信息安全风险评估探究的论文

时间:2023.10.20

  1.风险评估内涵

  风险评估是一项周期性工作,是进行风险管理。由于风险评估的结果将直接影响到信息系统防护措施的选择,从而在一定程度上决定了风险管理的成效。风险评估可以概括为:

  ①风险评估是一个技术与管理的过程。②风险评估是根据威胁、脆弱性判断系统风险的过程。

  ③风险评估贯穿于系统建设生命周期的各阶段。

  2.信息安全风险评估方法

  (1)安全风险评估。为确定这种可能性,需分析系统的威胁以及由此表现出的脆弱性。影响是按照系统在单位任务实施中的重要程度来确定的。风险评估以现实系统安全为目的,按照科学的程序和方法,对系统中的危险要素进行充分的定性、定量分析,并作出综合评价,以便针对存在的问题,根据当前科学技术和经济条件,提出有效的安全措施,消除危险或将危险降到最低程度。即:风险评估是对系统存在的固有和潜在危险及风险性进行定性和定量分析,得出系统发送危险的可能性和程度评价,以寻求最低的事故率、最少的损失和最优的安全投资效益。

  (2)风险评估的主要内容。

  ①技术层面。评估和分析网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、操作系统、数据库、应用系统等软、硬件设备。

  ②管理层面。从本单位的工作性质、人员组成、组织结构、管理制度、网络系统运行保障措施及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。

  (3)风险评估方法。

  ①技术评估和整体评估。技术评估是指对组织的技术基础结构和程序系统、及时地检查,包括对组织内部计算环境的安全性及对内外攻击脆弱性的完整性攻击。整体风险评估扩展了上述技术评估的范围,着眼于分析组织内部与安全相关的风险,包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。

  ②定性评估和定量评估。定性分析方法是使用最广泛的风险分析方法。根据组织本身历史事件的统计记录等方法确定资产的价值权重,威胁发生的可能性以及如将其赋值为“极低、低、中、高、极高”。

  ③基于知识的评估和基于模型的评估。基于知识的风险评估方法主要依靠经验进行。经验从安全专家处获取并凭此来解决相似场景的风险评估问题。该方法的优越性在于能直接提供推荐的保护措施、结构框架和实施计划。

  (4)信息安全风险的计算。

  ①计算安全事件发生的可能性。根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安全事件发生的可能性。具体评估中,应综合攻击者技术能力、脆弱性被利用的难易程度、资产吸引力等因素判断安全事件发生的可能性。

  ②计算安全事件发生后的损失。根据资产价值及脆弱性的严重程度,计算安全事件一旦发生后的损失。部分安全事件损失的发生不仅针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也不一样。③计算风险值。根据计算出的安全事件发生的可能性以及安全事件的损失计算风险值。

  3.风险评估模型选择

  参考多个国际风险评估标准,建立了由安全风险管理流程模型、安全风险关系模型和安全风险计算模型共同组成的安全风险模型(见图1)。

  (1)安全风险管理过程模型。

  ①风险评估过程。信息安全评估包括技术评估和管理评估。

  ②安全风险报告。提交安全风险报告,获知安全风险状况是安全评估的主要目标。

  ③风险评估管理系统。根据单位安全风险分析与风险评估的结果,建立本单位的风险管理系统,将风险评估结果入库保存,为安全管理和问题追踪提供数据基础。

  ④安全需求分析。根据本单位安全风险评估报告,确定有效安全需求。

  ⑤安全建议。依据风险评估结果,提出相关建议,协助构建本单位安全体系结构,结合组织本地、远程网络架构,为制定完整动态的安全解决方案提供参考。

  ⑥风险控制。根据安全风险报告,结合单位特点,针对面对的安全风险,分析将面对的安全影响,提供相应的风险控制建议。

  ⑦监控审核。风险管理过程中每一个步骤都需要进行监控和审核程序,保证整个评估过程规范、安全、可信。

  ⑧沟通、咨询与文档管理。整个风险管理过程的沟通、咨询是保证风险评估项目成功实施的关键因素。

  (2)安全风险关系模型。安全风险关系模型以风险为中心,形象地描述了面临的风险、弱点、威胁及其相应的资产价值、防护需求、保护措施等动态循环的复杂关系。

  (3)安全风险计算模型。安全风险计算模型中详细、具体地提供了风险计算的方法,通过威胁级别、威胁发生的概率及风险评估矩阵得出安全风险。

  4.结语

  本文在综合风险和比较多种评估标准和方法的基础上,针对现行网络的安全现状和安全需求,提出了网络风险评估的模型和风险计算方法,以及时发现、弥补和减少信息安全漏洞,为提高涉密信息系统的安全性,降低网络失泄密风险提供一定的帮助。


