风险评估论文高校信息安全风险评估论文

风险评估论文高校信息安全风险评估论文

ID:43576393

大小:25.50 KB

页数:3页

时间:2019-10-11

风险评估论文高校信息安全风险评估论文_第1页
风险评估论文高校信息安全风险评估论文_第2页
风险评估论文高校信息安全风险评估论文_第3页
资源描述:

《风险评估论文高校信息安全风险评估论文》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、高校信息安全风险评估论文1信息安全风险评估的含义、方法及模型1.1信息安全风险评估的含义信息安全风险评估是从风险管理角度出发,构建风险评估模型,建立风险评估体系,运用风险评估方法,系统地分析信息系统所面临的风险威胁及系统的脆弱性/漏洞,评估风险发生帯来的危害程度,提出应对风险的安全控制措施,规避和控制信息安全风险,降低风险发牛•的概率,将风险控制在可承受的范围,为信息安全风险评估提供科学依据。1.2信息安全风险评估的方法随着信息安全风险评估研究工作的不断深入,形成了多种不同的信息安全风险评估方法,这些方法的出现大大缩短了信息安全风险

2、评估的时间,节省了大虽的资源,提高了信息安全风险评估的效率和准确性,为防范信息安全中出现的风险提供了理论依据[3]。冃前,常用的信息安全风险评估的方法冇定量评估方法、定性评佔方法和定性与定量相结合的综合评估方法。具小,定量评估方法是根据信息系统屮风险相关数据,利用具体的评估算法计算出评估结來,并对结果进行分析,它能够总观地反应评估结果,更容易被人们接受。但是该方法主要依赖于数学模型来描述风险,在量化的过程中将原本复杂的事物理想化,一般适用于风险评估材料齐全且数学理论基础较好的情况,常见的定最评估方法有Markov分析法、聚类分析方法

3、、决策树分析方法、风险审计技术等。定性评估方法是评估者利用自己拥有的专业知识和积累的经验对信息系统存在的风险进行识别和评价,并提出应对风险的安全控制措施。它对评估者知识和经验的要求较高,一般适用于风险评估数据不全或者数学理论基础较为薄弱的情况,常见的定性评佔方法冇故障树分析法(FTA)、故障模式影响及危害性分析方法(RMECA)、徳尔菲法(Delphi)等。在风险评估的实际过程中,釆用较多的是定性与定量相结合的综合风险评估方法,该方法可以将复杂问题按照层次化结构分解成多个简单的问题进行分析,大大节省了评估时间、人力和费用,提高了风险

4、评估的准确性和效率,常见的定性与定蜃相结合的综合评估方法有层次分析法。1.3信息安全风险评估的模型[4]信息安全风险评估模型是信息安全风险评估的理论棊础,是提高信息安全风险评估准确性和效率的重要前捉。信息安全风险评佔模型如图1所示,造成信息安全风险的主要因索有威胁、信息资产、信息系统的脆弱性及漏洞和未被控制的残余风险,信息系统的威胁越大、脆弱性越眾露、漏洞越多、信息资产的价值越人、未被控制的风险越多,则信息系统而临的风险也越多,风险越多,信息系统的安全性越低。业务系统主要依赖于服务器和软件等信息资产,业务系统越关键,对服务器等硬件和

5、软件资源的要求就越高,被攻击的价值也就越大,面临的风险也就越大。资产的价值和防范风险的意识会导出信息系统的安全需求。当信息系统的安全需求被相应的安全控制措施满足时,就会降低发牛风险的概率。然而有些风险山于成木过高、控制难度较人,往往不进行控制,这部分不被控制的风险具有潜在的威胁,应该受到密切监视,它可能会增加信息系统的风险。2高校信息安全面临的风险及应对策略分析随著高校数字化校园建设和信息化建设的不断推进,高校业务处理对信息系统的依赖性越来越强。由于部分高校缺乏危机意识、防范风险的制度和措施,没有一套完善的信息系统风险评估体系预防风

6、险,当遇到信息安全的突发事件时,只能被动地采用“救火式”的方法处理风险危机,使得信息系统面临的风险不断增加。为了及时应对信息系统面临的各种风险威胁,各个部门、各个环节应密切配合、协调,对高校信息安全面临的各种风险及应对策略应进行调研分析,建立信息安全的风险评佔体系,实现风险评估的规范化和制度化,逐步形成监控风险和控制风险的有效机制⑸。2」高校信息安全面临的风险分析高校信息安全面临的风险-•般可以分为技术脆弱性/漏洞风险和非技术性风险[6]。2.1.1技术脆弱性/漏洞风险高校信息系统面临的技术性/漏洞风险主要包括数据存储风险、系统权限

7、设置风险、软件编码风险、硬件设备风险和网络安全风险等。其屮数据存储风险主要体现在数据存储空间不足、数据备份策略不健全、数据库安全性低容易导致SQL注入篡改数据库小的数据、数据不被加密在传输过程屮容易被篡改或删除、数据库结构不合理等方面;系统设置权限风险主要体现在访问控制策略失效、系统访问权限过大、客户身份认证失败等;软件编码风险主要休现在操作失课、系统漏洞、系统接口不安全、代码健壮性差、系统运行环境改变等;硬件设备风险主要体现在服务器配置过低、物理设备损坏、网络带宽不足、网络硬件防护设备不齐全等;网络安全风险主要体现在网络恶意攻击使

8、网络瘫痪、服务劫持、拒绝服务、利用端口漏洞破坏系统、内外网设置缺陷、网站挂马、非法访问系统、窃取和篡改网络传输数据等。2」.2非技术性风险高校信息系统而临的非技术性风险主要包括人为疏忽行为、管理不到位、技术失效、蓄意行为和不可抗拒风险

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。