前言:中文期刊网精心挑选了信息安全论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全论文范文1
(一)档案信息制度不健全带来的信息安全隐患
在档案信息化突飞猛进的背景下,相关的档案信息安全管理制度却未及时地建立起来,给别有用心的人窃取和不当利用档案信息以可乘之机,严重危害着档案信息的安全。比如,有的档案管理单位解答了档案利用者的问题,因为认为该问题具有代表性,就将该问题放入常见问题资讯库中。若该档案管理单位缺乏档案信息的保护制度和保密意识,没有对咨询人的个人信息进行必要的屏蔽和处理,可能会造成用户信息的泄露,侵犯档案利用者的隐私权。再比如,有的地市住房公积金管理网络系统由于缺乏相应的安全制度和技术保障措施,只需要输入公积金缴存人的姓名就可以查阅到其工资水平和住房公积金缴纳情况,而个人的收入状况属于个人不愿向外界透漏的的隐私,这就造成了个人档案信息的泄露。
(二)档案网络化管理带来的信息安全隐患
网络化管理给档案管理工作带来便利。但是,计算机感染木马病毒和遭受黑客恶意攻击的风险给档案信息的安全性带来隐患。木马程序一旦侵入档案管理系统,很可能会破坏档案信息数据,甚至会采取篡改、盗窃、销毁档案数据的破坏手段,造成档案管理的混乱,给档案数据的安全性带来致命损害。另外,以光盘、硬盘等存储介质为载体的电子数据档案有其自身不可克服的缺点,如信息数据不够稳定、易于损坏和难以固定保存等,加之档案存储设备更新速度很快,若不对档案存储设备以及相关的计算机硬件和软件及时更新,解决数字档案的格式转换等问题,极易造成档案数据丢失、毁损或无法顺利读取等情况发生。
(三)档案管理造成的信息安全隐患
档案信息化对档案管理人员的素质提出了更高的要求,要求档案管理人员不但要精通档案管理知识,还要精通互联网知识、计算机和相应档案管理软件的操作方法。但是,当前档案管理人员的年龄结构存在普遍偏大的状况。有些年龄较大的档案管理人员知识更新不够及时,仍然拘泥于传统的档案管理模式,对信息化的档案管理可能会感觉力不从心。因为对档案管理设备和档案管理软件研究不够深入,操作熟练程度不够等原因,在管理过程中容易造成档案数据意外删除等丢失毁损情况,构成档案信息的安全隐患。
二、加强档案信息安全的举措
(一)加强制度建设,提高档案安全管理意识
首先,单位领导要充分认识到档案信息安全管理的重要性,制定相应的档案信息安全管理制度,与档案管理人员签订档案安全管理责任承诺书,安排专门档案管理人员对所有档案信息进行保密管理,规范档案信息的保密审查程序和公开程序,确保做到公开的档案信息不,的档案信息不公开。同时,要完善档案信息安全防范机制,严格禁止其他计算机对档案管理系统网络的接入和访问,的档案信息不允许与互联网联接,的计算机要设置专用密码,在转为非计算机时要按照《保密法》的规定对存储硬盘进行拆除。
(二)不断提高档案安全管理技术,做好电子档案的异质备份工作
首先,提升档案安全管理技术是保障档案信息安全的有效途径,要定期对管理档案的计算机设备进行杀毒软件的升级,及时对病毒进行扫描和查杀,避免木马程序和黑客恶意侵入档案管理系统。同时,定期对档案管理设备如计算机设备、打印机、复印设备等进行检查,确保各种档案管理设备的正常使用。其次,承载电子数据档案的存储设备有别于传统的档案载体文件,对它的读取必须依靠必要的硬件设备和阅读软件才能够实现,对这些电子文件档案同时转化为其他类型的载体就成为必要。做好电子档案的异质备份工作,就可以防止随着技术的发展出现现有的电子档案因为缺乏相应的阅读设备和软件而不能顺利读取的尴尬局面。异质备份的常见方法主要有:将网络下载文件转变成纸质文档;将纸质文档通过扫描等手段转换成电子文档;将现有的电子照片通过拷贝等形式制作成多份备查等。
(三)优化档案管理人员结构,提高档案安全防范意识
