浅谈信息安全风险评估与风险分析方法应用.docVIP

浅谈信息安全风险评估与风险分析方法应用 　　【 摘 要 】 论文主要对信息安全风险评估与风险分析方法进行讨论，总结信息安全风险评估的工作流程，进一步对信息安全风险评估分析对象采集及分析方法、风险计算等做深入探讨。 　　【 关键词 】 信息安全风险评估；风险分析 　　【 Abstract 】 This paper mainly discusses on the information security risk assessment and risk analysis methods， summarize the information security risk assessment process， further assessment of the information security risk analysis object acquisition and analysis method， risk calculation study. 　　【 Keywords 】 information security risk assessment； risk analysis 　　1 引言 　　信息技术改变了社会生产、生活形态，信息资源成为企业发展中最为关键、最为活跃的资源，信息系统越来越复杂，信息资源面临着越来越严峻的安全形势。因此，信息安全风险评估和风险分析工作在保障信息资产安全上显得尤???重要。 　　2 信息安全风险评估工作流程 　　2.1 信息系统资产划分 　　信息资产是企业和组织具备价值的各种信息资源，是信息安全管理以及风险评估分析工作的主要内容。信息系统的资产包括软件、硬件、文档、数据、人员等多种不同形式，按照不同的信息资产重要程度，可以对其划分为不同的等级，并对信息资产机密性、完整性和可用性等不同属性赋值方便对信息资产不同属性的达成程度进行全面客观的综合分析。 　　2.2 信息资产安全漏洞识别和威胁评估 　　通过相关网络拓扑分析、漏洞扫描工具、渗透测试、安全基线配置检查等手段对信息资产产生的安全漏洞进行识别和评估，是否对重要信息资产造成安全事件。通过调查、取样、日志统一收集与分析、安全态势感知与风险评估系统等各类相关活动，对信息资产所面临的各种威胁进行评估。 　　2.3 信息安全风险分析结果分析 　　根据之前各个阶段实施完成后所得结果，对信息系统安全的现状进行综合性的评估，给出评估报告，给后续的信息安全整改及建设提供决策。 　　3 信息安全风险评估分析对象采集及分析方法、风险计算 　　3.1 风险评估分析对象采集 　　3.1.1访问调查 　　信息采集工作，访问调查是获得真实可靠信息的重要手段。访问调查是指运用观察、询问等方法直接从信息服务部门等了解信息系统相关情况，收集资料和数据的活动。利用访问调查收集到的信息是第一手资料，因而比较接近信息系统的真实情况，容易做到内容可靠与可信。 　　3.1.2网络信息源 　　网络信息是指通过计算机网络发布、传递和存储的各种信息。收集网络信息的最终目标是给信息安全风险评估提供网络信息资源服务。信息网络安全、主机运行情况等因素无法肉眼观察，需要借助网络与系统检测工具、扫描监控工具等多种辅助方法了解相关信息，辅助工具有助于发现信息系统内在缺陷、配置安全威胁以及系统安全隐患。但是辅助工具不能完全代替人，辅助工具获取的数据还需要由技术人员进行筛选加工与分析总结，保证系统安全信息的真实性全面性。 　　3.1.3文献检索 　　办公室、档案室和一些专门的信息服务部门，都是存储和提供有关信息的机构。这些机构存储的信息数量多、系统性强，是获取信息对象的重要来源。文献文档中有很多信息系统相关参数特性数据，单位安全管理策略、制度等都能够直接体现出单位人员信息安全意识与管理机制实际情况，设备操作文档记录了硬件安全参数，系统运行日志记录了系统运行状况，查阅相关文档资料，也能够获得比较详细的系统信息与历史记录，有较高的参考价值。 　　3.1.4工具采集 　　通过运用一系列的工具对信息系统的现状进行观察和操作，采集信息系统相关资料数据，使得获得的数据更加真实客观，更加真实地反映信息系统实际情况。但是这种方法有周期长，成本高的特点，很多信息因为涉及到机密，不便获取，操作性有限。 　　3.2 风险评估分析方法 　　3.2.1信息模型分析法 　　采集信息资源相关安全信息，识别信息资源风险，根据分析结果，制定安全应对策略，并对比信息安全实际情况和标准模型、惯例，找寻不足之处，选择标准方法和最佳惯例安全方案。信息模型分析法在高?有畔⒐芾碇杏τ酶?加普遍，技术层次应用相对较少。 　　3.2.2经验分析法 　　在风险评估分析活动中，企业和组织可以采用经验分析法对