检察系统信息网络安全风险评估.pdfVIP

检察系统信息网络安全的风险评估 ·167· 检察系统信息网络安全的风险评估 祝崇光 姚旺 辽宁省人民检察院 摘要：随着检察机关信息化建设的不断推进，系统内部信息的开放与网络的互联互通同时带来 了安全隐患，且其威胁程度和破坏力往往难以预测。解决安全问题的一个重要方面就是分析系统 目煎母未来的风险所在，充分评估这些风险可能带来的威胁与影响的程度，根据风险评估的结论作 出相应的安全对策，本文利用风险评估的方法和流程来对检察系统信息网络安全进行风险评估。 关键词：检察系统信息网络安全风险评估 估过程中的每个环节，甚至可以左右最终的评估结 一、引言 果，所以需要根据系统的具体情况，选择合适的风 险评估方法。风险评估的方法有很多种，概括起来 作为风险管理的起点，安全风险评估对于了解 可分为三大类：定量的风险评估方法、定性的风险 安全现状，明确安全目标，制定安全对策都具有至关 评估方法、定性与定量相结合的评估方法。 重要的意义。信息安全风险评估就是对安全风险进 (1)定量评估方法。定量的评估方法是指运用 行识别、分析和评价，依据有关信息技术标准，对信 数量指标来对风险进行评估。典型的定量分析方法 息系统及由其处理、传输和存储的信息的保密性、 有因子分析法、聚类分析法、时序模型、回归模型、 完整性和可用性等安全属性进行科学、公正的综合 等风险图法、决策树法等。 评估的过程。它要评估信息系统的脆弱性、信息系 定量的评估方法的优点是用直观的数据来表 统面临的威胁以及脆弱性被威胁源利用后所产生 述评估的结果，看起来一目了然，而且比较客观，定量 的实际负面影响，并根据安全事件发生的可能性和 分析方法的采用，可以使研究结果更科学，更严密，更 负面影响的程度来识别信息系统的安全风险。风险 深刻。有时，一个数据所能够说明的问题可能是用一 评估提倡一种适度的安全，不追求零风险，风险评估 大段文字也不能够阐述清楚的。但缺点是，常常为 体现一个基本原则，就是从实际出发，坚持有针对性 了量化，使本来比较复杂的事物简单化、模糊化了， 的建设和管理。一个全面的风险分析包括对各种层 有的风险因素被量化以后还可能被误解和曲解。 次的风险发生的概率和影响进行描述，给出统一的 (2)定性评估方法。定性的评估方法主要依据 度量标准来估算各因素的风险指标，然后根据一定 研究者的知识、经验、历史教训、政策走向及特殊 的评价方法，给出整个系统的风险等级。风险评估的 变例等非量化资料对系统风险状况做出判断的过 目的是为了让管理者了解面临的危险并进行风险 程。它主要以与调查对象的深入访谈做出个案记录 处置，运用综合的策略来解决风险。 为基本资料，然后通过一个理论推导分析框架，对 资料进行编码整理，在此基础上做出调查结论。典型 二、信息系统风险评估的常见方法 的定性分析方法有因素分析法、逻辑分析法、历史 比较法、德尔斐法等。 信息系统风险评估方法的选择直接影响到评 定性评估方法的优点是避免了定量方法的缺 ·168· 全国计算机安全学术交流会论文集 点，可以挖掘出一些蕴藏很深的思想，使评估的结