计算机网络信息系统安全评价方法探微
2016-03-12 08:06:20廖桂梅
大科技 2016年3期
廖桂梅
(广东互维科技有限公司 广东广州 510663)
计算机网络信息系统安全评价方法探微
廖桂梅
(广东互维科技有限公司 广东广州 510663)
计算机网络信息系统安全评价可为构建可靠、安全的系统提供支持,要做好安全评价方法的选择与应用,以提升风险评估效益。本文分析了计算机网络信息系统安全评价作用与指标体系,探究了评价准则与方法,希望能为信息系统安全评价提供参考。
网络信息系统;安全评价;风险评估;方法
计算机网络信息系统作为近年来广泛应用于多个领域的重要技术,在协助生产、解决问题、方便生活等诸多方面有出色表现,但是由于计算机技术及网络信息系统的特殊性,其运行与应用过程中承担着巨大的网络风险,做好系统安全维护与评价有助于降低运行风险,改善应用现状。计算机网络信息系统安全评价要立足于安全风险评估,结合系统具体运行需求选择针对性评价方法以作改善。
1 计算机网络信息系统安全评价作用与指标体系
1.1 安全评价作用
计算机网络信息系统的安全保障主要由安全管理、安全技术、安全组织三大体系构成,保障信息安全的核心是风险评估,风险评估集中体现在计算机网络信息系统多个环节。
计算机网络信息系统的运行与应用离不开完善且准确的风险评估,以风险评估为基础,可对系统运行时所面临的外部威胁、内部隐患等做出全面评价,有助于制定相应的解决对策,改善运行环境、降低运行风险,达到预防、控制安全风险的目的。信息安全风险管理作为风险评估的重要环节,从信息系统建立、运行、实施、维护等多个环节都离不开其作用,风险评估可发挥自身强大核查作用对各类安全标准等进行验证、验收,提供具体的风险参数以供分析与参考,在维护过程中对安全技术、安全管理作用进行核查及评价,以判断系统对环境变化的适应能力,在发现问题或出现技术故障时,及时采取针对性处理举措予以解决。
1.2 安全评价指标体系
系统安全评价作为现代计算机体系运行的重要内容,可评价系统运行风险与危险性,通过细致、全面的分析对系统情况做综合评价,以及时、准确的了解系统中薄弱部分与危险环节,为安全管理提供重要依据。计算机网络信息系统的安全评价指标体系主要包括五大部分内容,分别是实体与环境安全、组织管理与安全制度、安全技术措施、网络与通信安全、软件与信息安全,以这五部分内容为基础构建完整且可靠的风险评估体系。
实体与环境安全主要以周围环境、外部安全举措(如有无防火、防水、防静电、防雷、防盗措施等)评估为主;组织管理与安全制度主要以有无专门的安全信息管理规章制度、是否配备专门信息管理人员、有无事故处理预案、信息设备及数据管理制度是否完善等;安全技术操作包括有无数据备份恢复技术对策、防黑客入侵防病毒木马措施、有无系统操作日志及系统安全审计功能等;网络与通信安全包括是否有并采取加密举措、系统运行有无安全审计跟踪、通信设备有无专门醒目标志、通信线路及控制装置有无备份等;软件及信息安全包括有无用户识别举措、应用软件有无防破坏举措、数据库及系统运行状态有无监控跟踪等。以这些内容为基础,共同构成了计算机网络信息系统安全评价体系。
2 计算机网络信息系统安全评价准则与方法
2.1 评价准则
网络信息系统安全评价主要遵循充分性、适应性、系统性、针对性、合理性五大原则。
充分性原则意味着选择安全评价方法时要充分考虑系统特点、评价目标与目的、评价方法优缺点,以实现评价效益最大化;适应性原则意味着安全评价方法的选择与运作必须基于系统特性与特点,符合评价方法的适用范围;系统性原则而意味着评价方法的运作必须能与被评价的系统形成和谐整体,具有较高的信度与准确性;针对性原则意味着评价方法的选择必须以评价目的与目标为关键核心,所得的结果完全符合要求;合理性意味着评价方法的选择除了要考虑评价结果之外,还要综合考虑经济性、安全性等指标,减少不必要的浪费与损失。
2.2 安全评价方法
目前有关计算机系统安全评价的方法尚缺乏一套完整且通用的方法,根据系统特点、评价目标、系统规模及复杂程度、工艺类型、危险性、危害性等不同,评价方法各自不一,在适用范围、评价原理与目标、技术条件、优缺点方面有所差异。
比如定性与定量为主的评估方法,作为目前应用较广的评估方式,定性评价主要针对系统威胁事件发生的概率及带来的损失为基础做出评估,通过期望值判断作为风险评估依据,但是对风险大小及严重程度缺乏正确判断;定量评价是对特定资产价值作为分析,结合客观数据、威胁频率进行计算,结合威胁事件发生可能性与损失这三类结果进行综合判断,以最终确定风险等级与危害。动态评估与分析的评价方法是将计算机系统信息管理视为安全管理过程的具体化运作,将风险评估控制、安全方针制定及控制方式选择等内容包含在内做全程风险的动态评估,是一种风险的动态评估运作方法。以知识与模型为基础的安全风险评估带有典型的稳定性,知识评价结合以往安全评估经验对现行运作风险与问题进行评价,结合以往评价模型、知识框架、保护措施等对现行体系进行优化,是一种安全风险较低、重复利用率高的评价方法;以模型为基础是将信息系统运行过程中的风险与外部环境交互过程中的不利因素做综合分析,以特定评价模型进行运作以实现对风险的定性评估。
目前计算机信息系统安全评价中应用具体方法较多,比如安全检查表将诸多项目内容进行分析以确定系统运行状态,及时发现不安全风险因素并进行整改,是一种适用于各个阶段的风险定性辨识方法,在辨识容易引发事故、伤害、损失及环境危害的装置条件、操作规程方面有一定优势;事件树分析可准确辨识初始事件成为事故的可能过程与危害,在预测不安全因素、事故、评判事故后果及寻求预防手段方面有一定优势;风险矩阵分析主要是选择关键装置或风险区域做安全设计、紧急预案评价,可确定风险属性、规模出列相关矩阵表,为后续风险管控提供依据。
3 结束语
综上所述,计算机网络信息系统安全评价可为解决系统运行风险提供可靠依据,有助于提升系统运行可靠性与安全性,实现风险评估最优化,为信息系统的高效开发、应用提供有力支持。
[1]张育军.试论计算机网络信息系统安全评价方法[J].电子技术与软件工程,2015(10):208.
TP393.0
A
1004-7344(2016)03-0248-01
2016-1-11
猜你喜欢
哈尔滨轴承(2022年1期)2022-05-23 13:13:18
电子制作(2018年16期)2018-09-26 03:27:08
电子制作(2018年11期)2018-08-04 03:25:54
电子制作(2018年12期)2018-08-01 00:47:58
消费导刊(2017年20期)2018-01-03 06:26:40
现代工业经济和信息化(2016年12期)2016-05-17 05:37:57
信息记录材料(2016年4期)2016-03-11 15:22:27
质量与标准化(2015年9期)2015-07-10 15:12:07
浙江人大(2014年5期)2014-03-20 16:20:25
河南科技(2014年19期)2014-02-27 14:15:24
