信息安全风险

信息安全风险（共12篇）

信息安全风险 篇1

摘要：数据库信息系统的安全管理要求相关组织在国家法律法规依据下制定合理、有效的安全管理政策,并对管理组织内部人员进行各方面培训,提高管理人员的安全意识和安全素质,保证安全管理政策的有效实施,同时还要建立健全的安全审计制度,以便对安全政策的实施和效果进行监督、评价。

关键词：数据库,信息,安全风险,风险评估

数据库信息系统安全技术比较常用的有数据加密技术、病毒检测技术、入侵检测技术等,各种安全技术的应用目的是保证系统和信息不受外界干扰,提高组织的信息系统安全性。数据信息系统的安全性管理是一个整体性的概念,不是依靠单一的技术就能提高相应保障的,而是需要技术与管理相结合,这样才能为信息系统提供最大的安全保障。

一、数据库信息系统的安全风险分析

1. 安全攻击的多样化趋势。

大数据时代的到来意味着社会的信息化程度又提升了一个新的高度,作为大数据应用的支撑,数据库信息系统的安全问题显得更加重要。在大数据的应用过程中,云计算技术、分布式计算技术以及移动计算等技术发挥了至关重要的作用,然而这些技术在实现大数据资源应用的同时也带来了极大的潜在风险,为攻击者提供了攻击形式和攻击渠道多样化的条件。如今安全攻击形式不仅局限于黑客、木马、病毒,断网攻击形式和拒绝服务攻击形式也频繁发生,而且数据采集端口、邮件传输端口也成为安全攻击的重要渠道,对信息系统安全造成极大的威胁。

2. 系统漏洞快速增长化趋势。

数据库漏洞的种类繁多和危害性严重是数据库系统受到攻击的主要原因,据CVE的数据安全漏洞统计,Oracle、SQL Server、My SQL等主流数据库的漏洞逐年上升(如下图所示)。大数据时代环境下,为了满足人们对数据资源的有效利用,很多软件开发商根据人们的需求开发了各种应用程序,以便满足人们的数据存储和数据应用需求,多数情况下,各种软件产品的生产没有统一技术规格,其采用的系统架构、数据接入端口不同,数据的存储和数据提取模式也有不同,断点续传、离线存取等多种存取方式都会给信息系统带来更多风险,导致数据库信息系统出现更多的安全漏洞,严重威胁数据库信息系统的安全性。

3. 系统安全威胁智能化趋势。

计算机技术的快速发展同时也促进了安全攻击技术的迅速提升,安全攻击技术开发者正采用更加先进的思想和技巧提高安全攻击工具的性能,如今的攻击工具具有极强的变异特征,不仅具有智能化功能,还具备反侦察能力,其漏洞的发现和利用速度大幅度提升,对防火墙的渗透性越来越高,安全威胁的不对称性越来越强,对网络根基设施的破坏程度越来越严重,并能够在不被风险评估技术、安全防御技术发现的情况下长时间潜伏在系统中,其传播速度极快,可导致系统大范围感染,一旦爆发将会给信息系统带来极大的损失。

二、数据信息系统的风险评估探讨

目前,具有一定可行性的数据库信息系统安全风险评价技术主要有安全检查表法、专家评估法等,另外还有比较常用的事故树分析法,都在数据库信息安全风险评估中发挥了重要作用。不论是哪种风险评价技术,其应用价值的发挥关键在于系统安全评估人员的风险分析经验,需要评估人员在风险评估标准依据下结合类似安全风险案例进行风险等级划分,同时也能对风险评估结果提出主观性意见。

1. 安全检查表法在数据信息系统风险评估中的应用。

该方法的应用主要是制定详细的数据信息系统风险评估内容以及风险评估规范,完成制定后的安全检查还需要通过安全风险评估专家的逐项评估,然后应用于数据库信息系统中,并及时发现数据库信息系统存在的风险。

2. 专家评估法在数据信息系统风险评估中的应用。

数据库信息系统的风险评估在一定程度上可以是根据系统的运行状况来判断,在信息风险评价相关标准的依据下,通过对系统以往运行状况和当前运行状况的分析可以对数据库信息系统未来的安全趋势进行预测。在安全风险的专家评估过程中,通常采用的方法有质疑法和审议法,两种方法均具有较好的应用效果。

3. 事故树分析法在数据信息系统风险评估中的应用。

事故树是一种演绎的安全系统分析方法,广泛应用于安全系统工程中。该方法的特点是进行层层分析,对系统的软硬件资源进行层次划分,通过对风险概率的优化和组织找到最有可能发生风险的资源。事故树分析法从要分析的特定事故开始,然后通过层层分析找出故障原因。事故树分析法可以对系统的不安全因素进行准确预测,并对风险造成的可能后果进行评估。

数据库信息系统安全风险评估是发现系统漏洞和安全隐患的重要手段,在信息系统的安全防范中发挥着举足轻重的作用。所以,加强对信息系统安全风险评估技术的开发和应用是目前一个非常重要的问题。

参考文献

[1]李永,周冰心.数据库信息系统安全风险及防范措施分析[J].中国校外教育(下旬刊),2013(3):187.

[2]方玲,仲伟俊,梅姝娥,等.脆弱性水平对信息系统安全技术策略影响研究[J].大连理工大学学报,2015,55(3):332-338.

信息安全风险 篇2

随着科学技术的进步，全球经济的一体化促进信息化建设的大发展。一方面，一体化的发展离不开信息化的建设与应用，如果企业以及各经济组织不实行信息化管理，那么要实现与国际一体化的接轨是行不通的；另一方面，企业不掌握充足的信息，或不加任何整理编排，那么，企业的高层决策者就无法正常进行指挥调度，无法实现企业在全国乃至世界范围内生产要素的优化配置。实践证明，信息技术所涉及的行业在我国的发展趋势不再局限于企业决策，经营分析等内容。而是把它作为一条纽带，成为连结家庭与社会，个人与组织，成为商贸金融、娱乐、教育、科研等领域中必不可少的重要组成部分。同样国外先进的信息管理和信息系统应用技术和手段也在信息化建设的进程中起到示范效应。

鉴于这种发展的大趋势，给信息安全带来了巨大挑战。尤其对于信息管理部门应认真研究如何抓好信息管理，控制安全风险。

一、控制信息风险是保证信息安全的基础

风险管理中对信息控制的要求在COSO框架以及ISO31000：2009国际标准中都给予了高度重视，企业管理中对信息的控制应成为控制的主要内容，同时在实施控制过程中也要强调信息以及信息反馈的重要性。COSO风险管理框架强调了“信息与沟通”的要素管理，在COSO《企业风险管理框架》中，企业风险管理包括四类目标和八大要素。“信息与沟通”成为八大要素之一，其以“信息不对称”理论为基础，体现了在内部控制框架中的重要性，这是内部控制运行的输入条件，也是这个机制实现持续改进的牵引。值得提醒的是，这些控

制过程中的信息都是“人”的行为的痕迹或记录。

同样，在《ISO31000:2009风险管理原则与指南》强调了“信息与咨询”ISO31000：2009标准在风险管理流程中强调了“信息与咨询”，并认为信息与咨询是贯穿整个风险管理全过程的活动内容，可见“信息与咨询”在标准中的重要程度。

降低信息不对称同样也是信息安全的一个客观基础。信息数据的价值在于将正确的信息在正确的时间交付到正确的人手中。因此组织内部产生逆向选择和道德风险的最根本原因是信息不对称。降低信息不对称原则要求内部控制设计从两方面考虑：一方面，在委托人和代理人之间建立双向信息传递的渠道，缩短信息传递环节，优化信息传递过程，降低人的主观因素在信息传递过程中的影响。另一方面，重视建立激励和监督机制，确保信息的对称性，也即是保证信息的安全完整，降低信息管理过程中的不安全因素的有效手段。

二、加强企业全面风控管理系统的最优化建设

以前的企业管理，都是靠人力物力收集信息，过程既长又繁琐，缺少灵活性和永久性，不能适应突变的信息或适时的查询。而计算机信息管理技术彻底改变了传统的管理和记录的方式，她既具有及时性，又具有系统性，可以在短时间内完成信息的分类和编辑，还可以及时地反馈和方便地修改，彻底地实现了无纸管理和系统规划。现代社会已经演变为一个信息化社会，大量纷繁的信息管理与计算机结合，使信息管理更加有效和实用。随着企业经营规模的现代化，对信息管理的要求越来越强烈。例如铁路订票系统，就是对车票这种信息的查询和管理系统。

在进入大数据的今天，数据信息的安全性更成为人们广泛关注的焦点。美国互联网数据中心指出，互联网上的数据每年将增长50%，每两年便将翻一番，而目前世界上90%以上的数据是最近几年才产生的。此外，数据又并非单纯指人们在互联网上发布的信息，全世界的工业设备、汽车、电表上有着无数的数码传感器，随时测量和传递着有关位置、运动、震动、温度、湿度乃至空气中化学物质的变化，也产生了海量的数据信息。互联网、云计算以及大数据的应用催生出一系列新的、需要考虑的安全性问题。某些特殊行业比如金融数据、医疗信息以及政府情报等都有自己的安全标准和保密性需求。

