信息安全風(fēng)險評估探究的論文

　　1.風(fēng)險評估內涵

　　風(fēng)險評估是一項周期性工作，是進(jìn)行風(fēng)險管理。由于風(fēng)險評估的結果將直接影響到信息系統防護措施的選擇，從而在一定程度上決定了風(fēng)險管理的成效。風(fēng)險評估可以概括為：

　�、亠L(fēng)險評估是一個(gè)技術(shù)與管理的過(guò)程。②風(fēng)險評估是根據威脅、脆弱性判斷系統風(fēng)險的過(guò)程。

　�、埏L(fēng)險評估貫穿于系統建設生命周期的各階段。

　　2.信息安全風(fēng)險評估方法

　�。�1）安全風(fēng)險評估。為確定這種可能性，需分析系統的威脅以及由此表現出的脆弱性。影響是按照系統在單位任務(wù)實(shí)施中的重要程度來(lái)確定的。風(fēng)險評估以現實(shí)系統安全為目的，按照科學(xué)的程序和方法，對系統中的危險要素進(jìn)行充分的定性、定量分析，并作出綜合評價(jià)，以便針對存在的問(wèn)題，根據當前科學(xué)技術(shù)和經(jīng)濟條件，提出有效的安全措施，消除危險或將危險降到最低程度。即：風(fēng)險評估是對系統存在的固有和潛在危險及風(fēng)險性進(jìn)行定性和定量分析，得出系統發(fā)送危險的可能性和程度評價(jià)，以尋求最低的事故率、最少的損失和最優(yōu)的安全投資效益。

　�。�2）風(fēng)險評估的主要內容。

　�、偌夹g(shù)層面。評估和分析網(wǎng)絡(luò )和主機上存在的安全技術(shù)風(fēng)險，包括物理環(huán)境、網(wǎng)絡(luò )設備、主機系統、操作系統、數據庫、應用系統等軟、硬件設備。

　�、诠芾韺用�。從本單位的工作性質(zhì)、人員組成、組織結構、管理制度、網(wǎng)絡(luò )系統運行保障措施及其他運行管理規范等角度，分析業(yè)務(wù)運作和管理方面存在的安全缺陷。

　�。�3）風(fēng)險評估方法。

　�、偌夹g(shù)評估和整體評估。技術(shù)評估是指對組織的技術(shù)基礎結構和程序系統、及時(shí)地檢查，包括對組織內部計算環(huán)境的安全性及對內外攻擊脆弱性的完整性攻擊。整體風(fēng)險評估擴展了上述技術(shù)評估的范圍，著(zhù)眼于分析組織內部與安全相關(guān)的風(fēng)險，包括內部和外部的風(fēng)險源、技術(shù)基礎和組織結構以及基于電子的和基于人的風(fēng)險。

　�、诙ㄐ栽u估和定量評估。定性分析方法是使用最廣泛的風(fēng)險分析方法。根據組織本身歷史事件的統計記錄等方法確定資產(chǎn)的價(jià)值權重，威脅發(fā)生的可能性以及如將其賦值為“極低、低、中、高、極高”。

　�、刍�于知識的評估和基于模型的評估�；�于知識的風(fēng)險評估方法主要依靠經(jīng)驗進(jìn)行。經(jīng)驗從安全專(zhuān)家處獲取并憑此來(lái)解決相似場(chǎng)景的風(fēng)險評估問(wèn)題。該方法的優(yōu)越性在于能直接提供推薦的保護措施、結構框架和實(shí)施計劃。

　�。�4）信息安全風(fēng)險的計算。

　�、儆嬎惆踩�事件發(fā)生的可能性。根據威脅出現頻率及弱點(diǎn)的狀況，計算威脅利用脆弱性導致安全事件發(fā)生的可能性。具體評估中，應綜合攻擊者技術(shù)能力、脆弱性被利用的難易程度、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性。