档案管理的信息化对档案管理人员的素质提出了更高要求,要优化档案管理人员结构,建立形成梯队的复合型档案管理队伍。档案管理人员不但要熟悉档案管理方面的业务知识以及相关的档案管理法规,还要对计算机操作、互联网知识等现代化的科技知识做到熟练掌握。这就要求我们必须要建立健全档案管理人员的管理制度,对档案管理人员的配备、流入流出等规定严格的程序,明确各类管理人员的工作职责和违反规定造成档案安全信息不当泄露应承担的责任。要定期对档案管理人员进行业务知识和档案信息安全管理方面的培训,提高他们的安全防范意识和防范技能水平。
三、结语
信息安全论文范文2
铁路投产运行的信息系统很多,有的系统按照等级保护要求确定了安全等级并建立了安全系统;有的系统在设计中考虑了安全等级,但在建设过程中并未按设计要求实施安全方案;还有的系统没有考虑安全措施。针对铁路信息系统投产运行后的实际情况,铁路总公司有必要组织内外部测评队伍,根据国家和总公司对信息安全的建设要求,对信息系统开展技术和管理两方面的现状评估,检查信息系统在物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理上与相应安全等级标准的差距,进行差距分析,提出建设整改意见。
2安全等级测评
在信息系统等级保护安全建设完成和投产之前,首先组织内部测评队伍对安全建设情况进行效果测评,发现不符合性提出整改建议。内部测评结束及整改验收后,再聘请有第三方测评资质的测评机构进行等级测评,验证与国家及行业等级保护标准的符合性。通过总公司内部和专业测评机构的两级测评,可有效地推进国家及行业信息安全标准在全路的落实完善。按照GB/T22239-2008《信息安全技术—信息系统安全等级保护基本要求》中的等级测评要求,信息系统在运行过程中,等级保护测评工作要定期开展,其中三级系统每年要测评一次,四级系统每半年要测评一次。根据该要求,结合每年铁路安全大检查工作的需要,制定每年的安全大检查计划,组织内外部专业测评队伍,对三级及以上的信息系统开展安全等级测评工作。
3安全建设整改
3.1机房物理环境整改
按照《铁路行业信息机房设计及建设规范》、《铁路行业信息机房管理规范》的要求,完善机房环境、设备管理、电源管理、安全管理和资料管理,并从防雷、防火、防水、防静电、防盗窃、防破坏、电力供应、机房电源及环境监控等方面对机房环境进行改造。
3.2安全域划分
按照《铁路行业信息系统安全体系总体设计方案》,根据信息系统的安全等级,采用交换机划分VLAN、设置访问控制策略、部署防火墙等技术措施对信息系统进行安全域划分。
3.3边界网络防护
明确总公司信息网络、业务专网和互联网的网络边界,对网络边界部署内、外部网络访问控制策略、入侵检测等多项防护措施,并加强网络边界的监测。
3.4主机安全加固
遵照《铁路行业信息系统安全加固实施指南》,通过配置安全策略、安装安全补丁、修补系统漏洞、强化身份鉴别等方法对各类主机设备的操作系统、数据库、中间件等及时进行策略配置和加固。
3.5应用及数据安全防护
依照国家和行业标准,从用户身份认证、访问控制、数据加密、容错能力、日志审计等方面进行应用系统安全改造和建设。在数据安全防护方面,采用有效的数据备份策略对重要数据进行定期和增量备份,采用安全移动存储介质进行必要的数据交换。
3.6强化信息安全队伍建设
从安全管理、运行、监督、技术支持等方面加强行业内信息安全队伍建设,确保安全责任落实。做好总公司、铁路局两级和一线服务、二线运维、三线技术支持安全运维服务队伍,负责各系统日常安全运行维护工作。
3.7完善信息安全管理工作
为切实做好信息安全管理工作,总公司需要结合信息安全管理体系建设项目,以等级保护为抓手,将等级保护与信息安全日常管理紧密结合,将信息安全管理全面纳入铁路运输安全生产管理体系,按照“谁主管谁负责、谁运行谁负责”和属地化管理原则,逐级落实信息安全责任,建立与总公司信息化发展相适应的信息安全监督机制、应急机制、故障通报与处理机制、事件责任追究机制和风险管理机制。总公司在加强信息系统建设管理方面,需制定一系列的规章制度,包括《铁路行业信息系统上下线管理规范》和《铁路行业计算机应用软件通用安全要求》等,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、验收交付、等级测评、安全服务等管理内容。
4安全措施落实
4.1建立铁路信息系统安全技术体系
