系統(tǒng)安全風(fēng)險評估精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的系統(tǒng)安全風(fēng)險評估主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：系統(tǒng)安全風(fēng)險評估范文

關(guān)鍵詞：火力發(fā)電廠；二次系統(tǒng)；安全風(fēng)險評估

中圖分類號： F407 文獻標識碼： A

火力發(fā)電原有的規(guī)模遞增，這種情形下，發(fā)電廠配有的調(diào)度中心，在電廠及區(qū)段以內(nèi)的用戶中，傳遞著數(shù)目偏多的信息?；鹆Πl(fā)電廠安設(shè)的變電站，采納了遠程架構(gòu)內(nèi)的管控方式，對二次系統(tǒng)慣常的網(wǎng)絡(luò)管控，提出新挑戰(zhàn)。網(wǎng)絡(luò)拓展的時段中，黑客及侵襲進來的病毒，慣常采納線路搭接特有的路徑，來篡改及竊得多重信息。為此，有必要審慎查驗這一范疇的多層級風(fēng)險，依循安全評估擬定的總思路，維護傳遞路徑中的穩(wěn)定性，保障體系安全。

一、明辨風(fēng)險根源

火力發(fā)電廠特有的二次系統(tǒng)，包含某規(guī)格下的軟件、安設(shè)的成套設(shè)備、交互特性的互通信息。發(fā)電廠配有的這種體系，能與擬定好的管控人員，予以直接互通。二次系統(tǒng)預(yù)設(shè)的根本性能，是供應(yīng)運行依憑的數(shù)值，并采納實效特性的處理路徑。整合架構(gòu)之中的處理，包含本源范疇內(nèi)的裝置管控、信息歸整及搜集。二次系統(tǒng)潛藏著的風(fēng)險根源，包含體系以內(nèi)的設(shè)備隱患、互通特性的信息威脅、人為特性的要素威脅?；鹆Πl(fā)電廠關(guān)涉的多重事故表征著：初始時段的故障產(chǎn)生、接續(xù)的演變經(jīng)歷、故障拓展特有的時段，都潛藏著某些關(guān)聯(lián)。

（一）信息特有的潛藏威脅

依循設(shè)定好的管控指標，火力發(fā)電廠特有的信息體系，可分成本源的生產(chǎn)管控、分支范疇中的行政管理、市場延展及營銷。信息體系特有的潛藏威脅，包含框架以內(nèi)的硬件毀損、竊得信息及慣常的篡改、軟件關(guān)涉的漏洞及弊病。遠程架構(gòu)中的管控，密切關(guān)聯(lián)著非法特性的入侵。變電站擬定好的通信協(xié)議，若沒能符合預(yù)設(shè)的完整特性及可控特性，也會帶來隱患。潛藏著的風(fēng)險，會破壞體系應(yīng)有的機密特性，威脅著建構(gòu)起來的體系安全。

（二）體系配件的風(fēng)險

火力發(fā)電特有的二次設(shè)備，對于安設(shè)好的一次設(shè)備，予以管控及查驗，帶有調(diào)控及輔助特性的價值。二次管控之中的對象，包含細分出來的機械配件、附帶著的附屬配件、帶有繼電保護特性的關(guān)聯(lián)配件、自動架構(gòu)下的測量管控、RTU特有的直流電源。單獨安設(shè)的二次設(shè)備，涵蓋著多重組件。平日以內(nèi)的慣常工作，是組件協(xié)同得來的結(jié)果。

例如：繼電保護這一范疇的配件，二次回路安設(shè)的絕緣，常會漸漸老化；態(tài)勢下的接地，也會帶有故障；三相特性的繼電器箱，若配套特性的輔助失效，會阻礙到慣常的通信。

（三）誤差特性的操作

電網(wǎng)運行預(yù)設(shè)的平常規(guī)劃、宏觀特性的調(diào)度指令、擬定的定位排查，都要經(jīng)由調(diào)度協(xié)同，才可予以完成。調(diào)度特有的水準沒能提升，或受到外部架構(gòu)以內(nèi)的環(huán)境干擾，就會沒能及時判別這一隱患，或沒能完成慣常的操作步驟。這種情形下，火力發(fā)電架構(gòu)以內(nèi)的設(shè)備毀損，拓展了原有的故障范疇。例如：誤差特性的指令送達、繼電保護關(guān)涉的多重失誤。有些情形下，很難辨識這一時段的體系狀態(tài)，拖延了配件切除，帶來額外范疇以內(nèi)的發(fā)電損失。

二、評估的具體階段

（一）評估的啟動階段

初始時段的評估預(yù)備，包含前期范疇中的預(yù)備及交流。在這一時段內(nèi)，應(yīng)擬定明晰的評估查驗范疇、擬定概要架構(gòu)下的評估方案，同時制備規(guī)劃。選出來的評估人員，應(yīng)經(jīng)由初期培訓(xùn)；預(yù)備好成套特性的評估工具。二次系統(tǒng)關(guān)涉的隱患查驗、多層級的風(fēng)險判別，應(yīng)側(cè)重成熟特性的產(chǎn)品，或經(jīng)由研發(fā)得來的新穎產(chǎn)品。篩選出來的工具，應(yīng)經(jīng)由調(diào)配及測定，確保運轉(zhuǎn)特有的可靠屬性。

擬定好的評估范疇，應(yīng)包含細化特性的如下環(huán)節(jié)：平日以內(nèi)的管控及運維、物理架構(gòu)以內(nèi)的環(huán)境修護、基礎(chǔ)特性的網(wǎng)絡(luò)管控、主機配有的體系維護、各時段的業(yè)務(wù)查驗。在這之中，評估預(yù)設(shè)的側(cè)重點，是體系框架以內(nèi)的規(guī)制機制，是否予以落實。擬定出來的側(cè)重查驗，包含宏觀特性的邊界評估。縱橫向架構(gòu)中的這種邊界、VPN特有的接入管控、無線特性的網(wǎng)絡(luò)管控、撥號之中的評估，都被涵蓋在風(fēng)險評判這一環(huán)節(jié)。

（二）現(xiàn)場評估

現(xiàn)場評估特有的方式，包含查驗日志、人工查驗潛藏著的體系漏洞、自動化特性的工具搜集、擬定的顧問談話。二次系統(tǒng)范疇以內(nèi)的安全屬性，密切關(guān)聯(lián)著送電的可靠?；鹆Πl(fā)電廠創(chuàng)設(shè)的二次系統(tǒng)，對于關(guān)涉平常產(chǎn)出的事宜，可以依憑自動化特有的途徑，予以檢定及查驗。通常選出來的成套途徑，包含手動審計、慣常用到的顧問調(diào)查。對于搜集得來的數(shù)值，予以精準判別。這樣做，能夠明晰二次系統(tǒng)這一范疇的隱患?；鹆Πl(fā)電各層級的威脅解析，包含本源的風(fēng)險來源、細化特性的風(fēng)險類別。依循調(diào)研得來的數(shù)值，供應(yīng)可行特性的查驗報告。制備成的這種報告，被看成風(fēng)險查驗特有的評估報告。

評估管理依憑的本源機制，側(cè)重去評判建構(gòu)好的業(yè)務(wù)體系、通用特性的關(guān)聯(lián)服務(wù)、數(shù)據(jù)庫配有的完備系統(tǒng)、二次特性的辦公終端。擬定的側(cè)重點，包含明晰的區(qū)段劃分、專用特性的邊界管控、縱橫向方位的評估、撥號時段中的安全查驗。

設(shè)定好的評估小組，應(yīng)能進到現(xiàn)場；對于配套架構(gòu)之中的二次系統(tǒng)，搜集得來特有的風(fēng)險數(shù)據(jù)。

三、對比評估結(jié)果

二次系統(tǒng)關(guān)涉的風(fēng)險評估，歸結(jié)得來的調(diào)研結(jié)果，仍沒能建構(gòu)統(tǒng)一架構(gòu)以內(nèi)的評判標準。平日的評估中，選取出來的評判模型、辨識的數(shù)值來源、多層級以內(nèi)的風(fēng)險指標，都凸顯偏大差異。對于設(shè)備關(guān)涉的多重風(fēng)險，現(xiàn)有的調(diào)研之中，慣常采納事件樹這一解析方式。若能搜集得來完備的歷史數(shù)據(jù)，則可以依循蒙特卡洛特有的途徑，慎重予以評估。一次設(shè)備關(guān)涉的評估流程，可被當(dāng)成參照。