信息安全：企业抵御风险之道 篇3

而保护信息免受来自各方面的威胁，是一个企业经营管理的重要环节。

信息安全也不只是个技术问题，而更多地是管理的问题。

互联网的黑色星期天

2004年10月17日这个星期天的下午，许许多多正在使用腾讯公司QQ即时聊天软件的用户发现，QQ无法正常登录了！随即腾讯公司通过网络发布公告解释为通讯线路故障，表示该公司正在抢修。而一天过去了，问题并没有得到解决，各方开始众说纷纭，许多IT和反病毒论坛上开始流传这么一张帖子：“一国内黑客团体，利用腾讯QQ服务器的漏洞要挟腾讯支付100万美金作为‘修复’费用，腾讯不予理会后，该组织于17日早正式发动攻击……”

就在同一天，著名反病毒公司江民公司的主页被篡改了，署名为“河马史诗”的黑客留下这么一行字样：“NND，你们去论坛看看，一片怨声载道，你们干什么去了？！”

几个小时过后，国内最大的电子数码产品代理商神州数码的官方网站也惨遭黑客毒手，被篡改了网页。

这些攻击几乎都在同一日进行，受害对象全是国内知名网站和各界的领头羊，其中一些被黑网站还受到了黑客的巨额敲诈勒索，这是国内首起网络黑客勒索事件，且组织严密、技术高超、规模巨大。在黑色恐怖的弥漫下，国内互联网一时人心惶惶，风声鹤唳……

信息泄漏损失几何？

此前，惨痛的事例也并非没有，只是未能引起足够警觉和重视。比如，就在前不久，被称为中国戏曲三大网站之一的“中国秦腔网”遭黑客入侵，网站所有数据被全部删空，事发后，因为该网站平日没有对数据进行有效备份，巨大的损失根本无从挽回。网站几年的积累一夜之间化为乌有。如果这一事件发生在银行、保险、大型网站、敏感机关等网络内，损失更将是无法估量。

根据日本当地报纸的报道：2004年2月，日本软件银行（SoftBank）和雅虎日本在当地共同经营的宽带业务“Yahoo! BB” 成了一宗利用客户资料进行勒索的案件的受害者。据统计，共有4517039份软银的现订户和前订户的个人信息遭泄漏，信息的具体内容包括：住址、姓名、电话号码、申请时的电子邮箱、雅虎邮箱、雅虎日本ID、申请日期七项内容。所幸的是，用户的信用卡银行帐号和密码等重要信息不包括在内。后据调查，泄漏来源是公司内部员工所为。

在此后举行的一个新闻发布会上，软银主席孙正义对此做出正式道歉，宣布他自己以及公司其他管理层将在未来半年内自减薪水50%，还表示将免费为宽带订户提供6个月互联网接入安全服务。并拨出40亿日元（3730万美元）对受影响客户做出赔偿。

而腾讯公司QQ是一款用户数量庞大的即时通讯工具，可以判断，此次故障所波及的用户不是一个小的数目，损失自不必说。

江民公司，安全公司反倒被人家弄坏了家门，此事令业内人士瞠目结舌不说，公司形象损失更是巨大。

这一系列事件给全社会敲响了警钟，现今是网络的时代，网络和IT产品给我们带来了前所未有的机会，提供前所未有的方便，但同时我们也会发现我们已经过度的依赖它，并且这种依赖势必随着时代的发展日益加深，而这种依赖也必然蕴涵着巨大的风险。

信息安全，你重视了吗？

虽然信息风险与安全的概念早已提出，网络战、信息战等新战争形态的研究和规划也早已进入军事领域，但是一般企业对信息产品所蕴涵的风险仍然缺乏足够重视，对一旦发生网络泄密、IT产品失灵、通讯故障、病毒入侵、黑客破坏甚至恐怖袭击、自然灾害等事故后的应对准备不足、替代方案不够，在日常也缺少信息危机预警机制、信息备份机制和信息危机事件处置预案，可以断言，一旦发生严重的、大规模的信息危机事件，许多企业基本上只能坐视损失的发生而束手无策。

美国Ernst&Young近日公布的企业信息安全措施的调查结果显示：企业的首席执行官虽然认识到信息安全存在风险，但仍未采取足够的措施加以解决。

针对在公司内进行关于信息安全的培训和提高职员意识的工作，超过70％的企业没有将其列为“最优先处理的事务”。只有不到20%的企业将信息安全提高到首席执行官级的优先事项。

该调查是以51个国家的1233家企业为对象实施的。企业虽然重视病毒等来自外部的攻击，但对来自公司内部的威胁仍然视若无睹。

公安部近日公布的2004年全国信息网络安全状况调查结果显示：在被调查的7072家政府、金融证券、教育科研、电信、广电、能源交通、国防和商贸企业等部门和行业的重要信息网络、信息系统使用单位中，发生网络安全事件的比例为58%。

造成网络安全事件的主要原因，是安全管理制度不落实和安全防范意识薄弱，其中因未修补、防范软件漏洞等原因造成的安全事件占总数的66%。同时，调查表明：信息网络使用单位对安全管理工作的重视程度、落实安全管理措施和采用安全专用技术产品等方面均有所提高和加强，但是用户安全观念薄弱、安全管理人员缺乏培训，以及缺乏有效的安全信息通报渠道、安全服务行业发展不能满足社会需要等问题仍然比较突出。

这些都充分显示了信息安全并未得到多数企业的重视。所以，企业乃至全社会，树立必要的信息风险意识、增强应对信息危机的能力已是当务之急。

是谁泄露了机密？

随着信息化的推进，很多企业把管理搬到了网络上，但是同时也存在着信息化环境下技术保密、管理保密问题。目前在国内，管理信息系统能够实现有效加密的很少。一个企业的运营数据很容易获得。比如：要获得某个企业的销售数据，只要联入数据库，什么信息应有尽有，而很多软件，会将联入数据库的参数暴露在配置文件中，甚至有的根本没有进行加密。

而说到保障企业的信息安全，很多人首先想到就是利用各种各样的技术手段，比如：利用防火墙和各类加密手段。但你有没有想到，道高一尺，则魔高一丈。比如：随着技术的发展，现在的个人电脑能够保存大量的客户数据。即使是PDA（便携信息终端）、手机、存储卡等记录媒体也能存储容量可观的数据。这样，犯罪手法也相应发生了变化。仔细想一想，这也是当然的事情。罪犯不会傻到特意往你耗时耗力专门搭建的防火墙上撞。比起这种方式，还是直接带走公司里的信息设备更加简单。

比如：忘在车里的个人电脑就是隐患之一。如果将这台电脑忘在某个地方，或者被人偷走的话，就会造成信息泄漏。这种情况下的信息泄漏不仅仅是指电脑里的数据。同时还存在第三者使用这台电脑访问公司内部网络的危险。

再比如：热衷工作的“您”，也许正是信息泄漏的危险人物。如果太热衷于工作会有什么危险呢？首先请您回答以下提问：您是否将工作带到家中？您是否即使外出也要在空隙时间利用网吧工作？是否共享笔记本电脑中的数据，在部门间进行协同作业？是否会在出差地为了了解电子邮件请同事代看？

请问您的回答有几个YES呢？如果您有上述情形之一就需要“注意”了。因为由于职员或相关人员随意的行动或由于不经意的失误导致信息泄漏或系统故障的事件越来越多。因为每位职员的日常行为中潜藏着有可能威胁到企业安全的因素。

以“将工作带到家中”的人士为例：日本三菱重工就曾经发生过将下一战斗机相关数据泄漏到公司外部的事件，当时该公司职员为了回家工作将上述数据附在电子邮件的附件中发送到了自己的邮箱。

很多企业允许通过互联网访问企业的软件或者公司的内部系统，如果有的职员“即使外出也要在空隙时间利用网吧工作”那就需要注意了。2004年3月6日，日本假冒他人通过互联网从银行非法取款1600万日元（约合人民币100万元）的嫌疑人被逮捕，他是用安装在网吧电脑中名为KeyLogger的监视软件，取得并记录键盘输入信息从而盗取了用户的ID和密码。由于直接取得的是键盘的敲击纪录因此即使对通信进行加密也没有用。由此推想，利用同样的方法盗取访问公司内部系统用的ID和密码也不出奇。

在信息泄漏事故中最可怕的是案犯来自内部，所以在出差地为了了解电子邮件请同事代看的做法实在是不明智的。

如何防止信息泄漏？

保障企业的信息安全应该从企业自身的管理抓起，建立和健全信息安全管理体制，利用各项制度防止任何管理上的漏洞。诚然，有些企业已经采取了安装防火墙、IDS（入侵检测系统）及杀毒软件，或者制定安全政策等各种措施。但上述措施只能在各自擅长的方面发挥作用。因此，必须将所有的安全对策综合起来考虑，即整体安全管理的方法。

第一，系统安全管理

其中包括：系统资源的管理和信息资源分级分类管理。比如：在很多大型系统中，很多人可能并不清楚，里面究竟有哪些软件、硬件设备？有没有人插进来一个设备或者是删除一个设备？究竟是哪个关键部件出了毛病？等等。此外，信息分类、信息安全最基本的原则和目的是为了保护系统。如同人们进入大门、进入房间要进行不同的控制一样，在系统中进入不同的设备、进入不同的操作也要进行区分。

第二，对用户的管理

加强对用户的管理，用管理手段弥补技术落后问题。在自己的系统上所注册的合法用户究竟有哪些？他们各自的权限在哪儿？这些问题必须搞清楚，因此，对密码的配置要进行管理。

要制定重要信息的使用方针。需要有一个规定：每个员工能访问什么信息以及什么样的信息可以保存在电脑里。不过，实际问题是无法逐一检查每个人使用的信息设备内所保存的内容。公司应该以所有设备上都保存有重要信息为前提，来考虑安全问题。需要强化对带出信息终端的监视，以及强化登录个人电脑时的密码认证措施。另外，还应该考虑数据的加密。