研究建立“一个中心(安全管理中心),三重防护(计算环境、区域边界、信息网络)”的铁路信息系统安全纵深防护和主动防御的技术体系,按总公司、铁路局、站段三级管理模式和信息系统运输生产专网、内部服务网、外部服务网三网的特点,实现运输组织及客货营销类信息系统“分级分区、专网专用、横向隔离、纵向认证”的安全策略,经营管理类信息系统“三级独立成域、主动防御、内外兼防”的安全策略。
4.2建设铁路信息安全综合管理平台
铁路信息安全综合管理平台是为总公司及下属单位开展与信息安全管理相关工作的综合工作平台,功能将覆盖总公司及其下属单位的信息安全管理工作的主要内容,并支持公安部等级保护管理工作。平台主要提供以下3类功能:
(1)以信息系统定级、备案、整改、测评和检查等规定步骤为主线,实现等级保护工作任务的下发、执行、进度监控和督办;
(2)风险管理、应急管理、安全检查和事故通报等专项管理功能;
(3)日常办公的综合管理、培训教育、标准管理等。
4.3建设铁路信息安全一体化运行监控平台
铁路信息安全一体化运行监控平台是集综合网管、应用防护、IT运维、机房监控为一体的信息系统安全运行监控管理平台,实现网络监控、主机监控、机房监控、边界防御、桌面终端安全的全方位监控功能。
4.4开展国产化和自主可控技术研究
在信息安全越来越重视国产化的大技术背景下,开展铁路行业的信息安全国产化和自主可控技术的研究尤为重要。在国产化方面,紧紧围绕铁路网络安全自主可控战略目标,根据国产产品成熟情况,结合铁路业务发展、业务需求,按照“统筹规划、分步实施,应用牵引、平台重构,项目推动、政策保障”的工作思路,采取“直接采用、对等替换、平台替换”技术策略,进行信息系统国产化改造和构建铁路信息安全等级保护技术体系的积极探索。在自主可控方面,通过统一标准、自主研发、自主实施、产权管理、风险评估、安全测评、安全管控、安全巡检等手段实现信息系统全生命周期各阶段的安全可控。
4.5开展基于云计算的安全技术探索
云计算已成为信息技术的重要发展方向,建立铁路云应用平台将对铁路信息化应用技术产生深远影响。云计算环境下的信息安全问题是信息安全技术领域面临的一个新课题,在开展铁路云应用平台研究的同时,同步开展云安全应用技术的研究和探索,使基于云计算的铁路应用平台在设计、建设、投产3个环节将信息安全同步纳入。
4.6建立铁路信息安全评测体系与技术督查体系
采用安全检查、风险评估、内外评测、安全运维等管理和技术手段,建立有效的安全测评与技术督查体系。通过在重要时间节点(如春运、暑运等)开展安全检查和自查工作,使路局、站段管理人员保持安全意识;按照等级保护标准要求定期开展风险评估、等级评测等工作,确保等级保护安全手段能贯穿重要信息系统的始终;通过完善铁路两级三线安全运维服务体系,建立总公司、铁路局两级信息安全技术督查工作机制,将信息安全技术和管理有机结合起来,实现安全管理、运维、督办相辅相成、相互监督的局面。
4.7等级保护示范工程仿真实验环境及试点工程建设
信息安全论文范文3
随着全员信息安全意识的提高,外汇分局信息安全工作正日益完善,但与中央网信办和外汇局的要求还有一定差距,存在一些薄弱环节,主要表现在以下几方面。一是缺乏完整、成体系的信息安全制度。外汇分局已有的制度里没有完全涵盖从机构建设、人员管理到数据管理、运维管理、应急管理以及教育培训等一系列规范的信息安全内容。二是人员管理方面。人员离岗离职后没有及时收回或变更其在相关应用系统里的权限。三是网络安全防护上方面。外汇分局网络各区域间边界不清晰,缺乏必要的安全防护设备。另外,对内部网络的用户管理较松,容易发生对系统的非授权访问或者冒充合法用户访问等问题。四是终端计算机安全防护方面。外汇分局终端都由人民银行科技部门统一管理,统一下发补丁软件,但是存在业务人员在终端机上安装与工作无关软件的情况,导致植入病毒的几率大大增加,为系统安全埋下隐患。五是安全教育培训及安全检查方面。外汇分局对于全员安全意识教训及专业技能培训比较欠缺,特别是对所辖中心支局业务人员的安全教育培训不足,安全检查的广度和深度也不够。
二、结合实际,提升信息安全保障措施