第二篇:信息安全风险评估方法论文


  信息安全风险评估方法论文【1】

  【摘要】随着信息化的逐步深化、扩展,信息系统的安全性和可用性显得愈来愈重要。本文基于电网企业开展的信息安全风险评估工作,对信息安全风险评估的评估实施流程、评估实施方法及其在信息系统生命周期不同阶段的实施要点进行浅要分析。

  【关键词】信息系统;信息安全;风险评估;评估方法

  一、信息安全风险评估的评估实施流程

  信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议,在风险评估之后就是要进行安全整改。

  网省公司信息系统风险评估的主要内容包括:资产评估、威胁评估、脆弱性评估和现有安全措施评估,一般采用全面风险评估的方法,以安全顾问访谈、管理问卷调查、安全文档分析等方式,并结合了漏洞扫描、人工安全检查等手段,对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估,经过充分的分析后,得到了信息系统的安全现状。

  二、信息安全风险评估实施方法

  2.1 资产评估

  网省公司资产识别主要针对提供特定业务服务能力的应用系统展开,通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。

  综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。

  2.2 威胁评估

  威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中,根据各单位业务系统的具体系统情况,结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查,下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述:

  2.3 脆弱性评估

  脆弱性评估内容包括管理、运维和技术三方面的内容,具体实施可参照公司相应的技术或管理标准以及评估发起方的要求,根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考:

  管理脆弱性:安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。

  运维脆弱性:信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。

  技术脆弱性:网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。

  管理、运维、技术三方面脆弱性是相互关联的,管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生,运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行,运维和管理的脆弱性主要通过访谈和调查问卷来发现。此外,对以往的安全事件的统计和分析也是确定脆弱性的主要方法。

  三、现有安全措施评估

  通过现有安全措施指评估安全措施的部署、使用和管理情况,确定这些措施所保护的资产范围,以及对系统面临风险的消除程度。

  3.1 安全技术措施评估

  通过对各单位安全设备、防病毒系统的部署、使用和管理情况,对特征库的更新方式、以及最近更新时间,设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析,并确定级别。

  3.2 安全管理措施评估

  访谈被评估单位是否成立了信息安全领导小组,并以文件的形式明确了信息安全领导小组成员和相关职责,是否结合实际提出符合自身发展的信息化建设策略,其中包括是否制定了信息安全工作的总体方针和安全策略,建立健全了各类安全管理制度,对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。

  3.3 物理与环境安全

  查看被访谈单位信息机房是否有完善的物理环境保障措施,是否有健全的漏水监测系统,灭火系统是否安全可用,有无温湿度监测及越限报警功能,是否配备精密空调严格调节控制机房内温度及湿度,保障机房设备的良好运行环境。

  3.4 应急响应与恢复管理

  为正确、有效和快速处理网络信息系统突发事件,最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响,需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制,应对网络信息系统突发事件的组织指挥能力和应急处置能力,是否及时修订本单位的网络信息系统突发事件应急预案,并进行严格的评审、发布。

  3.5 安全整改

  被评估单位根据信息安全风险评估结果,对本单位存在的安全风险进行整改消除,从安全技术及安全管理两方面,落实信息安全风险控制及管理,确保信息系统安全稳定运行。

  四、结语

  公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施,各单位结合风险评估实践情况,以技术促安全、以管理保安全,确保公司信息系统稳定运行,为公司发展提供有力信息支撑。

  参考文献

  [1]中国国家标准化管理委员会,信息安全技术一信息安全风险评估规范,2007年

  [2]国务院信息办信息安全风险评估课题组[R],信息安全风险评估研究报告,2004

  信息安全风险评估论文【2】

  【摘 要】本文介绍了信息安全风险评估的基本概述,信息安全风险评估基本要素及通用的信息安全风险评估过程。提出在实际工作中结合实际情况进行剪裁,完成自己的风险评估实践。

  【关键词】信息安全;风险评估

  1 企业信息安全风险评估概述

  信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。是针对威胁、脆弱点以及它可能导致的风险大小而评估的。

  对信息安全进行风险分析和评估的目的就是:企业能知道信息系统中是否有安全隐患的存在,并估测这些风险将会造成的安全威胁与可能造成的损失,经过这些判断来决定修复或者对于安全信息系统的建立。

  信息系统风险分析和评估能够有效的保护企业信息,但同时它也是一个较为复杂的过程,建立一个完善的信息安全风险评估需要具备相应的标准体系、技术体系、组织架构、业务体系同时也要遵循相关的法律法规。