蒙特卡洛特有的仿真中，包含細分出來的多重視角。經(jīng)由設(shè)定好的多樣視角，對于體系以內(nèi)的線路及電源，評判潛藏風(fēng)險。信息運送之中的潛在威脅，可采納分層級架構(gòu)下的分解方式，把復(fù)雜體系范疇內(nèi)的搜集信息，著手細化分解。統(tǒng)計數(shù)值辨析得來的結(jié)果，涵蓋著系統(tǒng)特有的多樣功能、運轉(zhuǎn)時段中的脆弱特性。定量及本源的定性解析，都應(yīng)被采納。

但對于人為范疇以內(nèi)的風(fēng)險評估，現(xiàn)有的調(diào)研偏少。文獻擬定出來的評估結(jié)果，沒能明晰多層級的嚴重度。模型調(diào)研特有的常見方式，包含故障樹判別及解析；它能對連鎖架構(gòu)中的根本成因，予以實效特性的仿真辨識。Petri特有的網(wǎng)絡(luò)，應(yīng)能簡化設(shè)定出來的復(fù)雜架構(gòu)，明晰細化特性的體系結(jié)構(gòu)。除此以外，調(diào)研累積得來的成果，還包含創(chuàng)設(shè)的cream這一模型；它量化了潛在特性的環(huán)境干擾，解析了人為范疇之中的操作威脅?？臻g布設(shè)特有的隱患、軟件查驗中的信息隱患，都能經(jīng)由模型的查驗，慎重予以判別。

結(jié)束語

信息安全關(guān)涉的疑難凸顯，威脅著基礎(chǔ)特性的多重行業(yè)?；鹆Πl(fā)電廠應(yīng)明晰自身特性，擬定可行特性的評估指標。這樣做，便于隨時發(fā)覺疑難，展開慣常的安全加固。若能發(fā)覺隱患，則采納成效特性的安全對策，縮減接續(xù)的運行威脅。風(fēng)險評估架構(gòu)以內(nèi)的平常工作，應(yīng)能拓展范圍，深入助推常規(guī)化特性的評估。

參考文獻：

[1]郭創(chuàng)新.電力二次系統(tǒng)安全風(fēng)險評估研究綜述 [J].電網(wǎng)技術(shù)，2013（01）.

[2]朱世順.電力二次系統(tǒng)安全風(fēng)險評估和安全加固分析 [J].電力信息化，2008（12）.

[3]代遠哲.信息系統(tǒng)風(fēng)險評估在電廠二次系統(tǒng)安全防護項目中的應(yīng)用分析 [J].電力技術(shù)，2009（08）.

第2篇：系統(tǒng)安全風(fēng)險評估范文

關(guān)鍵詞：信息系統(tǒng)；安全風(fēng)險；研究進展

一、國外研究進展

國外對動態(tài)風(fēng)險評估研究主要包括動態(tài)風(fēng)險評估的體系架構(gòu)、工具和關(guān)鍵技術(shù)等。在動態(tài)風(fēng)險評估的體系架構(gòu)方面，1999年Tim Bass首次提出了網(wǎng)絡(luò)安全態(tài)勢感知概念，隨即又提出了基于多傳感器數(shù)據(jù)融合的入侵檢測框架，并把該框架用于下一代入侵檢測系統(tǒng)和網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，采用該框架實現(xiàn)入侵行為檢測、入侵率計算、入侵者身份和入侵者行為識別、態(tài)勢評估以及威脅評估等功能。StephenG. Batsell，JasonShifflet等人也提出了類似的模型。美國國防部提出了JDL（Joint Director of Laboratories）模型的網(wǎng)絡(luò)態(tài)勢感知總體框架結(jié)構(gòu)，此模型主要包括多源異構(gòu)數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)和目標識別、態(tài)勢評估、威脅評估、響應(yīng)與預(yù)警、態(tài)勢可視化顯示以及過程優(yōu)化控制與管理等功能模塊。動態(tài)風(fēng)險評估由于評估頻次高，因此應(yīng)充分使用自動化工具代替人工勞動，力爭做到對實時風(fēng)險的監(jiān)控和計算，同時抓住最重要風(fēng)險來分析。在動態(tài)風(fēng)險評估的工具方面，可依托的工具包括評估威脅的入侵檢測系統(tǒng)、異常流量分析系統(tǒng)、日志分析系統(tǒng)等，評估脆弱性的網(wǎng)絡(luò)掃描器、應(yīng)用掃描工具等。

在動態(tài)風(fēng)險評估的技術(shù)方面，動態(tài)風(fēng)險評估領(lǐng)域涉及到數(shù)據(jù)采集、數(shù)據(jù)融合、態(tài)勢可視化等多項技術(shù)，網(wǎng)絡(luò)動態(tài)風(fēng)險評估的難點主要集中在對態(tài)勢的正確理解和合理預(yù)測上。關(guān)于動態(tài)風(fēng)險評估相關(guān)技術(shù)研究很多，例如在數(shù)據(jù)采集技術(shù)方面，按照數(shù)據(jù)源分為基于系統(tǒng)配置信息（服務(wù)設(shè)置系統(tǒng)中存在的漏洞等）和基于系統(tǒng)運行信息（IDS日志中顯示的系統(tǒng)所受攻擊狀況等）兩大類數(shù)據(jù)采集；在數(shù)據(jù)融合技術(shù)方面，Tim Bass首次提出將JDL模型直接運用到網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域，這為以后數(shù)據(jù)融合技術(shù)在網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域的應(yīng)用奠定了基礎(chǔ)，Christos Siaterlis等人運用數(shù)據(jù)融合技術(shù)設(shè)計出檢測DDoS攻擊的模型；在態(tài)勢可視化技術(shù)方面，H.Koike和K.Ohno專門為分析Snort日志以及Syslog數(shù)據(jù)開發(fā)了SnortView系統(tǒng)，可以實現(xiàn)每2min對視圖的一次更新，并可以顯示4h以內(nèi)的報警數(shù)據(jù)。

二、國內(nèi)研究進展

我國對網(wǎng)絡(luò)和信息安全保障工作高度重視，了中辦發(fā)[2003]27號《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》、中辦發(fā)[2006]11號《2006—2020年國家信息化發(fā)展戰(zhàn)略》等文件部署安全風(fēng)險評估等安全工作，但是由于我國關(guān)于安全風(fēng)險評估研究起步的較晚，目前國內(nèi)整體處于起步和借鑒階段，大多數(shù)研究主要面向信息系統(tǒng)，針對電信網(wǎng)絡(luò)的特點進行風(fēng)險評估的研究和應(yīng)用較少。

在安全風(fēng)險評估模型、方法和工具方面，我國雖然已經(jīng)有一些相關(guān)的文章和專著，但是也還局限在對已有國際模型、方法和工具的分析和模仿上，缺乏科學(xué)、有效、得到廣泛認可的方法和工具，尤其針對電信網(wǎng)的業(yè)務(wù)和網(wǎng)絡(luò)特點的可操作性強、得到普遍認可的風(fēng)險評估方法和工具較少。

國內(nèi)對安全動態(tài)風(fēng)險評估的研究還屬于起步階段，相關(guān)研究主要包括動態(tài)風(fēng)險評估的體系架構(gòu)、相關(guān)關(guān)鍵技術(shù)等。在體系架構(gòu)方面，西安交通大學(xué)研究并實現(xiàn)了基于IDS和防火墻的集成化網(wǎng)絡(luò)安全監(jiān)控平臺，提出了基于統(tǒng)計分析的層次化（從上到下分為系統(tǒng)、主機、服務(wù)和攻擊/漏洞4個層次）安全態(tài)勢量化評估模型，采用了自下而上、先局部后整體的評估策略及相應(yīng)計算方法，此方面也是在動態(tài)風(fēng)險評估領(lǐng)域普遍采用的方法。北京理工大學(xué)信息安全與對抗技術(shù)研究中心研制了一套基于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)，由網(wǎng)絡(luò)安全風(fēng)險狀態(tài)評估和網(wǎng)絡(luò)威脅發(fā)展趨勢預(yù)測兩部分組成，用于評估網(wǎng)絡(luò)設(shè)備及結(jié)構(gòu)的脆弱性、安全威脅水平等。在關(guān)鍵技術(shù)方面，安全領(lǐng)域?qū)＜荫T毅從我軍信息與網(wǎng)絡(luò)安全的角度出發(fā)，闡述了我軍積極開展網(wǎng)絡(luò)安全態(tài)勢感知研究的必要性和重要性，指出了多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘兩項關(guān)鍵技術(shù)。國防科技大學(xué)的胡華平等人提出了面向大規(guī)模網(wǎng)絡(luò)的入侵檢測與預(yù)警系統(tǒng)的基本框架及其關(guān)鍵技術(shù)與難點問題。另外，國內(nèi)也有一些科研機構(gòu)嘗試把數(shù)據(jù)融合技術(shù)應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域，提出了應(yīng)用數(shù)據(jù)融合技術(shù)的網(wǎng)絡(luò)安全分析評估系統(tǒng)、入侵檢測系統(tǒng)等。

