信息系统风险评估及风险管理对策探究.docVIP

信息系统风险评估及风险管理对策探究摘要：随着当今日新月异的科学技术发展和信息化技术迅猛的更新换代之势，科技信息技术系统已经成为人类社会发展必不可缺少的一部分。除了人们日常生活、交流中对于信息系统的不可缺，连国家政治军事、经济发展等重要特殊领域都离不开信息系统应用，可以说信息系统的分布已经覆盖着人类社会的方方面面，整个社会的发展进程已经完全依赖于信息系统的使用。建立一个精锐、安全的信息系统已经成为当今世界各国确保社会和谐安定、政治稳定和经济有序发展的重要保障手段。 关键词：信息系统；风险；评估；管理 在当前迅猛的科技信息技术传播更新下，对于信息安全管理的工作也发生了重大的改变，其从传统单一的技术管理手段改变为技术与管理两者相结合的较全面综合管理手段；其从局部的管理模式改变到对于全局管理的系统管理模式；从最初存在较多问题的不完善经验式管理改变到目前具有着分明的安全等级科学管理模式等。在风险评估上也从评估对象的综合评估转变到个因评估、从目前的现今评估发展到对未来趋势的评估；又从静态的评估方式转变到动态评估方式；从最初的手动风险评估转变到今天的全自动技术自动评估；从信息风险的定量评估改变到定性与定量两者相结合等，以上的改变都证实了我国在信息安全管理上不断努力的成效。结合目前我国信息系统的现状来说，在现有基础上对于相关信息系统科学理论、方法的更进一步完善与创新，是势在必行的，也是确保信息系统风险评估与管理工作不断完善的必要前提。 一、信息系统风险评估方法的研究现状 1.基于专家系统的风险评估工具 这种方法经常利用专家系统建立规则和外部知识库，通过调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估，产生专家推荐的安全控制措施。这种工具通常会自动形成风险评估报告，安全风险的严重程度提供风险指数，同时分析可能存在的问题，以及处理办法。 2.基于定性或定量算法的风险分析工具。 风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险分析工具。风险分析作为重要的信息安全保障原则已经很长时间。信息安全风险分析算法在很久以前就提出来，而且一些算法被作为正式的信息安全标准。这些标准大部分是定性的――也就是，他们对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式，而不是准确的可能性和损失量。随着人们对信息安全风险了解的不断深入，获得了更多的经验数据，因此人们越来越希望用定量的风险分析方法反映事故方式的可能性。 二、信息系统风险评估方法 1.对于定性评估来说，其主要的评估途径是根据研究者在其所掌握的知识和所具备的经验吸取以及政策走向等非量化的资料来对信息系统的状况做出不同风险情况等级的判断。在信息系统风险的评测中，定性分析乃是被使用较多的分析方法，其特点主要是只关注那些构成危险事件可能会带来的损失，而不计算该威胁是否会发生。在实施定性评估的过程中并不使用具体的数据进行评测，而是使用指定期望值来进行评测，如，假设每一种存在的风险其风险影响度和预期风险的发生概率为低等、中等和高等，而不是确切的数字。总的来说，定性评估的优点在于其可以使评估的结果更加深入、广泛，但是很大的一个缺点在于其具有较强的主观性，因此，对于定性评估来说，对评估者自身的专业素养和分析能力的要求是非常高的。 2.其次是定量评估，它去定性评估的区别是：定量评估是使用数量指标来对风险进行评测的，它在评估过程中，重点分析风险可能发生的概率和发生的风险危害程度所形成的比值，这与定性来说是截然相反的。因此，定量评估在进行评测的同时大大增加了运行机制和各项规范、制度等紧密结合的可操作性。定量评估的特点在于其使分析评估的目标的对目标采取的补救措施更加明确，在一目了然、清晰的数据中看到直观的评测数据。美中不足的是，定量评估在其量化过程中容易将复杂的事物简单化，容易造成疏漏。 3.就目前来说，将定性评估与定量评估两者的有机结合是得到客观、公正的评估结果最合适不过的方法，而且通过其两者的相互融入，此消彼长，取长补短是非常科学的。因此，在对于信息系统的风险评估中，需要因地制宜，做到具体问题具体分析，如，在进行风险评估时，遇到关于结构化问题相对很强的时候可采用定量分析；反之，可使用定性分析；如问题的显示既兼有结构化又带有非结构化时，就可以采用定性评估与定量评估两者结合的评测；这样就能使遇到的问题复杂变简单，简单变迎刃而解。 三、信息系统动态风险管理模型与对策建议 1.基于态势评估的风险预警、防范与控制 信息系统安全风险态势评估值表示系统当前是否安全，即通过当前态势值和正常情况下的态势值比较可以判断系统是否安全;也可以提供可能收到的信息系统威胁程度有多大的信息。通过评估己能够得到过去和当前