【www.zhuodaoren.com--论文】
信息系统的安全风险(一)
信息系统面临的主要安全风险及规避措施
龙源期刊网 .cn
信息系统面临的主要安全风险及规避措施 作者:王海坤 苏博群 韩一民
来源:《中国新通信》2014年第17期
随着企业规模的扩大,信息传递越来越依赖于现代化的信息系统,信息系统所承载的信息量随着系统运行时间的增长而逐级递增,伴随而来的是各种各样的安全风险。如果存有侥幸心理,掉以轻心、置之不理,安全风险很可能会诱发安全事件,进而给企业带来难以估量的损失。因此,根据企业实际情况进行风险评估,按照安全风险的严重程度及时进行修复成为信息系统管理人员面临的一项重要课题。
从某种意义上讲,信息也是一种资产,而且信息这种资产的价值也会随着信息重要程度的提升而升高,因此,在信息系统中,资产所有者需要对信息资产进行保护,通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性,这一过程就是风险评估。
对于风险评估来说,需要识别资产相关要素的关系,从而判断资产面临的安全风险的大小。安全风险的等级可以分为很高、高、中等、低、很低五个级别,级别越高,表明由此诱发安全事件后所造成的损失越大。如果再对同一级别的安全风险进行赋值,则安全风险的重要程度就变得一目了然。
如何识别安全风险十分关键,一般来说,可以参考实际运行过程中已经发生的安全事件以及系统运行报告,或者根据各类检查所获得的第一手资料以及已知的问题或漏洞进行分析,找到可能诱发安全事件的脆弱环节。
有了识别安全风险等级的方法,还需要对资产的价值进行详细地分析,判断什么样的资产价值较高,什么样的资产价值较低。同样地,资产价值也可以分为很高、高、中等、低、很低五个级别,也可以通过赋值进行量化。
这样,将资产价值和安全风险通过某种方法(如相乘法和矩阵法)进行计算,就可以得出各资产的风险值。识别了安全风险,还需要针对其进行修复,使得残余安全风险在可接受的范围内。
限于篇幅,接下来仅简单列举系统内常见的高价值资产与高级别安全风险以及修复或者规避措施。
数据是无价的,对于这一点,信息系统管理人员应该深有体会,所有的安全防护措施都应参照数据安全最优先的原则。
随着企业信息化程度的加深,数据的集中存储、集中备份已经成为了一种趋势,数据安全也因此变得越发重要。虽然是一种无形资产,但是因关键数据丢失而造成企业损失的事件却屡见不鲜,必须加以重视。
信息系统的安全风险(二)
信息系统安全管理与风险评估
信息系统安全管理与风险评估
陈泽民:3080604041
信息时代既带给我们无限商机与方便,也充斥着隐患与危险。越来越多的黑客通过网络肆意侵入企业的计算机,盗取重要资料,或者破坏企业网络,使其陷入瘫痪,造成巨大损失。因此,网络安全越来越重要。企业网络安全的核心是企业信息的安全。具体来说,也就涉及到企业信息系统的安全问题。一套科学、合理、完整、有效的网络信息安全保障体系,就成为网络信息系统设计和建设者们追求的主要目标。信息安全是整个网络系统安全设计的最终目标,信息系统安全的建立必须以一系列网络安全技术为摹础。但信息系统是一个综合的、动态的、多层次之间相结合的复杂系统,只从网络安全技术的角度保证整个信息系统的安全是很网难的,网络信息系统对安全的整体是任何一种单元安全技术都无法解决的。冈此对信息系统的安全方案的设计必须以科学的安全体系结构模型为依据,才能保障整个安全体系的完备性、合理性。
