信息安全風險評估探究論文

時間:2022-10-29 03:30:58

導語:信息安全風險評估探究論文一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

信息安全風險評估探究論文

1.風險評估內(nèi)涵

風險評估是一項周期性工作,是進行風險管理。由于風險評估的結(jié)果將直接影響到信息系統(tǒng)防護措施的選擇,從而在一定程度上決定了風險管理的成效。風險評估可以概括為:①風險評估是一個技術與管理的過程。②風險評估是根據(jù)威脅、脆弱性判斷系統(tǒng)風險的過程。③風險評估貫穿于系統(tǒng)建設生命周期的各階段。

2.信息安全風險評估方法

(1)安全風險評估。為確定這種可能性,需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性。影響是按照系統(tǒng)在單位任務實施中的重要程度來確定的。風險評估以現(xiàn)實系統(tǒng)安全為目的,按照科學的程序和方法,對系統(tǒng)中的危險要素進行充分的定性、定量分析,并作出綜合評價,以便針對存在的問題,根據(jù)當前科學技術和經(jīng)濟條件,提出有效的安全措施,消除危險或?qū)⑽kU降到最低程度。即:風險評估是對系統(tǒng)存在的固有和潛在危險及風險性進行定性和定量分析,得出系統(tǒng)發(fā)送危險的可能性和程度評價,以尋求最低的事故率、最少的損失和最優(yōu)的安全投資效益。(2)風險評估的主要內(nèi)容。①技術層面。評估和分析網(wǎng)絡和主機上存在的安全技術風險,包括物理環(huán)境、網(wǎng)絡設備、主機系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)等軟、硬件設備。②管理層面。從本單位的工作性質(zhì)、人員組成、組織結(jié)構(gòu)、管理制度、網(wǎng)絡系統(tǒng)運行保障措施及其他運行管理規(guī)范等角度,分析業(yè)務運作和管理方面存在的安全缺陷。(3)風險評估方法。①技術評估和整體評估。技術評估是指對組織的技術基礎結(jié)構(gòu)和程序系統(tǒng)、及時地檢查,包括對組織內(nèi)部計算環(huán)境的安全性及對內(nèi)外攻擊脆弱性的完整性攻擊。整體風險評估擴展了上述技術評估的范圍,著眼于分析組織內(nèi)部與安全相關的風險,包括內(nèi)部和外部的風險源、技術基礎和組織結(jié)構(gòu)以及基于電子的和基于人的風險。②定性評估和定量評估。定性分析方法是使用最廣泛的風險分析方法。根據(jù)組織本身歷史事件的統(tǒng)計記錄等方法確定資產(chǎn)的價值權重,威脅發(fā)生的可能性以及如將其賦值為“極低、低、中、高、極高”。③基于知識的評估和基于模型的評估?;谥R的風險評估方法主要依靠經(jīng)驗進行。經(jīng)驗從安全專家處獲取并憑此來解決相似場景的風險評估問題。該方法的優(yōu)越性在于能直接提供推薦的保護措施、結(jié)構(gòu)框架和實施計劃。(4)信息安全風險的計算。①計算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及弱點的狀況,計算威脅利用脆弱性導致安全事件發(fā)生的可能性。具體評估中,應綜合攻擊者技術能力、脆弱性被利用的難易程度、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性。②計算安全事件發(fā)生后的損失。根據(jù)資產(chǎn)價值及脆弱性的嚴重程度,計算安全事件一旦發(fā)生后的損失。部分安全事件損失的發(fā)生不僅針對該資產(chǎn)本身,還可能影響業(yè)務的連續(xù)性;不同安全事件的發(fā)生對組織造成的影響也不一樣。③計算風險值。根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失計算風險值。

3.風險評估模型選擇

參考多個國際風險評估標準,建立了由安全風險管理流程模型、安全風險關系模型和安全風險計算模型共同組成的安全風險模型(見圖1)。(1)安全風險管理過程模型。①風險評估過程。信息安全評估包括技術評估和管理評估。②安全風險報告。提交安全風險報告,獲知安全風險狀況是安全評估的主要目標。③風險評估管理系統(tǒng)。根據(jù)單位安全風險分析與風險評估的結(jié)果,建立本單位的風險管理系統(tǒng),將風險評估結(jié)果入庫保存,為安全管理和問題追蹤提供數(shù)據(jù)基礎。④安全需求分析。根據(jù)本單位安全風險評估報告,確定有效安全需求。⑤安全建議。依據(jù)風險評估結(jié)果,提出相關建議,協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu),結(jié)合組織本地、遠程網(wǎng)絡架構(gòu),為制定完整動態(tài)的安全解決方案提供參考。⑥風險控制。根據(jù)安全風險報告,結(jié)合單位特點,針對面對的安全風險,分析將面對的安全影響,提供相應的風險控制建議。⑦監(jiān)控審核。風險管理過程中每一個步驟都需要進行監(jiān)控和審核程序,保證整個評估過程規(guī)范、安全、可信。⑧溝通、咨詢與文檔管理。整個風險管理過程的溝通、咨詢是保證風險評估項目成功實施的關鍵因素。(2)安全風險關系模型。安全風險關系模型以風險為中心,形象地描述了面臨的風險、弱點、威脅及其相應的資產(chǎn)價值、防護需求、保護措施等動態(tài)循環(huán)的復雜關系。(3)安全風險計算模型。安全風險計算模型中詳細、具體地提供了風險計算的方法,通過威脅級別、威脅發(fā)生的概率及風險評估矩陣得出安全風險。

4.結(jié)語

本文在綜合風險和比較多種評估標準和方法的基礎上,針對現(xiàn)行網(wǎng)絡的安全現(xiàn)狀和安全需求,提出了網(wǎng)絡風險評估的模型和風險計算方法,以及時發(fā)現(xiàn)、彌補和減少信息安全漏洞,為提高涉密信息系統(tǒng)的安全性,降低網(wǎng)絡失泄密風險提供一定的幫助。

本文作者:黃人杰工作單位:中國衛(wèi)星海上測控部