信息系统安全风险评估方法和技术观察
来源:用户上传
作者:
摘要:本文介绍了信息系统安全评估的基本工作流程,分析了信息系统安全评估的基本方法。虽然当前我国信息系统安全风险评估工作上前没有一个较为成熟的发展趋势,但是随着人们对信息系统依赖性的不断增加,对信息安全越来越重视,也会越发的关注信息系统的安全风险评估工作。
关键词:信息系统;安全风险;风险评估;评估方法;技术观察
中图分类号:TP309 文献标识码:A 文章编号:1007-9416(2020)03-0195-01
1 信息系统安全评估的工作流程
1.1 资产识别
信息系统安全评估中的资产主要是包括相关重要信息系统的主体组织中,有价值的一系列信息资源,资产是当前相关工作人员提高信息安全评估工作效率的保护对象。资产主要是由文档,硬件软件数据服务以及人员等共同组成,在进行相关工作人员的信息系统安全评估工作中,需要对所评估的信息系统主体中不同的资产进行不同的等级划分,根据相关资料的完整性,可用性以及机密性作为有效的等级去进行判断。
1.2 脆弱性识别
脆弱性在信息系统安全风险评估工作当中,主要是指相关信息系统中一个或多个资产的弱点的总称。相关工作人员需要能够将所评估的信息系统主体资产作为工作核心,尽可能的在评估当中对每一个资产的弱点进行有效的分别标注,最后运用有效的信息技术将不同资产的弱点进行总体评估。
1.3 威胁识别
威胁是指可能导致危害系统或组织的不希望事故的潜在起因。威胁是一个客观存在,正因为存在威胁,组织和信息系统才会存在风险。威胁识别是尽可能的通过评估信息系统当中发现的有效问题,直接排查出威胁的接触过程。相关工作人员在开展具体的信息系统安全风险评估的威胁识别工作当中,需要尽可能的建立健全风险分析所需要的威胁场景,并且进行有关直接威胁或者间接威胁的有效识别。
1.4 风险分析
相关工作人员在对信息系统进行资产识别脆弱识别以及威胁识别之后,还需要对相关的信息系统进行风险评估阶段,在这个阶段当中,相关工作人员需要尽可能的对信息系统进行有关风险的分析以及计算工作,为后面的信息系统安全提供有效的相关信息。
2 信息系统中的风险评估方法
2.1 信息系统定量分析法
在信息系统风险分析过程当中,信息系统定量分析法主要是将信息系统中的资产价值以及风险进行一定标准的等量化财务价值评价。在信息系统的定量分析法当中,首先需要保证其自身可以进行量化,在一定程度上保证信息系统中的相关威胁,对于资产内造成的不同程度的损失,可以通过财务等情况进行相关的数据衡量,这种直观的衡量方式,在一定程度上可以保证信息系统的主体结构管理层可以更好的接收,并且辨别信息系统的风险分析。
2.2 基于知识的信息系统风险分析方法
在实际操作当中,基于知识的信息系统风险分析方法主要依靠的是相关风险评估的工作人员的自身的工作经验,通过对一系列信息系统资料的有效收集与分析,采用自身知识储备以及相关的风险评估标准进行有效的对比分析,在一定时间内找出信息系统当中存在可能会发生安全威胁的地方,通过相关的标准以及有效方法找出有效的解决措施,尽可能地保证信息系统减少风险的可能[1]。
2.3 基于技术的信息系统风险分析方法
信息系统安全风险评估相关工作人员在开展基于技术的信息系统风险分析方法的具体操作过程当中,通常情况下主要依赖的风险评估依据是自身的技术能力,通过对于相关信息系统中程序系统以及基础结构的全面排查,尽可能的用相应的信息系统内部脆弱性以及安全性的完整估计,有效的找出信息系统中可能会发现的一系列风险隐患。通常情况下,基于技术的信息系统风险分析方法主要采取的分析方法技术研究十分多,但是在实际管理过程当中存在一系列的不足之处,往往过于依赖工作人员的工作经验,进一步导致信息系统安全风险评估在管理工作当中出现漏洞[2]。
2.4 综合的信息系统风险分析方法
通常情况下,基于知识的信息系统风险分析方法过于主观,分析风险有着很好的准确性,相对来说工作的计算量很小,操作简单可以充分的运用相关工作人员的专业知识,但是在实际过程当中十分容易受到工作人员的主观影响,导致分析经准度不够,并且要求相关工作人员必须要有着一定工作经验以及很高的工作能力水平,在实际操作过程当中,对于信息系统的评估对象通常只能用到一些小系统,并且信息系统安全风险评估的结果很难进行统一。
最常见的信息系统安全风险评估综合评估方法是层次分析法,主要的分析思想是尽可能的将要分析的安全风险的性质和想要达到的总体目标进行有效的总结,尽可能的将问题分解成不同的组成要素,按照要素之间的内在关系和所属关系,按照不同的层次进行排列组合,将各个因素排列成一个有层次的结构模型,尽可能地将系统分析中的实际内容按照相关的重要性权重来进行有效的排序[3]。
层次分析法的分析核心是尽可能地将风险评估人员的工作经验以及专业知识水平进行量化,尽可能的为决策者提供定量的决策依据。首先需要将系统进行分解,搭建有层次的内在结构模型。风险评估人员需要将信息系统安全风险的对象进行有效的系统分解,主要的分解层次,包括方案层,准则层以及目标层。准则层是可以有很多个层次组成,主要包括的内容,是在分解过程当中考虑的准则以其子准则等[4]。目的层则是基于信息系统自身所独有的基本特性而建立起的系统的安全风险评估指标体系。
3 结语
随着我们国家社会与经济的不断前进发展,信息技术也得到了广泛的应用,为了保障信息系統的安全,信息系统风险评估行业的发展是当前信息安全领域的主要发展趋势之一。在一定程度上,对信息系统风险评估方法以及评估技术进行有效研究,可以更好的为我国信息安全保障体系的建设发展打下扎实的基础,相信在不久的将来,信息系统安全风险评估一定会在我国信息安全服务领域占据一个重要地位。
参考文献
[1] 李鹤田,刘云,何德全.信息系统安全风险评估研究综述疆[J].中国安全科学学报,2006(1):108-113+0-1.
[2] 张利,彭建芬,杜宇鸽,等.信息安全风险评估的综合评估方法综述[J].清华大学学报(自然科学版),2012(10):1364-1369.
[3] 唐作其,陈选文,戴海涛,等.多属性群决策理论信息安全风险评估方法研究[J].计算机工程与应用,2011(15):104-107+144.
[4] 杨晓明,罗衡峰,范成瑜,等.信息系统安全风险评估技术分析[J].计算机应用,2008(08):1920-1923.
Abstract:This article introduces the basic workflow of information system security assessment and analyzes the basic methods of information system security assessment. Although there is currently no more mature development trend in China's information system security risk assessment, as people's dependence on information systems continues to increase, they pay more and more attention to information security, and they will pay more attention to information system security risks. Evaluation work.
Key words:information system; security risk; risk assessment; assessment method; technical observation
转载注明来源:https://www.xzbu.com/8/view-15232749.htm