但是總體來說，國內(nèi)在動態(tài)風(fēng)險評估研究方面取得的成果有限，仍沒有成熟的、實用的技術(shù)或工具，更缺乏針對電信網(wǎng)進行動態(tài)風(fēng)險評估的相關(guān)研究，現(xiàn)有研究成果還存在動態(tài)評估的實時性不強、采集的數(shù)據(jù)不夠豐富有效、對風(fēng)險態(tài)勢的預(yù)測研究不夠等諸多問題。

參考文獻：

[1] 彭凌西;陳月峰;劉才銘;曾金全;劉孫俊;趙輝;;基于危險理論的網(wǎng)絡(luò)風(fēng)險評估模型[J];電子科技大學(xué)學(xué)報;2007年06期

[2] 李波;;入侵檢測技術(shù)面臨的挑戰(zhàn)與未來發(fā)展趨勢[J];電子科技;2007年07期

[3] 丁麗萍;論計算機取證的原則和步驟[J];中國人民公安大學(xué)學(xué)報(自然科學(xué)版);2005年01期

[4] 趙冬梅;張玉清;馬建峰;;網(wǎng)絡(luò)安全的綜合風(fēng)險評估[J];計算機科學(xué);2004年07期

第3篇：系統(tǒng)安全風(fēng)險評估范文

根據(jù)以往學(xué)者研究及實踐表明，對計算機信息安全保障的工作可歸納為安全管理、安全組織以及安全技術(shù)等三方面的體系建設(shè)。而確保其保障工作的順利展開需以信息安全的風(fēng)險評估作為核心內(nèi)容。因此對風(fēng)險評估的作用主要體現(xiàn)在：首先，信息安全保障需以風(fēng)險評估作為基礎(chǔ)。對計算機信息系統(tǒng)進行風(fēng)險評估過程多集中在對系統(tǒng)所面臨的安全性、可靠性等方面的風(fēng)險，并在此基礎(chǔ)上做出相應(yīng)的防范、控制、轉(zhuǎn)移以及分散等策略。其次，信息安全風(fēng)險管理中的風(fēng)險評估是重要環(huán)節(jié)。從《信息安全管理系統(tǒng)要求》中不難發(fā)現(xiàn)，對ISMS的建立、實施以及維護等方面都應(yīng)充分發(fā)揮風(fēng)險評估的作用。最后，風(fēng)險評估的核查作用。驗收信息系統(tǒng)設(shè)計安裝等是否滿足安全標準時，風(fēng)險評估可提供具體的數(shù)據(jù)參考。同時在維護信息系統(tǒng)貴過程中，通過風(fēng)險評估也可將系統(tǒng)對環(huán)境變化的適應(yīng)能力以及相關(guān)的安全措施進行核查。若出現(xiàn)信息系統(tǒng)出現(xiàn)故障問題時，風(fēng)險評估又可對其中的風(fēng)險作出分析并采取相應(yīng)的技術(shù)或管理措施。

二、計算機信息系統(tǒng)安全風(fēng)險的評估方法分析

（一）以定性與定量為主的評估方法

計算機信息系統(tǒng)安全風(fēng)險評估方法中應(yīng)用較為廣泛的主要為定性評估方式，其分析內(nèi)容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風(fēng)險的大小作出正確判斷。另外定量分析方法對威脅事件發(fā)生的可能性與其所造成的損失評估時，首先會對特定資產(chǎn)價值進行分析，再以客觀數(shù)據(jù)為依據(jù)對威脅頻率進行計算，當(dāng)完成威脅影響系數(shù)的計算后，便將三者綜合分析，最終推出計算風(fēng)險的等級。

（二）以知識和模型為基礎(chǔ)的風(fēng)險評估

以知識為基礎(chǔ)的風(fēng)險評估通常會根據(jù)安全專家的評估經(jīng)驗為依據(jù)，優(yōu)勢在于風(fēng)險評估的結(jié)構(gòu)框架、實施計劃以及保護措施可被提供，對較為相似的機構(gòu)可直接利用以往的保護措施等便可實現(xiàn)機構(gòu)安全風(fēng)險的降低。另外以模型為基礎(chǔ)的評估方式可將計算機信息系統(tǒng)自身的風(fēng)險及其與外部環(huán)境交互過程中存在的不利因素等進行分析，以此實現(xiàn)對系統(tǒng)安全風(fēng)險的定性評估。

（三）動態(tài)評估與分析方式

計算信息系統(tǒng)風(fēng)險管理實際又可理解為信息安全管理的具體過程，一般會將信息安全方針的制定、風(fēng)險的評估與控制、控制方式的選擇等內(nèi)容包含在內(nèi)。整個評估與分析方式具有一定的動態(tài)特征，以PDCA為典型代表，其計劃、實施、檢查以及改進實現(xiàn)了對風(fēng)險的動態(tài)管理。

（四）典型風(fēng)險評估與差距分析方法分析

典型風(fēng)險評估主要包括FTA、FMECA、Hazop等方法，對計算機信息系統(tǒng)設(shè)計中潛在的故障與薄弱之處，都可提出相應(yīng)的解決措施，以FTA故障樹分析為典型代表，在分析家算計信息系統(tǒng)的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統(tǒng)的安全要求與當(dāng)前的系統(tǒng)現(xiàn)狀存在的差距進行系統(tǒng)風(fēng)險的確定，存在的差距越大則證明存在的風(fēng)險越大。

三、結(jié)論

第4篇：系統(tǒng)安全風(fēng)險評估范文

【 關(guān)鍵詞 】 風(fēng)險評估；風(fēng)險分析；項目管理

Implementation of Government Information Systems Risk Assessment

Yu Ying-tao 1 Li Xin 1 Xue Jun 2

（1.North China Institute of Computing Technology Beijing 100083；

2. Solid Waste Management Center，Department of Environmental Protection Beijing 100029）

【 Abstract 】 This article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. Good reference for guiding the risk assessment of information systems project implementation.

【 Keywords 】 risk assessment; risk analysis; project management

0 引言

政務(wù)信息系統(tǒng)關(guān)系到國計民生，因此保障電子政務(wù)系統(tǒng)的信息安全是我國經(jīng)濟與社會信息化的先決條件之一，是國家信息化建設(shè)的重要內(nèi)容。如何保證政務(wù)信息系統(tǒng)的安全性，風(fēng)險評估是一項很基礎(chǔ)的工作。通過對政務(wù)信息系統(tǒng)進行風(fēng)險評估，可以了解信息與網(wǎng)絡(luò)系統(tǒng)目前與未來的風(fēng)險所在，充分評估這些風(fēng)險可能帶來的威脅與影響的程度，依據(jù)系統(tǒng)的風(fēng)險和威脅，進行針對性的防范，做到“對癥下藥”，可以有效解決政務(wù)信息系統(tǒng)的安全問題。

1 政務(wù)系統(tǒng)風(fēng)險評估概述

1.1 風(fēng)險評估的概念

政務(wù)系統(tǒng)的信息安全關(guān)心的是保護政務(wù)信息資產(chǎn)免受威脅。風(fēng)險評估是有效保證信息安全的前提條件，也是建立在網(wǎng)絡(luò)入侵防護系統(tǒng)、實施風(fēng)險管理程序所開展的一項基礎(chǔ)性工作。其工作原理是對系統(tǒng)所采用的安全策略和管理制度進行評審，發(fā)現(xiàn)不合理的地方，采用模擬化攻擊的方式對系統(tǒng)可能存在的安全漏洞進行逐項檢查，確定存在的安全問題與風(fēng)險級別。并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。