第三，对资产的管理

首先要明确企业的哪些资产需要保护：企业必须花费时间与精力来首先确定关键数据和相关的业务支持技术资产的价值。通常，各公司认为表述资产的价值是很容易的，但具体到要按级别界定就不那么简单。对此，就需要用安全厂商与企业共同制定规范以确定需要保护的资产的安全级别，并为制定切实可行的安全管理策略打下基础。

第四，将安全策略运用于日常业务中

信息安全策略的制定一定是一个好的开始。但无论信息安全策略考虑得有多好，制定得有多详尽，但是如果人们不知道这些策略，仍然毫无用处。所以还应有一些好的手段，使安全策略得到推广，比如：

（1）对企业安全管理人员进行安全培训，以便维护和管理整个安全方案的实施和运行情况。

（2）利用幽默和简单的语言表述信息安全策略，分发给每个雇员。

（3）印刷日历，强调每个月不同的策略，将它们张贴在办公室中。

（4）将信息安全策略和标准发布在内部系统的网站上。

（5）向公司员工发送宣传信息安全策略的邮件。

（6）建立内部安全热线，回答雇员关于信息安全策略的问题。

信息安全风险 篇4

随着信息技术的飞速发展, 关系国计民生的关键信息资源的规模越来越大, 信息系统的复杂程度越来越高, 保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点, 它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定, 以成本一效益平衡的原则, 通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性, 并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度, 运用科学的分析方法和手段, 系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性, 评估安全事件一旦发生可能造成的危害程度, 提出有针对性的抵御威胁的防护对策和整改措施, 以防范和化解风险, 或者将残余风险控制在可接受的水平, 从而最大限度地保障网络与信息安全。

2. 风险评估的工作过程

信息安全风险评估的一般工作过程。

(1) 资产识别资产是对组织具有价值的信息资源, 是安全策略保护的对象。可将资产分为数据、软件、硬件、文档、服务、人员等类。对资产的重要性可以赋予不同的等级, 并对资产的机密性、完整性、可用性进行赋值。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析, 并在此基础上得出一个综合结果的过程。

(2) 威胁识别威胁是构成信息安全风险不可缺少的要素之一, 在信息资产及其相关资产存在脆弱性和相应的安全控制措施缺失或薄弱的条件下, 威胁总是通过某种具体的途径或方式, 作用到特定的信息资产之上, 并破坏该资产一个或多个安全属性, 从而产生信息安全风险。威胁识别主要是识别被评估组织关键资产直接或间接面临的威胁, 以及相应的分类和赋值等活动。威胁识别活动的主要目的是建立风险分析需要的威胁场景。

(3) 脆弱性识别脆弱性是对一个或多个资产弱点的总称。脆弱性的识别可以以资产为核心, 即根据每个资产分别识别其存在的弱点, 然后综合评价该资产的脆弱性;也可以分物理、网络、系统、应用等层次进行识别, 然后与资产、威胁结合起来。脆弱性的识别对象包括物理环境、服务器、网络结构、数据库、应用系统、技术管理、组织管理等。

(4) 已有安全措施的确认有效的安全控制措施可以降低安全事件发生的可能性, 也可以减轻安全事件造成的不良影响。因此, 在进行风险分析计算之前, 有必要识别被评估组是目前已有的安全控制措施, 并对措施的有效性进行分析, 为后续的风险分析提供参考依据。

(5) 风险分析在完成了资产识别、威胁识别、脆弱性识别, 以及对已有安全措施的识别和确认之后, 应该进行风险分析阶段。风险分析阶段的主要工作室完成风险的分析和计算。

3. 风险分析对象的获取手段

3.1 问卷调查表

问卷调查表是通过问题表的形式, 事先将需要了解的问题列举出来, 通过让相关人员回答有关问题而获取信息的一种有效方式。这种方式具有实施方便、操作简单、所需费用少、分析简捷等特点, 所以得到了广泛的应用。但是它的灵活性较小, 得到的信息有时不太清楚、具有一定的模糊性、信息深度不够等, 还需要其他的方法作为配合和补充。

3.2 实地收集

实地收集是获得信息系统的真实可靠信息的最重要手段。通过深入现场, 亲自参与系统的运行维护活动, 并运用观察、操作等方法直接从信息系统中收集资料和数据。通过这种方法调查收集到的信息能够反映实际情况, 因而比较真实、可靠。但是此方法的耗费较高、周期长, 而且有些信息因涉及技术机密或是由于其他安全的需要, 操作起来有一定的困难和复杂度。

3.3 使用辅助工具

在信息系统中, 网络安全状况、主机运行情况等难以用眼睛观察出来, 需要借助网络和系统检测、扫描、监控工具来辅助。辅助工具能够发现系统某些内在的弱点, 以及在配置上可能存在的威胁系统安全的错误, 并能帮助发现系统中的安全隐患, 但是工具不能完全代替人做所有的工作, 而且扫描的结果往往不是全面的。对扫描出来的结果, 需要分析和判断。利用辅助工具能够容易、自动地发现一些安全隐患, 但不能报告未被扫描工具包含的安全隐患和一些新的安全隐患, 过分依赖扫描工具无法全面保证系统的安全信息的全面性。

3.4 文档审查

文献和档案记录了关于信息系统的许多重要的参数和特性。例如, 一个单位的安全和管理策略、制度, 能在很大的程度上反映该单位的人员安全意识和管理机制。同时, 设备的说明和操作文档描述了系统硬件的安全参数, 系统运行日志则记录了系统的运行状况等。通过文档和资料的查阅, 可以获取较完整的系统信息和历史经验, 在风险评估过程中这也是一种十分重要的信息获取方式。

4. 风险分析方法

风险分析是对风险影响和后果进行评价和估量, 常见的方法有基于知识的评估方法、基于技术的评估方法、定量分析方法和定性分析方法。

(1) 基于知识的风险分析方法

这类方法主要是依靠经验进行, 通过采集相关信息, 识别组织的风险所在和当前的安全措施, 与特定的标准和惯例进行比较, 找出不适合的地方, 并按照标准或最佳惯例的推荐, 选择安全措施, 最终达到消减和控制风险的目的。此类方法多集中在管理方面, 对技术层面涉及较少, 组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方法的制约点。

(2) 基于技术的风险分析方法

这类方法是指对组织的技术基础结构和程序进行系统、及时的检查, 对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性估计。这类方法在技术上分析的比较多, 技术弱点把握精确, 但在管理上较弱, 管理分析存在不足。

(3) 定量分析方法

定量分析方法是通过将资产价值和风险等量化为财务价值的方式来进行计算的一种方法。这种方法的优点是能够提供量化的数据支持, 威胁对资产造成的损失直接用财物价值来衡量, 结果明确, 易于被管理层所理解和接受。缺点是对财产的影响程度已参与者的主观意见为基础, 计算过程复杂、好使, 对分析数据的搜集目前还没有统一的标准和统一的数据库。

(3) 定性分析方法

定性分析方法是根据企业本身历史事件的统计记录、社会上同类型企业或类似安全事件的统计和专家经验, 并通过与企业管理、业务和技术人员的讨论、访谈和问卷调查等方法来确定资产的价值权重, 再通过计算方法来确定某种资产所面临的风险的近似大小。

定性分析法能比较方便的对风险按照程度大小进行排序, 避免对资产价值、威胁发生的可能性等硬性赋值导致的结果差异性较大的问题, 便于企业管理、业务和技术人员更好的参与分析工作。缺点是缺乏客观数据支持, 无法进行客观的成本/效益分析。定性分析法是目前普遍采用的风险分析方法。下面本文将对几种常用的定性计算方法进行分析。

4.1 结构化的的风险计算方式

4.1.1 线性相乘法

算式中, R表示风险, A表示资产, T表示威胁, V表示脆弱性。首先要对资产、威胁和脆弱性赋值, 将三者产生的结果线性相乘得到风险值, 最后将风险值量化为风险等级。

这种方法的优点是计算简单、运算量较小, 缺点是参考的因素不全面、计算结果有时缺乏客观性。

4.1.2 风险矩阵测量

这种方法首先要确定资产、威胁和脆弱性的赋值, 在此基础上建立资产价值、威胁等级和脆弱性等级的对应关系, 并将风险等级预先确定。表1为资产价值威胁等级和脆弱性等级的一个对应矩阵。

例如, 如果资产值为3, 威胁等级为“高”, 脆弱性为“低”, 查表可知风险值为5;如果资产值为2, 威胁为“低”, 脆弱性为“高”, 则风险值为4。

由表1推知, 风险矩阵会随着资产值的增加、威胁等级的增加和脆弱性等级的增加而扩大。它的优点是参考的因素颗粒度细, 结果较为真实, 但缺点是运算量可能较大。

4.1.3 威胁分级法

这种方法是直接考虑威胁、威胁对资产产生的影响以及威胁发生的可能性来确定风险。首先确定威胁对资产的影响, 用等级来表示, 然后评价威胁发生的可能性。在确定威胁的影响值和威胁发生的可能性之后, 计算风险值。风险的计算方法, 可以是影响值与可能性之积, 也可以是之和, 具体算法由用户来定, 只要满足是增函数即可。下表为一个威胁分级法的计算表, 威胁的影响值确定为5个等级, 威胁发生的可能性也确定为5个等级。而风险的测量采用以上两值的乘积, 具体计算如表2。