　�、谟嬎惆踩�事件發(fā)生后的損失。根據資產(chǎn)價(jià)值及脆弱性的嚴重程度，計算安全事件一旦發(fā)生后的損失。部分安全事件損失的發(fā)生不僅針對該資產(chǎn)本身，還可能影響業(yè)務(wù)的連續性；不同安全事件的發(fā)生對組織造成的影響也不一樣。③計算風(fēng)險值。根據計算出的安全事件發(fā)生的可能性以及安全事件的損失計算風(fēng)險值。

　　3.風(fēng)險評估模型選擇

　　參考多個(gè)國際風(fēng)險評估標準，建立了由安全風(fēng)險管理流程模型、安全風(fēng)險關(guān)系模型和安全風(fēng)險計算模型共同組成的安全風(fēng)險模型（見(jiàn)圖1）。

　�。�1）安全風(fēng)險管理過(guò)程模型。

　�、亠L(fēng)險評估過(guò)程。信息安全評估包括技術(shù)評估和管理評估。

　�、诎踩�風(fēng)險報告。提交安全風(fēng)險報告，獲知安全風(fēng)險狀況是安全評估的主要目標。

　�、埏L(fēng)險評估管理系統。根據單位安全風(fēng)險分析與風(fēng)險評估的結果，建立本單位的風(fēng)險管理系統，將風(fēng)險評估結果入庫保存，為安全管理和問(wèn)題追蹤提供數據基礎。

　�、馨踩�需求分析。根據本單位安全風(fēng)險評估報告，確定有效安全需求。

　�、莅踩�建議。依據風(fēng)險評估結果，提出相關(guān)建議，協(xié)助構建本單位安全體系結構，結合組織本地、遠程網(wǎng)絡(luò )架構，為制定完整動(dòng)態(tài)的安全解決方案提供參考。

　�、揎L(fēng)險控制。根據安全風(fēng)險報告，結合單位特點(diǎn)，針對面對的安全風(fēng)險，分析將面對的安全影響，提供相應的風(fēng)險控制建議。

　�、弑O控審核。風(fēng)險管理過(guò)程中每一個(gè)步驟都需要進(jìn)行監控和審核程序，保證整個(gè)評估過(guò)程規范、安全、可信。

　�、鄿贤�、咨詢(xún)與文檔管理。整個(gè)風(fēng)險管理過(guò)程的溝通、咨詢(xún)是保證風(fēng)險評估項目成功實(shí)施的關(guān)鍵因素。

　�。�2）安全風(fēng)險關(guān)系模型。安全風(fēng)險關(guān)系模型以風(fēng)險為中心，形象地描述了面臨的風(fēng)險、弱點(diǎn)、威脅及其相應的資產(chǎn)價(jià)值、防護需求、保護措施等動(dòng)態(tài)循環(huán)的復雜關(guān)系。

　�。�3）安全風(fēng)險計算模型。安全風(fēng)險計算模型中詳細、具體地提供了風(fēng)險計算的方法，通過(guò)威脅級別、威脅發(fā)生的概率及風(fēng)險評估矩陣得出安全風(fēng)險。

　　4.結語(yǔ)

　　本文在綜合風(fēng)險和比較多種評估標準和方法的基礎上，針對現行網(wǎng)絡(luò )的安全現狀和安全需求，提出了網(wǎng)絡(luò )風(fēng)險評估的模型和風(fēng)險計算方法，以及時(shí)發(fā)現、彌補和減少信息安全漏洞，為提高涉密信息系統的安全性，降低網(wǎng)絡(luò )失泄密風(fēng)險提供一定的幫助。

【信息安全風(fēng)險評估探究的論文】相關(guān)文章：

部隊信息安全保密風(fēng)險管理探究論文06-04

學(xué)校安全風(fēng)險評估報告06-03

學(xué)校安全風(fēng)險評估報告11-25

信息系統安全風(fēng)險評估報告（通用17篇）11-19

學(xué)校機房信息安全風(fēng)險評估報告范文（通用13篇）12-22

信息系統安全風(fēng)險評估報告范文（精選5篇）08-14

安全隱患風(fēng)險評估報告10-12

對部隊信息網(wǎng)絡(luò )安全管制探究論文08-21

風(fēng)險評估方案09-24

社會(huì )安全風(fēng)險評估工作計劃03-18