信息安全風(fēng)險(xiǎn)評(píng)估與預(yù)防

風(fēng)險(xiǎn)評(píng)估與預(yù)防周克松廣西百色銀海鋁業(yè)有限責(zé)任公司533000摘要：信息技術(shù)的迅速發(fā)展，為人們的生活帶來(lái)了許多的方便。近年來(lái)，信息安全遭受危害的事件時(shí)有發(fā)生，信息安全成了國(guó)內(nèi)外普遍關(guān)注的話題。嚴(yán)峻的形勢(shì)告訴我們，必須要采取相應(yīng)的措施來(lái)防止信息安全遭到危害。本文詳細(xì)介紹了信息安全風(fēng)險(xiǎn)評(píng)估的工具、方法、過(guò)程，以及評(píng)估中存在的問(wèn)題，并對(duì)如何預(yù)防危害信息安全事件的發(fā)生提出了簡(jiǎn)單的建議。關(guān)鍵詞：信息安全風(fēng)險(xiǎn)評(píng)估預(yù)防信息安全風(fēng)險(xiǎn)在人們的日常生活中，信息的作用逐漸凸顯。信息產(chǎn)業(yè)的發(fā)展情況成為新時(shí)期國(guó)家綜合國(guó)力的標(biāo)志。但是，信息安全成為了信息技術(shù)發(fā)展中需要迫切解決的一個(gè)難題。做好信息安全風(fēng)險(xiǎn)評(píng)估工作，是維護(hù)信息系統(tǒng)安全的基本保證。一、 信息安全風(fēng)險(xiǎn)評(píng)估概述信息安全風(fēng)險(xiǎn)是信息的安全遭受危害的可能性，是利用信息系統(tǒng)本身的弱點(diǎn)和缺陷主動(dòng)引起的安全性問(wèn)題，受損的一般是較為的重要信息，這些信息的受損，對(duì)相關(guān)機(jī)構(gòu)造成了巨大的損害。信息安全風(fēng)險(xiǎn)評(píng)估是按照國(guó)家頒布的關(guān)于信息安全技術(shù)的準(zhǔn)則和標(biāo)準(zhǔn)，采取相應(yīng)的科學(xué)辦法，對(duì)信息的完整性、可用性和保密性做出的全面具體的分析研究，對(duì)信息系統(tǒng)將要面對(duì)的威脅和存在的弱點(diǎn)進(jìn)行全面的評(píng)價(jià)，對(duì)可能面臨危害安全事件的破壞程度做出的具體評(píng)估，并針對(duì)性的提出相應(yīng)的防御措施和改革對(duì)策。信息安全風(fēng)險(xiǎn)評(píng)估的主要目的就是要預(yù)防和解決安全風(fēng)險(xiǎn)，最大限度的降低風(fēng)險(xiǎn)造成的危害，為保證信息和網(wǎng)絡(luò)的安全提供可靠科學(xué)的依據(jù)。對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估就是將傳統(tǒng)的風(fēng)險(xiǎn)理論應(yīng)用于信息系統(tǒng)中，了解信息系統(tǒng)在哪方面存在風(fēng)險(xiǎn)，做好信息風(fēng)險(xiǎn)的識(shí)別工作，科學(xué)全面的分析信息系統(tǒng)在各個(gè)方面所面臨的具體風(fēng)險(xiǎn)，根據(jù)實(shí)際情況選擇具體的控制方法。完整的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)該涵蓋與之相關(guān)的法律規(guī)范、技術(shù)體系、基本框架、標(biāo)準(zhǔn)體系。二、 信息安全風(fēng)險(xiǎn)評(píng)估的主要方法隨著近年來(lái)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的深入研究，出現(xiàn)了多種多樣的風(fēng)險(xiǎn)評(píng)估方法，這些方法的出現(xiàn)提高了評(píng)估的效率，使得風(fēng)險(xiǎn)評(píng)估工作的開展更加便捷、高效。常用的評(píng)估方法主要有德爾斐法、故障樹法、層次分析法等等，雖然每種方法的具體實(shí)施不盡相同，但是其主要的操作流程大體相似。在此，我們可以按照不同的計(jì)算方法將其分為定量風(fēng)險(xiǎn)評(píng)估和定性風(fēng)險(xiǎn)評(píng)估。