可见, 经过计算后, 风险被分为25个等级。在具体评估中, 可以根据这种方法明确表示“资产——威胁——风险”的对应关系。

这种方法的优点也是参考的因素颗粒度细, 但缺点是对脆弱性的考虑不足, 结果的客观性不够。

4.2 非结构化的风险计算方式

4.2.1 威胁分析法

这种方法必须确定威胁对业务过程的哪些因素有何影响, 但不会为每种威胁赋值, 如表3。

M——影响可能性不大;P——可能有影响;D——绝对影响

4.2.2 调查问卷法

调查问卷方法可用来满足特殊需要或用来进行更广泛领域的风险评估。建立一个有效的风险分析问卷的关键是要明确回答问卷的对象情况。分析过程完成后, 评估人员需要确定在哪里配置适当的安全控制措施。如表4。

结构化的风险计算方式, 需要对风险所涉及的指标进行详细分析, 最终得出风险结果。这种方式通常需要专业的信息安全测评人员的参加, 风险结论详细, 方法较为科学, 结果也比较客观。非结构化的风险计算方式通常是建立在通用的威胁列表和脆弱性列表之上, 用户根据类表提供的线索对资产面临的威胁和威胁可利用的脆弱性进行选择, 自行确定风险。这种方法适用于企业内部进行的风险评估, 灵活性较强, 但结果的客观性和专业性不足。一般来说, 风险计算方式的选择通常要结合使用者主观经验, 只要适合组织的需求和实际情况, 能产生可信的结论, 就可以使用。

参考文献

[1]ISO/IEC TR13335:Information technology-Guidelines for the management of IT Security.

信息安全风险评估方法论文 篇5

【关键词】信息系统;信息安全;风险评估;评估方法

一、信息安全风险评估的评估实施流程

信息安全风险评估包括：资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议，在风险评估之后就是要进行安全整改。

网省公司信息系统风险评估的主要内容包括：资产评估、威胁评估、脆弱性评估和现有安全措施评估，一般采用全面风险评估的方法，以安全顾问访谈、管理问卷调查、安全文档分析等方式，并结合了漏洞扫描、人工安全检查等手段，对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估，经过充分的分析后，得到了信息系统的安全现状。

二、信息安全风险评估实施方法

2.1 资产评估

网省公司资产识别主要针对提供特定业务服务能力的应用系统展开，通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分，这四个部分在信息系统的实例中都显现为独立的资产实体，例如：典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。

综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。

2.2 威胁评估

威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中，根据各单位业务系统的具体系统情况，结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查，下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述：

2.3 脆弱性评估

脆弱性评估内容包括管理、运维和技术三方面的内容，具体实施可参照公司相应的技术或管理标准以及评估发起方的要求，根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考：

管理脆弱性：安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。

运维脆弱性：信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。

技术脆弱性：网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。

管理、运维、技术三方面脆弱性是相互关联的，管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生，运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行，运维和管理的.脆弱性主要通过访谈和调查问卷来发现。此外，对以往的安全事件的统计和分析也是确定脆弱性的主要方法。

三、现有安全措施评估

通过现有安全措施指评估安全措施的部署、使用和管理情况，确定这些措施所保护的资产范围，以及对系统面临风险的消除程度。

3.1 安全技术措施评估

通过对各单位安全设备、防病毒系统的部署、使用和管理情况，对特征库的更新方式、以及最近更新时间，设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析，并确定级别。

3.2 安全管理措施评估

访谈被评估单位是否成立了信息安全领导小组，并以文件的形式明确了信息安全领导小组成员和相关职责，是否结合实际提出符合自身发展的信息化建设策略，其中包括是否制定了信息安全工作的总体方针和安全策略，建立健全了各类安全管理制度，对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。

3.3 物理与环境安全

查看被访谈单位信息机房是否有完善的物理环境保障措施，是否有健全的漏水监测系统，灭火系统是否安全可用，有无温湿度监测及越限报警功能，是否配备精密空调严格调节控制机房内温度及湿度，保障机房设备的良好运行环境。

3.4 应急响应与恢复管理

为正确、有效和快速处理网络信息系统突发事件，最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响，需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制，应对网络信息系统突发事件的组织指挥能力和应急处置能力，是否及时修订本单位的网络信息系统突发事件应急预案，并进行严格的评审、发布。

3.5 安全整改

被评估单位根据信息安全风险评估结果，对本单位存在的安全风险进行整改消除，从安全技术及安全管理两方面，落实信息安全风险控制及管理，确保信息系统安全稳定运行。

四、结语

公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施，各单位结合风险评估实践情况，以技术促安全、以管理保安全，确保公司信息系统稳定运行，为公司发展提供有力信息支撑。

参考文献

[1]中国国家标准化管理委员会，信息安全技术一信息安全风险评估规范，

针对信息安全风险评估分析与探讨 篇6

关键词：信息安全；风险评估；脆弱性；威胁

一、前言

随着信息技术的飞速发展，信息系统依赖程度日益增强，采用风险管理的理念去识别安全风险，解决信息安全问题得到了广泛的认识和应用。信息系统主要分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险。

二、网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。网络信息安全具有如下5个特征：

1、保密性：即信息不泄露给非授权的个人或实体。

2、完整性：即信息未经授权不能被修改、破坏。

3、可用性：即能保证合法的用户正常访问相关的信息。

4、可控性：即信息的内容及传播过程能够被有效地合法控制。

5、可审查性：即信息的使用过程都有相关的记录可供事后查询核对。

网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础，网络信息安全的风险因素主要有以下6大类：

1、自然界因素，如地震、火灾、风灾、水灾、雷电等；

2、社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；

3、网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；

4、软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；

5、人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；

6、其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

三、目前网络信息安全风险评估工作中急需解决的问题

信息系统涉及社会经济方方面面，在政务和商务领域发挥了重要作用，信息安全问题不单是一个局部性和技术性问题，而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计，某省会城市各大机关、企事业单位中，有10%的单位出现过信息系统不稳定运行情况；有30%的单位出现过来自网络、非法入侵等方面的攻击；出现过信息安全问题的单位比例高达86%！缺少信息安全建设专项资金，信息安全专业人才缺乏，应急响应体系和信息安全测评机构尚未组建，存在着“重建设、轻管理，重应用、轻安全”的现象，已成为亟待解决的问题。

各部门对信息系统风险评估的重视程度与其信息化水平呈现正比，即信息化水平越高，对风险评估越重视。然而，由于地区差异和行业发展不平衡，各部门重视风险评估的一个重要原因是“安全事件驱动”，即“不出事不重视”，真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善，真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试，由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一，甚至出现对同一个信息系统，不同评估单位得出不同评估结论的案例。

四、信息系统风险评估解决措施

1、确诊风险，对症下药

信息系统风险是客观存在的，也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大，应该采取什么样的措施去减少、化解和规避风险？就像人的躯体有健康和疾病，设备状况有正常和故障，粮食质量有营养和变质，如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁，就需要进行风险评估。

2、夯实安全根基，巩固信息大厦

信息系统建设之初就存在安全问题，好比高楼大厦建在流沙之上，地基不固，楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基，它可以帮助信息系统管理者了解潜在威胁，合理利用现有资源开展规划建设，让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资，达到“以最小成本获得最大安全保障”的效果。

3、寻求适度安全和建设成本的最佳平衡点

安全是相对的，成本是有限的。在市场经济高度发达的今天，信息系统建设要达到预期经济效益和社会效益，就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账，让我们认清信息系统面临的威胁和风险，在此基础上决定哪些风险必须规避，哪些风险可以容忍，以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点，力求达到预期效益的最大化。

4、既要借鉴先进经验，又要重视预警防范

没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术。风险评估是信息化发达国家的重要经验。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用，亦须知其锋芒与瑕疵，加强预警防范与借鉴先进技术同样重要。

五、结束语

综上所述，本文主要对信息安全风险评估进行了分析和探究，在今天高速的信息化环境中，信息的安全性越发显示出其重要性，风险评估可以明确信息系统的安全状况和主要安全风险基础，通过风险评估及早发现安全隐患并采取相应的加固方案。所以要加强信息安全风险评估工作。

参考文献：

[1]中国国家标准化管理委员会，信息安全技术一信息安全风险评估规范，2007年

[2]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用，2010.

