基于信息安全风险评估系统后台数据库的研究与设计.pdfVIP

nformationSecurity·信息安全 基于信息安全风险评估系统后台数据库的研究与设计 文／杨锐 漆媛 随着信息时代的迅速发展， 社会发展对信息资源的依赖程度 越来越 高。信 息安全风险评估 系 统作为能帮助了解信 息系统安全 现状的平台，对其后 台数据库 的 功能也有着严格的要求，因此研 究信息安全风险评估 系统后台数 据库，确保其安全性也显得至关 重要。本文主要通过信息安全风 险评估系统，研 究并设计 出信息 安全风险评估系统的后台数据库。 图1：风险评估实施流程图 图2：信息安全风险评估系统功能图 【关键词】信息安全 风险评估 数据库 据数据库中的数据算出风险值，将风险值存入 2信息安全风险原理及流程 数据库供专家分析，最后得到本次风险评估报 信息系统在安全方面存在 问题和面临的 告，递交风险评估负责领导。 威胁，可以通过信息安全风险评估对信息系统 如图 1、图2所示。 本设计分为五个模块：前台登录模块、 进行安全管理。在展开信息安全风险评估，对 信息安全风险评估首先需要识别信息资 数据库修改模块、数据库查询模块、数据库备 系统接触网络、企业信息系统的资产、价值、 产和任务。 份模块、系统权限管理模块。 威胁、脆弱环节、以及发现威胁后采取的措施 (1)判断安全事件发生的可能性：确定 (1)数据库修改：可以对资产信息进行 进行分析之后，才能找到主要存在的安全问题， 威胁及其出现频率，识别脆弱性、并对脆弱性 增加、删除、修改等操作，可以对威胁信息进 并选取有效措施，针对性地管理系统。 的严重程度赋值，根据威胁及威胁利用脆弱性 行增加、删除、修改操作，可以对脆弱性信息 的难易程度，最后综合判断安全事件发生的可 进行增加、删除、修改操作； 1信息安全风险评估概念 能性。 评估专家可 以经过调查得到资产赋值、 (2)计算安全事件所造成的损失：根据 威胁频率赋值、脆弱性赋值并录入数据库。 信息安全风险评估采用定性、定量的分 脆弱性的严重程度，安全事件所作用的资产的 (2)数据库查询：对于制定权限的用户 析方法和手段，通过对其资产、信息系统进行 价值，用公式计算得到安全事件造成的损失。 可以查看对应表格，不可对数据库中的数据进 概要分析后，于存在有潜在威胁发生危害时， (3)计算风险值：根据安全事件发生的 行修改，只允许进行 “读”操作。 提出对威胁级别相对应的安全保护措施和整改 可能性和安全事件出现后的损失、计算安全事 (3)数据库备份 ／恢复：管理者可以将 措施，避免一些负面影响，以减小损失。进行 件一旦发生对组织的影响，即风险值。 数据库进行数据的备份与恢复。 信息安全风险评估，可以帮助企业了解信息系 风险评估过程将会涉及到以下几个步骤： (