制定安全目标和安全策略对于建造一个安全的计算机系统是举足轻重的。网络上可采用安全技术例如防火墙等实现网络安全, 软件开发上可选择不同的安全粒度,如记录级,文件级 信息级等。 在系统的各个层次中展开安全控制是非常有利的 。在应用软件层上设置安全访问控制是整个应用系统安全性的重要步骤。 此外安全教育与管理也是系统安全的重要方面 。信息系统的安全管理就是以行政手段对系统的安全活动进行综合管理, 并与技术策略和措施相结合 ,从而使信息系统达到整体上的安全水平。 其实, 在系统的安全保护措施中, 技术性安全措施所占的比例很小 ,而更多则是非技术性安全措施。 两者之间是互相补充, 彼此促进 ,相辅相成的关系。 信息系统的安全性并不仅仅是技术问
题 ,而严格管理和法律制度才是保证系统安全和可靠的根本保障。
信息系统安全是计算机信息系统运行保障机制的重要内容。他的不安全因素主要来自以下几个方面:物理部分 主要有机房不达标设备缺乏保护措施和存在管理漏洞等。软件部分 ,安全因素主要有操作系统安全和数据库系统安全。网络部分 ,包括内部网安全和内h外部网连接安全两方面。信息部分, 安全的因素有信息传输线路不安全存储保护技术有弱点及使用管理不严格等。
信息系统安全风险评估是一种对信息系统所面临各类危及信息安全的影响冈素进行的综合评判和分析。由于系统存在脆弱性、人为或自然的威胁导致安全事件发生所造成的影响,使信息系统的安全存在风险。信息安全风险评估就是要依据同家有关的信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后产生的实际负面影响,并根据安全事件产生的可能性和负面影响的程度来标识信息系统的安全风险。信息系统安全风险评估也是对信息系统所面临威胁的评估和信息系统脆弱性的评估。信息系统所面临的威胁主要是指可能对信息系统造成不期望事件的主体,这些威胁主要来自于:
1.通过网络进入信息系统的行为人。这种威胁是对信息系统基于网络的威胁,是行为人有意或无意的行为。
2.通过物理方式接近信息系统的行为人。这种威胁是对信息系统的物理威胁,是行为人有意或无意的行为。
3.系统缺陷造成的威胁。包括硬件缺陷、软件缺陷、相关系统的不可用性,重要基建的不可用性造成的威胁。
4.病毒和恶意代码的威胁。目前病毒和恶意代码已经成为影响信息系统安全运行的重要因素。
5.自然灾害的威胁。如洪水、地震或风暴。
信息系统的脆弱性是指信息系统中存在着可以被威胁主体所利用的造成对系统不期望影响的缺陷或弱点,主要有:
1.技术脆弱性:主要是指信息系统技术方面存在的弱点可以被威胁主体所利用并最终导致对系统产生不良影响。如操作系统存在漏洞,系统巾多个不受控外联网络,没有防病毒工具可能被病毒利用导致系统被病毒感染。
2.组织脆弱性:由于信息系统管理组织的问题,导致信息系统被威胁网素所利用造成对系统的不良影响。如没有人负责防病毒代码库的更新,对系统中介质的使刚没有任何约束,可能被病毒利用导致系统感染。
信息系统安全风险评估是信息系统安全保障体系建立过程中的重要评判方法和决策机制,主要有以下作用:
1.明确信息系统的安全现状。通过评估可以让信息系统的管理组织准确了解自身的网络、各种应崩系统以及管理制度规范的安全现状,从而明晰信息系统安全的需求。
2.确定信息系统的主要安全风险。对信息系统进行信息安全评估并对风险分级,让信息系统的管理组织选择处置措施。【信息系统的安全风险】
3.指导信息系统安全技术体系与管理体系的建设。信息系统安全风险评估,有助于信息系统的安全策略及安全解决方案的制定,并指导信息系统安全技术体系与管理体系的建没。
通过评估,可以明晰信息系统所面临的安全风险,制定相应的安全策略并组
