1、信息安全风险评估与预防风险评估与预防 周克松 广西百色银海铝业有限责任公司 533000 摘 要:信息技术的迅速发展,为人们的生活带来了许多的方便。近年来,信息安全遭受危害的事件时有发生,信息安全成了国内外普遍关注的话题。严峻的形势告诉我们,必须要采取相应的措施来防止信息安全遭到危害。本文详细介绍了信息安全风险评估的工具、方法、过程,以及评估中存在的问题,并对如何预防危害信息安全事件的发生提出了简单的建议。 关键词:信息安全 风险评估 预防 信息安全风险 在人们的日常生活中,信息的作用逐渐凸显。信息产业的发展情况成为新时期国家综合国力的标志。但是,信息安全成为了信息技术发展中需要迫切解决的一个
2、难题。做好信息安全风险评估工作,是维护信息系统安全的基本保证。 一、信息安全风险评估概述 信息安全风险是信息的安全遭受危害的可能性,是利用信息系统本身的弱点和缺陷主动引起的安全性问题,受损的一般是较为的重要信息,这些信息的受损,对相关机构造成了巨大的损害。 信息安全风险评估是按照国家颁布的关于信息安全技术的准则和标准,采取相应的科学办法,对信息的完整性、可用性和保密性做出的全面具体的分析研究,对信息系统将要面对的威胁和存在的弱点进行全面的评价,对可能面临危害安全事件的破坏程度做出的具体评估,并针对性的提出相应的防御措施和改革对策。信息安全风险评估的主要目的就是要预防和解决安全风险,最大限度的降
3、低风险造成的危害,为保证信息和网络的安全提供可靠科学的依据。 对信息安全的风险评估就是将传统的风险理论应用于信息系统中,了解信息系统在哪方面存在风险,做好信息风险的识别工作,科学全面的分析信息系统在各个方面所面临的具体风险,根据实际情况选择具体的控制方法。 完整的信息安全风险评估应该涵盖与之相关的法律规范、技术体系、基本框架、标准体系。 二、信息安全风险评估的主要方法 随着近年来对信息安全风险评估的深入研究,出现了多种多样的风险评估方法,这些方法的出现提高了评估的效率,使得风险评估工作的开展更加便捷、高效。 常用的评估方法主要有德尔斐法、故障树法、层次分析法等等,虽然每种方法的具体实施不尽相同
4、,但是其主要的操作流程大体相似。在此,我们可以按照不同的计算方法将其分为定量风险评估和定性风险评估。 定性风险评估就是针对信息系统中的风险而采取的一系列的判断和分析,主要是依据评估人员的经验和专业知识来进行风险的评估,再对评估的具体结果进行详细的描述。这种风险评估方法较为粗略,适用于数学基础不强的数据分析人员在信息资料不是特别完善的情况下进行风险评估工作。 定量风险评估指的是利用公示对信息系统内存在的风险进行具体评估,并用数据的形式来展现评估结果。相对于定性评估而言,定量评估较为烦杂,需要评估者具有良好的数学基础,评估过程对中人力、物力、财力的消耗较大,因此如今我们更多的是采用定性与定量相结合
5、的风险评估方法进行信息安全风险评估。 不管是定性还是定量,都需要运用数学知识。定性是定量的基础和依据,定量是更加具体化的定性,二者互相补充,只有把二者有效的结合在一起,才能在更好的完成信息安全风险评估。 三、信息安全风险评估工具 风险评估工作十分复杂,庞大的工作量对评估工具提出了较高的要求,评估工具要具有很强的实用性 目前主要的评估工具主要有以下几种: CC tools, Cobra,WebTrends Security Analyzer 套件 ,SAFESuite 套件等。在此,我们按照各种评估工具的特点将其分为三大类: 1.弱点评估工具 弱点评估工具在评估工作中较为注重对系统硬件和软件中存
6、在漏洞的发现。根据安全漏洞的易受侵害程度,明确信息系统中较为脆弱的部分,并最终制定有效的安全方略。作为如今应用范围最广的风险评估工具,弱点评估工具主要有测试性工具和扫描性工具。 2.综合评估管理工具 综合评估管理工具的较为注重的是安全管理。全面分析系统存在的安全风险,并制定出相应的解决策略和方法。目前应用较多的综合评估管理工具主要有 COBRA 和 CRAMM。 3.风险评估的辅助工具 辅助工具较为注重对评估所需信息的收集。主要的风险评估辅助工具有入侵检测工具、安全审计工具、人员访谈、资产信息调查表等。 四、信息安全风险评估过程 所谓信息安全评估过程就是依据国内外的评估准则,采用相关的评估方法
