IT运维操作风险评估方法初探.pdfVIP

________________________________________________________—— 2013年增刊＼ IT运维操作风险评估方法初探 王兴明1，陈裕颈2，王芙蓉2 (1．天翼电子商务有限公司广东分公司，广东广州510623；2．天翼电子商务有限公司上海分公司，上海200085) 摘要：文章在深入研究事故致因理论、事故风险管理以及信息安全风险管理的基础上，初步提出了 IT运维操作风险评估的模型，并对IT运维操作风险评估的整体思路和实施方法进行了初步分析。为信息 化部门和人员如何安全开展各类运维操作提供评估基础，同时提高运维人员的安全意识和操作规范，加强 企业信息安全管理工作中对于运维操作风险的重视程度。 关键词：事故致因；运维操作；风险评估 中图分类号：TP309文献标识码：A 近年来，随着企业信息化的迅猛发展，越来越多的关键业务已经基本实现信息化，这使得信息基础设施的规模及复杂性与 日俱增，同时安全也成为信息化部门乃至整个企业所必须重视的关键环节。而目前企业信息安全的焦点往往集中于制度管理、 技术防护等方面，对于安全事故频发且对系统、网络、人员、硬件设备等造成直接且严重损害的日常运维操作，则缺乏足够的 关注和控制。所以，本文将着重研究如何针对运维操作活动进行风险评估，有效发掘操作过程中的各种潜在危险，以此输出一 套标准化的安全操作指导书，从而为运维人员提供安全操作的参考依据，减少信息安全事故的发生。 1 IT运维操作风险评估研究理论基础 IT运维操作风险评估的研究工作主要参考了事故致因理论、事故风险管理以及信息安全风险管理的相关内容： 1)事故致因理论 在生产力发展的不同阶段，先后出现了十几种具有代表性的反映安全观念的事故致因理论模型，但从总体上来讲，事故致因 理论主要是从本质上阐明工伤事故的因果关系，说明事故的发生、发展过程和后果的理论。本文将参考该理论思想，从安全事 故的角度深入分析企业IT运维操作过程中的风险及其致因。 2)事故风险管理 risk)的定义为：“An ofthe and ofa intermsof and (Mishap expression impactpossibilitymishap potentialmishapseverityprobability of 评价将参考事故风险的定义，对风险造成的后果和风险发生的概率进行分析。 3)信息安全风险管理 IS0／IEC27005中对于信息安全风险评估的过程分为风险分析和风险评价，并针对所识别的风险采取了降低、保持、回避、 转移四种处置策略，本文对于IT运维操作风险评估过程和风险处置策略的研究参考了上述信息安全风险管理的理论。 ^M■■嘲■m 2IT运维操作风险评估模型 ■一■_ 在参考前述相关理论的基础上，结合IT运维操作的内容、对象、 特征等因素，本文初步提出以下风险评估模型，用以对各类运维 皇!◆禹◆ 操作进行风险识别与评估。 ■■卜母曩匠卫 从过程的角度看，IT运维操作风险评估模型与通用风险管 图1 lT运维操作风险评估模型图 理思想保持一致，即整个过程分为风险识别、风险评价、风险处置三个环节。其中风险识别主要包括了IT运维操作分类与识 别、IT运维操作过程分析和IT运维操作危险辨识；风险评价主要是指采取科学合理的数据计算方法，对已识别的操作风险 进行计算与评价，并根据风险等级划分准则对所有风险进行高、中、低风险的划分；风险处置是在风险分析与评价的基础上， 口 收稿日期：2013—09—10 王芙蓉(1984-)，女，江苏，硕士研究生，主要研究方向：企业信息化。 _________________________________________