织实施,使南信息系统所面临的风险引发的安全事件的可能性降低到最小。它是信息系统安全工作的一个重要环节,信息系统的安全策略的制定和实施包括:信息系统安全管理策略;信息系统安全运行策略。安全符理策略规定了针对信息系统的组织管理和技术管理的安全保护策略,包括:
1.信息系统组织策略。它包括人事安全管理制度,操作安全管理制度,场地与设施管理制度,设备安全管理制度,网络维护安全管理制度,操作系统、数据库安全管理制度,计算机网络安全管理制度,应用软件安全管理制度,技术文档、资料安全管理制度,口令安全管理制度,应急管理制度。
2.安全贯彻策略。它主要指为整个信息系统制定统一的安全策略。包括安全策略宣传贯彻体系、安全策略评审与评估体系,整个信息系统安全策略的一致性检查等。
3.人员安全策略。包括定义工作职责中的安全责任,建立人员资质审查策略,与重要员工签署保密协议,建立定期的信息安全教育和培训体系,建立安全事故报告制度,建立安全弱点报告制度,建立软件故障报告制度,建立安全事件分析总结制度,建立违规处罚制度。
4.物理和环境安全策略。包括建立基本的物理安全边界,在重要的信息处理设备进出口处设置保安设施,对所有信息设备采取物理保护措施,保障电力,保护传输电缆,设备定期维护,保障离开安全区域的设备安全,建立设备报废或再启用安全流程。
信息系统访问控制策略包括有:强口令设置管理;身份认证管理;访问外网控制;用户身份及权限及时更新;网络边界安全策略;网络入侵检测。网络系统安全策略包括线路冗余,网络设备冗余,服务器的高可用性。
计算机系统平台安全策略包括计算机防病毒体系的建立、信息系统的审计、主机入侵检测和系统加固。除此之外,还有信息资源管理与安全监控。负责整个信息系统的日常运行维护、资源管理、设备报废、设备登记、软硬件设备接入、网络故障排除、网络流量统计分析、安全设备及安全事件分析处理等。对重要的服务器和重要的客户机进行安全加固,对网络设备及安全设备统一进行安全配置。
(1)定期安全评估。(2)备份与恢复。(3)病毒、漏洞管理。
任何信息安全系统都不可能保障信息系统的绝对安全,因此,必须建立信息系统的应急响应系统,以应付突发事件的发生,使安全事件产生的影响最小化。应急响应体系包括应急组织机构的建立,突发事件的定位,风险控制,限制损害事故的后果,应急预案的确立并经过演练后加以执行,以确保在所要求的时间期限内恢复业务处理,减少事件的影响,减低系统的风险。信息系统的管理组织应针对各自的信息系统的实际情况制定安全应急处理预案,明确应急指挥机构,明确信息安全事件的严重程度和类别以及应急处理流程等内容,编制具体应急方案。应急响应系统应能处理各种应急事件,对应对信息系统的管理人员进行相关的培训,使应急响应系统发挥应有的作用。应急响应系统应跟踪同内外安全事故的发展趋势,使其能够处理新型安全事件的发生。应急响应系统也要制定相应的方案,做到有备无患。
信息系统的安全风险(三)
信息系统安全风险评估案例分析
信息系统安全风险评估案例分析 某公司信息系统风险评估项目案例介绍
介绍内容:项目相关信息、项目实施、项目结论及安全建议。
一、 项目相关信息
项目背景:随着某公司信息化建设的迅速发展,特别是面向全国、面向社会公众服务的业务系统陆续投入使用,对该公司的网络和信息系统安全防护都提出了新的要求。为满足上述安全需求,需对该公司的网络和信息系统的安全进行一次系统全面的评估,以便更加有效保护该公司各项目业务应用的安全。 项目目标:第一通过对该公司的网络和信息系统进行全面的信息安全风险评估,找出系统目前存在的安全风险,提供风险评估报告。并依据该报告,实现对信息系统进行新的安全建设规划。构建安全的信息化应用平台,提高企业的信息安全技术保障能力。第二通过本次风险评估,找出公司内信息安全管理制度的缺陷,并需协助该公司建立完善的信息安全管理制度、安全事件处置流程、应急服务机制等。提高核心系统的信息安全管理保障能力。
