返回
第28讲信息安全风险评估技术手段综述

第28讲信息安全风险评估技术手段综述

ID:40652242

大小:40.50 KB

页数:6页

时间:2019-08-05

第28讲信息安全风险评估技术手段综述_第1页
第28讲信息安全风险评估技术手段综述_第2页
第28讲信息安全风险评估技术手段综述_第3页
第28讲信息安全风险评估技术手段综述_第4页
第28讲信息安全风险评估技术手段综述_第5页
资源描述:

《第28讲信息安全风险评估技术手段综述》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、第28讲信息安全风险评估技术手段综述   摘要:信息安全成为国家安全的重要组成部分,因此为保证信息安全,建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础,在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具,本文在对风险评估工具进行分类的基础上,探讨了目前主要的风险评估工具的研究现状及发展方向。关键词:风险评估综合风险评估信息基础设施工具引言当今时代,信息是一个国家最重要的资源之一,信息与网络的运用亦是二十一世纪国力的象征,以网络为载体、信息资源为核心的新经济改变

2、了传统的资产运营模式,没有各种信息的支持,企业的生存和发展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战,因此,需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说:“没有安全的工程就是豆腐渣工程”。信息同样需要安全工程。而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。如

3、何保证组织一直保持一个比较安全的状态,保证企业的信息安全管理手段和安全技术发挥最大的作用,是企业最关心的问题。同时企业高层开始意识到信息安全策略的重要性。突然间,IT专业人员发现自己面临着挑战:设计信息安全政策该从何处着手?如何拟订具有约束力的安全政策?如何让公司员工真正接受安全策略并在日常工作中执行?借助于信息安全风险评估和风险评估工具,能够回答以上的问题。信息安全风险评估与评估工具风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于

4、风险评估工具,确定信息资产的风险等级和优先风险控制。风险评估是风险管理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一。企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前,进行风险评估会帮助组织在一个安全的框架下进行组织活动。它通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。信息安全风险评

5、估经历了很长一段的发展时期。风险评估的重点也从操作系统、网络环境发展到整个管理体系。西方国家在实践中不断发现,风险评估作为保证信息安全的重要基石发挥的关键的作用。在信息安全、安全技术的相关标准中,风险评估均作为关键步骤进行阐述,如ISO13335、FIPS-30、BS7799-2等。风险评估模型也从借鉴其他领域的模型发展到开发出适用于风险评估的模型。风险评估方法的定性分析和定量分析不断被学者和安全分析人员完善与扩充。最主要的是,风险评估的过程逐渐转向自动化和标准化。应用于风险评估的工具层出不穷,越来越多的科研人员发现,自

6、动化的风险评估工具不仅可以将分析人员从繁重的手工劳动中解脱出来,最主要的是它能够将专家知识进行集中,使专家的经验知识被广泛的应用。风险评估工具的分类目前对风险评估工具的分类还没有一个统一的理解。文献[]将风险评估工具被分为三类:预防、相应和检测。通常情况下技术人员会把漏洞扫描工具称为风险评估工具,文献[]提到的风险评估工具就是漏洞评估扫描器。确实在对信息基础设施进行风险评估过程中,漏洞扫描工具发挥着不可替代的作用,通过漏洞扫描工具发现系统存在的漏洞、不合理配置等问题,根据漏洞扫描结果提供的线索,利用渗透性测试分析系统存在

7、的风险。随着人们对信息资产的深入理解,发现信息资产不只包括存在于计算机环境中的数据、文档,信息在组织中的各种载体中传播,包括纸质载体、人员等,因此信息安全包括更广泛的范围。同时,信息安全管理者发现解决信息安全的问题在于预防。在此基础上,许多国家和组织都建立了针对于预防安全事件发生的风险评估指南和方法。基于这些方法,开发出了一些工具,如CRAMM、RA等,这些工具统称为风险评估工具。这些工具主要从管理的层面上,考虑包括信息安全技术在内的一系列与信息安全有关的问题,如安全规定、人员管理、通信保障、业务连续性以及法律法规等各方

8、面的因素,对信息安全有一个整体宏观的评价。其实,一个完整的风险评估所考虑的问题不只关键资产在是某个时间状态下的威胁、脆弱点情况,以往一段时间内的攻击情况和安全事故都是风险分析过程中用于确定风险的客观支持。那么对这些攻击事件的检测和记录工具也是风险评估过程中不可缺少的工具。因此,文献[1]中将入侵监测系统也作为风险评估

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。