信息安全风险评估系统管理研究

信息安全风险评估系统管理研究

摘要:

信息系统安全风险分析与评价方法,对于信息安全,以及信息化建设的长远发展战略都有着非常重要的意义,因此,必须保证其科学性、先进性与可行性。为保证信息系统的安全,我们必须了解信息安全所处的环境和状况,这就需要信息系统安全风险系统对其进行评估,并提出相关的解决措施。

关键词:

信息系统管理;风险评估;信息安全

在信息安全风险系统评估中可以采取很多评估方法,来确保有效地评估信息安全风险的内容。在定量评估中,可采用层次分析法来处理出现的问题,并效评估和判断各种风险。

一、信息安全风险在信息系统管理中分析

1.1信息系统与信息安全的关系。通过人与计算机相结合的系统模式,来储存、传输、和采集信息,从而实现具体的应用,在这个过程中,计算机和网络是最重要的部分。信息的可用性、完整性、以及保密性,是信息安全的主要内容。在信息系统中,信息安全主要指的是人、网络、与环境相关的管理安全、技术安全、结构安全等,要确保信息安全的进行传输、处理,还要保证其在过程中的可用性、完整性、保密性。

1.2信息系统的安全风险。在信息系统配置安全运行的过程中,在特定的时间点内,非法人员利用网络窗口中的漏洞,来攻击整个网络系统,盗取访问特定的基本信息的权限,从而造成网络安全风险,致使系统失去保护信息资产特定对象的功能,大量泄露了用户的信息,其后果非常严重。信息系统存在风险,并不表示其不安全,在信息系统管理中将风险控制在可以接受的范围内,信息安全风险的评估方法发挥着非常重要的作用,其技术依据,为系统平稳运行以及安全建设提供了保障。

1.3威胁性。威胁性是指对信息安全造成的一种潜在的危害,组织的资产所引起的恶意破坏从而对资产可能受到的潜在危害进行系统性的评估称为威胁性评估,安全信息的威胁因素包括:人为因素、环境因素,对每一项资产都要做好威胁性分析,关键资产的威胁性分析更是很重要。

二、信息安全风险评估措施

2.1信息安全风险评估内容。评估分析已有安全措施和对资产的威胁性和脆弱性进行评估。在信息安全评估中,信息资产是重点保护对象,它包括软件、硬件、数据、以及人员等一切可对信息资源产生一定利用价值的资源。为有效分析安全风险需求,建立风险防范措施,我们需按照每个资源的可用性、完整性、和保密性,对其进行等级划分包括间接威胁和直接威胁等,对组织系统中资产的威胁性进行评估。

2.2风险评估方法。在信息系统管理中,评估信息安全风险方法有很多,如:定性评估法、人工评估法、定量评估、工具辅助评估等其他评估方法,本文主要分析前两个方法。第一,定性评估法,定性评估法侧重于对风险带来的损失进行评估,而风险的发生频率为得到重视,该方法在主要是通过专业机构或专家来判断分析风险,因此,该评估方法具有较高的主观性;第二,人工评估法,又叫做手工评估法,在整个风险评估的过程中,通过人工作业的形式来评估信息安全风险,通过评估资产、投资成本的风险的安全需求、脆弱性、威胁性、安全措施等,同时结和其风险效益,从而提出有效的解决方案。

2.3层次分析方法。在建立信息安全的评价体系时,可使用运用层次分析法来综合评价风险。为给信息安全的风险评估提供可靠依据,通过运用层次分析法对信息安全风险中包括的所有要素之间的相对重要的权数进行评价,结合所有要素的排序进行横向比较分析,评估信息安全的风险。使用层次分析法评估信息安全风险可提高风险评估的科学性、准确性。在分析评估安全风险中主要分析了以下四个评价指标体系,即安全措施、脆弱性、威胁性、资产,这种一定程度上降低安全风险系数。

结语

降低信息安全风险应采取合理的信息安全风险评估方法,来评估信息安全系统中的风险。通过对各个风险因素进行等级划分,从而准确地判断与评估信息系统中存在的风险,然后结合所有要素的排序,采取有效措施,对信息安全系统中容易出现问题的环节进行安全改进,从而提高信息系统管理中信息系统的安全性。

作者:陈绮琦 单位:广东电网有限责任公司阳江供电局

参考文献

[1]张良乾.信息系统信息安全风险管理方法研究[J].信息通信,2014,05(12):158.

[2]黄仲.信息安全风险评估发展现状及前景分析[J].企业科技与发展,2014,08(14):8-9.

[3]杨海军,景红壮.云计算中信息安全风险评估研究[J].科技信息,2013,04(26):284.