信息系统安全风险的评估

龚建 成都信息工程大学银杏酒店管理学院

信息系统安全风险的评估

龚建 成都信息工程大学银杏酒店管理学院

由于信息技术的不断发展，对信息系统的安全性有了更高的要求，所以信息系统安全风险的评估显得尤为的重要。信息系统安全风险评估的目的在于对信息化的系统进行分析以及风险监测，从而采取有效的手段消除安全隐患，保证信息系统的安全。基于此，本文首先研究了信息系统安全风险的工作流程，其次，对信息系统安全风险评估方法进行了阐述，为推动信息系统安全风险评估的进一步发展做出贡献。

信息系统安全 风险评估方法

随着经济的不断发展，信息系统的复杂程度也进一步提高，这就对信息系统安全风险的评估提出了更高的要求。目前，我国信息系统安全风险的评估还有待完善，针对这一问题，本文将从信息系统安全风险评估的工作流程和信息系统安全风险评估方法两个方面进行分析，从而保障信息系统的安全。

1 工作流程

信息系统安全风险评估的工作流程大致分为以下几个方面。

1.1 对资产的识别

资产是信息安全风险评估的主要对象，是具有较高价值的信息资源。资产可大致分为人力资源、信息资源、硬件资源等方面。由于资产的重要性不同，所给予的保护程度也就不同，所以，信息系统安全风险评估工作的第一步就是将资产做出识别并进行大致的划分。

1.2 对威胁的识别

影响信息安全的主要因素就是风险造成的威胁，如果没有完善的威胁识别体系，就有可能造成信息的泄露，从而造成严重的后果。对威胁识别的意义就在于对破坏资产安全的因素加以识别和分类，保证信息系统的安全。

1.3 对脆弱性的识别

脆弱性是对资产弱点的总体概括，对脆弱性的识别也可以解释为对资产弱点进行综合概括的过程，只有掌握了资产的弱点，才可以更好的对资产进行保护，所以，对脆弱性的识别是信息系统安全评估流程中尤为重要的一部分。

1.4 确认现有的安全措施

安全措施可以有效的控制信息安全风险的发生概率，所以，在进行信息安全风险评估之前，必须要确认现有的安全措施并进行分析，这样才能为后面的工作打下良好的基础。

1.5 对风险进行分析

在完成了以上四点之后，就进入分析风险的阶段。对风险进行分析的主要方式是通过计算机对以上数据进行具体的分析和统计。

2 信息系统安全风险评估的方法

2.1 对知识系统的风险分析

对知识系统的风险分析方法大多是基于大量经验之上的，对技术的要求很低。主要是通过对资产信息的采集，利用工作人员自身具有的大量经验，对采集来的信息进行对比分析，找出与相关标准的不同之处，制定出相对应的解决策略，加以分析和改进，起到对安全风险的控制作用。其中资产信息的采集大致可以通过开会讨论、实地调查、与相关人员进行交谈以及查阅资产信息相关文档等方法进行收集。这一种方法由于对技术的要求较低，所以大多用在管理层面。

2.2 对技术系统的风险分析

对技术系统的风险分析方法大多是基于技术人员的技术之上的。通过对相关经验的运用，对系统出现的问题作出完整的计算和评估，以此方法解决信息系统安全监测中存在的问题，其特点是加强评估方法的评估效率、提高了信息安全风险评估结果的质量和准确性、减少了相关技术人员之间的沟通障碍，使分析结果更加精确。这种方法相对于技术的要求较高，管理方面较为薄弱，所以大多运用于技术系统风险的分析。

2.3 对信息系统的定量及定性分析

定量分析法主要是通过对资产信息通过计算机转化为数据的方法，使技术人员能够直观明了的对资产进行分析，这种方法的优点是分析结果精确、直观，适用于管理层面。缺点是对资产的分析是基于技术人员主观意识上的，具有一定的主观性。定性分析是结合企业的历史记录，由相关的技术人员进行讨论，进而对结果进行分析计算得出结果的方法。定性分析方法的优点是进一步的减少了对于风险分析结果的误差，对于分析结果进行了有效的排列，方便管理人员进行管理。缺点是缺乏客观性，可能会造成分析结果的偏差。

为了确保我国信息系统的安全，信息系统安全风险的评估已经拥有了举足轻重的地位。本文通过对信息系统安全工作流程的介绍，大致了解了工作流程包括对资产的识别、对威胁的识别、对脆弱性的识别、对现有安全措施的确认以及对风险的分析几个方面。接着阐述了信息系统安全风险评估的方法，包括对知识系统技术系统的分析以及对信息系统的定量以及定性分析。通过对以上技术方法的运用，进一步使我国信息系统安全风险评估得到保障。

[1]梁丁相,陈曦.基于模糊综合评判理论的电力信息系统安全风险评估模型及应用[J].电力系统保护与控制,2015,05:61-64

[2]林洋.信息系统安全风险评估模型及其应用研究[D].大连海事大学,2013

[3]史美玲.第四方物流信息系统安全风险评估的研究[D].北京化工大学,2014