信息安全风险评估研究 篇7

1. 风险评估内涵

信息安全风险评估是指从内 (资产、脆弱性、已有控制) 和外 (威胁、安全事件) 2方面对信息处理系统综合分析评估, 计算出实际的安全风险等级, 判断面临的风险, 从而为选择实施各类防御管控措施提供依据。风险评估是一项周期性工作, 是进行风险管理, 采取技术与管理措施安全加固的前提。由于风险评估的结果将直接影响到信息系统防护措施的选择, 从而在一定程度上决定了风险管理的成效。风险评估可以概括为: (1) 风险评估是一个技术与管理的过程。 (2) 风险评估是根据威胁、脆弱性判断系统风险的过程。 (3) 风险评估贯穿于系统建设生命周期的各阶段。

2. 信息安全风险评估方法

(1) 安全风险评估。

信息安全风险指有害事件发生的可能性和该事件可能对组织的使命所产生影响的函数。为确定这种可能性, 需分析系统的威胁以及由此表现出的脆弱性。影响是按照系统在单位任务实施中的重要程度来确定的。风险评估以现实系统安全为目的, 按照科学的程序和方法, 对系统中的危险要素进行充分的定性、定量分析, 并作出综合评价, 以便针对存在的问题, 根据当前科学技术和经济条件, 提出有效的安全措施, 消除危险或将危险降到最低程度。即:风险评估是对系统存在的固有和潜在危险及风险性进行定性和定量分析, 得出系统发送危险的可能性和程度评价, 以寻求最低的事故率、最少的损失和最优的安全投资效益。

(2) 风险评估的主要内容。

(1) 技术层面。评估和分析网络和主机上存在的安全技术风险, 包括物理环境、网络设备、主机系统、操作系统、数据库、应用系统等软、硬件设备。

(2) 管理层面。从本单位的工作性质、人员组成、组织结构、管理制度、网络系统运行保障措施及其他运行管理规范等角度, 分析业务运作和管理方面存在的安全缺陷。

(3) 风险评估方法。

(1) 技术评估和整体评估。技术评估是指对组织的技术基础结构和程序系统、及时地检查, 包括对组织内部计算环境的安全性及对内外攻击脆弱性的完整性攻击。

整体风险评估扩展了上述技术评估的范围, 着眼于分析组织内部与安全相关的风险, 包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。

(2) 定性评估和定量评估。定性分析方法是使用最广泛的风险分析方法。根据组织本身历史事件的统计记录等方法确定资产的价值权重, 威胁发生的可能性以及如将其赋值为“极低、低、中、高、极高”。

(3) 基于知识的评估和基于模型的评估。基于知识的风险评估方法主要依靠经验进行。经验从安全专家处获取并凭此来解决相似场景的风险评估问题。该方法的优越性在于能直接提供推荐的保护措施、结构框架和实施计划。

(4) 信息安全风险的计算。

(1) 计算安全事件发生的可能性。根据威胁出现频率及弱点的状况, 计算威胁利用脆弱性导致安全事件发生的可能性。具体评估中, 应综合攻击者技术能力、脆弱性被利用的难易程度、资产吸引力等因素判断安全事件发生的可能性。

(2) 计算安全事件发生后的损失。根据资产价值及脆弱性的严重程度, 计算安全事件一旦发生后的损失。部分安全事件损失的发生不仅针对该资产本身, 还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也不一样。

(3) 计算风险值。根据计算出的安全事件发生的可能性以及安全事件的损失计算风险值。

3. 风险评估模型选择

参考多个国际风险评估标准, 建立了由安全风险管理流程模型、安全风险关系模型和安全风险计算模型共同组成的安全风险模型 (见图1) 。

(1) 安全风险管理过程模型。

(1) 风险评估过程。信息安全评估包括技术评估和管理评估。

(2) 安全风险报告。提交安全风险报告, 获知安全风险状况是安全评估的主要目标。

(3) 风险评估管理系统。根据单位安全风险分析与风险评估的结果, 建立本单位的风险管理系统, 将风险评估结果入库保存, 为安全管理和问题追踪提供数据基础。

(4) 安全需求分析。根据本单位安全风险评估报告, 确定有效安全需求。

(5) 安全建议。依据风险评估结果, 提出相关建议, 协助构建本单位安全体系结构, 结合组织本地、远程网络架构, 为制定完整动态的安全解决方案提供参考。

(6) 风险控制。根据安全风险报告, 结合单位特点, 针对面对的安全风险, 分析将面对的安全影响, 提供相应的风险控制建议。

(7) 监控审核。风险管理过程中每一个步骤都需要进行监控和审核程序, 保证整个评估过程规范、安全、可信。

(8) 沟通、咨询与文档管理。整个风险管理过程的沟通、咨询是保证风险评估项目成功实施的关键因素。

(2) 安全风险关系模型。

安全风险关系模型以风险为中心, 形象地描述了面临的风险、弱点、威胁及其相应的资产价值、防护需求、保护措施等动态循环的复杂关系。

(3) 安全风险计算模型。

安全风险计算模型中详细、具体地提供了风险计算的方法, 通过威胁级别、威胁发生的概率及风险评估矩阵得出安全风险。

4. 结语

本文在综合风险和比较多种评估标准和方法的基础上, 针对现行网络的安全现状和安全需求, 提出了网络风险评估的模型和风险计算方法, 以及时发现、弥补和减少信息安全漏洞, 为提高涉密信息系统的安全性, 降低网络失泄密风险提供一定的帮助。

参考文献

[1]向宏.信息安全测评与风险评估[M].北京:电子工业出版社, 2009.

医院信息安全与风险控制 篇8

一、医院信息系统概述

所谓医院信息系统安全, 其内涵是指为了能够实现信息系统安全有效的运行, 对医院信息系统中的软、硬件以及各类数据等进行保护, 使其免于遭受恶意破坏、泄露以及更改的危险[1]。医院信息系统安全主要分为两部分内容:

其一, 物理安全。物理安全主要是指系统设备以及相关的设施必须进行物理保护, 从而避免因系统损坏而导致信息丢失及泄露的情况;

其二, 逻辑安全。逻辑安全是指由于信息具有多方面特性, 如保密性以及完整性等, 这是由于信息自身而产生的信息安全内容。

二、当前医院信息安全管理工作中存在的不足

其一, 信息安全管理理念落后。由于目前在我国大多数医院的建设中, 都将医疗设备的优化以及工作人员的专业化放在重点, 故而严重忽视了对信息安全管理工作。尤其是在我国经济获得不断发展的社会背景下, 对医院信息化建设工作提出了更高的要求。然而, 由于大多数医院对信息安全管理工作重视不足, 致使在管理理念上出现了比较落后的局面, 使得信息化建设工作成效不够显著。

其二, 信息安全管理技术支持不足。虽说目前我国科技水平获得飞速发展, 信息化建设也取得重大突破, 然而在医院的信息安全管理与风险控制中却表现出明显的不足。

事实上, 加强信息安全管理工作能够为医院提高自身管理质量提供动力, 然而由于医院投入的资金和人力的不足, 使得信息安全管理技术难以得到及时更新, 加上在实际操作过程中, 信息安全风险管理仅涉及了部分的人员调配, 没有从根本上进行技术的引进, 不利于医院有效解决信息安全风险规避的问题[2]。

三、加强医院信息系统安全管理工作与风险控制的策略

(一) 提高医院对信息系统安全管理工作的重视

当前, 大部分医院都存在着对信息系统安全管理及风险规避工作不够重视的现象, 为了能够有效解决这一现状, 首先需要强化医院管理者对信息安全管理的认识。

只有不断强化他们的认识, 才能有效开展实际工作, 管理者安全意识淡薄定会对实际工作的有效开展产生一定的阻碍。其次, 要加强信息管理人员的安全意识。信息管理人员作为医院信息系统安全保护工作的一线人员, 其安全意识对于实际工作具有直接的影响。

为此, 信息管理人员自身要不断强化责任意识, 提高自身的综合素质, 积极主动地为医院信息安全管理及风险规避工作献计献策, 不断提高医院信息管理水平。

(二) 建立更加完善的信息安全管理制度

建立完善的信息安全管理制度, 要从以下几个方面入手:首先, 依据实际情况, 对于不同类型和内容的信息要采取不同的管理制度以及有针对性的管理方法。

在制定安全管理制度的同时要尽量详细, 尽量细致到对服务器的管理, 努力做好服务器的运行、维修以及记录等工作。

其次, 建立有效且安全性较高的风险评估机制、应急预案机制以及安全监控机制等, 从而确保医院信息安全高效的运行。

第三, 全面强化医院信息化文档的管理工作。定期对医院各类信息系统进行故障排查, 对于存在隐形故障的设施要进行有效的维护[3]。同时对于存在修改信息数据的现象, 医院要做好全面的审查和监督工作, 一定要杜绝信息造假等行为的出现和发生。

(三) 加强信息系统安全知识的教育及培训

进一步提高医院信息系统高效安全的运行, 则要加强对信息系统安全知识教育及培训工作的重视。

一方面, 医院要对技术人员进行合理分配, 使人力资源得到充分利用;另一方面, 医院要善于借助各类途径对信息操作人员进行一定的培训和教育, 不断提高他们的安全意识, 使其能够熟练掌握信息系统的操作流程和规范。尤其是针对安全意识比较薄弱的员工, 医院更要加强安全教育的宣传, 从而使得信息系统的安全性得到有效保障。

(四) 不断优化信息安全管理技术支持

在实际操作过程中, 医院要加大在信息管理技术建设方面的投入比例, 既要确保医院信息安全管理工作在硬件设施上得到全面支持, 同时也要加强信息安全管理软件系统的管理工作。

在硬件支持上, 要引进先进的信息处理设施, 尽量避免因设备故障而导致信息泄露等现象的发生。

在软件方面, 医院也要进行合理选择, 要对医院的规模以及实际工作情况进行综合考察, 从而选择出最合适的软件支持系统。同时在软件系统运行过程中, 医院还要建立起相应的杀毒系统, 维护客户端使用情况的安全与稳定。

例如我院上线的运维管理系统, 在服务器的性能监视以及交换机的故障监视等日常数据监视方面发挥了重要作用。

总而言之, 全面落实医院信息安全管理工作, 不断提升信息安全管理的运行环境对于提高医院管理工作水平具有重要的意义。各大医院要依据自身的实际情况加强医院信息系统安全管理工作与风险控制, 通过提高医院对信息系统安全管理工作的重视, 建立更加完善的信息安全管理制度, 加强信息系统安全知识的教育及培训以及不断优化信息安全管理技术支持等方面做出努力。

参考文献

[1]居益君, 刘歆农, 董静怡.医院信息系统建设中的主要问题与对策[J].中国卫生经济2002.

[2]洪嘉铭, 杨琳.医院信息系统安全情况调查[J].中国医院, 2003.

