关于信息安全风险管理的思考.docxVIP

关于信息安全风险管理的思考    　　摘要：在信息技术高速发展的背景下, 信息产生的数量飞速增长, 但信息安全的风险也日益严重。为有效避免信息安全风险, 文章研究信息安全风险管理的具体方法, 加深对信息安全认识的同时, 也为实际如何提高信息安全程度提供了指引。 　　关键词：信息安全; 风险管理; 风险评估; 风险控制;  　　信息技术的发展, 在根本上改变了传统的生活形态和生产方式, 但对于信息拥有者来说, 信息资源又是最活跃和关键的因素, 容易产生各种风险。目前信息系统建设得越来越复杂, 而信息资源的安全又很难得到有效保障, 因此, 需要采用恰当、科学的方式对信息安全风险进行管理, 确保信息处于安全的状态。信息安全风险管理主要包括信息安全风险评估和信息安全风险控制两方面。 　　1 信息安全风险评估 　　1.1 评估方法 　　为了全面掌握信息安全的风险程度, 需要通过恰当的方式对风险进行识别评估。评估方法主要包括以下几种: (1) 模型分析法。根据应用场景建立风险模型, 并对实际环境信息进行采集, 然后将信息安全标准和实际情况进行对比与分析, 识别出风险隐患。 (2) 经验分析法。在识别评估信息安全风险的过程中, 可以通过经验分析的方式找出风险隐患。此风险评估方式并不需要太多时间、精力和资源, 仅需要在完成环境信息的采集以后, 对其进行集中分析, 结合工作人员所积累的经验找出风险点。 (3) 定量分析法。根据对数据对象分析所获得的结果, 对风险进行评估, 并将其转化为财务风险分析、资产风险分析。采用这一方式能够为信息拥有者提供更加具体、直观的数字化结论, 便于对风险程度的量化掌握, 从而制定更加有效的治理措施。但是该方式较依赖主观判断, 且计算方式较为复杂, 目前并没有形成标准统一的体系。 　　1.2 计算方法 　　在信息安全评估的过程中, 对风险的量化计算是评估的主要手段, 主要计算方式包括: (1) 风险等级划分。首先, 分析各种风险对信息安全造成的具体影响, 结合其造成破坏的程度实现划分等级的目的;其次, 根据风险的级别, 对风险发生的概率进行全面分析, 并通过计算将风险影响值转化为量化值;最后, 根据量化值建立信息资产mdash;风险威胁mdash;风险程度;之间的逻辑关系, 全面掌握各种风险的具体影响程度。 (2) 风险结构化分析法。首先, 确定信息资产、业务流程中所包含的风险种类及其影响, 然后以层次分析的方式生成各种风险的结构化指标。在结构化分析的过程中, 需要保证所有相关人员均参与其中, 以提高分析结构的客观性、全面性和准确性, 但需要投入更多的资源和人力。与之相比, 非结构化风险的计算, 工作量相对较少, 且具有较强的灵活性, 但风险评估的结果缺乏准确性和全面性[1-2]。 　　1.3 信息安全风险模型化定位 　　信息安全风险管理对于数字化信息高效传输也非常重要, 也是我国信息传输产业获得更长远发展的保障。因此, 除了加强信息系统的内在安全性, 也要做好对信息传输应用环境风险模型化定位的进一步解析。例如:在数字化程序信息传输的基础上, 运用大数据资源库, 形成信息传输三维坐标定位分析结构, 结合远程信息控制体系, 与数字化信息传输节点相连接, 当系统传输信息借助外部远程空间定位时, 空间信号模型就能够直接进行信息传输的风险性评估, 保障主体部分信息传输的安全性。这一信息安全风险模型化定位方式, 是信息安全风险管理的有效措施。 　　2 信息安全风险控制 　　2.1 计算机系统安全防护 　　由于信息管理主要依赖计算机系统, 为了实现有效的信息安全风险管理, 需要针对计算机系统相关组件建立全面的安全防护措施, 主要对象包括基础设备、数据储存、信息传输通道等。主要有以下几种系统安全防护措施: (1) 在计算机中设置安全防火墙, 从而有效控制网络访问行为, 通过此方式可以在很大程度上降低信息被非法访问的可能性。 (2) 利用入侵检测技术, 计算机可以自动监控访问者的行为动态, 一旦访问者的操作不符合安全标准, 或者存在越权的操作行为, 计算机都会自动对其屏蔽, 避免信息泄露。 (3) 利用电子签名与数据加密技术, 可以在很大程度上避免信息被假冒伪造或被窃取。 (4) 采用严密的用户认证与权限控制的方式, 降低系统被非法入侵的风险。 (5) 重视查毒技术和防毒软件的应用, 应及时对计算机系统进行病毒查杀以及补丁升级, 不断增加计算机系统的健壮性。 (6) 重视数据的容灾备份, 以合理的频率和范围对数据进行备份, 并应该保证可以将数据无损地恢复至任意时间点。 　　2.2 基础环境保护 　　基础