風(fēng)險評估的目的是全面、準確地了解政務(wù)信息系統(tǒng)的安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為后期進一步安全防護技術(shù)的實施提供了嚴謹?shù)陌踩碚撘罁?jù)，為決策者制定網(wǎng)絡(luò)安全策略、構(gòu)架安全體系以及確定有效的安全措施、選擇可靠的安全產(chǎn)品、建立全面的安全防護層次提供了一套完整、規(guī)范的指導(dǎo)模型。

1.2 風(fēng)險評估的范圍

政務(wù)信息系統(tǒng)風(fēng)險評估的內(nèi)容與范圍需要涵蓋整個系統(tǒng)，包括系統(tǒng)安全管理的狀況、網(wǎng)絡(luò)及安全防護技術(shù)架構(gòu)、通信鏈路、系統(tǒng)數(shù)據(jù)及業(yè)務(wù)系統(tǒng)加密情況、系統(tǒng)訪問控制狀況等。在政務(wù)信息系統(tǒng)的安全防護工作中，“人”是關(guān)鍵要素，無論系統(tǒng)所采用的安全技術(shù)、安全策略和安全手段多么現(xiàn)代化與智能化，都需要“人”去操作、運行和管理。如果信息系統(tǒng)的安全管理水平落后，人員素質(zhì)不高，那么政務(wù)信息系統(tǒng)的安全性就會減弱，安全漏洞就會增加。

1.3 風(fēng)險評估的原則和依據(jù)

1.3.1指導(dǎo)原則

由于政務(wù)信息系統(tǒng)風(fēng)險評估涉及的內(nèi)容較多，因此在進行評估時就需要本著多角度、多層面的原則，從軟件到硬件，從理論到實際，從技術(shù)到管理，從設(shè)備到人員，來具體制定詳細的評估計劃和分析步驟，避免遺漏。在評估時一般需遵循的如下幾個原則：標準性、可靠性、可控性、保密性、技術(shù)先進和成熟性、全面性、高效性、持續(xù)性。

1.3.2相關(guān)法規(guī)和政策

《中華人民共和國計算機信息系統(tǒng)安全保護條例》（國務(wù)院令147號）；

《商用密碼管理條例》（國務(wù)院令 273號）；

《計算機信息系統(tǒng)安全保護等級劃分準則》；

《計算機機房場地安全要求》（GB9361-88）；

《信息安全技術(shù)-信息安全風(fēng)險評估規(guī)范》（ GB/T 20984—2007）。

2 政務(wù)信息風(fēng)險評估工作流程

2.1 系統(tǒng)調(diào)查

開展政務(wù)信息系統(tǒng)風(fēng)險評估的第一步就是進行系統(tǒng)調(diào)查。通過調(diào)查政務(wù)信息系統(tǒng)上運行的所有應(yīng)用，了解系統(tǒng)主要業(yè)務(wù)的流程，清楚的掌握支持業(yè)務(wù)運行的硬件基礎(chǔ)設(shè)施的結(jié)構(gòu)及安全系統(tǒng)現(xiàn)狀，收集風(fēng)險評估所需的系統(tǒng)全部信息。在進行系統(tǒng)調(diào)查的同時，還需對系統(tǒng)風(fēng)險評估的評估范圍進行分析、界定。對系統(tǒng)邊界進行明確定義，有助于防止不必要的工作，并對改進風(fēng)險評估的質(zhì)量都是很重要的。

第5篇：系統(tǒng)安全風(fēng)險評估范文

【 關(guān)鍵詞 】 信息安全；等級保護；風(fēng)險評估

Information Security Hierarchy Protection and Risk Assessment

Dai Lian-fen

（China Petroleum & Chemical Corporation Guangzhou Branch GuangdongGuangzhou 510725）

【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.

【 Keywords 】 information security;hierarchy protection;risk assessment

1 風(fēng)險評估是等級保護建設(shè)工作的基礎(chǔ)

等級保護測評中的差距分析是按照等保的所有要求進行符合性檢查，檢查信息系統(tǒng)現(xiàn)狀與國家等保要求之間的符合程度。風(fēng)險評估作為信息安全工作的一種重要技術(shù)手段，其目標是深入、詳細地檢查信息系統(tǒng)的安全風(fēng)險狀況，比差距分析結(jié)果在技術(shù)上更加深入。為此，等級保護與風(fēng)險評估之間存在互為依托、互為補充的關(guān)系，等級保護是國家一項信息安全政策，而風(fēng)險評估則是貫徹這項制度的方法和手段，在實施信息安全等級保護周期和層次中發(fā)揮著重要作用。

風(fēng)險評估貫穿等級保護工作的整個流程，只是在不同階段評估的內(nèi)容和結(jié)果不一樣?！缎畔⑾到y(tǒng)安全等級保護實施指南》將等級保護基本流程分為三個階段：定級，規(guī)劃與設(shè)計，實施、等級評估與改進。在第一階段中，風(fēng)險評估的對象內(nèi)容是資產(chǎn)評估，并在此基礎(chǔ)上進行定級。在第二階段中，主要是對信息系統(tǒng)可能面臨的威脅和潛在的脆弱性進行評估，根據(jù)評估結(jié)果，綜合平衡安全風(fēng)險和成本，以及各系統(tǒng)特定安全需求，選擇和調(diào)整安全措施，確定出關(guān)鍵業(yè)務(wù)系統(tǒng)、子系統(tǒng)和各類保護對象的安全措施。在第三個階段中，則涉及評估系統(tǒng)是否滿足相應(yīng)的安全等級保護要求、評估系統(tǒng)的安全狀況等，同時根據(jù)結(jié)果進行相應(yīng)的改進。

等級保護所要完成的工作本質(zhì)就是根據(jù)信息系統(tǒng)的特點和風(fēng)險狀況,對信息系統(tǒng)安全需求進行分級, 實施不同級別的保護措施。實施等級保護的一個重要前提就是了解系統(tǒng)的風(fēng)險狀況和安全等級, 所以風(fēng)險評估是等級保護的重要基礎(chǔ)與依據(jù)。

2 等級保護建設(shè)過程中如何有效地結(jié)合風(fēng)險評估

2.1 以風(fēng)險評估中資產(chǎn)安全屬性的重要度來劃分信息系統(tǒng)等級

在公安部等四部局聯(lián)合下發(fā)了《信息安全等級保護的實施意見》公通字2004第66號文中，根據(jù)信息和信息系統(tǒng)的重要程度，將信息和信息系統(tǒng)劃分為了五個等級自主保護級、指導(dǎo)保護級、監(jiān)督保護級、強制保護級和專控保護級。實際上對信息系統(tǒng)的定級過程，也就是對信息資產(chǎn)的識別及賦值的過程。在國家的《信息系統(tǒng)安全等級保護定級指南》中，提出了對信息系統(tǒng)的定級依據(jù)，而這些依據(jù)基本的思想是根據(jù)信息資產(chǎn)的機密性、完整性和可用性重要程度來確定信息系統(tǒng)的安全等級，這正是風(fēng)險評估中對信息資產(chǎn)進行識別并賦值的過程：對信息資產(chǎn)的機密性進行識別并賦值；對信息資產(chǎn)的完整性進行識別并賦值；對信息資產(chǎn)的可用性進行識別并賦值。從某種意義上來說，信息系統(tǒng)(不是信息)的安全等級劃分，實際上也是對殘余風(fēng)險的接受和認可。

2.2 以風(fēng)險評估中威脅程度來確定安全等級的要求

在等級保護中，對系統(tǒng)定級完成后，應(yīng)按照信息系統(tǒng)的相應(yīng)等級提出安全要求，安全要求實際上體現(xiàn)在信息系統(tǒng)在對抗威脅的能力與系統(tǒng)在被破壞后，恢復(fù)的速度與恢復(fù)的程度方面。而這些在風(fēng)險評估中，則是對威脅的識別與賦值活動；脆弱性識別與賦值活動；安全措施的識別與確認活動。對于一個安全事件來說，是威脅利用了脆弱性所導(dǎo)致的，在沒有威脅的情況下，信息系統(tǒng)的脆弱性不會自己導(dǎo)致安全事件的發(fā)生。所以對威脅的分析與識別是等級保護安全要求的基本前提，不同安全等級的信息系統(tǒng)應(yīng)該能夠?qū)共煌瑥姸群蜁r間長度的安全威脅。