[3]郝杰.疾病预防控制工作中信息系统建设的探讨[J].职业与健康, 2003.

[4]闫燕燕.初探新型农村合作医疗信息系统建设[J].科技广场, 2008.

财务信息安全风险防范探讨 篇9

但是, 任何事物都有其两面性。财务信息化也引发了诸多财务信息安全问题。本文在分析财务信息安全方面面临的问题后, 着力探讨这些问题的解决方案, 以期引起广大财务管理人员对财务信息安全问题的重视, 提醒大家未雨绸缪, 避免不必要的损失。

一、财务信息安全面临的问题

(一) 信息存储介质风险

信息技术实现后, 一个最为典型的变化就是:信息存储介质由纸质单据变为电子存储介质。电子存储介质虽然大大节省了物理空间, 方便了信息检索, 但不借助相应的信息设备却无法读取这些信息。一旦财务信息存储介质损坏, 往往导致全部信息丢失, 其损失是不可估量的。

另外, 信息技术日新月异, 存储技术也不断更新, 随着硬件设备的更新换代, 原来存储在老式电子介质上的信息, 通过更新后的信息设备往往无法读取。例如, 现在普遍配置的计算机往往都没有配置软驱, 无法读取存储在3寸软盘和5寸软盘上的信息。

(二) 管理安全风险

管理安全风险是指由于相关人员缺乏信息安全基本知识, 不遵守本部门的信息安全规则造成数据损失等。很多财务工作人员普遍对病毒危害性程度认识不够, 有的工作人员任意从互联网上下载资料, 在局域网和互联网之间交替使用软盘和移动硬盘、优盘, 将计算机病毒带入财务系统中。

(三) 非法入侵风险

在网络环境下, 电子符号代替了会计数据, 磁介质代替了纸介质, 一切信息在理论上都是可以被访问到的, 除非它们在物理上断开链接。因此, 财务部门在实现网络化管理的同时, 很难避免非法侵扰。一些人可能出于各种目的, 有意或无意地损坏网络设备, 在网络 (局域网、广域网) 上对管理系统进行黑客程序的测试运行等活动, 对系统造成极大的破坏。黑客活动比病毒破坏更具目的性, 几乎覆盖了所有的操作系统, 也包括财务系统。

(四) 信息系统设计风险

该风险主要来自于信息系统本身。信息系统也是人设计的, 它本身也难免存在缺陷。当然, 这个缺陷在人工处理方式下也存在。但信息化后, 许多内部控制制度、数据处理过程都由信息系统自动处理, 系统操作人员大多对信息系统的功能盲目信赖, 认为系统计算的、控制的一定是正确的。相比手工操作而言, 信息系统的固有缺陷更难被发现, 一旦出错其损失会更大。

二、相关对策

(一) 建立多级备份机制

做好财务信息的安全工作, 对于财务数据应定期进行备份。通常, 可分层次地采用服务器双机热备份、RAID镜像技术、财务及管理软件系统自动备份等多种方式, 按照“积极预防、及时发现、快速反应、确保恢复”的要求做好数据备份工作。备份数据要保存在安全可靠的多个存储介质上, 必要时, 使用压缩软件、加密软件对备份数据压缩、加密。定期将必要的备份数据刻录到光盘中, 重要的数据最好制作2个以上拷贝且存放在不同的地点, 保证数据在损坏后可以及时恢复。

(二) 加强内部人员的控制

制定内部财务管理制度, 加强内部人员的素质培养, 不断完善体制, 严格把守财务信息存取关。把计算机用户对信息的读入或修改控制在一定的范围内, 按权限或级别访问浏览, 进行身份认证, 这样使得数据浏览和更改受到很大限制, 可以大大提高财务数据的安全性。

(三) 加强对计算机病毒和黑客的防范

防范计算机病毒和黑客, 主要是采取防火墙技术, 它可以将病毒以及非法侵入拒之门外。计算机病毒大多以电子邮件或潜伏在某些软件、某些网站网页中的方式进行传播, 一旦打开邮件或运行软件、访问网页, 病毒将会进入财务系统中, 构成严重的威胁。建议不要打开来历不明的电子邮件、不要在网上下载软件和浏览危险网站。

(四) 隔离财务信息数据系统

在网络环境下, 局域网、广域网互相联通, 财务系统数据就如暴露在网络之中, 公司机密数据变得无秘密可言, 所以, 按照不同的应用, 隔离单独的应用系统是个不错的选择。在一台计算机中同时运行两个相互隔离的操作系统, 重要、机密的数据操作均在隔离的系统中处理。

(五) 加强信息系统建设控制

尽量选用成熟的财务信息系统, 针对信息系统本身可能存在的问题, 我们应加强信息建设的控制, 对信息系统内置的控制手段和数据处理过程要严格测试、反复验证, 以将信息系统本身的缺陷降到最低限度。在必要时, 还需要聘请专业机构对信息系统的合理性、正确性进行验证。

高校信息安全风险评估 篇10

关键词：高校,信息安全,风险值,风险评估

1、引言

伴随着信息技术的飞速发展, 我国高校信息化建设不断取得新的成果, 高校信息的安全是学校正常运行的保证。据统计, 1 0 0%的一类重点本科高校拥有校园网, 10%以上的高校已经开始建设数字化校园。各个院校对网络和信息系统的依赖程度越来越大, 同时面临的信息安全问题也更加复杂化, 如何在有限的人力、物力、财力条件下最大限度保障信息安全是每个院校面临的共同问题。因此, 对高校进行信息安全风险评估势在必行。

2、风险评估分析方法

目前风险评估方法主要分为定性分析、定量分析和综合分析三大类。

2.1 定性分析方法

定性分析方法是依据研究者的知识、经验、历史教训、政策走向等非量化资料对系统风险状况做出判断的过程。它主要以对调查对象的深入了解做出个案记录为基本资料, 对资料进行编码整理, 在此基础上做出调查结论。定性分析方法优点是可以挖掘出一些蕴藏很深的思想, 使评估的结论更全面深刻;缺点是主观性强, 对评估者要求很高。

2.2 定量分析方法

定量分析方法是指运用数量指标对风险进行评估。定量分析方法是用直观的数据来表述评估的结果。优点是分类清楚, 比较客观;缺点是容易简单化、模糊化, 会造成误解和曲解。

2.3 综合分析方法

定量分析是定性分析的基础和前提, 定性分析应该建立在定量分析的基础上才能揭示客观事物的内在规律。有些评估要素可以用量化的形式来表达, 而另一些要素量化起来很困难甚至不可能量化。在复杂的信息系统风险评估中, 不能将定性分析方法与定量分析方法简单的割裂开来, 而是将这两种方法融合起来, 这就是综合分析方法。本文采用综合分析方法。

3、风险计算模型

利用综合相乘法构造风险值计算公式:

风险值=资产估值×威胁估值×脆弱性估值

综合相乘法是将划定评估对象的资产、威胁、脆弱性以及它们相关的因素影响、威胁发生的可能性、威胁的严重程度、威胁发生成功的可能性、资产的脆弱程度等综合考虑, 评估出资产、威胁和脆弱性的相对等级, 然后用相乘的方法计算出风险的相对值, 根据风险等级的划分范围算出风险的等级。风险计算方法如下:

3.1 资产的评估

资产划分为5个等级, 从1到5代表5个级别的资产赋值, 资产的赋值等于该资产造成的影响程度等级。根据信息生命周期理论, 信息的价值也在变化中, 现在重要的信息, 也许几年后价值就降低, 所以每次对资产评估时, 资产的价值相对于上次评估都有可能变化。资产分级方式如下表:

3.2 威胁的评估

威胁划分为5个等级, 从1到5代表5个级别威胁发生的可能性, 也代表威胁级别的赋值。等级越大, 威胁发生的可能性越大。由于时间和环境等因素变化, 有可能以前存在的威胁现在不存在了, 也有可能会随着时间的推移而增加某些新威胁, 所以资产所面临的威胁级别是变动的。根据评估经验和历史数据确定威胁的级别, 具体分级如下表:

3.3 脆弱性评估

脆弱性划分为5个等级, 从1到5代表5个级别资产的脆弱程度, 也代表脆弱性级别的赋值。等级越大, 脆弱性程度越高。本文脆弱性考虑的因素有技术脆弱性和管理脆弱性。本文的脆弱性分类是指在施行现有安全措施后仍存在的漏洞及被利用的可能性。具体分级如下表:

3.4 风险等级的划分与评价

确定风险值的大小是明确不同威胁对资产所产生的风险的相对值。这里引入风险值矩阵表。

风险值计算公式为:

注:R表示风险值;A表示资产估值;T表示威胁估值;V表示脆弱性估值。

计算后的风险值矩阵表如下表:

注:表中括号内为各级别的赋值

经评估小组讨论确定等级对应的风险值。本文将风险等级划分为5级, 如下表:

4、风险评估流程

风险评估流程包括风险评估准备、风险因素识别、风险分析和风险控制四个阶段。

4.1 风险评估准备阶段分为评估准备和确定评估对象两个步骤

评估准备:制订评估程序, 选择科学的评估方法, 召集专家组成评估小组。

确定评估对象:明确各信息系统数据、软硬件资产, 划定评估范围。具体如下表:

4.2 风险因素识别阶段分为资产识别、威胁识别和脆弱性识别三个模块

资产识别:在划定的评估范围内, 列出所有网络上的物理资产、软件资产和数据资产。

威胁识别:识别出任何可能危害到一个信息系统的环境或事件。

脆弱性识别:识别系统安全流程、设计、实现或内部控制中的缺陷或薄弱环节。

4.3 风险分析阶段分为识别现有的安全控制和风险计算两个步骤

识别现有安全控制:分析现有安全控制措施可以减少利用现有系统的薄弱点产生的威胁的可能性及系统可利用的薄弱点造成的损失。

风险计算:采用综合分析法分析现有系统的风险值。

4.4 风险控制阶段的流程

经过风险计算后, 现有的风险能否接受, 如能接受则保持现有安全措施并实施现有风险管理措施;如有个别环节暴露的风险不能承受, 则将该环节控制措施重新修订后再次进行评估;如此反复直到所有环节面临的风险均能承受后, 实施风险管理措施。详见下表:

5、结束语

高校的信息化建设对高校的和谐发展具有重要意义。采用科学合理的方法对高校的信息安全进行评估, 根据评估结果采取有效措施保障高校的信息安全, 确保高校内各信息系统稳定安全的运行, 为高校建设保驾护航。

参考文献

[1]杨永清, 孙媛媛.高校信息安全风险评估探索.科技情报开发与经济.2006.17.

