返回
信息安全风险评估浅谈

信息安全风险评估浅谈

ID:430757

大小:147.49 KB

页数:0页

时间:2017-08-01

信息安全风险评估浅谈_第页
预览图正在加载中,预计需要20秒,请耐心等待
资源描述:

《信息安全风险评估浅谈》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全风险评估浅谈吴兰摘要:本文介绍了信息系统安全风险评估的要素、分析原理、实施流程,指出开展信息安全风险评估工作是提高信息安全保障水平的一项重要举措。关键词:风险评估、资产、威胁、脆弱性随着我国国民经济和社会信息化进程的加快,网络与信息系统的基础性、全局性作用日益增强,经济社会发展对网络和信息系统的依赖性也越来越大。但由于网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁,使信息系统的运行客观上存在着潜在风险。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确提出“要重视信息安全风险评估工

2、作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”,将开展信息安全风险评估工作作为提高我国信息安全保障水平的一项重要举措。信息安全风险和事件不可能完全避免,关键在于如何控制、化解和规避。不计成本地追求零风险或试图完全消灭风险、避免风险也是不可行的。信息安全风险评估就是从风险管理的角度,运用科学的方法和手段,全面检测网络和信息系统存在的脆弱性,系统分析和评估安全防护水平,从而有针对性地提出抵御威胁的防护对策和整改

3、措施,将风险控制在可接受的水平,最大限度地达到保障网络和信息安全的目的。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决问题的办法,寻求一个最佳的平衡点,去化解风险,及早防范。信息系统安全风险评估,是指依据有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。风险评估的基本要素风险评估的基本要素包括:要保护的信息资

4、产、信息资产的脆弱性、信息资共5页第1页产面临的威胁、存在的可能风险、安全防护措施等。图1显示了风险评估各要素之间的关系。业务战略依赖暴露拥有脆弱性资产资产价值未被满足增加利用成本增加导出威胁风险安全需求抗击演变残留降低被满足可能诱发未控制安全事件残余风险安全措施图1:风险评估各要素关系图图1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各

5、类因素。图1中这些要素之间存在着以下关系:业务战略依赖于资产去完成;资产拥有价值,单位的业务战略越重要,对资产的依赖度越高,资产的价值则就越大;资产的价值越大则风险越大;风险是由威胁发起的,威胁越大则风险越大,并可能演变成安全事件;威胁都要利用脆弱性,脆弱性越大则风险越大;脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的;安全措施可以抗击威胁,降低风险,减弱安全事件共5页第2页的影响;风险不可能也没有必

6、要降为零,在实施了安全措施后还会有残留下来的风险——一部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。风险分析原理风险分析中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:对资产进行识别,并对资产的价值进

7、行赋值;对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。风险分析原理如图2所示。图2风险分析原理图共5页第3页风险评估实施流程我们可以将风险评估活动大致分为以下主要阶段:评估准备阶段:本阶段主要是前期的准备和计划工作,包括明确评估目标,确定评估

8、范围,组建评估管理与实施团队,对主要业务、组织结构、规章制度和信息系统等进行初步调研,沟通和确认风险分析方法,协商并确定评估项目的实施方案,并得到被评估单位的高层许可。尽管评估准备阶段的工作比较琐碎,但准备阶段中充分、细致和沟通和合理、精确的计划,是保证评估工作得以顺利实施的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。