2.3 以風(fēng)險評估的結(jié)果作為等級保護建設(shè)的安全設(shè)計的依據(jù)

在確定信息系統(tǒng)的安全等級和進行風(fēng)險評估后，應(yīng)該根據(jù)安全等級的要求和風(fēng)險評估的結(jié)果進行安全方案設(shè)計，而在安全方案設(shè)計中，首要的依據(jù)是風(fēng)險評估的結(jié)果，特別是對威脅的識別，在一些不存在的威脅的情況下，對相應(yīng)的脆弱性應(yīng)該不予考慮，只作為殘余風(fēng)險來監(jiān)控。對于兩個等級相同的信息系統(tǒng)，由于所承載業(yè)務(wù)的不同，其信息的安全屬性也可能不同，對于需要機密性保護的信息系統(tǒng)，和對于一個需要完整性保護的信息系統(tǒng)，保護的策略必須是不同，雖然它們可能有相同的安全等級，但是保護的方法則不應(yīng)該是一樣的。所以，安全設(shè)計首先應(yīng)該以風(fēng)險評估的結(jié)果作為依據(jù)，而將設(shè)計的結(jié)果與安全等級保護的要求相比較，對于需要保護的必須符合安全等級要求，而對于不需要保護的則可以暫不考慮安全等級的要求，而對于一些必須高于安全等級要求的，則必須依據(jù)風(fēng)險評估的結(jié)果，進行相應(yīng)高標準的設(shè)計。

3 結(jié)束語

風(fēng)險評估為等級保護工作的開展提供基礎(chǔ)數(shù)據(jù)，是等級保護定級、建設(shè)的實際出發(fā)點，通過安全風(fēng)險評估，可以發(fā)現(xiàn)信息系統(tǒng)可能存在的安全風(fēng)險，判斷信息系統(tǒng)的安全狀況與安全等級保護要求之間的差距，從而不斷完善等級保護措施。文章對等級保護工作中如何結(jié)合信息安全風(fēng)險評估進行了有益的探索，為有效地支撐計算機信息系統(tǒng)等級保護建設(shè)的順利進行提供了參考。

參考文獻

[1] 吳賢.信息安全等級保護和風(fēng)險評估的關(guān)系研究.信息網(wǎng)絡(luò)安全，2007.

[2] 馮登國,張陽,張玉清.信息安全風(fēng)險評估綜述.通信學(xué)報，2004.

第6篇：系統(tǒng)安全風(fēng)險評估范文

關(guān)鍵詞：商業(yè)銀行；信息系統(tǒng)風(fēng)險；控制

為了有效防范銀行信息系統(tǒng)風(fēng)險監(jiān)管，銀監(jiān)會正式頒布了《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》，以促進我國銀行業(yè)信息系統(tǒng)安全、持續(xù)、穩(wěn)健運行。作為基層銀行，就要認真學(xué)習(xí)商業(yè)銀行信息系統(tǒng)的特點，建立適合商業(yè)銀行風(fēng)險特征的評估模型，運用先進的風(fēng)險評估方法，逐步完善信息系統(tǒng)風(fēng)險評估的流程，并通過信息系統(tǒng)風(fēng)險評估的手段，保障企業(yè)信息資產(chǎn)的安全，確保系統(tǒng)數(shù)據(jù)的完整，使商業(yè)銀行適應(yīng)復(fù)雜的運行環(huán)境，滿足日益強化的風(fēng)險管理需要。

一、商業(yè)銀行信息系統(tǒng)風(fēng)險模型

商業(yè)銀行信息系統(tǒng)風(fēng)險評估模型基本上可以劃分為基于業(yè)務(wù)風(fēng)險控制的風(fēng)險評估模型和基于信息技術(shù)控制的風(fēng)險評估模型。商業(yè)銀行信息系統(tǒng)按業(yè)務(wù)劃分，主要業(yè)務(wù)模塊包括柜面業(yè)務(wù)系統(tǒng)， atm、pos、網(wǎng)上銀行、電子商務(wù)支付和客服中心等，其中柜面業(yè)務(wù)子系統(tǒng)包括：存取款、貸款、信用卡、中間業(yè)務(wù)、國際業(yè)務(wù)、結(jié)算、代收代付等。其商業(yè)銀行的業(yè)務(wù)功能結(jié)構(gòu)如圖1。

以上可以看出，基于業(yè)務(wù)風(fēng)險控制的風(fēng)險評估模型是針對業(yè)務(wù)流程的控制和業(yè)務(wù)的風(fēng)險管理，是信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運行、維護、監(jiān)控及退出過程中由于管理缺陷產(chǎn)生的操作、法律和聲譽等風(fēng)險[1]。

另一類是關(guān)于技術(shù)控制的風(fēng)險評估模型。這類模型建立在相關(guān)的信息安全標準之上，主要考慮的是安全技術(shù)的實現(xiàn)架構(gòu)和實現(xiàn)方式，并以此來評估系統(tǒng)的技術(shù)風(fēng)險。銀行的安全架構(gòu)是由物理設(shè)備安全、網(wǎng)絡(luò)安全、交易安全和數(shù)據(jù)完整性安全等，其中交易安全包括：密碼技術(shù)、身份認證和安全交易技術(shù)。其層次結(jié)構(gòu)如圖2。

隨著信息技術(shù)應(yīng)用的普及，網(wǎng)上銀行、手機銀行飛速發(fā)展，隨著銀行業(yè)務(wù)的拓展，各種中間業(yè)務(wù)等銀行新型業(yè)務(wù)和金融產(chǎn)品的出現(xiàn)，銀行信息系統(tǒng)開始不同程度向外界開放，對銀行開放信息系統(tǒng)的依賴越來越強。加上各商業(yè)銀行實行數(shù)據(jù)大集中，將過去保存在基層的存貸款等業(yè)務(wù)數(shù)據(jù)集中到高層數(shù)據(jù)庫存放，導(dǎo)致單筆交易所跨越的網(wǎng)絡(luò)環(huán)節(jié)越來越多，銀行信息系統(tǒng)對通信網(wǎng)絡(luò)依賴程度越來越高。

電子金融服務(wù)的發(fā)展，使商業(yè)銀行信息系統(tǒng)開放運行，與公共網(wǎng)絡(luò)連接，暴露在公共網(wǎng)絡(luò)具有各種威脅底下，網(wǎng)上銀行、手機銀行、電子商務(wù)支付等銀行新業(yè)務(wù)，在成為商業(yè)銀行利潤增長點的同時，導(dǎo)致銀行信息系統(tǒng)的風(fēng)險劇增。商業(yè)銀行對信息系統(tǒng)的安全性要求進一步提高。

二、商業(yè)銀行信息系統(tǒng)風(fēng)險評估方法

商業(yè)銀行在面對實際的信息風(fēng)險時，需要建立定位于信息全面管理的風(fēng)險評估模型。信息系統(tǒng)風(fēng)險管理的目標是通過建立有效的機制，實現(xiàn)對信息系統(tǒng)風(fēng)險的識別、計量、評價、預(yù)警和控制，推動銀行業(yè)金融機構(gòu)業(yè)務(wù)創(chuàng)新，提高信息化水平，增強核心競爭力和可持續(xù)發(fā)展能力[1]。因此，必須兼顧業(yè)務(wù)風(fēng)險模型和技術(shù)風(fēng)險模型的相關(guān)方法，建立一種銀行信息系統(tǒng)風(fēng)險識別模式，用于發(fā)現(xiàn)系統(tǒng)自身內(nèi)部控制機制中存在的薄弱環(huán)節(jié)和危險因素，發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中不正常和有害的行為，找出系統(tǒng)的弱點和安全威脅的定性分析；必須建立一種銀行信息系統(tǒng)風(fēng)險評價模型，用于在銀行信息系統(tǒng)風(fēng)險各要素之間建立風(fēng)險評估，計量風(fēng)險的定量評價方法。

根據(jù)商業(yè)銀行信息系統(tǒng)風(fēng)險模型，其中基于業(yè)務(wù)風(fēng)險控制的風(fēng)險評估模型主要針對銀行業(yè)務(wù)具體處理，其風(fēng)險識別是觀察每一筆具體的業(yè)務(wù)數(shù)據(jù)，也可以轉(zhuǎn)化為銀行資產(chǎn)的差錯；其中基于信息技術(shù)控制的風(fēng)險評估模型主要針對安全保障技術(shù)，其風(fēng)險識別是找出系統(tǒng)可能存在的不安全因素。據(jù)此，可以推理出系統(tǒng)風(fēng)險評估模型為：