外汇分局在查找出信息安全风险隐患后,应结合自身实际,从管理和技术两方面采取相应的防护措施。
(一)加大信息安全管理制度的体系建设
一是建立系统的信息安全管理制度。外汇分局应遵循“谁主管谁负责、谁运行谁负责”的原则,按照相关要求明确信息安全管理机构及责任人,制度应涵盖人员管理、资产管理、数据管理、网络管理、运维管理、应急管理、教育培训等内容。二是加强信息安全应急管理。外汇分局应制定应急预案,保障应急资源,并定期或不定期地进行应急演练。
(二)加强信息安全技术防护措施
一是建立良好的网络安全防护措施。针对近期的网络改造工程,外汇分局应明确各区域的网络边界,做好边界防护措施,并制定制度进一步规范网络用户的操作,完善网络设备的安全配置及审计措施。二是做好应用系统的安全访问控制。外汇分局对所有的应用系统,包括电子邮箱、门户网等,都应做好用户权限管理和划分。三是规范终端计算机的安全操作行为。主要是建立相应制度规范业务人员操作,并在终端上设置账户密码保障安全。针对WindowsXP停止安全服务的情况,外汇分局应卸载与工作无关的应用程序、关闭不必要的服务和端口等,不断加强对使用WindowsXP系统终端计算机的管理。
(三)强化信息安全教育培训
外汇分局应采取各种方法做好信息安全教育培训。除开展提高安全意识的培训外,还需要加强信息安全知识及安全防护技能的培训。
(四)深入开展信息安全检查工作
信息安全论文范文4
(一)观念意识淡薄
网络是新生事物,很多人在利用网络学习、工作和娱乐的时候,常常忽略网络信息是否安全,他们不仅没有认识到信息安全不足的事实,还普遍存在安全意识淡薄的问题。与此同时,网络经营者在安全领域的投入远远不足,他们注重的都是网络的效应。在面对电子政务信息安全风险时,意识不到存在的风险才是真正最难解决的问题。值得庆幸的是,政府在发展过程中还是清楚的意识到安全问题的存在,只是使用者对自我信息安全保护还缺乏敏感的意识。
(二)管理体系不完善
田敏达在《电子政务信息安全策略研究》的论文中认为,电子政务信息安全不是单纯的技术问题。如果缺乏行之有效的安全检查保护措施,无法从技术、人员以及管理制度上建立电子政务信息安全防范体制,即使是再好的设备和技术也无法保证信息的安全。谭晓在《电子政务信息安全系统的设计与实现技术》中提出,管理体系也是电子政务安全体系的重要组成部分。管理作为网络安全的核心,要实现信息安全的有效管理,不仅需要技术手段的维护,还需要制定合理的管理制度,如日常系统操作及维护制度、审计制度、文档管理制度、应急响应制度等,这样才能发挥有效的作用。
(三)技术存在缺陷
田敏达在《电子政务信息安全策略研究》中也提出了存在的一些问题,包括我国网络安全技术落后、技术优势与相关行业脱节研究、计算机系统本身的脆弱性、我国对发达国家信息设备和信息技术存在着很强的依赖性。技术问题是支持电子政务信息系统稳定高效运行的关键手段,技术的问题是可以控制的,但是开发技术,实现高超的技术水平却是困难的。
(四)法律不健全
孟薇《电子政务信息安全研究》提出尽管一些既有的法律法规的出台和实施对于我国电子政务信息的安全起到相当积极的作用,但仍难以适应电子政务发展的需要,信息安全立法还存在相当多的盲区。在法律方面,基本的法律法规对电子政务信息安全有一定的约束作用,但是目前法律法规还存在不健全、覆盖有盲点、制度不协调等问题,这些为钻法律空缺的违法者提供了“正当”理由。
二、我国电子政务信息安全的防范策略
(一)增强政府部门的管理功能
对电子政务信息安全管理方面进行全方面的研究要从安全审计、数据库、电子邮件系统、浏览器、认证中心、安全产品的安全以及防火备份的安全管理等方面。通过建立和完善管理部门功能,增强管理业务操作,防范与避免不法分子对信息管理系统的侵犯。
(二)加强信息安全专门人才的教育培养
目前,我国信息安全系统及其产品不仅仅依靠向其他国家引进,而更多的是通过政府、行业以及企业在信息安全领域的投资开发,设计出经济合理以及具有自主知识产权的实用产品和适用技术。因此,建立信息安全产品技术研发的核心,即创造高水平的研究教育环境、培养高素质的信息安全人才以及提高信息安全理论基础知识的研究,另外,科研教育基地的大力支持和投入也为其奠定了基础。