项目评估范围:总部数据中心、分公司、灾备中心。项目业务系统:核心业务系统、财务系统、销售管理统计系统、内部信息门户、外部信息门户、邮件系统、辅助办公系统等。灾备中心,应急响应体系,应急演练核查。
评估对象:网络系统:17个设备,抽样率40%。主机系统:9台,抽样率50%。数据库系统:4个业务数据库,抽样率100%。应用系统:3个(核心业务、财务、内部信息门户)安全管理:11个安全管理目标。
二、 评估项目实施
评估实施流程图:
项目实施团队:(分工)
现场工作内容:
项目启动会、系统与业务介绍、系统与业务现场调查、信息资产调查统计、威胁调查统计、安全管理问卷的发放回收、网络与信息系统评估信息获取、机房物理环境现场勘察、系统漏洞扫描、系统运行状况核查。
评估工作内容:
资产统计赋值、威胁统计分析并赋值、各系统脆弱性分析、系统漏洞扫描结果分析、已有安全措施分析、业务资产安全风险的计算与分析、编写评估报告。
资产统计样例(图表)【信息系统的安全风险】
威胁统计分析:3大类威胁(环境、系统、人为),7子类获取威胁统计,7子类,34项;4级威胁2子类2项;3级威胁6子类16项;2级威胁5子类16项。【信息系统的安全风险】
威胁统计分析列表(1):
威胁统计分析列表(2):
脆弱性分析:网络问题(高风险3个,中风险2个)主机系统:13个问题(很高风险1个,高风险7个,中风险4个,低风险1个)数据库系统:11个问题(高风险7个,中风险1个,低风险3个)应用系统:5个问题(高风险3个,中风险1个,低风险1个)安全管理:13个问题(高风险6个,中风险6个,低风险1个)。 脆弱性分类:网络系统
口令管理、安全审计、访问控制、资源利用、脆弱性管理、物理保护、应急响应、维护管理。
脆弱性分类:业务系统
标识与鉴别、安全审计、访问控制、安全策略配置、资源利用、恶意代码防护、脆弱性管理、传输与通信、业务连续性、物理保护、应急响应、维护管理。
信息系统的安全风险(四)
信息系统面临的主要安全风险及规避措施
随着企业规模的扩大,信息传递越来越依赖于现代化的信息系统,信息系统所承载的信息量随着系统运行时间的增长而逐级递增,伴随而来的是各种各样的安全风险。如果存有侥幸心理,掉以轻心、置之不理,安全风险很可能会诱发安全事件,进而给企业带来难以估量的损失。因此,根据企业实际情况进行风险评估,按照安全风险的严重程度及时进行修复成为信息系统管理人员面临的一项重要课题。 从某种意义上讲,信息也是一种资产,而且信息这种资产的价值也会随着信息重要程度的提升而升高,因此,在信息系统中,资产所有者需要对信息资产进行保护,通过分析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性,这一过程就是风险评估。
对于风险评估来说,需要识别资产相关要素的关系,从而判断资产面临的安全风险的大小。安全风险的等级可以分为很高、高、中等、低、很低五个级别,级别越高,表明由此诱发安全事件后所造成的损失越大。如果再对同一级别的安全风险进行赋值,则安全风险的重要程度就变得一目了然。
如何识别安全风险十分关键,一般来说,可以参考实际运行过程中已经发生的安全事件以及系统运行报告,或者根据各类检查所获得的第一手资料以及已知的问题或漏洞进行分析,找到可能诱发安全事件的脆弱环节。
