对信息安全风险评估中几个重要问题的认识
开篇:润墨网以专业的文秘视角,为您筛选了一篇对信息安全风险评估中几个重要问题的认识范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:与世界其他国家特别是发达国家相比,我国对于信息的研究历程较短;随着网络信息技术的快速发展,也正在不断暴露出网络安全问题;而建立信息安全体系的基础就是有关信息安全风险评估,它是构成信息系统安全工程的一个重要部分;基于此,有关网络信息安全风险评估工作在当前最需解决的几个问题,在此做了一些探讨。
关键词:信息安全、风险评估、重要问题
中图分类号:TP309 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02
在现阶段,由于快速发展的信息技术,致使那些极大影响着国计民生的关键信息资源,从其规模来看,具有越来越大的变化趋势,至于其信息系统的结构,具有越来越高的复杂程度;在当前要促使我国国民经济的持续发展以及能够顺利进行信息化建设,其中的一个关键因素就是要让这些信息资源以及信息系统的安全性得到有力保障。而有关可用性、机密性以及完整性等等内容正是信息安全目标的具体表现。在当前进行安全建设一个出发点就是要进行信息安全风险评估,进行风险评估具有很多重要意义,其中把传统的以技术驱动为导向的安全体系结构设计进行有力改变,这是它的一个重要意义;有关,信息安全风险评估,其对信息系统安全风险的识别,主要是结合资产的重要程度来进行,在遵循成本—效益这一原则的基础上,当信息系统面临着以下这两种情况时,对它进行全面评估:第一种情况,当信息系统面临着威胁;第二种情况,当信息系统因本身脆弱性而被威胁源所利用、导致本身可能出现安全问题、由此可见,所谓信息安全风险评估,就是基于安全管理这个角度考虑,采用合理的手段和分析方法,对有关信息系统以及信息化业务,当其面临来自自然或者人为威胁时所产生的脆弱性进行比较系统地分析,并对可能造成安全事件的危害程度进行相应的评估,在此基础上,并能够把那些具有防御效果的对策以及整改措施有针对性地提出来,以让网络和信息安全能够得到最大的保障。
1 有关信息安全风险评估中的几个重要问题的认识
1.1 对有关网络信息安全的主要内容以及主要因素这个重要问题的认识
(1)有关网络信息安全的主要内容。所谓网络信息安全,顾名思义就是指当前网络中各种各样网络信息的安全,这是从狭义这个层面来考虑的;如果从广义这个层面来看,除了前面所提到的各种信息安全外,还包括整个网络系统的安全,诸如各种软硬件、存储以及传输、数据以及数据处理等等使用过程。总的看来,网络信息安全具有以下五大方面上的典型特征,如下表所示:
五大典型特征 具体含义
①具有保密性特征 也就是不准把有关网络信息泄漏给非授权的实体或者个人
②具有完整性特征 也就是对于未经授权的信息,一律不准对其进行修改或者加以破坏
③具有可用性特征 对于那些合法的用户,能够正常访问相关的信息
④具有可控性特征 能够有效并且合法控制相关的信息内容及其传播过程
⑤具有可审查性特征 为使能事后查询核对,在信息使用过程中要而且必须有进行相关的记录
表一:网络信息安全的典型特征
(2)有关网络信息安全的风险因素。为了能够对这个网络信息安全问题所具有的复杂性进行有效解决并且能够顺利地找到一个解决或者考虑这类问题的出发点,就必须从研究有关网络信息安全的那些风险因素入手,为了更好地认识和研究有关这些网络信息安全风险因素,在现阶段,可以把它们分为几大类型,如下表所示:
主要类型 具体内容
①来自自然方面的因素 例如火灾、水灾、地震、雷电、台风、寒潮、海啸等等
