計算機信息系統安全風險研究
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計算機信息系統安全風險研究范文,希望能給你帶來靈感和參考,敬請閱讀。
根據以往學者研究及實踐表明,對計算機信息安全保障的工作可歸納為安全管理、安全組織以及安全技術等三方面的體系建設。而確保其保障工作的順利展開需以信息安全的風險評估作為核心內容。因此對風險評估的作用主要體現在:首先,信息安全保障需以風險評估作為基礎。對計算機信息系統進行風險評估過程多集中在對系統所面臨的安全性、可靠性等方面的風險,并在此基礎上做出相應的防范、控制、轉移以及分散等策略。其次,信息安全風險管理中的風險評估是重要環節。從《信息安全管理系統要求》中不難發現,對ISMS的建立、實施以及維護等方面都應充分發揮風險評估的作用。最后,風險評估的核查作用。驗收信息系統設計安裝等是否滿足安全標準時,風險評估可提供具體的數據參考。同時在維護信息系統貴過程中,通過風險評估也可將系統對環境變化的適應能力以及相關的安全措施進行核查。若出現信息系統出現故障問題時,風險評估又可對其中的風險作出分析并采取相應的技術或管理措施。
二、計算機信息系統安全風險的評估方法分析
(一)以定性與定量為主的評估方法。
計算機信息系統安全風險評估方法中應用較為廣泛的主要為定性評估方式,其分析內容大多為信息系統威脅事件可能發生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風險的大小作出正確判斷。另外定量分析方法對威脅事件發生的可能性與其所造成的損失評估時,首先會對特定資產價值進行分析,再以客觀數據為依據對威脅頻率進行計算,當完成威脅影響系數的計算后,便將三者綜合分析,最終推出計算風險的等級。
(二)以知識和模型為基礎的風險評估。
以知識為基礎的風險評估通常會根據安全專家的評估經驗為依據,優勢在于風險評估的結構框架、實施計劃以及保護措施可被提供,對較為相似的機構可直接利用以往的保護措施等便可實現機構安全風險的降低。另外以模型為基礎的評估方式可將計算機信息系統自身的風險及其與外部環境交互過程中存在的不利因素等進行分析,以此實現對系統安全風險的定性評估。
(三)動態評估與分析方式。
計算信息系統風險管理實際又可理解為信息安全管理的具體過程,一般會將信息安全方針的制定、風險的評估與控制、控制方式的選擇等內容包含在內。整個評估與分析方式具有一定的動態特征,以PDCA為典型代表,其計劃、實施、檢查以及改進實現了對風險的動態管理。
(四)典型風險評估與差距分析方法分析。
典型風險評估主要包括FTA、FMECA、Hazop等方法,對計算機信息系統設計中潛在的故障與薄弱之處,都可提出相應的解決措施,以FTA故障樹分析為典型代表,在分析家算計信息系統的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統的安全要求與當前的系統現狀存在的差距進行系統風險的確定,存在的差距越大則證明存在的風險越大。
三、結論
計算機信息系統風險的評估是解決當前信息時代下網絡問題的必然途徑。在實際評估過程中,需以具體的評估標準為依據,立足于自身計算機信息系統的安全現狀,選擇相應的風險評估方法。這樣才可促使計算機信息系統的安全性與可靠性得以保障,發揮其在各領域中的應用效果,同時對計算機信息系統安全風險評估標準研究過程主要需從具體的等級保護標準、安全保障評估的具體框架、風險評估的基本原則以及具體過程等方面著手,使整個計算機信息系統風險研究評估達到最佳化。
作者:張小兵 單位:赤峰學院計算機與信息工程學院