7、和手段,选用适当的评价工具,进行全面评估工作的整个过程。必须要做到对整个信息系统全面的进行评估,不能漏掉系统中的某个部分。下面对评估的具体工程做简单的介绍: 1.明确资产 首先要清楚地知道整个系统的资产是多少,并准确分析信息资产的价值,其中资产价值是依靠各个利益方对整个信息系统性能的影响来进行度量的。资产就是所有要求被保护的事物,其包含的范围较为广泛,涉及的内容较为丰富。公司的形象、软件硬件资产、信息资产等都属于资产的范畴。对资产进行有效评估要做到抓住关键点,首先解决关键资产的评估。 2.分析资产面临的威胁 在确定资产之后要对资产进行全面的科学分析,找出资产中的薄弱点,以及针对薄弱点可能造成的
8、危害,准确估算危害的发生概率及带来的损失。 3.针对危害制定有效的措施 准确分析所面临的的威胁之后,就要努力的消弱威胁带来的影响,通过各种有效手段把风险降到最低。不必进行决策工作,只需拟定各种安全措施并估算所需费用。安全措施必须科学全面,能够从根本上解决问题,并且要有很强的针对性。 4.科学决策 应从转移风险、接受风险、避免风险这三个角度科学合理的进行决策。同时要注意对残余风险考虑。决策过程中,要争取更多相关人员的参与,为决策过程提供自己的意见和建议。 5.监督实施 制定科学有效的决策之后,就要按照决策组织实施安全措施,实施的工程中 要进行严格的监督,保证整个实施过程按照据侧开展。在实施的过程
9、中也要做好随时应对新威胁的准备,并且根据新威胁对决策进行改正和完善。此外,由于信息系统始终处在变化之中,要根据具体的变化对信息安全进行准确快速的评估,保证将信息安全风险降到最低。 五、信息安全风险评估中存在的问题分析 虽然目前我国的信息安全风险评估有了一定的进步和发展,但是尚且处于发展的初级阶段,各方面都存在着一些问题。 1.人才的紧缺。目前在我国专业的评估人员较为缺乏,评估工作的开展受到了很大的阻碍。 2.评估方法不具备较强的可操作性,目前还没有形成较为完善、系统的风险评估工具。 3.信息安全风险评估的标准各异,在评估时不知道按照哪个标准开展评估工作,致使评估工作不能得到顺利的开展,风险评估
10、不能达到应有的效果。 4.管理者的风险意识不强。 六、信息安全的预防 针对信息安全所面临的的威胁,主要从“人”和“网”两个方面采取预防措施,防止危害信息安全的事件发生。 首先,要加强对员工的管理。严令禁止员工在工作期间访问一些赌博、色情、病毒网站,防止这些网站中的病毒对企业信息造成危害;不得下载未经安全检测的软件;不能占用较大的宽带。这些措施在财务和管理部门的实施要更为严格。 其次,加强网络安全管理建设。虽然混合网络能大幅度节省企业的开支,但出于安全考虑,企业最好将公共网络与内网进行分离。 总结:信息技术的发展,促进了社会的进步。但是我们要正视信息安全面临的一些问题,并做好信息安全的风险评估和
11、预防工作。信息安全在某种程度上说是不可避免的,因此我们要做好信息安全风险评估工作,将信息安全事件带来的影响降到最低。本文着重介绍了关于信息安全风险评估的一些基本内容,包括风险评估的方法、工具、评估过程和评估工作中存在的问题,让人们更能了解评估工作的重要性。同时简单的提出了对信息安全的预防措施,尽量减少危害信息安全事件的发生。如何保证信息安全、做好信息安全的风险评估和预防工作,还需要更多专业人士的共同努力。 参考文献: 1李宗鹏.企业信息安全防御措施J.城市建设理论研究,2011(32) 2冯登国,沈昌祥,张焕国,黄继武.信息安全综述J.中国科学,2007(2) 3刘莹,顾卫东.信息安全风险评估研究综述J.青岛大学学报,2008(6)