商業(yè)銀行信息系統(tǒng)風(fēng)險評估模型由四個模塊組成：業(yè)務(wù)差錯識別模塊負責(zé)找出每一筆已經(jīng)發(fā)生的差錯業(yè)務(wù)，其方法是通過業(yè)務(wù)差錯發(fā)現(xiàn)和資產(chǎn)調(diào)查尋找每一筆差錯業(yè)務(wù)，修正商業(yè)銀行信息系統(tǒng)運行錯誤；威脅分析模塊負責(zé)尋找技術(shù)安全威脅，用安全掃描來找出安全漏洞，用入侵檢測來發(fā)現(xiàn)受到的侵犯；安全分析模塊負責(zé)對系統(tǒng)設(shè)置的安全策略進行分析，對系統(tǒng)內(nèi)部運行的軟件進行分析；系統(tǒng)安全評價模塊在前面三個模塊分析結(jié)論的基礎(chǔ)上由銀行風(fēng)險因素診斷指標體系[2]得出系統(tǒng)安全評價量化指標。

該商業(yè)銀行信息系統(tǒng)風(fēng)險評估模型的特點主要是：1.業(yè)務(wù)風(fēng)險評估和技術(shù)風(fēng)險評估同一量化構(gòu)成信息系統(tǒng)的風(fēng)險，便于系統(tǒng)的橫向比較；2.采用自動化的檢測評價為主的方法，對于硬件的風(fēng)險和人為的風(fēng)險，可以加入人工評價修正，有利于實時監(jiān)控；3.系統(tǒng)簡潔，事前預(yù)防和事后發(fā)現(xiàn)相結(jié)合，可行適用。

三、商業(yè)銀行信息系統(tǒng)風(fēng)險控制措施

通過風(fēng)

險評估，可以進行風(fēng)險計算，計算出大致成本，控制防范風(fēng)險就是要采取行動，并得到資金的支持。銀行業(yè)金融機構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃，制定明確、持續(xù)的風(fēng)險管理策略，按照信息系統(tǒng)的敏感程度對各個集成要素進行分析和評估，并實施有效控制[1]。

在硬件方面控制風(fēng)險，首先要選擇合適的供應(yīng)商，選擇滿足安全要求的解決方案。在網(wǎng)絡(luò)安全方面，要將銀行內(nèi)部網(wǎng)絡(luò)與銀行外部網(wǎng)絡(luò)隔離，通過防火墻或者服務(wù)器連接。通過隔離連接容易實現(xiàn)數(shù)據(jù)檢查，減少系統(tǒng)暴露面，發(fā)現(xiàn)問題系統(tǒng)及時報告及時處理。在銀行信息系統(tǒng)建設(shè)上，可以借鑒成熟的運行系統(tǒng)，采用成熟的信息技術(shù)，銀行業(yè)金融機構(gòu)應(yīng)重視知識產(chǎn)權(quán)保護，使用正版軟件，加強軟件版本管理，優(yōu)先使用具有中國自主知識產(chǎn)權(quán)的軟、硬件產(chǎn)品；積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護本機構(gòu)信息化成果。[1]

在銀行信息系統(tǒng)運行方面，銀行業(yè)金融機構(gòu)應(yīng)建立健全信息系統(tǒng)相關(guān)的規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程等；明確與信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限，建立制約機制，實行最小授權(quán)。[1]

銀行信息系統(tǒng)風(fēng)險管理要堅持持續(xù)管理風(fēng)險的理念，銀行信息系統(tǒng)風(fēng)險的存在是會隨著時間和環(huán)境的變化而不斷變化，持續(xù)管理就是要跟隨環(huán)境的變化。建立持續(xù)管理策略，就是在銀行信息系統(tǒng)中，不斷地進行評估。不斷地實施pdca循環(huán)，即計劃（plan）、實施（do）、檢測（check）、改進（action）四個進程。安全控制的境界不能放在不斷糾正錯誤上，應(yīng)該放在預(yù)防上，就是要不斷檢測，不斷發(fā)現(xiàn)不安全因素，不斷地改進，使系統(tǒng)符合變化環(huán)境下安全需求。

參考文獻：

第7篇：系統(tǒng)安全風(fēng)險評估范文

檔案信息安全保障體系的建設(shè)取得了一定的成績，但同時存在許多問題，我們必須及時加以糾正和改進。檔案信息安全保障體系的建設(shè)不是一蹴而就的，是一個復(fù)雜的社會工程。首先要納入國家信息安全保障體系和電子政務(wù)信息安全保障體系的總體格局中，其次學(xué)習(xí)國內(nèi)外保障體系建設(shè)的經(jīng)驗，結(jié)合檔案信息資源的自身特點，將檔案信息安全保障體系建設(shè)落到實處。檔案信息安全保障存在的問題

1．對檔案信息安全保護和保障概念混淆

信息安全是一個發(fā)展的概念，從通信保密、信息保護發(fā)展到信息保障，或者說是從保密、保護發(fā)展到保障。每個階段的安全屬性也是不斷擴展的，保密階段為保密性：保護階段為保密性、完整性和可用性；保障階段為保密性、完整性、可用性、真實性和不可否認性，甚至在國際標準《信息安全管理體系規(guī)范》ISO／IEC17799：2005中，又增加了可追溯性和可控性。信息安全屬性也是信息安全的目標。保障階段應(yīng)采取相應(yīng)的措施達到“七性”。

信息安全保障的提出最早源自美國。1996年美國國防部(DoD)在國防部令S-3600，1對信息安全保障作了如下定義：“保護和防御信息及信息系統(tǒng)，確保其可用性、完整性、保密性、可認證性、不可否認性等特性。這包括在信息系統(tǒng)中融入保護、檢測、反應(yīng)功能，并提供信息系統(tǒng)的恢復(fù)功能?！背踩珜傩圆粩嘭S富外，安全保障與安全保護主要區(qū)別是主動防御和動態(tài)保護。而與之對應(yīng)的信息保護是靜態(tài)保護(安全措施基本不變)和被動保護(發(fā)生安全事故后再采取防護措施)。

然而，目前大部分檔案信息安全保障仍只達到安全保護水平。將安全保護和安全保障概念混淆，造成保障階段的能力也停留在保護水平，不能從主動防御和動態(tài)保護來保障檔案信息安全。在具體操作上。仍以身份認證、數(shù)據(jù)備份、安裝防火墻、殺毒軟件和入侵檢測等被動保護措施為主。在日益復(fù)雜的檔案信息系統(tǒng)和網(wǎng)絡(luò)環(huán)境下，檔案信息得不到應(yīng)有的保障。

2．偏重技術(shù)，忽視管理

在美國國防部對安全保障的定義中，“保護、檢測、反應(yīng)和恢復(fù)”不僅體現(xiàn)動態(tài)保護，還體現(xiàn)安全管理，安全保障也是一個管理過程。

然而長期以來，人們對檔案信息安全偏重于依靠技術(shù)。但事實上僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望卻往往難盡人意，許多復(fù)雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的，尤其是對內(nèi)網(wǎng)用戶的管理?！叭旨夹g(shù)，七分管理”這個在其他領(lǐng)域總結(jié)出來的實踐經(jīng)驗和原則。在檔案信息安全領(lǐng)域也同樣適用。據(jù)有關(guān)部門統(tǒng)計。在所有的信息安全事件中，屬于管理方面的原因比重高達70％以上，而這些安全問題是可以通過科學(xué)的信息安全管理來避免的。因此，安全管理已成為保障檔案信息安全的重要措施。

目前，國際上實現(xiàn)信息安全管理的有效手段是在信息安全等級保護制度下，進行信息安全風(fēng)險評估。“早在20世紀70年代初期美國政府就提出了風(fēng)險評估的要求。2002年頒布的《2002聯(lián)邦信息安全管理法》對政務(wù)信息安全風(fēng)險評估提出了更加具體的要求?！睔W洲等其他信息化發(fā)達國家也非常重視開展信息安全風(fēng)險評估工作，將開展信息安全風(fēng)險評估工作作為提高信息安全保障水平的重要手段。國外風(fēng)險評估標準主要有：BS7799、ISO／1EC 17799、OCTAVE、NIST SP800―30、AS／NZ54360、SSE―CMM等。

