信息系统面临的主要安全风险及规避措施[文档资料].pdf

信息系统面临的主要安全风险及规避措施[文档资料]--第1页

信息系统面临的主要安全风险及规避措施

本文档格式为WORD,感谢你的阅读。

随着企业规模的扩大，信息传递越来越依赖于现代

化的信息系统，信息系统所承载的信息量随着系统运行时间

的增长而逐级递增，伴随而来的是各种各样的安全风险。如

果存有侥幸心理，掉以轻心、置之不理，安全风险很可能会

诱发安全事件，进而给企业带来难以估量的损失。因此，根

据企业实际情况进行风险评估，按照安全风险的严重程度及

时进行修复成为信息系统管理人员面临的一项重要课题。

从某种意义上讲，信息也是一种资产，而且信息这种

资产的价值也会随着信息重要程度的提升而升高，因此，在

信息系统中，资产所有者需要对信息资产进行保护，通过分

析信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其

安全性，这一过程就是风险评估。

对于风险评估来说，需要识别资产相关要素的关系，

从而判断资产面临的安全风险的大小。安全风险的等级可以

分为很高、高、中等、低、很低五个级别，级别越高，表明

由此诱发安全事件后所造成的损失越大。如果再对同一级别

的安全风险进行赋值，则安全风险的重要程度就变得一目了

然。

如何识别安全风险十分关键，一般来说，可以参考实

际运行过程中已经发生的安全事件以及系统运行报告，或者

根据各类检查所获得的第一手资料以及已知的问题或漏洞进

行分析，找到可能诱发安全事件的脆弱环节。

有了识别安全风险等级的方法，还需要对资产的价值

进行详细地分析，判断什么样的资产价值较高，什么样的资

信息系统面临的主要安全风险及规避措施[文档资料]--第1页

信息系统面临的主要安全风险及规避措施[文档资料]--第2页

产价值较低。同样地，资产价值也可以分为很高、高、中

等、低、很低五个级别，也可以通过赋值进行量化。

这样，将资产价值和安全风险通过某种方法（如相乘

法和矩阵法）进行计算，就可以得出各资产的风险值。识别

了安全风险，还需要针对其进行修复，使得残余安全风险在

可接受的范围内。

限于篇幅，接下来仅简单列举系统内常见的高价值资

产与高级别安全风险以及修复或者规避措施。

数据是无价的，对于这一点，信息系统管理人员应该

深有体会，所有的安全防护措施都应参照数据安全最优先的

原则。

随着企业信息化程度的加深，数据的集中存储、集中

备份已经成为了一种趋势，数据安全也因此变得越发重要。

虽然是一种无形资产，但是因关键数据丢失而造成企业损失

的事件却屡见不鲜，必须加以重视。

一、数据库系统运行方面的安全风险

当信息系统发展到一定程度之后，业务方面的需要会

驱动企业建立应用系统，而应用系统一般都需要数据库系统

提供高效的数据管理功能，因而，数据库系统的安全直接关

系到数据资产的安全，必须高度关注。常见的安全风险有：

1.1未采用集群方式运行带来的安全风险

对于大型数据库系统来说，如果只采取单节点方式运

行，一旦该节点宕机，将会导致应用系统不可访问，直接影

响主营业务。规避措施为，以集群方式运行数据库系统，这

样，即使出现一个节点宕机的情况，实例也可以迅速自动漂

移至另一节点上，从而保证应用系统不受影响，提高系统运

行的安全性。

1.2缺少测试环境带来的安全风险

应用系统的开发上线需要高频