信息安全风险管理方法研究

信息安全风险管理方法研究

摘要:

随着计算机网络的技术的迅猛发展以及移动互联的全球化,Internet已经和现今的各行各业相互契合,而组织业务相关的信息系统已经成为组织行业信息赖以生存的“朋友”。移动互联的信息安全问题逐渐走入人们眼中。信息系统的安全问题是的对于一个组织有着重要的战略意义。本文立足于当今信息安全现状,例数当今信息系统的安全问题,对信息系统的安全风险管理方法进行研究,并针对信息系统安全问题给出针对性建议。

关键词:

信息系统安全;信息系统管理;计算机尖端科技

目前,世界各国经济都在迅速发展,经济全球化的进程逐渐加快,伴随着经济的推进,尖端科技迅猛发展。因此,电脑逐渐走进了各家各户,移动互联正在改变人们的生活方式。计算机网络技术的优越性使得人们对计算机网络愈来愈“信赖”。然而随之产生的便是用户的网络信息泄露事件。计算机网络安全问题已经受到了更多人的重视。所以,对信息系统安全风险管理方法的研究有着鲜明的现实意义。

1信息系统安全风险管理方法研究

随着计算机网络技术的不突破何如普及,极大的方便着人们的生活和学习,而且正在慢慢的改变人们的生活方式。目前,计算机网络技术已经被应用到军事科技当中,中增强着我国国防力量。使得未来战争真正的实现“兵不血刃”。与此同时,信息系统的安全问题会“威胁”着国家的经济建设,和国防建设。所以这一切都表明了信息系统安全问题是一个国家安全建设的基础,是国家社会发展和建设的保障。而信息系统的安全成为了信息化革命的基本。甚至可以说,信息系统安全问题关系着国家安全,民族发展是全人民的的头等大事。信息系统安全计划建设是了一个国家和民族的战略性目标,已经是不争的事实。

2信息系统的信息安全现状

当今社会信息系统安全问题不容乐观,信息系统面临着严峻的安全风险。根据调查来看,每年的重大信息系统安全事件正在逐年增加。信息系统安全问题主要包含以下两大方面:一是由于现今科技技术的不完善性和局限性,使得信息系统在构建之初便存在着漏洞,导致信息系统“脆弱”。二是现实社会中的各种经济斗争和利益斗争,使得原本的信息系统漏洞被“开发利用”。计算机网络技术是一个复杂的大系统,它是由众多的代码、硬件、软件、协议所共同组成。在计算机网络技术的不完善和设计人员思想局限性的前提下,使得信息安全系统在构建的时候会出现不可避免的漏洞。例如,计算机网络中一个操作系统需要几千几万的代码组成,甚至更多。为满足用户的各种需要,设计的技术复杂性逐渐增多。据调查在繁琐的计算机网络设计时,很可能一千行代码中便会存在一个错误。因此,信息系统的漏洞越来越多,越来越严重。另一方面,“黑客”作为一种“文化现象”一直伴随着计算机网络技术的发展而发展。并且随着人们之间的利益冲突不断加剧,使得黑客的恶意攻击事件愈演愈劣。此外,根据调查显示,在攻击技术复杂的计算机网络时,黑客相对应需要的知识却越来越少[1]。

3信息系统风险管理的目的和作用

信息系统安全是目前全世界所面临的重大问题。虽然,信息安全问题具有着普遍性,但是同时因为它的特殊性,使得我们不得不重视。信息系统的安全管理已经不再是“0”和“1”之间的问题。我们不断的探索,为了找到一个更好的信息系统安全管理方法。我们希望新的信息系统安全管理方法可以改变现今网络安全的现状,并且让更多的人可以更好的享受计算机网络技术带来的方便。计算机网络在人们的生活和学习中有着重要的的作用,在国家建设上有着重要的地位,信息系统的安全管理的研究,我们旨在便利更多的人民群众,更好的建设国家,为祖国的建设作出贡献。我们要做到防患于未然,让国家和人民免于信息系统安全问题的威胁。由此我们可以得出这样的结论:风险管理是信息系统安全管理方法的新模式,而最佳的信息系统安全保障方法就是对信息系统进行风险管理。

4信息系统风险管理的趋势

纵观世界,信息系统安全风险管理的经历了技术,技术与管理相结合的阶段。当前,在信息安全保障意识的前提下,还在不断的深入完善。如何将传统的风险管理理论和实际相结合并更好的应用于信息安全管理领域,是全世界面临的一个尚未解决的问题。

5信息安全风险管理理论基础

信息安全风险管理研究的理论基础大的方面是国家规定的计算机网络技术管理法则,和现今的计算机网络技术。小的方面是现今信息系统所具有的保密性、完整性、可用性、脆弱性。以及网络信息系统面临的威胁[2]。

6网络信息系统风险管理的ISISRM管理方法

6.1ISISRM方法的基本思想

ISISRM方法体现的是“定制”思想,它具有较强的开放性,在识别风险因素并进行解决的同时,它不会拘泥于单一的解决方法。它可以使风险管理过程和用户使用目的紧密集合结合在一起,并且在风险评估时采用了“适度量化”的原则。在ISISRM方法的我研究中引用了经济管理学的知识,它将不再只解决信息安全问题,而是从用户的角度上来说变成了一种“投资”行为[3]。

6.2ISISRM方法的管理周期

按照ISISRM的设计逻辑,ISISRM的管理周期分为风险管理准备阶段、信息安全风险因素识别阶段、信息安全风险分析和评估阶段、信息系统安全保障分析阶段、信息系统安全决策阶段、信息安全风险动态监控阶段。

7结语

计算机网络技术迅速发展,加速了社会信息化的进程,使得人文建设与信息系统关系日益“亲密”,但是随之而来的信息安全问题值得引起我们的重视,并让我们花费人力和物力进行解决,它时刻的威胁着我们社会主义人文建设。所以我们应该运用ISISRM这样的风险安全方法进行信息系统安全的维护和改善。

作者:李响 王培凯 单位:安徽省蚌埠市固镇县公安局 安徽省蚌埠市五河县公安局

参考文献

[1]孙鹏鹏.信息安全风险评估系统的研究与开发[D].北京交通大学,2007.

[2]杨继华.信息安全风险评估模型及方法研究[D].西安电子科技大学,2007.

[3]陈恒.基于业务流程的信息安全风险评估方法研究[D].陕西师范大学,2012.