信息安全风险管理思考

黄杰生

（广州奥格智能科技有限公司，广东 广州 510663）

信息技术的发展，在根本上改变了传统的生活形态和生产方式，但对于信息拥有者来说，信息资源又是最活跃和关键的因素，容易产生各种风险。目前信息系统建设得越来越复杂，而信息资源的安全又很难得到有效保障，因此，需要采用恰当、科学的方式对信息安全风险进行管理，确保信息处于安全的状态。信息安全风险管理主要包括信息安全风险评估和信息安全风险控制两方面。

1 信息安全风险评估

1.1 评估方法

为了全面掌握信息安全的风险程度，需要通过恰当的方式对风险进行识别评估。评估方法主要包括以下几种：（1）模型分析法。根据应用场景建立风险模型，并对实际环境信息进行采集，然后将信息安全标准和实际情况进行对比与分析，识别出风险隐患。（2）经验分析法。在识别评估信息安全风险的过程中，可以通过经验分析的方式找出风险隐患。此风险评估方式并不需要太多时间、精力和资源，仅需要在完成环境信息的采集以后，对其进行集中分析，结合工作人员所积累的经验找出风险点。（3）定量分析法。根据对数据对象分析所获得的结果，对风险进行评估，并将其转化为财务风险分析、资产风险分析。采用这一方式能够为信息拥有者提供更加具体、直观的数字化结论，便于对风险程度的量化掌握，从而制定更加有效的治理措施。但是该方式较依赖主观判断，且计算方式较为复杂，目前并没有形成标准统一的体系。

1.2 计算方法

在信息安全评估的过程中，对风险的量化计算是评估的主要手段，主要计算方式包括：（1）风险等级划分。首先，分析各种风险对信息安全造成的具体影响，结合其造成破坏的程度实现划分等级的目的；其次，根据风险的级别，对风险发生的概率进行全面分析，并通过计算将风险影响值转化为量化值；最后，根据量化值建立“信息资产—风险威胁—风险程度”之间的逻辑关系，全面掌握各种风险的具体影响程度。（2）风险结构化分析法。首先，确定信息资产、业务流程中所包含的风险种类及其影响，然后以层次分析的方式生成各种风险的结构化指标。在结构化分析的过程中，需要保证所有相关人员均参与其中，以提高分析结构的客观性、全面性和准确性，但需要投入更多的资源和人力。与之相比，非结构化风险的计算，工作量相对较少，且具有较强的灵活性，但风险评估的结果缺乏准确性和全面性[1-2]。

1.3 信息安全风险模型化定位

信息安全风险管理对于数字化信息高效传输也非常重要，也是我国信息传输产业获得更长远发展的保障。因此，除了加强信息系统的内在安全性，也要做好对信息传输应用环境风险模型化定位的进一步解析。例如：在数字化程序信息传输的基础上，运用大数据资源库，形成信息传输三维坐标定位分析结构，结合远程信息控制体系，与数字化信息传输节点相连接，当系统传输信息借助外部远程空间定位时，空间信号模型就能够直接进行信息传输的风险性评估，保障主体部分信息传输的安全性。这一信息安全风险模型化定位方式，是信息安全风险管理的有效措施。

2 信息安全风险控制

2.1 计算机系统安全防护

由于信息管理主要依赖计算机系统，为了实现有效的信息安全风险管理，需要针对计算机系统相关组件建立全面的安全防护措施，主要对象包括基础设备、数据储存、信息传输通道等。主要有以下几种系统安全防护措施：（1）在计算机中设置安全防火墙，从而有效控制网络访问行为，通过此方式可以在很大程度上降低信息被非法访问的可能性。（2）利用入侵检测技术，计算机可以自动监控访问者的行为动态，一旦访问者的操作不符合安全标准，或者存在越权的操作行为，计算机都会自动对其屏蔽，避免信息泄露。（3）利用电子签名与数据加密技术，可以在很大程度上避免信息被假冒伪造或被窃取。（4）采用严密的用户认证与权限控制的方式，降低系统被非法入侵的风险。（5）重视查毒技术和防毒软件的应用，应及时对计算机系统进行病毒查杀以及补丁升级，不断增加计算机系统的健壮性。（6）重视数据的容灾备份，以合理的频率和范围对数据进行备份，并应该保证可以将数据无损地恢复至任意时间点。