[2]杨洋, 姚淑珍.一种基于威胁分析的信息安全风险评估方法.计算机工程与应用.2009.45 (3) .

信息安全风险 篇11

【摘要】近些年来，随着时代经济的飞速发展以及科技的进步，我国电力信息化进程不断加快，同时计算网络也有着越来越广的应用范围，推动了电力企业的蓬勃发展。对于如何做好电力企业信息的安全管理及风险防范始终是各个企业关注的焦点之一。本文作者结合自身工作经验，首先研究分析如何强化电力企业信息安全管理，其次就如何有效的防范电力企业信息安全风险提出自己的粗浅看法，希望能给从事本行的同仁们一些建议和意见。

【关键词】电力企业；信息安全管理；风险防范；策略

21世纪的今天，电力企业飞速发展的同时，基于信息时代发展中更加注重信息的安全管理，并做好管理制度的基础建设，采取专业性的技术手段，对相应的安全策略和网络安全体系架构制定，最终对企业经营管理整个系统的安全性加以保证。虽然电力企业内部网络信息应用系统的建设已经逐渐得到完善，也构建了各种信息安全防范措施。但是由于电力行业内网本身存在结构复杂和应用系统诸多的特点，因此，在运行维护和风险防范中往往会显得力不从心，会导致内网安全问题频发。这些问题会影响电力企业内网的安全。在这种情形下，必须要加强内网信息安全风险防范，提高内网的安全性。因此本文对强化电力企业信息安全管理及风险防范进行研究有一定的经济价值和现实意义。

一、加强电力企业信息安全管理的必要性

现代化电力信息化进程不断加快，计算机网络技术在电力企业的各个方面有着越来越广的应用范围，当前电力系统的安全性以及稳定性对于电力企业信息系统的安全有着一定的影响，并关乎着电力企业信息的安全可靠性发展。

目前我国电力企业信息化进程加快的同时，虽然硬件环境的构建基本完成，并有着相对较好的网络建设现状。并在现阶段的信息化发展中，更加借助于信息网络系统，将财务和物资进行涵盖，并在当前系统和业务的综合发展中，正确合理的查询一些信息业务，并做好电网调度和相关厂站的一种自动化控制。

电力企业信息安全管理过程中，并将信息化管理制度进行完善和健全，对一支强有力的专业技术队伍进行培养和建立，进而保证了电力企业的一种安全运营和健康发展。当电力企业信息安全管理过程中，往往有着相对庞大的系统和较为复杂的关系部门，在网络技术和通信技术和谐发展的过程中，有着越来越多的应用系统，进而对数据网络的安全性提出了更高的要求，对于物理安全、网络安全、用户安全以及信息安全的要求越来越高，在外部安全威胁的同时，更要保证电力企业有着安全的信息系统，加强内部的信息安全监控和管理。

总而言之，电力企业信息安全管理的过程中，不仅仅保证了电力企业信息安全系统有着一定的规范性和安全性，同时也保证了电力企业的安全健康和谐性经营和发展。因此电力企业信息安全管理有着一定的必要性。

二、加强电力企业信息安全管理的具体对策

电力企业经营发展的过程中，往往要有着科学规范和安全性的信息安全系统，并加强信息安全系统的规范管理。关于强化电力企业信息安全管理的具体对策，主要有以下几点具体体现：

（一）对信息安全管理组织架构建立

电力企业信息安全管理过程中，就要做好信息安全管理组织基础架构的建立，始终坚持主管者负责和运营者负责的基本原则，并将统一性的领导和分级性的管理实现，做好各个信息安全工作小组的全面健康和谐性管理。建立决策层、管理层以及执行层三个层次，合理的规划信息安全规划小组、信息安全监督审计小组和运营保障小组。信息安全管理体系建立的过程中，就要做好信息安全的基本营销管理，保证有着安全管理、运行和技术模块的设置，将电力企业安全管理和安全运行全面实现。

（二）对企业信息安全防护策略确立

做好企业信息安全防护过程中，就要借助于双网双机的和谐管理，将信息网合理的规划为信息内网和外网，通过对逻辑强隔离装置方式加以采用，做好隔离装置的一种合理隔离。依据于业务系统的基本类型，安全的进行划分，将不同安全域的差异化防护实现，并做好网络、应用以及边界主机的纵深基本防御。各个安全区的隔离，通过采取不同强度的安全设备进行隔离，并借助于认证加密以及访问控制的基本技术，将数据远方安全传输全面实现。

（三）做好信息安全管理制度的建设

信息安全管理制度建设的过程中，首先就要保证有着相对健康的信息安全管理制度，对计算机系统使用的管理制度加以建立，并及时的修改应用系统的重要数据，及时的变更管理制度，实现系统和外界系统有着规范性和科学性的连接，通过对执行密码使用的管理制度建立，保证有着合格的密码技术和相关的产品。其次就要做好分等级信息安全的基本防护，对管理措施和技术措施全面落实。最后就要做好信息安全运行的基础保障，做好信息安全的基础技术保障。

总而言之，强化电力企业信息安全管理的过程中，就要提供信息安全技术的基础保障，并将企业工作人员的规范化管理实现，将企业信息资产的分析管理做好，对信息安全应急保障体制健全，保证有着相对规范化和完善性的信息安全管理体系，对企业信息安全管理的具体风险加以规避，并将电力企业信息安全管理问题有效解决，实现电力企业信息系统结构的规范化和科学性管理。

三、做好电力企业信息安全风险防范的对策

（一）先进的信息技术策略

1、漏洞扫描技术。系统存在漏洞首先先天不足，也是安全隐患的根本所在。因此，应该加强漏洞扫描技術，定时定期地对操作系统、服务器等网络设备进行相关安全性检测，排查漏洞并予以修复，使恶意份子无漏洞可钻，及时消除安全隐患，是保证计算机网络信息安全的必不可少的技术策略之一。

2、防火墙技术。防火墙作为一种可以有效保护信息安全的技术性防护策略，主要分为软件防火墙和硬件防火墙这两种形式。防火墙可以有效的防止网络中各种形式的非法访问与搭建起一道安全防护的屏障，对于数据信息的输入与输出操作都可以实施有效控制。现在一般的路由器和交换机都具有比较成熟的防火墙技术（包括NAT技术、VPN、网络加密技术、身份认证）。

3、信息加密技术。信息加密技术是利用数学或物理手段，对电子信息在传输过程中核存储体内进行保护，以防止泄露的技术。信息加密包括两方面的要求，一个是对数据保密性要求，使未经授权的非法访问即使得到数据也難以解密；另一个是对通信保密性要求，防止用户通信数据篡改、通信数据插入、通信数据重用等非法操作。常用的加密技术有对称密码技术（如DES算法）、非对称密钥技术（又称公开密钥技术，如RAS算法）以及二者的混合使用。

4、病毒库技术。随着计算机信息技术的不断进步和发展，病毒也随之变得愈发复杂和高级，给网络信息安全带来极大安全隐患。因此，目前防病毒系统也逐步形成自己的病毒库，也就是把病毒分门别类，科学管理，当不确定信息进入网络时，它能及时将该数据信息与库内数据信息进行核对，排查是否为病毒，从而做出合理处理，保证网络信息安全，因此，我们需日常更新病毒库。

（二）硬软件设备的管理策略

众所周知，软件正常运行需要良好的硬件设备来支持，我们搭建互联网、局域网的过程中，大到服务器，路由器，交换机，小至传输介质，移动存储设备都要逐一考虑，尽量选用功能性强，安全性高的设备。首先，保证其正常运行，网络畅通，服务不中断。其次，合理使用设备与之配套的功能和技术，比如防火墙功能，访问控制，实时监控等，提高网络信息的完全性。最后，定时定期做故障检测和排查，及时处理修复故障，保障设备功能的完整准确性。

总而言之，电力企业的网络安全是一个整合的系统工程，不仅要提升科学技术，硬软件设备，更加强每位员工安全认知意识，所有安全技术都要围绕安全策略有效地组织在一起，相互协作相互影响，这样才能降低安全隐患，构建出一个动态相适应的网络安全防范体系。

四、结语

电力企业生产经营中，更要基于当前新技术革命信息时代中对企业信息安全加以保障，提高对信息安全管理工作的重视度。并将信息安全管理工作作为一项相对复杂性、整体性以及系统性的基础管理工作，依据于系统性的基础工程观点，对电力企业信息安全的相关问题进行综合性的分析。统筹兼顾电力企业发展的同时，保证有着相对规范化和完善性的信息安全管理体系，对企业信息安全管理的具体风险加以规避，并将电力企业信息安全管理问题有效解决，将电力企业信息安全管理水平全面提升，最后就要保证电力企业有着安全性和稳定性的系统，实现电力信息系统的可靠性和高效性运行。

参考文献

[1]张丽.县级电力企业信息安全管理策略探析[J].机电信息，2013，09：166-167.