(三)设置技术的远程访问的控制
通过路由访问策略和防火墙技术隔离内网与外网,在内网与外网相连通时,必须采取这样的措施才能避免安全隐患的存在。电子政务是开放,但又是封闭的,如何保证相应的客户访问到有权限涉及的资源,又能够保障对其限制的资料不被访问,就是电子政务的设计人员必须考虑的问题。针对此类问题,可以通过设置鉴别服务器来专门负责远程访问得到控制,至于是否设置鉴别服务器取决于该电子政务系统的规模。
(四)建立技术密钥分配中心
密钥的设立贯穿于网络的各个层次和级别,如负责访问控制以及证书、密钥等安全材料的产生、配置、更换和销毁等相应的安全管理活动,在身份认证机制和信息加密中,都要使用到加密体制,而无论什么加密体制都离不开密钥的使用、存储和传输的安全性。因此可以通过建立密钥分配中心负责信息加密、访问控制中心、安排鉴别服务器、授权服务器等活动。
(五)构建完善的安全法律体系
国家的政策法律要适应社会存在的需求和现实,通过为社会信息化发展提供全方面的指导思想以保障和促进国家的法制建设和信息化立法制度的建设。并且能够通过发展规范程度,继而实现更深层次的进步,同时促进国家信息化安全的环境构筑,为体现信息安全的法制文化做出有效的行动。针对存在缺陷的法律体系构建适合电子政务信息安全发展的法律法规,实现法律的约束。
(六)强化电子政务信息安全法律效率
信息安全论文范文5
所谓的档案信息化就是指在实际的档案管理工作中,采用信息化的技术和手段,实现信息的共享,为档案应用着提供便利。同时做好档案的开发和整理工作也是现如今社会发展的重要趋势。网络的高度发达成为档案信息化建设的前提和条件,实现档案管理的信息化和网络化符合社会可持续发展的需求,同时还能够提升社会服务的意识,加强服务力度。在进行档案信息化的过程中需要对相应的制度,管理方式等进行高度重视,同时做好档案安全的防御工作也是一种企业或者是事业单位风险评估的重要表现。保证档案信息的真实性和准确性时提升企业信誉程度,树立形象的重要因素。可见,在现如今的社会中,实现档案管理的信息化,加强保证意识具有一定的重要意义,也具有一定的必然性和可行性。
2档案信息化发展的技术环境和政策环境
2.1档案信息化发展的技术环境
从档案信息化的进程上看,其技术环境主要是包括计算机网络的普及以及各种办公方式的优化,做好档案信息的收集、整理以及存储和利用工作是实现档案信息管理的重要环节,在各个关节中都需要将先进的信息技术应用到其中。所以说,各种技术设备和方式的共同作用逐渐完善了档案信息化的进程。另外,还需要提供良好的硬件设施,实现档案信息的资源共享工作,同时保证档案信息传递的快速和便捷。
2.2档案信息化发展的政策环境
由于档案管理的信息化实现给档案管理工作带来较多的便利,因此,国家对这一问题加强了重视。在相关的法律法规中提到了关于档案信息化建设的重要内容。这些举措都是为档案信息化创设一个相对比较公平且开放的环境,使得档案信息能够发挥自身的优势作用,实现全国性和规范性的特点。另外,档案信息的真实性和准确性特点也需要科学的政策环境作为背景,各级单位或者是机关等都应该充分应用网络的相关资源实现档案管理的高效性。不得不提到的是,档案信息的检索功能越来越受到人们的高度重视,在实际的应用中,需要保证应用的快捷性。
3电子档案信息管理存在的安全问题
档案管理的安全问题直接影响到档案管理机构的机密或者是相应工作的进展。因此,保证档案管理工作的安全性,做好安全保证工作,能够有效的解决电子档案信息管理工作中出现的众多问题。虽然档案管理工作人员众多,但是工作中出现的问题比较严重,其中包括以下几个方面。
3.1物理安全问题
物理安全问题是档案信息化中最为主要的问题,所谓的物理安全主要是指档案信息存放的条件以及环境,档案信息多以电子形式保存,因此,保存的温度和湿度等都需要控制在相应的范围内。尽量避免出现消磁,毁坏会这是盗窃的问题。从目前电子档案的管理工作上看,出现破坏的可能性主要有表现在两个方面,第一是计算机自身的软件和硬件方面的问题,另一方面则是人为因素。可见保护电子档案的安全性需要做好辐射的防护,提升工作人员的操作技能等等。