有了识别安全风险等级的方法,还需要对资产的价值进行详细地分析,判断什么样的资产价值较高,什么样的资产价值较低。同样地,资产价值也可以分为很高、高、中等、低、很低五个级别,也可以通过赋值进行量化。
这样,将资产价值和安全风险通过某种方法(如相乘法和矩阵法)进行计算,就可以得出各资产的风险值。识别了安全风险,还需要针对其进行修复,使得残余安全风险在可接受的范围内。
限于篇幅,接下来仅简单列举系统内常见的高价值资产与高级别安全风险以及修复或者规避措施。
数据是无价的,对于这一点,信息系统管理人员应该深有体会,所有的安全防护措施都应参照数据安全最优先的原则。
随着企业信息化程度的加深,数据的集中存储、集中备份已经成为了一种趋势,数据安全也因此变得越发重要。虽然是一种无形资产,但是因关键数据丢失而造成企业损失的事件却屡见不鲜,必须加以重视。
一、数据库系统运行方面的安全风险
当信息系统发展到一定程度之后,业务方面的需要会驱动企业建立应用系统,而应用系统一般都需要数据库系统提供高效的数据管理功能,因而,数据库系统的安全直接关系到数据资产的安全,必须高度关注。常见的安全风险有:
1.1未采用集群方式运行带来的安全风险
对于大型数据库系统来说,如果只采取单节点方式运行,一旦该节点宕机,将会导致应用系统不可访问,直接影响主营业务。规避措施为,以集群方式运行数据库系统,这样,即使出现一个节点宕机的情况,实例也可以迅速自动漂移至另一节点上,从而保证应用系统不受影响,提高系统运行的安全性。
1.2缺少测试环境带来的安全风险
应用系统的开发上线需要高频率的代码更新,一般更新前都需要进行详细的测试,但是,根据实际运行经验来看,再详尽的测试也难以避免影响数据安全性的问题出现,特别是在上线后的功能调整过程中,一旦数据一致性出现问题,后果会很严重。
为了将应用系统开发带来的安全风险降至最低,一般需要搭建一套与生产环境相似的测试环境,在其上进行代码测试,尤其是涉及到改动较大的版本更新,更需要认真对待,关注更新前后相关数据的变化,确实没有数据安全问题,才能在生产环境上进行更新。
1.3缺少数据库例行巡检带来的安全风险
大型数据库系统都有专门的告警机制,其上记录了数据库系统运行以来产生的告警日志信息,从中可以分析出数据库系统的运行状态,已经出现的问题等信息。根据实际运行经验来看,一些小问题完全可以在发现后及时解决,但如果置之不理,小问题积少成多,演变成严重问题之后,解决的难度与所花费的时间将会成倍增加。
及时发现告警信息需要行之有效的数据库巡检制度来支撑,由经验丰富的数据库管理人员定期进行数据库巡检,以便降低由此诱发安全事件的可能性。
二、数据备份与恢复方面的安全风险
当信息系统稳定运行了一段时间之后,随着主营业务与应用系统的结合越来越紧密,数据量会呈梯度爆炸式增长,对于信息系统管理人员来说,如何高效地进行备份以保证数据安全以及如何确保备份介质的可用性成为摆在其面前的一道课题。
2.1无备份策略或备份策略不合理带来的安全风险
信息系统的数据备份需要按照一定的备份策略来实施,换言之,就是备份哪些内容以及备份所遵循的原则是什么。例如,某企业数据库系统的备份内容包括数据文件、控制文件、归档日志文件、闪回区文件等,备份方式是每周日对需要备份的内容进行完整备份,每周一至周六进行增量备份。通过这些信息,数据库备份的情况就一目了然了,这些信息就是该企业数据库系统的备份策略。备份的内容不仅包括数据库系统,还应包括重要的文件系统,防止因重要文件在计算机终端零散存储发生意外情况而造成数据丢失等情况出现。
对于信息系统来说,没有进行数据备份绝对是管理人员的噩梦,在出现数据误删除或数据库崩溃等极端情况时,管理人员将失去最后的、但往往却是最有效的手段。
