信息安全风险管理方法.pdfVIP

信息安全风险管理方法研究 李焱 （工业和信息化部计算机与微电子发展研究中心，北京100048） 摘 要：信息安全风险管理的目标就是平衡安全成本和安全级别 ,将风险控制在可接受程度,保护信息及相关资产。本文主要阐述如 何适度和有效地进行信息安全的风险的管理和控制方法。 关键词：风险控制 ；风险评估 ；漏洞扫描 ；系统加固；渗透测试 中图分类号：TP309 文献标识码：A Research on method of information security risk management Li Yan （Research Center for Computer and Microelectronics Industry Development MIIT ，Beijing 100048，China ） Abstract Information security risk management objective is to balance security costs and security level will be controlled at an acceptable level of risk, protection of information and related assets. This article focuses on how to appropriately and effectively manage and control information security risks. Keywords Risk control；Risk Assessment ；Vulnerability scanning ；System Reinforcement； Penetration Testing - 1 - 一、 引言 风险管理（Risk Management）旨在对企业潜在的机会和风险进行识别、估测、 分析、评价，及时采取有效的措施进行防范和控制Prevention and control 。有效 地对各种风险进行管理，对企业各环节相关的风险进行识别 （Identification）、估 测 （Estimation）、分析 （Analysis ）、评价 （Evaluation）、防范 （Prevention）、控制 （Control）及信息交流 （Information exchange），可以将企业的损失减小到最低程 度而使商机达到最大程度。风险管理既是为了发现商业机会，同样也是为了避免 或减轻损失。风险管理过程（Risk Management Process ）是指系统地将管理方针、 程序和实施应用于风险的环境建立、识别、估测、分析、评价、防范、控制及信 息交流等任务。 风险管理 （Risk management ）的理念和方法论同样适用于信息安全 （Information security）的领域。信息安全是保障现代企业信息系统顺利运行的关 键安全保障因素。企业普遍对信息安全缺乏有效的控制 （Control ）和管理 （management），过度的风险管理，不但花费大量不必要的人力、物力和金钱的、 而且会严重降低工作效率 （work efficiency ）。如何对信息安全的风险进行适度有 效的管理和控制，是企业迫切面临的首要任务。 - 2 - 图1 ：开销和安全提升关系对应图 安全水平 （level of security ）的提升（或安全风险Safety risk 的降低）与相对 应的开销的关系，如上图所示。安全水平在较高层面，需要巨大的开销才能得 到细小的提高，开销甚至超过了所保护资产的价值。通过对的资产和风险的精 细评估，企业就可以在投资提升安全风险降低（risk reduction ）、风险承受 （risk tolerance）、风险转移 （risk transfer）等做出准