定性風(fēng)險(xiǎn)評(píng)估就是針對(duì)信息系統(tǒng)中的風(fēng)險(xiǎn)而采取的一系列的判斷和分析，主要是依據(jù)評(píng)估人員的經(jīng)驗(yàn)和專業(yè)知識(shí)來(lái)進(jìn)行風(fēng)險(xiǎn)的評(píng)估，再對(duì)評(píng)估的具體結(jié)果進(jìn)行詳細(xì)的描述。這種風(fēng)險(xiǎn)評(píng)估方法較為粗略，適用于數(shù)學(xué)基礎(chǔ)不強(qiáng)的數(shù)據(jù)分析人員在信息資料不是特別完善的情況下進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。定量風(fēng)險(xiǎn)評(píng)估指的是利用公示對(duì)信息系統(tǒng)內(nèi)存在的風(fēng)險(xiǎn)進(jìn)行具體評(píng)估，并用數(shù)據(jù)的形式來(lái)展現(xiàn)評(píng)估結(jié)果。相對(duì)于定性評(píng)估而言，定量評(píng)估較為煩雜，需要評(píng)估者具有良好的數(shù)學(xué)基礎(chǔ)，評(píng)估過(guò)程對(duì)中人力、物力、財(cái)力的消耗較大，因此如今我們更多的是采用定性與定量相結(jié)合的風(fēng)險(xiǎn)評(píng)估方法進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。不管是定性還是定量，都需要運(yùn)用數(shù)學(xué)知識(shí)。定性是定量的基礎(chǔ)和依據(jù)，定量是更加具體化的定性，二者互相補(bǔ)充，只有把二者有效的結(jié)合在一起，才能在更好的完成信息安全風(fēng)險(xiǎn)評(píng)估。三、 信息安全風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估工作十分復(fù)雜，龐大的工作量對(duì)評(píng)估工具提出了較高的要求，評(píng)估工具要具有很強(qiáng)的實(shí)用性弱點(diǎn)評(píng)估工具弱點(diǎn)評(píng)估工具在評(píng)估工作中較為注重對(duì)系統(tǒng)硬件和軟件中存在漏洞的發(fā)現(xiàn)。根據(jù)安全漏洞的易受侵害程度，明確信息系統(tǒng)中較為脆弱的部分，并最終制定有效的安全方略。作為如今應(yīng)用范圍最廣的風(fēng)險(xiǎn)評(píng)估工具，弱點(diǎn)評(píng)估工具主要有測(cè)試性工具和掃描性工具。綜合評(píng)估管理工具綜合評(píng)估管理工具的較為注重的是安全管理。全面分析系統(tǒng)存在的安全風(fēng)險(xiǎn)，并制定出相應(yīng)的解決策略和方法。目前應(yīng)用較多的綜合評(píng)估管理工具主要有cobra和cramm。風(fēng)險(xiǎn)評(píng)估的輔助工具輔助工具較為注重對(duì)評(píng)估所需信息的收集。主要的風(fēng)險(xiǎn)評(píng)估輔助工具有入侵檢測(cè)工具、安全審計(jì)工具、人員訪談、資產(chǎn)信息調(diào)查表等。四、 信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程所謂信息安全評(píng)估過(guò)程就是依據(jù)國(guó)內(nèi)外的評(píng)估準(zhǔn)則，采用相關(guān)的評(píng)估方法和手段，選用適當(dāng)?shù)脑u(píng)價(jià)工具，進(jìn)行全面評(píng)估工作的整個(gè)過(guò)程。必須要做到對(duì)整個(gè)信息系統(tǒng)全面的進(jìn)行評(píng)估，不能漏掉系統(tǒng)中的某個(gè)部分。下面對(duì)評(píng)估的具體工程做簡(jiǎn)單的介紹：明確資產(chǎn)首先要清楚地知道整個(gè)系統(tǒng)的資產(chǎn)是多少，并準(zhǔn)確分析信息資產(chǎn)的價(jià)值，其中資產(chǎn)價(jià)值是依靠各個(gè)利益方對(duì)整個(gè)信息系統(tǒng)性能的影響來(lái)進(jìn)行度量的。資產(chǎn)就是所有要求被保護(hù)的事物，其包含的范圍較為廣泛，涉及的內(nèi)容較為豐富。公司的形象、軟件硬件資產(chǎn)、信息資產(chǎn)等都屬于資產(chǎn)的范疇。