[2]郭建，顾志强.电力企业信息安全现状分析及管理对策[J].信息技术，2013，01：180-183+187.

[3]牛斐.电力企业网络信息安全的防范措施[J].科技传播，2012，16：192-193.

[4]林通松.基层电力企业信息安全存在问题及防范[J].科技风，2012，23：259.

[5]肖红亮.电力系统网络安全及其对策浅析[J].科技信息，2010（03）

[6]闫斌，曲俊华，齐林海.电力企业网络信息安全系统建设方案的研究.现代电力，2003，60-64

[7]潘爱武.浅议企业网络信息安全威胁与防范[J].科教文汇（下半月），2006年08期

[8]贾春杰.电力系统网络安全风险及其控制措施[J].机电信息，2011（33）

作者简介

第一作者：姓名：叶佳承（1981-06）；性别：男；籍贯：吉林省柳河县；职称：无.学历：大学本科；研究方向：信息通信.

第二作者：姓名：滕波（1984-04）；性别：男；籍贯：湖北省恩施市；职称：无；学历：大学本科；研究方向：信息通信.

信息安全风险 篇12

电力企业是较早实现生产经营信息化的企业, 伴随计算机网络广泛应用于电力企业的各个方面, 电力企业的生产经营对信息网络的依赖性也越来越强,信息资源不仅支撑着电力企业的正常运作,也成为电力企业生存发展的重要资产[1]。随着全球信息化的加速推进,信息安全问题也随之而来。电力企业的重要信息一旦外泄将造成无法估量的损失。 目前电力企业的信息安全建设常常忙于解决已经存在的安全问题,有一定的盲目性和短期效应。因此, 做好电力企业的信息安全工作也成为当前电力企业信息化工作的一项重要课题。

Thomas Finne将信息安全风险定义为: 威胁( 引发损害的事件) 、漏洞( 组织可被威胁利用的缺口) 和资产价值( 资产处于危险状态时对组织的重要性) 之间的相互作用[2],其中风险会随着信息资产拥有的价值、脆弱性被利用的危害、威胁攻击影响三个因素的增加而增大,随着安全防控措施有效性提高而减小。通过对电力企业信息安全风险评估可以掌握信息系统的安全状况和安全等级,明确信息系统面临主要的风险要素,采取措施维护改进加强信息的安全保障。目前研究信息安全风险的方法有很多,本文在对某电力公司信息安全管理实际考察下, 选定基于风险概率和风险影响两个方面的风险矩阵方法研究该电力公司信息安全风险。风险矩阵法是由美国空军电子系统中心提出的,是在项目管理过程中识别项目风险重要性的方法。运用风险矩阵来评估电力企业安全风险水平,可以将风险清晰明确地表现出来,简洁明了地识别主要的风险要素,从而方便电力企业采取相关的风险规避措施。风险矩阵与一般其他常用风险评估方法的显著区别在于风险矩阵是先通过对风险影响和风险概率确定等级划分,由专家通过较为直观的经验判断出风险影响和风险概率所处的量化等级,然后对各风险因素进行排序,实现风险评估。根据信息安全定义建立威胁、脆弱性、资产三个风险识别系统,由专家确定出风险影响和风险概率二维矩阵,确定出风险序值,利用Borda序值进行排序,用层级分析法确定风险要素的权重,最后综合测算信息安全的综合等级。

1基于风险矩阵的电力公司信息安全风险评估

1. 1构建风险矩阵评估模型

基于上述分析和定义,构建基于风险矩阵法的信息安全风险评估模型,如图1所示。

1. 2风险要素

本文通过专家调查问卷,向该电力公司20位专家发放信息安全风险要素调查问卷,结合ISO17799: 2006、NIST SP800 - 26为参考准则,确立了八项风险要素: 人事、物理环境、组织机构、信息机密性、网络设施、通信操作、系统、决策和风险评估[3 - 5]。风险要素具体内容如表1所示。

1. 3风险概率和风险影响

风险发生概率和风险影响是确定风险等级的基础,根据GB /T 20984 - 2007中的等级划分规则,将其各分为5个等级。在风险发生概率等级中,1级到5级依次表示发生概率越来越大。0 ~ 10% 概率说明极不可能发生; 11% ~ 30% 说明发生可能性很小; 31% ~ 70% 说明有可能发生; 71% ~ 90% 说明发生可能性很大; 91% ~ 100% 说明极有可能发生。

在风险影响等级中,1到5级则表示影响程度越来越严重,如表2所示。

威胁、脆弱性和资产的识别是群定风险概率值P和风险影响值I的基础,GB / T 20984 - 2007将威胁、脆弱性严重程度和资产等级均定义为5个等级, 并分别赋值为: 很高( 5) ,高( 4) ,中( 3) ,低( 2) ,很低( 1) 。风险发生概率值P由威胁出现频率T和脆弱性严重程度V来确定[6]:

风险影响值I由脆弱性严重程度V和资产价值A来确定:

文中,f1、f2表示构建专家二维矩阵。f1中,矩阵行均代表脆弱性严重程度,列代表威胁出现频率, f2中,矩阵行均代表脆弱性严重程度列代表资产重要性等级; 以此行、列建立矩阵,不同的脆弱性与不同的威胁或资产价值结合产生的风险概率或风险影响具有随机性,矩阵内的计算方法由专家确定。

1. 4风险等级栏

根据GB /T 20984 - 2007将风险概率和风险影响的值代入风险矩阵来确定风险等级。风险等级对照表把数字表示等级量化,文字表示等级描述[7]。 风险等级从1级到5级,可划分为很低、低、中、高、 很高,如表3所示。

1. 5风险要素的权重

评估该电力公司信息安全选取多指标评估系统,风险要素权重确定是重要步骤。应用Borda序值法消除存在处于同一风险等级的风险要素的风险结,对风险要素的重要性排序。Borda序值法: 设N为总的风险要素数,i为某个特定风险,其中k表示某个准则。若rik表示风险i在准则k下的风险等级,bi( i = 1,2,…,8) 来表示风险要素的Borda数由式( 3) 给出:

本文中风险要素有8个,N = 8,信息安全风险矩阵有两个准则,k = 1,ri1表示风险影响准则,k = 2, ri2表示风险概率准则。Borda序值从大到小表示风险的重要程度[9],利用层次分析法做出判断矩阵A。

其中,wi> 0,对矩阵A按行求积,然后将乘积开n次方,开方结果归一化得到权重向量。计算风险要素权重RWi。

1. 6风险等级综合评估

将各风险要素的风险等级量化值RRi与相对应的风险权重RWi相乘,然后将得到的结果累加,即可得到综合风险等级量化值RRT,如公式( 4) :

2实例应用

根据调研得到该电力公司专家的判断,对风险发生概率和风险发生影响做出评估。构建专家二维矩阵,即确定f1、f2的计算公式:

得到二维矩阵,矩阵的行代表脆弱性识别V从1级到5级,风险概率矩阵P列代表威胁识别T从1级到5级。风险影响矩阵I的列代表资产识别A从1级到5级。

依据二维矩阵,将风险概率和风险影响划分为5个等级[9],如表4 - 5所示。

由专家确定每个风险要素的脆弱性识别等级、 威胁识别等级和资产识别等级,根据风险概率矩阵和风险识别矩阵确定出要素的风险概率值和风险影响值。根据表和表确定要素风险概率等级和风险影响等级,代入表确定风险等级。并计算风险概率量化值。计算得到表6。

利用Borda数基本算法,计算八个风险的Borda数依次为: 11、8、4、15、7、12、9、10。取相对数得Bor- da序值为: 2、5、7、0、6、1、4、3。根据Borda序值数做出判断矩阵:

逐行相乘得:(120 0.0083 0.000025 403200.0004 2350 0.2 5)。开8次方:

(1.819 0.5497 0.266 3.764 0.3757 2.66180.8178 1.2223)。归一化求得权重:(0.159 0.0480.023 0.328 0.033 0.232 0.071 0.107)计算得到λmax=8.2883,

,查表得随机一致性指标n=8,RI=1.41。 说明矩阵通过了一致性检验。计算公司的信息安全风险等级:

3结束语

本文应用了二维风险矩阵法来评估信息安全风险,开展对风险要素的重点识别,系统评估信息安全风险,将定性的过程定量化,为实现信息安全风险管理提供系统化的工具。在该电力公司信息安全风险等级为中,信息机密性的量化值高于综合风险值,公司需要重视信息的机密性,并加强相关管理。通过风险矩阵法评估信息安全风险不仅考虑风险影响的程度和风险可能发生的概率还能降低主观的不确定性。计算结果为管理者改善管理提供方向,具有一定的理论意义和可操作的实用价值。

摘要：随着信息化的发展,电力企业信息安全风险管理日益凸显出其重要性。基于某电力公司八个信息安全风险要素分析,运用风险矩阵法对信息安全风险进行评估。建立了包含了专家二维矩阵、运用Borda序值法和层次分析法的评估模型。运用实例计算信息安全风险等级并找出主要安全风险要素,证明了模型的有效性和合理性。研究结果对电力公司加强信息安全风险管理有一定的参考价值。