规避此项安全风险的办法就是制定合理有效的备份策略,同时,制定保证该策略能够被有效执行的制度,充分保护数据安全。此外,管理人员还应定期检查备份作业完成的情况,确保备份作业成功完成。
2.2未进行系统恢复演练带来的安全风险
很多系统管理人员认为数据备份工作做好就万事大吉了,很容易忽视系统恢复演练的重要性,殊不知,一旦遭遇突发事件,没有经过系统恢复演练的洗礼,常会出现各种意料之外的状况,甚至出现空有备份介质却无法快速恢复系统的情况,给企业带来难以估量的损失。
规避该安全风险的方法就是定期进行系统恢复演练,形成操作规程,同时,将遇到的问题汇总,形成解决方案,为真正遇到恢复需求时积累足够的经验。为了降低安全风险,可以设置系统恢复演练专用服务器,将需要恢复的数据恢复至该服务器上,然后通过应用系统测试数据恢复情况。
三、系统权限方面的安全风险
由于属于软件范畴,应用系统一般都存在漏洞,而最容易诱发安全事件的就是权限方面的漏洞。如果有人超越自身的权限访问了本来无权访问的重要资源,甚至恶意地做出破坏性操作,后果会十分严重。
解决方法是建立相互独立、制约的权限分配制度,使得管理员的权限分散开来,所有权限按需开放,满足最小化原则。同时,严格做好系统测试工作,防止出现越权访问或者权限滥用的情况,并做好日志审计工作。
四、计算机端口方面的安全风险
如果计算机终端的端口处于不受控制的状态,操作系统难免会被病毒与木马程序攻击,管理员将疲于应付操作系统方面的各种问题。更重要的是,系统内的重要信息将处于不受控的状态。解决办法是实施端口控制的安全策略,只保留部分计算机的输入输出端口作为信息的出入口,将信息传递交由应用系统来完成,确保信息流向留有痕迹。
信息系统风险评估是一项重要的系统工程,可以由企业根据自身的实际运行情况,成立专门的工作小组来进行,也可以通过第三方来进行。实际实施时,还可以将安全风险出现的频率因素一并考虑进去,以便增加风险评估的准确性。
风险评估还需要上层建筑的大力支持,需要相关部门的通力配合,也需要信息系统管理人员充分发挥主观能动性,深入思考信息系统所存在的脆弱环节与应对方案,保证残余安全风险在可承受的范围以内,并关注遗留问题的解决工作,切实保护信息系统的安全。只有做好这些,管理人员才能从琐碎的日常运维中解放出来,将精力转移至更需要的地方去。
参 考 文 献
[1] GB/T 20984-2007 信息安全技术 信息安全风险评估规范
信息系统的安全风险(五)
信息安全的风险评估
摘要:随着科技信息化的发展,信息安全问题成为信息系统最重要的问题之一。信息安全风险评估是建立信息系统安全体系的基础,能有力保障信息系统的安全性,促进国家信息化的发展。该文将对我国信息安全的风险评估问题进行探讨,并对信息安全风险评估的相关问题提出相应对策。 关键词:信息安全;风险评估;现状问题;对策
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)32-7601-02
信息产业的迅猛发展,使得信息化技术成为社会发展的必要组成部分,信息化技术为国民经济的发展注入了新鲜的活力,更加速了国名经济的发展和人民生活水平的提高。当然,人们在享受信息技术带来的巨大便利时,也面临着各种信息安全问题带来的威胁。这种信息安全事件带来的影响是恶劣的,它将造成巨大的财产损失和信息系统的损害。因此,信息系统的安全问题不得不引起社会和民众的关注,完善信息系统的安全性,加强信息安全的风险评估成为亟待解决的问题。
1 信息安全风险评估概述及必要性
1.1 信息安全风险评估概述