②来自网络硬件方面的因素 例如机房的(路由器、交换机以及服务器)等,因受外界因素(温度、湿度、灰尘、电磁干扰)等所产生的影响
③来自软件方面的因素 主要包括①机房设备(机房服务器和管理软件等),②用户计算机操作系统,③各种服务器数据库配置的合理性与否,④杀毒软件、防火墙等等其他应用软件
④来自人为方面的因素 具体包括那些对网络信息进行使用和管理的种种行为所带来的种种影响,诸如恶意代码、木马攻击、操作失误、数据泄露、骗取口令、拒绝服务等等
表二:网络信息安全风险因素的主要类型
1.2 对有关安全风险评估方法这个重要问题的认识
(1)有关定制个性化这种评估方法。在当前有关比较标准的评估方法极其流程虽然已经有了很多种,但是在具体的实际应用当中,单纯的套用或者拷贝这些方法是不可取的,比较正确的做法应该是把它们作为一个参考,结合企业的具体情况以及企业相关安全风险评估方面的能力,对这些标准的评估方法进行重新组合,以产生出具有个性化特点的评估方法,从而促使相关进行的评估服务能够具有灵活性以及可裁剪性的特点。具体的评估种类比较多,诸如网络结构评估、IT安全评估、渗透测试以及整体评估等等。
(2)有关安全整体框架的设计。进行风险评估,其目的不仅仅要懂得风险,更为重要的是要进行风险管理并为之提供所需要的依据。管理风险,其安全整体框架在于评估的直接输出;但是对于具体的企业来说,由于它们所处的环境不一样,各自的需求也都不相同,此外,从他们工作层面这个角度考虑,其可供参考的模版都不是很多,这就到来了不是很多的整体框架应用。但是,把最近一、两年内的框架完成好,这是企业至少也要做到的,这样才有可能做到有据可依。
(3)有关多用户决策的评估。由于不同的问题可以被不同层面的用户所看到,因而要对风险进行全面了解,有关多用户沟通评估这项工作就要经常进行。把多用户的相关决策过程取自于其评估过程,将大大有利对风险进行全面的了解和深入的理解,并且能够把对风险的管理真正落实到行动上。很多实践表明,让多用户共同参与,具有非常显著的效果。因此,进行多用户相关的决策评估,具有一个具体的方法以及流程也显得极其重要。
1.3 对有关风险评估过程这个重要问题的认识
(1)准备阶段—前期。在这一阶段,主要的工作有,首先要明确所评估的目标;其次是对于所涉及的评估范围要进行确定,并且要把相关的协议以及合同签署好;最后要把已经存在的那些被评估对象的相关材料进行接收,并就此对评估对象展开其研究调查工作。
(2)现场阶段—中期。在这一阶段,相关测评方案要进行编写,并且要把相应的管理问卷以及现场测试表准备好,在这个基础上,再把调查研究阶段以及现场阶段的测试有条不紊地进行开展。
(3)评估阶段—后期。在最后这一阶段,要把测试报告进行系统编写,相关调查研究要进行相应的补充和完善,在把这两项重要工作完成后,评估者要据此得出最终的风险评估报告。
2 结束语
总而言之,建设信息系统管理体系和安全体系的基础就是信息安全风险评估;进行风险评估,不仅可以让信息系统的安全状况得到进一步的明确,也可以让信息系统的主要安全风险得到进一步的明确;因此,在当前进行信息安全风险评估,对于及早发现信息系统的安全隐患并且采取相应的防御方案以保证信息系统安全具有极其重要的意义。
参考文献:
[1]刚.信息安全风险评估的策划[J].信息技术与标准化,2008,9.
[2]贾颖禾.信息安全风险评估[J].中国计算机用户,2004,24.
[作者简介]陈科(1983-),男,河南西平,助理工程师,工程硕士,河南省电子产品质量监督检验所,信息安全;李承浩(1985-),男,河南驻马店,工程师,大学本科,河南省电子产品质量监督检验所,信息安全;吴蓓蓓(1985-),女,河南三门峡,工程师,大学本科,黄河水利委员会信息中心。