3．缺失安全評估體系

目前，我國檔案信息安全保障體系的建設(shè)處于各自為政狀態(tài)，沒有將基于等級保護制度下的檔案信息安全風(fēng)險評估提到議事日程上來。由此造成檔案信息系統(tǒng)建立并采取安全措施后，仍不能明確自己的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)是否達到安全要求?還有哪些安全漏洞?可能造成多大危害?應(yīng)該怎樣解決?系統(tǒng)升級或調(diào)整后又存在哪些安全風(fēng)險?如何規(guī)劃檔案信息安全保障體系建設(shè)?作為檔案信息系統(tǒng)的擁有者、檔案信息系統(tǒng)安全構(gòu)建者和檔案信息系統(tǒng)安全的監(jiān)管者，必須有統(tǒng)一的風(fēng)險評估標準，才可以做到檔案信息安全與否誰也不能說了算，而應(yīng)該按照統(tǒng)一的風(fēng)險評估標準來評價是否安全。應(yīng)采取什么措施。

檔案信息安全保障狀況需進行風(fēng)險評估

2006年3月7日，醞釀已久的《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風(fēng)險評估工作的意見》(簡稱《意見》)正式對外公布?！兑庖姟芬?。各信息化和信息安全主管部門要從抓試點開始，逐步探索組織實施和管理的經(jīng)驗，用三年左右的時間在我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險評估工作，全面提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力。

2005年9月，國務(wù)院信息化工作辦公室專門組織成立了“電子政務(wù)信息安全工作組”，并已編制了《電子政務(wù)信息安全等級保護實施指南(試行)》，其中提出將風(fēng)險評估貫穿等級保護工作的整個流程。所以，作為電子政務(wù)系統(tǒng)中保存和管理信息的檔案信息系統(tǒng)，與電子政務(wù)一脈相承，進行風(fēng)險評估是遲早的事。對檔案信息安全保障進行風(fēng)險評估主要有如下優(yōu)勢。

1．將檔案信息安全保障體系納入國家信息保障體系

國家已制定了風(fēng)險評估標準GB／T 20948―2007《信息安全風(fēng)險評估規(guī)范》，并將于2007年11月1日正式實施。作為我國信息資源重要組成部分的檔案信息，必須積極響應(yīng)國家信息安全政策和納入國家信息安全保障體系的總體格局。檔案信息安全風(fēng)險評估可在此標準的基礎(chǔ)上，結(jié)合檔案信息自身特點，先開始在綜合檔案館和電信、銀行、稅務(wù)、電力等大型檔案信息管理系統(tǒng)中試驗，在此基礎(chǔ)上再逐步推廣，達到國家要求“2006年后三年內(nèi)在我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險評估工作”基本目標。

2．規(guī)范檔案信息安全保障體系建設(shè)

在檔案信息化過程中。我們已經(jīng)制定了GB／T17678.1―1999《CA D電子文件光盤存儲、歸檔與檔案管理要求。第一部分：電子文件歸檔與檔案管理》、GB／T18894―2002《電子文件歸檔與管理規(guī)范》、GB/T20163―2006《中國檔案機讀目錄格式》、DA／T 22―2000《歸檔文件整理規(guī)則》和DMT 3l一2005《紙質(zhì)檔案數(shù)字化技術(shù)規(guī)范》等國家標準和行業(yè)標準，然而與檔案信息安全相關(guān)的標準尚未出臺，造成目前檔案信息安全保障體系的建設(shè)處于各自為政狀態(tài)。檔案信息風(fēng)險評估的開展。雖然可以參照國際和國家標準，但最終還必須有針對性強的行業(yè)標準。為了改變目前的現(xiàn)狀，檔案行政管理部門應(yīng)重視針對檔案信息安全保障政策和標準的建設(shè)，抓住國家推廣信息安全風(fēng)險評估的機會。從風(fēng)險評估作為切入點，制定檔案信息風(fēng)險評估和其他安全相關(guān)標準，規(guī)范檔案信息安全保障的建設(shè)。由于對檔案信息風(fēng)險評估是以信息安全保障要求為前提的，所以只要進行風(fēng)險評估就可以糾正信息保護和保障的混淆，并確認是否達到相應(yīng)的保障要求。

3．貫徹安全技術(shù)和管理并重，保障檔案信息安全

等級保護和風(fēng)險評估是信息安全管理的核心內(nèi)容，是信息安全管理的具體體現(xiàn)。國家提倡在等級保護制度下進行風(fēng)險評估，就是在對信息系統(tǒng)劃分等級后，采用風(fēng)險評估測評系統(tǒng)是否達到相應(yīng)等級的安全要求，這樣可以改變以往只建設(shè)不測評的現(xiàn)狀。同時，風(fēng)險評估還要求貫穿信息系統(tǒng)的整個生命周期，即在信息系統(tǒng)的分析、設(shè)計、實現(xiàn)和運行維護的整個生命周期內(nèi)，都將進行定期或不定期的風(fēng)險評估，也體現(xiàn)信息安全保障的動態(tài)安全和主動防御。以往在我們檔案信息安全保障的建設(shè)中也強調(diào)信息安全管理機制的構(gòu)建，而風(fēng)險評估就是很好的體現(xiàn)。風(fēng)險評估的進行過程中。有相應(yīng)的安全策略，按照“誰主管誰負責(zé)、誰運行誰負責(zé)”的要求，對在崗的每一位員工也有相應(yīng)的安全職責(zé)，這樣也提高了員工的安全意識。

4．完善檔案信息安奎保障體系

對于已建、在建或?qū)⒔ǖ臋n案信息系統(tǒng)，以往沒有進行風(fēng)險評估的，應(yīng)積極開展這項工作，在沒有正式出臺專門檔案信息風(fēng)險評估標準前，可參照國內(nèi)國際標準進行，或者參與到電子政務(wù)信息的等級保護和風(fēng)險評估中去。當(dāng)然風(fēng)險評估并不是信息安全保障的唯一手段(還包括等級保護、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)等)，但它是檔案信息安全保障不可或缺的一個重要環(huán)節(jié)。通過風(fēng)險評估，可完善目前還沒有達到保障要求的檔案信息系統(tǒng)安全保障。另外，對于新建設(shè)的檔案信息系統(tǒng)在設(shè)計階段就要融入風(fēng)險評估，這樣可以防患于未然。

5．監(jiān)督和檢查檔案信息安全保障建設(shè)

第8篇：系統(tǒng)安全風(fēng)險評估范文

隨著計算機網(wǎng)絡(luò)的技術(shù)的迅猛發(fā)展以及移動互聯(lián)的全球化,Internet已經(jīng)和現(xiàn)今的各行各業(yè)相互契合,而組織業(yè)務(wù)相關(guān)的信息系統(tǒng)已經(jīng)成為組織行業(yè)信息賴以生存的“朋友”。移動互聯(lián)的信息安全問題逐漸走入人們眼中。信息系統(tǒng)的安全問題是的對于一個組織有著重要的戰(zhàn)略意義。本文立足于當(dāng)今信息安全現(xiàn)狀,例數(shù)當(dāng)今信息系統(tǒng)的安全問題,對信息系統(tǒng)的安全風(fēng)險管理方法進行研究,并針對信息系統(tǒng)安全問題給出針對性建議。

關(guān)鍵詞:

信息系統(tǒng)安全；信息系統(tǒng)管理；計算機尖端科技

目前,世界各國經(jīng)濟都在迅速發(fā)展,經(jīng)濟全球化的進程逐漸加快,伴隨著經(jīng)濟的推進,尖端科技迅猛發(fā)展。因此,電腦逐漸走進了各家各戶,移動互聯(lián)正在改變?nèi)藗兊纳罘绞健Ｓ嬎銠C網(wǎng)絡(luò)技術(shù)的優(yōu)越性使得人們對計算機網(wǎng)絡(luò)愈來愈“信賴”。然而隨之產(chǎn)生的便是用戶的網(wǎng)絡(luò)信息泄露事件。計算機網(wǎng)絡(luò)安全問題已經(jīng)受到了更多人的重視。所以,對信息系統(tǒng)安全風(fēng)險管理方法的研究有著鮮明的現(xiàn)實意義。

