通過相關(guān)的標(biāo)準(zhǔn)以及有效方法找出有效的解決措施,盡可能地保證信息系統(tǒng)減少風(fēng)險的可能[1]。
2.3基于技術(shù)的信息系統(tǒng)風(fēng)險分析方法
信息系統(tǒng)安全風(fēng)險評估相關(guān)工作人員在開展基于技術(shù)的信息系統(tǒng)風(fēng)險分析方法的具體操作過程當(dāng)中,通常情況下主要依賴的風(fēng)險評估依據(jù)是自身的技術(shù)能力,通過對于相關(guān)信息系統(tǒng)中程序系統(tǒng)以及基礎(chǔ)結(jié)構(gòu)的全面排查,盡可能的用相應(yīng)的信息系統(tǒng)內(nèi)部脆弱性以及安全性的完整估計,有效的找出信息系統(tǒng)中可能會發(fā)現(xiàn)的一系列風(fēng)險隱患。通常情況下,基于技術(shù)的信息系統(tǒng)風(fēng)險分析方法主要采取的分析方法技術(shù)研究十分多,但是在實際管理過程當(dāng)中存在一系列的不足之處,往往過于依賴工作人員的工作經(jīng)驗,進(jìn)一步導(dǎo)致信息系統(tǒng)安全風(fēng)險評估在管理工作當(dāng)中出現(xiàn)漏洞[2]。
2.4綜合的信息系統(tǒng)風(fēng)險分析方法
通常情況下,基于知識的信息系統(tǒng)風(fēng)險分析方法過于主觀,分析風(fēng)險有著很好的準(zhǔn)確性,相對來說工作的計算量很小,操作簡單可以充分的運(yùn)用相關(guān)工作人員的專業(yè)知識,但是在實際過程當(dāng)中十分容易受到工作人員的主觀影響,導(dǎo)致分析經(jīng)準(zhǔn)度不夠,并且要求相關(guān)工作人員必須要有著一定工作經(jīng)驗以及很高的工作能力水平,在實際操作過程當(dāng)中,對于信息系統(tǒng)的評估對象通常只能用到一些小系統(tǒng),并且信息系統(tǒng)安全風(fēng)險評估的結(jié)果很難進(jìn)行統(tǒng)一。最常見的信息系統(tǒng)安全風(fēng)險評估綜合評估方法是層次分析法,主要的分析思想是盡可能的將要分析的安全風(fēng)險的性質(zhì)和想要達(dá)到的總體目標(biāo)進(jìn)行有效的總結(jié),盡可能的將問題分解成不同的組成要素,按照要素之間的內(nèi)在關(guān)系和所屬關(guān)系,按照不同的層次進(jìn)行排列組合,將各個因素排列成一個有層次的結(jié)構(gòu)模型,盡可能地將系統(tǒng)分析中的實際內(nèi)容按照相關(guān)的重要性權(quán)重來進(jìn)行有效的排序[3]。層次分析法的分析核心是盡可能地將風(fēng)險評估人員的工作經(jīng)驗以及專業(yè)知識水平進(jìn)行量化,盡可能的為決策者提供定量的決策依據(jù)。首先需要將系統(tǒng)進(jìn)行分解,搭建有層次的內(nèi)在結(jié)構(gòu)模型。風(fēng)險評估人員需要將信息系統(tǒng)安全風(fēng)險的對象進(jìn)行有效的系統(tǒng)分解,主要的分解層次,包括方案層,準(zhǔn)則層以及目標(biāo)層。準(zhǔn)則層是可以有很多個層次組成,主要包括的內(nèi)容,是在分解過程當(dāng)中考慮的準(zhǔn)則以其子準(zhǔn)則等[4]。目的層則是基于信息系統(tǒng)自身所獨(dú)有的基本特性而建立起的系統(tǒng)的安全風(fēng)險評估指標(biāo)體系。
3結(jié)語
隨著我們國家社會與經(jīng)濟(jì)的不斷前進(jìn)發(fā)展,信息技術(shù)也得到了廣泛的應(yīng)用,為了保障信息系統(tǒng)的安全,信息系統(tǒng)風(fēng)險評估行業(yè)的發(fā)展是當(dāng)前信息安全領(lǐng)域的主要發(fā)展趨勢之一。在一定程度上,對信息系統(tǒng)風(fēng)險評估方法以及評估技術(shù)進(jìn)行有效研究,可以更好的為我國信息安全保障體系的建設(shè)發(fā)展打下扎實的基礎(chǔ),相信在不久的將來,信息系統(tǒng)安全風(fēng)險評估一定會在我國信息安全服務(wù)領(lǐng)域占據(jù)一個重要地位。
參考文獻(xiàn)
[1]李鶴田,劉云,何德全.信息系統(tǒng)安全風(fēng)險評估研究綜述疆[J].中國安全科學(xué)學(xué)報,2006(1):108-113+0-1.
[2]張利,彭建芬,杜宇鴿,等.信息安全風(fēng)險評估的綜合評估方法綜述[J].清華大學(xué)學(xué)報(自然科學(xué)版),2012(10):1364-1369.
[3]唐作其,陳選文,戴海濤,等.多屬性群決策理論信息安全風(fēng)險評估方法研究[J].計算機(jī)工程與應(yīng)用,2011(15):104-107+144.
[4]楊曉明,羅衡峰,范成瑜,等.信息系統(tǒng)安全風(fēng)險評估技術(shù)分析[J].計算機(jī)應(yīng)用,2008(08):1920-1923.
作者:李雪峰 單位:云南省電子信息產(chǎn)品檢驗院