2.2 基础环境保护

基础环境是导致信息安全风险的重要因素，应采用恰当的方式进行控制预防，其中以办公场所、物理设备、通信网络为主要控制对象。控制的方式主要包含以下几点：（1）应用门禁系统。通过该系统的应用，加强对涉密人员的管理和权限控制。在此基础上，还需要在内部安装监控设备，主要将其置于服务器机房、办公区域中，进行实时的环境监控。（2）对于物理设备而言，应禁止服务器、涉密计算机等关键设备接入非涉密外挂设备，特别是可移动存储设备。可以通过建立内部涉密网络的方式实现对涉密计算机的控制与管理，不仅能实现信息共享，还可以避免信息泄露或遭受破坏。内部的涉密网络与外部网络必须严格分离。（3）对不同的网络用户进行分组，如研发组、行政组、维护组等，根据分组之间的差异设置具体的网络控制规则，并通过统一的网络控制设备来控制不同分组的网络社会。（4）对社交通信行为（如微信、QQ等）进行必要的限制和过滤审查，避免内部信息的泄露，提高信息保密性[3]。

另外，对于信息底层传输通道的安全风险管理，可以通过进一步介入监测信息传输渠道实现信息安全风险控制。即对于通过传输渠道传输的大量数据信息，可通过本次传输信号对应的安全保护代码的监测和控制，将数据传输圈定在安全范围内，当安全保护代码发现传送到外部空间的信息数据内容超越安全范围时，系统就会阻止信息传输，避免信息传输风险。但我们进行这种介入控制时，必须同时保证信息传输的稳定性，然后再建立信息安全风险控制框架，否则，就会在信息传输期间，出现内部信息互相干扰导致错乱的情况。此时，保护数据非但不会对原始信息起到安全防护的作用，反而会造成原始信息丢失。

2.3 动态信息病毒审查系统

信息安全风险控制工作的有效实施，也需要加强对信息传输过程的动态性特征的监测控制。当前，基于网络平台之上的信息安全防护管理工作，都是将本次传输的信息，“固定”在某一时间点上，然后分段进行信息传输的安全保护。但如果在网络信息传输过程中有病毒入侵，只要侵入一个信息点，就会导致信息整体瘫痪。而使用动态信息病毒审查系统，可以将传统的节点分段式病毒防护方式转化为动态病毒审核方法，一旦审查系统在传输信息节点中发现病毒并发出警报信号，系统将终止本次信息传输，并将受感染的信息进行集中销毁，从而保障信息传输的安全性。

2.4 完善管理机制

构建完善的信息安全管理制度，并确保在工作中落实，真正起到监督与规范工作人员行为的作用。在对相关人员的权限进行设置时，需要全面深入进行调研和规划，包括不同角色可以访问的信息类别和网络区域。要注意对重要的机密信息进行隔离和单独管理；对于非机密的信息，可以结合工作人员的岗位实施授权管理的方式，有效提高信息的共享和可利用程度。还可以实行多人协同、互相监督的管理方式，定期轮换信息管理岗位，避免集中管理所造成的风险。

另外，人员素质能力是造成信息安全风险的重要因素之一，要注重培养工作人员的安全意识和安全管理能力，其重要性甚至超过对技术能力的要求。特别对于信息安全管理人员，更加要注重加强培养和监督，并应具备如下能力：（1）信息安全管理人员需要具有较强的权威，并能够在发生信息安全风险时及时制定应对措施，即需要具备足够的安全工作能力。（2）信息安全管理人员应该掌握、熟悉业务流程，能够主动及时发现信息安全隐患，并优化信息管理工作。（3）信息安全负责人要明确自身的职责，并能够结合实际现状制定、调整信息安全管理策略，以身作则在实际工作中进行落实，并严格指导和规范他人的信息安全管理工作。

3 结语

综上所述，信息资源对于信息拥有者的发展至关重要，一旦发生安全风险将带来不可估量的损失。因此信息安全管理人员应重视安全风险管理，并采取全面可行的策略和方法，对风险进行预先评估，避免风险的发生，同时也要建立完善和周密的风险控制和应对措施，在风险真实发生的时候可以尽快消除风险并最大限度地减少损失。

[参考文献]

[1]刘剑.石油企业IT风险管理体系研究[D].成都：西南石油大学，2016.

[2]任妮.数字图书馆信息安全规范化管理研究[D].南京：南京农业大学，2016.

[3]孙谊.中国农业银行广东省分行信息安全管理研究[D].兰州：兰州大学，2016.