3.2软件安全
软件是计算机系统的重要组成部分,只有保证软件的安全问题才能实现档案信息的正常运行,提升利用程度。软件和硬件都是比较重要的两个方面,要在运行的过程中严格按照相应的标准以及规定来进行,同时对软件的使用权限进行控制,同时还需要对电子档案进行归档和整理,避免黑客对档案信息进行拷贝和篡改。
3.3数据安全问题
数据安全才是档案信息安全的基本,电子信息的保护就是要保证信息不被泄露。同时在电子档案的软硬件共同作用的前提下,需要更加注重对数据安全问题的重视。为了保证安全问题,需要将档案信息进行备份处理。通过科学的介质来进行传递,提高其利用程度。还可以根据档案信息的使用频率来设置权限,这样才能保证档案信息的数据安全问题。
3.4网络安全问题
在计算机系统应用的过程中,可能会受到网络节点的制约,形成一定的破坏性,直接影响到计算机网络的安全性,对于档案信息的安全程度也会产生严重的影响。而且网络问题的出现也会造成其他问题的产生,所以需要根据电子信息档案的相关内容以及应用的特点来设置相应的防火墙结构,做好安全技术的推广,对网络安全问题进行严格地控制。在此过程中需要将网络监管工作落到实处,选择专业的工作人员来进行这一工作。
3.4.1单位的安全防范意识要加强
改进服务的方式增加新的举措,提高创新性,在共享电子档案信息资源的前提下,要加强安全性防范,在共享电子档案信息的同时注意信息流失,除了给计算机各类用户提供计算机网络提供优质服务的同时,在技术时上要加强管理,最终做到信息服务的最优化。
3.4.2重视基础设施的建设提高应用系统的维护
在提供了高效便捷的服务下,我们还要重视基础设施的建设提高应用系统的维护。对那些突发性的灾难,在安全上要有积极的应对措施,并最终达到综合性和智能化的电子档案管理。
4结束语
信息安全论文范文6
信息系统的风险性可以分为人为性风险和非人为性风险,非人为性风险主要包括环境和系统风险。信息系统的脆弱性主要包括硬件、软件、管理以及运行环境等四个方向,从硬件方向讲,指硬件设备存在的漏洞和缺陷。从软件方向讲,在信息系统的研发过程中所产生的错误信息,进而导致系统出现漏洞,对安全造成严重危害。从管理方面讲,是指在日常管理和应急预案管理的过程中存在问题。从运行环境方面讲,指的是办公室、计算机房、温度、湿度以及照明条件等情况导致的系统漏洞。
2信息系统管理中信息安全风险评估方法
2.1信息安全风险评估内容
信息安全风险评估的主要内容包括评估资产的威胁性和脆弱性,对已有安全措施进行风险评估分析。信息资产是指对信息资源产生一定利用价值的总称,是信息安全评估中的重点保护对象,主要分为人员、数据、软件和硬件等资源,根据各种资源的完整性、保密性以及可用性进行等级划分,评估组织系统中资产的威胁性,包括直接威胁和间接威胁等,根本目的在于对安全风险需求的分析,建立风险防范措施,有效降低信息安全的威胁性因素。
2.2风险评估方法
信息系统管理中的信息安全风险评估方法较多,本文主要从人工评估法和定性评估法两方面进行分析。人工评估法。又称为手工评估法,是指在整个风险评估的过程中,运用人工作业的形式进行信息安全风险评估,通过对资产、投资成本的风险的安全需求、威胁性、脆弱性以及安全措施等,进行有效评估,根据其风险效益制定出与之相对应的决策。定性评估法。定性评估法是根据专业机构以及专家等对风险的判断分析,属于一种相对主观的评估方法,该评估方法偏向于关注风险带来的损失,忽略了风险的发生频率。其他评估方法包括工具辅助评估和定量评估等方法。
2.3层次分析方法
通过运用层次分析法对信息安全的评价体系进行构建,进而对风险进行综合性评价。通过运用层次分析法对信息安全的风险作出评估,评价信息安全风险所涉及到的各个要素间的相对重要的权数,根据各个要素的排序,作出横向比较分析,为信息安全的风险评估提供可靠依据。对信息安全的风险评估中,通过运用层次分析法进行有效评估,进而增强风险评估的有效性。通过分析资产、威胁性、脆弱性以及安全措施的四个评价指标体系,对安全风险进行合理性的分析评估,降低安全风险系数。
3结语