首先,信息安全风险,主要是指人为或自然的利用信息系统脆弱性操作威胁信息系统,以导致信息系统发生安全事件或造成一定消极影响的可能。而信息安全风险评估简单的理解,就是以减少信息安全风险为目的通过科学处理信息系统的方法对信息系统的保密性、完整性进行评估。信息安全风险评估工作是一项保证信息系统相对安全的重要工作,必须科学的对信息系统的生命周期进行评估,最大限度的保障网络和信息的安全。
1.2 信息安全风险评估的必要性
信息安全评估是为了更好的保障信息系统的安全,以确保对信息化技术的正常使用。信息安全风险评估是信息系统安全管理的必要和关键的环节,因为信息系统的安全管理必须建立在科学的风险评估基础上,科学的风险评估有利于正确判断信息系统的安全风险问题,提供风险问题的及时解决方案。
2 信息安全风险评估过程及方法
信息安全风险的评估过程极其复杂和规范。为了加强我国信息安全风险评估工作的开展,这里有必要对风险评估的过程和方法给予提示和借鉴。风险评估的过程要求完整而准确。具体有如下步骤:
1)风险评估的准备工作,即要确定信息系统资产,包含范围、价值、评估团队、评估依据和方法等方面。要明确好这些资产信息,做好识别。2)对资产的脆弱性及威胁的识别工作,这是由于信息系统存在脆弱性的特点,所以要周密分析信息系统的脆弱点,统计分析信息系统发生威胁事件的可能性以及可能造成的损失。3)安全风险分析,这是较为重要的环节。主要是采用方法与工具确定威胁利用信息系统脆弱性导致安全事件发生的可能性,便于决策的提出。4)制定安全控制措施,主要有针对性的制定出控制威胁发生的措施,并确认措施的有效性,最大限度的降低安全风险,确保信息系统的安全。5)措施实施的阶段,主要是在有效监督下实施安全措施,并及时发现问题和改正。
对于信息安全风险评估的方法,国内外进行了很多不同的方法尝试。方法一般都遵循风险评估的流程,只是在手段和计算方法上有差异,但是分别都有一定的评估效果。主要采用:定性评估、定量评估、以及定性与定量相结合的评估,最后的方法是一个互补的评估方式,能达到评估的最佳效果。
3 我国信息安全风险评估发展现状
较美国等西方国家关于信息安全系统风险评估的发展历史和技术研究,我国起步比较晚且落后于发达国家。但近年来,随着社会各界对信息系统安全的重视,我国开始在信息系统安全管理工作上加大力度,并把信息系统的安全评估工作放在重要的位置,不断创新研究,取得了高效成果。但是,就我国目前的信息安全风险评估工作看来,还存在诸多问题。
1)我国部分企业、组织和部门对于信息系统安全风险评估没有引起绝对的重视,没有大力普及风险评估工作。由于领导者及员工的信息安全防范意识不强以及自身素质水平的影响,导致对风险评估的流程及必要性都不了解,就不太重视对企业信息系统的安全风险评估工作。
2)我国缺乏信息系统安全风险评估的规范化标准。我国目前的信息系统安全风险评估工作的开展,大部分依靠参考国际标准提供服务,只注重效仿,而缺乏对我国信息系统安全风险的实际状况的研究,没有针对性,得不到应有的效果。
3)我国缺乏行之有效的理论和技术,也缺乏实践的经验。由于科技水平的相对落后,对于信息系统的安全风险评估缺乏合适的理论、方法、技术等。我国仅依靠深化研究IT技术共性风险,而没有针对性的行业信息个性风险评估,这是没有联系实际的举措,是不能真正将信息系统的安全风险评估落实到位的。
4)在对信息系统安全风险的额评估中角色的责任不明确。这应该归咎于领导的和员工的不符责任及素质水平的落后。对风险评估理论缺乏,那么就会导致参与评估工作领导和员工角色不明确,领导对评估工作的指导角色以及责任不明确,员工则对评估工作流程方法不理解,都大大降低了风险评估的工作效率。
