返回
的风险管理模型研究.pdf

的风险管理模型研究.pdf

ID:52553961

大小:213.39 KB

页数:5页

时间:2020-03-28

的风险管理模型研究.pdf_第1页
的风险管理模型研究.pdf_第2页
的风险管理模型研究.pdf_第3页
的风险管理模型研究.pdf_第4页
的风险管理模型研究.pdf_第5页
资源描述:

《的风险管理模型研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、CIIP的风险管理模型研究12魏明磊刘丹(1、河北省电力研究院信息中心石家庄0500212、保定供电公司保定071000)摘要:风险管理(RiskManagement,RM)已经逐渐成为解决信息以及IT安全问题的一种重要方法。本文通过对当前关键信息基础设施防护(CriticalInformationInfrastructureProtection,CIIP)风险管理所面临问题进行研究,并基于现状构建了一种CIIP风险管理模型。关键词:信息安全风险管理关键信息基础设施防护风险评估1.引言[1]近年来风险管理(RM)逐渐成为信息以及IT安全的重要解决方法。日渐增多的IT安全威胁、恶意攻击使风

2、险管理成为各种企业的关键安全环节。IT基础设施的复杂度及脆弱性也日渐增加,并且暴露出越来越多的安全漏洞,这些漏洞一旦被利用都将成为企业致命的打击。因此,安全措施必须通过对风险管理的有效实施加以驱动。同样,企业信息安全战略的制定、安全体系的构建、以及任务优先级的确定都需要以风险管理为基础。当前国内国际都出台了很多关注企业业务、操作安全,旨在减少IT风险的安全规范及标准。但是,风险评估由信息安全、IT安全、内部审计、私有、外部规范等不同领域的专家开展。尽管当前风险管理实施的需求越来越大,步骤也越来越复杂;各个任务还是分散完[2-3]成,不同管理活动往往无法做到相互协商;某些决策也主要受专家的

3、主观判断影响。因为没有措施能够保障所有风险控制活动的有效完成,导致风险管理中给出的一些安全控制措施、风险减缓方案只能停留在理论阶段而无法及时实践。由于关键基础信息设施的高度复杂性,以上局限在CIIP的风险管理中显得尤为突出。因此,需要给出一种综合风险管理模型,从关键信息基础设施的各个方面出发,保障其安全性及可靠性。本文主要分析了CIIP风险管理当前所面临的主要挑战,并构建了一种综合风险管理模型,模型主要结构是:ò管理层:风险管理框架,以及相应的RM测评标准。ò技术层:先进风险评估方法的使用,包括对能够用于风险评估的CIIP模型的采用。ò工具层:风险管理工具的开发以及应用。2.CIIP风险

4、管理的现状所谓关键信息基础设施(CriticalInformationInfrastructure,CII)是保障支持水利、电力以及电信等相互关联的关键基础设施正常运作的信息网络。这些信息网络不仅将设施内(比如电力系统)的各个组成部分联结在一起,而且支持设施间的通信及互动。保障这些关键信[4]息基础设施的稳定及连续运作对于保证整个国家甚至国际的安定都至关重要。关键信息基础设施防护(CIIP)是一个全新的领域,对风险评估增加了许多新的要求,需要一种综合方法来实施。而现有的风险评估方法主要关注于系统的信息以及IT安全,并且将系统与周围环境脱离,孤立看待。发电等基础设施不像提供通讯、电子政务服

5、务那么简单,需要研究每个关键步骤,从整个系统及其运行环境识别其存在的脆弱性。当前CIIP风险管理的实施主要面临以下几方面的挑战:(1)企业复杂度剧增企业的结构复杂度以及跨国企业信息系统的使用日益增加。核心业务可能分布在多个国家,也可能使用到多种不同系统以及技术;而且这些业务涉及到的每一个组件都能影响整个企业的运作。所以,分布式环境中的风险管理必须同时关注整个业务活动链以及各个业务环1节。(2)风险的动态性风险可以定义为导致某个业务目标无法达成的任何事件。当前的经济环境,任何企业的生存立足于业务的不断变化更新。因此风险管理不可能是静态的,而必须是一个持续的过程,能够允许决策者随时控制以及管

6、理。(3)合法性需求过去,保密性、完整性和可用性(CIA)三种安全属性是业务影响分析的基础,并主要强调其保密性;现在,随着各种规章制度的完善,在前面三种性质的基础上又加了第四种:合法性。一些违法操作不仅会使企业信息泄露、名誉受损,还可能受到政府部门的巨额罚款,将给企业带来沉重的经济负担。(4)高效性以及高成本收益信息安全领域目前的主要挑战是怎样用最小的投入换取最高的回报。很多企业把信息安全简单的称为“额外支出”,而不是业务的驱动力量之一。因而,尽管需要受保护环境的复杂度越来越高,面临的威胁也越来越多,但是并没有相应增多的信息安全预算。信息安全需要提高效益,但绝不是通过减少安全保护层次来换

7、取,而是由风险管理提供一种最优的、高成本收益的安全解决方法。(5)人为因素现代企业在风险管理中面临的主要挑战正如前面所说,管理的各个步骤在很大程度上依赖于风险管理专家的经验,从而导致对安全专家的较高要求:必须符合行业要求、对信息安全、安全标准、政府规范、企业的运作、系统体系结构以及所需各项技术有足够的了解,才能实施整个风险管理过程。但是敏感度较高的风险评估工作过于依赖于个人的知识和判断对企业来说非常危险:一旦个人判断有所偏差,就会影

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。