企业网信息安全风险评估系统研究与设计.docVIP

企业网信息安全风险评估系统研究与设计 　　摘 要 本文构建了一个网络信息安全风险评估系统，该系统对企业内部网络中的信息进行风险评估，为如何实施控制措施以降低风险提供指导。 　　关键词 企业网 信息系统 风险评估 　　中图分类号：TP393.08 文献标识码：A 　　一、引言 　　信息技术在商业上的广泛应用，使得企业对信息系统的依赖性增大。信息系统风险评估是辨别各种系统的脆弱性及其对系统构成威胁，识别系统中存在的风险，并将这些风险进行定性，定量的分析，最后制定控制和变更措施的过程 。通过安全评估能够明确企业信息系统的安全威胁，了解企业信息系统的脆弱性，并分析可能由此造成的损失或影响，为满足企业信息安全需求和降低风险提供必要的依据。 　　二、安全风险评估的关键要素 　　信息系统安全风险评估的三个关键要素是信息资产、威胁、弱点（即脆弱性）。每个要素都有各自的属性，信息资产的属性是资产价值。威胁的属性是威胁发生的可能性，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度。 　　对企业信息系统的本身条件和历史数据进行整理分析，得到威胁，脆弱点分析如下： 　　实物资产的脆弱性：对电脑等办公物品的保护措施不力，办公场所防范灾害措施不力，电缆松动，通讯线路保护缺失。 　　信息资产的脆弱性：相关技术文档不全，信息传输保护缺失，拨号线路网络访问受限，单点故障，网络管理不力，不受控制的拷贝。