對(duì)資產(chǎn)進(jìn)行有效評(píng)估要做到抓住關(guān)鍵點(diǎn)，首先解決關(guān)鍵資產(chǎn)的評(píng)估。分析資產(chǎn)面臨的威脅在確定資產(chǎn)之后要對(duì)資產(chǎn)進(jìn)行全面的科學(xué)分析，找出資產(chǎn)中的薄弱點(diǎn)，以及針對(duì)薄弱點(diǎn)可能造成的危害，準(zhǔn)確估算危害的發(fā)生概率及帶來(lái)的損失。針對(duì)危害制定有效的措施準(zhǔn)確分析所面臨的的威脅之后，就要努力的消弱威脅帶來(lái)的影響，通過(guò)各種有效手段把風(fēng)險(xiǎn)降到最低。不必進(jìn)行決策工作，只需擬定各種安全措施并估算所需費(fèi)用。安全措施必須科學(xué)全面，能夠從根本上解決問(wèn)題，并且要有很強(qiáng)的針對(duì)性?？茖W(xué)決策 應(yīng)從轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)這三個(gè)角度科學(xué)合理的進(jìn)行決策。同時(shí)要注意對(duì)殘余風(fēng)險(xiǎn)考慮。決策過(guò)程中，要爭(zhēng)取更多相關(guān)人員的參與，為決策過(guò)程提供自己的意見和建議。監(jiān)督實(shí)施制定科學(xué)有效的決策之后，就要按照決策組織實(shí)施安全措施，實(shí)施的工程中要進(jìn)行嚴(yán)格的監(jiān)督，保證整個(gè)實(shí)施過(guò)程按照據(jù)側(cè)開展。在實(shí)施的過(guò)程中也要做好隨時(shí)應(yīng)對(duì)新威脅的準(zhǔn)備，并且根據(jù)新威脅對(duì)決策進(jìn)行改正和完善。此外，由于信息系統(tǒng)始終處在變化之中，要根據(jù)具體的變化對(duì)信息安全進(jìn)行準(zhǔn)確快速的評(píng)估，保證將信息安全風(fēng)險(xiǎn)降到最低。五、 信息安全風(fēng)險(xiǎn)評(píng)估中存在的問(wèn)題分析雖然目前我國(guó)的信息安全風(fēng)險(xiǎn)評(píng)估有了一定的進(jìn)步和發(fā)展，但是尚且處于發(fā)展的初級(jí)階段，各方面都存在著一些問(wèn)題。人才的緊缺。目前在我國(guó)專業(yè)的評(píng)估人員較為缺乏，評(píng)估工作的開展受到了很大的阻礙。評(píng)估方法不具備較強(qiáng)的可操作性，目前還沒(méi)有形成較為完善、系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具。信息安全風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)各異，在評(píng)估時(shí)不知道按照哪個(gè)標(biāo)準(zhǔn)開展評(píng)估工作，致使評(píng)估工作不能得到順利的開展，風(fēng)險(xiǎn)評(píng)估不能達(dá)到應(yīng)有的效果。管理者的風(fēng)險(xiǎn)意識(shí)不強(qiáng)。六、信息安全的預(yù)防針對(duì)信息安全所面臨的的威脅，主要從“人”和“網(wǎng)”兩個(gè)方面采取預(yù)防措施，防止危害信息安全的事件發(fā)生。首先，要加強(qiáng)對(duì)員工的管理。嚴(yán)令禁止員工在工作期間訪問(wèn)一些賭博、色情、病毒網(wǎng)站，防止這些網(wǎng)站中的病毒對(duì)企業(yè)信息造成危害；不得下載未經(jīng)安全檢測(cè)的軟件；不能占用較大的寬帶。這些措施在財(cái)務(wù)和管理部門的實(shí)施要更為嚴(yán)格。其次，加強(qiáng)網(wǎng)絡(luò)安全管理建設(shè)。雖然混合網(wǎng)絡(luò)能大幅度節(jié)省企業(yè)的開支，但出于安全考慮，企業(yè)最好將公共網(wǎng)絡(luò)與內(nèi)網(wǎng)進(jìn)行分離?？偨Y(jié)：信息技術(shù)的發(fā)展，促進(jìn)了社會(huì)的進(jìn)步。但是我們要正視信息安全面臨的一些問(wèn)題，并做好信息安全的風(fēng)險(xiǎn)評(píng)估和預(yù)防工作。信息安全在某種程度上說(shuō)是不可避免的，因此我們要做好信息安全風(fēng)險(xiǎn)評(píng)估工作，將信息安全事件帶來(lái)的影響降到