以上种种关于信息系统安全风险评估的现状问题反映出我国在对信息系统安全风险评估的工作还缺乏很多理论和实践的指导。我国的信息系统安全风险评估工作的开展力度还远不够,那些在信息系统安全风险评估工作的成果还远远达不到评估工作的标准。
4 强化信息安全风险评估的对策
4.1 加强对信息安全风险评估的重视
信息化技术对于每一个企事业单位都是至关重要的,企业在对工作任务的执行和管理中都必须用到信息化技术,因此,保证信息系统的安全性对于企业的发展至关重要。企业、组织和部门要加强对信息安全风险评估的重视,强化风险意识,将信息安全风险评估作为一项长期的工作来开展。
4.2 完善我国信息系统安全风险评估的规范化标准
上文中指出我国目前的信息系统安全风险评估工作大部分依靠国际标准在进行,国内没有一个统一的评估标准。因此,我国应该根据企业各种标准的侧重点,自主创新研究,创造出自己的标准技术体系,而不再一味的去效仿他国。只有这样,我国的信息系统安全风险评估才能得到迅猛的提高与发展,才能保证国家信息化的安全。 4.3 加强对评估专业人才的培养
信息化技术是一项非常专业的技术,只有拥有专业知识和技能的高科技人才才能控制和把握。信息安全风险的评估工作上则更需要拥有专业技能和业务水平的人才,他们必须对信息化技术相当了解和精通,对风险评估的方法、手段、模型、流程必须熟练。因此,企事业单位要加强对专业人才的培养,定期进行业务技能培训,鼓励人才的自主学习,不断提高自身的能力,为确保企业信息安全评估工作的高效发展及信息安全贡献力量。
4.4 加强科技创新,增强评估的可操作性
我国的科技水平较西方国家有很大的差距,因此在对信息安全风险的评估工作中,也存在理论和技术上的差距。我国应该不断的加强科研力度,在理论和技术上加以完善,在评估工具上改进,以确保评估工作的高效开展。信息系统风险评估是一个过程体系,必须抓好每一环节的技术性,在依据实际状况下进行风险评估。
4.5 明确评估工作的职责划分
信息安全风险评估工作是复杂的,每一个流程都需要投入一定的人力、物力和财力。针对人力这一方面,企业单位应该明确划分评估工作人员的职责范围,管理者要发挥好领导监督作用,有效指导评估工作的开展,员工则有效发挥自身的作用和能力。进而在每一环节工作人员共同协作下,完成评估工作的各项流程,并达到预期的成效。
5 结束语
随着我国信息技术水平不断的进步和提高,信息安全工作成为一项必须引起高度重视的工作之一。在当前我国信息安全风险评估还不够全面和科学的情况下,我国应该加强科技创新,依靠科学有效的管理以及综合规范的保障手段,在借鉴西方国家先进理论和技术的同时结合我国企业单位信息安全风险评估的实际现状,有针对性的实施有效方法,确保信息系统的安全性,进而保证我国信息化的安全发展。
参考文献:
[1] 倪健民.信息化发展与我国信息安全[J].清华大学学报(哲学社会科学版),2000(15).
[2] 周佑源,张晓梅.信息安全管理在等级保护实施过程中的要点分析[J].信息安全与通信保密,2009(9).
[3] 张耀疆.信息安全风险管理(三)――风险评估(下)[J].信息网路安全,2004(10).
[4] 须诚,张玉清,雷震甲.企业信息安全风险的自评估及其流程设计[J].中国金融电脑,2004(25).
[5] 李娟,梁军,李永杰.信息安全风险评估研究[J].计算机与数字工程,2006(34).
本文来源:http://www.zhuodaoren.com/fanwen544364/
推荐访问:信息系统安全风险评估 信息安全风险评估