  2 企业信息安全风险评估的作用

  信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预防为主方针的充分体现,它能够把信息化工作的安全控制关口前移,超前防范。

  针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息安全风险评估,这样能够在第一时间发现各种所存在的安全隐患,然后再运用科学的方法对风险进行分析,从而解决信息化过程中不同层次和阶段的安全问题。

  在信息系统的规划设计阶段,信息安全风险评估工作的实行,可以使企业在充分考虑经营管理目标的条件下,对信息系统的各个结构进行完善从而满足企业业务发展和系统发展的安全需求,有效的避免事后的安全事故。

  这种信息安全风险评估是必不可少的,它很好地体现了“预防为主”方针的具体体现,可以有效降低整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系建设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工作。因此企业信息安全风险评估工作需要落到实处,从而促进其进一步又好又快发展。

  3 信息安全风险评估的基本要素

更多相关推荐:
毕业论文总结 毕业致词 精选8篇

范文一:毕业论文的写作锻炼了我收集和整合信息的能力,从着手准备论题到实地调查再到整个论文的完成,凝聚着无数人对我的关怀和帮助,没有他们的支持和鼓励,我是不会这么顺利完成的。首先要特别感谢我的导师陶玉凤副教授,在…

汉语言文学专业毕业论文、调查报告写作要求

汉语言文学专业毕业论文撰写要求详细说明一、毕业论文的总体要求1、毕业论文的写作是“中央广播电视大学人才培养模式改革与开放教育试点”汉语言文学专业本科的教学环节之一,是整个教学活动的有机组成部分,是实施专业教学计…

毕业论文期中总结报告

期中总结报告人往往在消费时间的时候感觉不到时间的流逝,而总是等到回忆或总结时才发觉到了时间的脚步。既然如此,人就该经常性的反省自己的人生、总结自己的工作,以便更有效的把握时间的效用。下面我就毕业设计对这半个学期…

20xx级本科毕业论文(设计)工作总结

20xx级本科毕业论文(设计)工作总结毕业论文(设计)是实践教学的重要环节,是本科生综合运用所学基础理论、专业知识和基本技能、接受科学研究工作的初步训练,掌握科学研究的基本方法,培养独立工作能力的重要教学环节。…

法律系毕业论文

辽宁商贸职业学院毕业论文浅析公民的政治权利年级:20xx级专业:法律事务学生姓名:于航学号:20xx03020xx3指导教师:赫荣平[摘要]公民政治权利的确立、发展与政治发展密切相关。国家的独立和统一是公民政治…

毕业论文总结

总结语在课程设计的过程中,较多的时间是用来查阅资料,因为还是第一次做电子课程设计,图书馆的资料很有限,所以一般通过网上查阅,在此查阅期间,我学会了怎样使用超星阅读器和PDF阅读器。在调试过程中,故障是不可避免的…

工程管理毕业论文开题报告范文(上海论文网)

工程管理毕业论文开题报告范文开题报告一、研究背景知识经济时代,社会环境瞬息万变,市场形势变幻莫测,社会分工越来越细,企业中各项工作的复杂和综合程度不断提高,问题的难度也在不断加大。这些都为企业的经营管理带来了新…

最新版毕业论文开题报告范文

毕业论文开题报告范文[1]毕业论文开题报告开题报告是指开题者对科研课题的一种文字说明材料。这是一种新的应用写作文体,这种文字体裁是随着现代科学研究活动计划性的增强和科研选题程序化管理的需要应运而生的。开题报告一…

毕业论文

江西渝州科技职业学院课件(设计)课题:餐饮管理系统(C#编写)姓名:王少雄学号:2085080219专业:软件工程分院:计算机应用学院指导老师:万为清(老师)目录第一部分:系统分析···············…

毕业论文写作周记范文共12周

毕业论文写作周记范文共12周1年x月x日至1年x月x日第一周这一周的主要任务是搜集并阅读相关资料,为下周论文开题报告的完成做好充分的准备。我的论文题目为“旧城改造中的土地政策适应性分析”。围绕这一主题,充分利用…

毕业论文的心得体会

本学期我所学的工商管理本科课程进入到了写论文、答辩的阶段。那时对于刚刚接触本科论文的我,对于论文还是很陌生的。经过了这将近一个学期的时间,我从对论文一无所这,到现在已经写出了属于自己的第一篇论文,从选题到找资料…

毕业论文的结尾

毕业论文的结尾,是围绕本论所作的结束语。其基本的要点就是总括全文,加深题意。这一部分要对绪论中提出的、本论中分析或论证的问题加以综合概括,从而引出或强调得出的结论;或对论题研究未来发展趋势进行展望;或对有关论题…

毕业论文(548篇)