1信息系統(tǒng)安全風(fēng)險管理方法研究

隨著計算機網(wǎng)絡(luò)技術(shù)的不突破何如普及,極大的方便著人們的生活和學(xué)習(xí),而且正在慢慢的改變?nèi)藗兊纳罘绞?。目?計算機網(wǎng)絡(luò)技術(shù)已經(jīng)被應(yīng)用到軍事科技當(dāng)中,中增強著我國國防力量。使得未來戰(zhàn)爭真正的實現(xiàn)“兵不血刃”。與此同時,信息系統(tǒng)的安全問題會“威脅”著國家的經(jīng)濟建設(shè),和國防建設(shè)。所以這一切都表明了信息系統(tǒng)安全問題是一個國家安全建設(shè)的基礎(chǔ),是國家社會發(fā)展和建設(shè)的保障。而信息系統(tǒng)的安全成為了信息化革命的基本。甚至可以說,信息系統(tǒng)安全問題關(guān)系著國家安全,民族發(fā)展是全人民的的頭等大事。信息系統(tǒng)安全計劃建設(shè)是了一個國家和民族的戰(zhàn)略性目標,已經(jīng)是不爭的事實。

2信息系統(tǒng)的信息安全現(xiàn)狀

當(dāng)今社會信息系統(tǒng)安全問題不容樂觀,信息系統(tǒng)面臨著嚴峻的安全風(fēng)險。根據(jù)調(diào)查來看,每年的重大信息系統(tǒng)安全事件正在逐年增加。信息系統(tǒng)安全問題主要包含以下兩大方面:一是由于現(xiàn)今科技技術(shù)的不完善性和局限性,使得信息系統(tǒng)在構(gòu)建之初便存在著漏洞,導(dǎo)致信息系統(tǒng)“脆弱”。二是現(xiàn)實社會中的各種經(jīng)濟斗爭和利益斗爭,使得原本的信息系統(tǒng)漏洞被“開發(fā)利用”。計算機網(wǎng)絡(luò)技術(shù)是一個復(fù)雜的大系統(tǒng),它是由眾多的代碼、硬件、軟件、協(xié)議所共同組成。在計算機網(wǎng)絡(luò)技術(shù)的不完善和設(shè)計人員思想局限性的前提下,使得信息安全系統(tǒng)在構(gòu)建的時候會出現(xiàn)不可避免的漏洞。例如,計算機網(wǎng)絡(luò)中一個操作系統(tǒng)需要幾千幾萬的代碼組成,甚至更多。為滿足用戶的各種需要,設(shè)計的技術(shù)復(fù)雜性逐漸增多。據(jù)調(diào)查在繁瑣的計算機網(wǎng)絡(luò)設(shè)計時,很可能一千行代碼中便會存在一個錯誤。因此,信息系統(tǒng)的漏洞越來越多,越來越嚴重。另一方面,“黑客”作為一種“文化現(xiàn)象”一直伴隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展而發(fā)展。并且隨著人們之間的利益沖突不斷加劇,使得黑客的惡意攻擊事件愈演愈劣。此外,根據(jù)調(diào)查顯示,在攻擊技術(shù)復(fù)雜的計算機網(wǎng)絡(luò)時,黑客相對應(yīng)需要的知識卻越來越少[1]。

3信息系統(tǒng)風(fēng)險管理的目的和作用

信息系統(tǒng)安全是目前全世界所面臨的重大問題。雖然,信息安全問題具有著普遍性,但是同時因為它的特殊性,使得我們不得不重視。信息系統(tǒng)的安全管理已經(jīng)不再是“0”和“1”之間的問題。我們不斷的探索,為了找到一個更好的信息系統(tǒng)安全管理方法。我們希望新的信息系統(tǒng)安全管理方法可以改變現(xiàn)今網(wǎng)絡(luò)安全的現(xiàn)狀,并且讓更多的人可以更好的享受計算機網(wǎng)絡(luò)技術(shù)帶來的方便。計算機網(wǎng)絡(luò)在人們的生活和學(xué)習(xí)中有著重要的的作用,在國家建設(shè)上有著重要的地位,信息系統(tǒng)的安全管理的研究,我們旨在便利更多的人民群眾,更好的建設(shè)國家,為祖國的建設(shè)作出貢獻。我們要做到防患于未然,讓國家和人民免于信息系統(tǒng)安全問題的威脅。由此我們可以得出這樣的結(jié)論:風(fēng)險管理是信息系統(tǒng)安全管理方法的新模式,而最佳的信息系統(tǒng)安全保障方法就是對信息系統(tǒng)進行風(fēng)險管理。

4信息系統(tǒng)風(fēng)險管理的趨勢

縱觀世界,信息系統(tǒng)安全風(fēng)險管理的經(jīng)歷了技術(shù),技術(shù)與管理相結(jié)合的階段。當(dāng)前,在信息安全保障意識的前提下,還在不斷的深入完善。如何將傳統(tǒng)的風(fēng)險管理理論和實際相結(jié)合并更好的應(yīng)用于信息安全管理領(lǐng)域,是全世界面臨的一個尚未解決的問題。

5信息安全風(fēng)險管理理論基礎(chǔ)

信息安全風(fēng)險管理研究的理論基礎(chǔ)大的方面是國家規(guī)定的計算機網(wǎng)絡(luò)技術(shù)管理法則,和現(xiàn)今的計算機網(wǎng)絡(luò)技術(shù)。小的方面是現(xiàn)今信息系統(tǒng)所具有的保密性、完整性、可用性、脆弱性。以及網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅[2]。

6網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險管理的ISISRM管理方法

6.1ISISRM方法的基本思想

ISISRM方法體現(xiàn)的是“定制”思想,它具有較強的開放性,在識別風(fēng)險因素并進行解決的同時,它不會拘泥于單一的解決方法。它可以使風(fēng)險管理過程和用戶使用目的緊密集合結(jié)合在一起,并且在風(fēng)險評估時采用了“適度量化”的原則。在ISISRM方法的我研究中引用了經(jīng)濟管理學(xué)的知識,它將不再只解決信息安全問題,而是從用戶的角度上來說變成了一種“投資”行為[3]。

6.2ISISRM方法的管理周期

按照ISISRM的設(shè)計邏輯,ISISRM的管理周期分為風(fēng)險管理準備階段、信息安全風(fēng)險因素識別階段、信息安全風(fēng)險分析和評估階段、信息系統(tǒng)安全保障分析階段、信息系統(tǒng)安全決策階段、信息安全風(fēng)險動態(tài)監(jiān)控階段。

7結(jié)語

計算機網(wǎng)絡(luò)技術(shù)迅速發(fā)展,加速了社會信息化的進程,使得人文建設(shè)與信息系統(tǒng)關(guān)系日益“親密”,但是隨之而來的信息安全問題值得引起我們的重視,并讓我們花費人力和物力進行解決,它時刻的威脅著我們社會主義人文建設(shè)。所以我們應(yīng)該運用ISISRM這樣的風(fēng)險安全方法進行信息系統(tǒng)安全的維護和改善。

作者：李響 王培凱 單位：安徽省蚌埠市固鎮(zhèn)縣公安局 安徽省蚌埠市五河縣公安局

參考文獻

[1]孫鵬鵬.信息安全風(fēng)險評估系統(tǒng)的研究與開發(fā)[D].北京交通大學(xué),2007.

第9篇：系統(tǒng)安全風(fēng)險評估范文

我國銀行信息技術(shù)風(fēng)險管理起步較晚，目前還處在初步探索階段，現(xiàn)行的信息技術(shù)風(fēng)險管理還存在很多不足之處。

（一）缺乏完善的銀行信息技術(shù)風(fēng)險管理相關(guān)的法律法規(guī)

完善的法律法規(guī)是實現(xiàn)銀行有效信息技術(shù)風(fēng)險管理的基本前提，是銀行信息安全的第一支柱。國內(nèi)銀行信息技術(shù)風(fēng)險管理相關(guān)法律法規(guī)的建設(shè)遠遠不能滿足當(dāng)前銀行信息化管理的要求，電子銀行的風(fēng)險管理、銀行信息系統(tǒng)安全評估標準、銀行網(wǎng)站建設(shè)規(guī)范、客戶隱私保密等都缺乏有效的法律法規(guī)來進行約束。此外，法律法規(guī)的更新工作不到位，部分現(xiàn)行的法律法規(guī)與信息技術(shù)的發(fā)展已經(jīng)出現(xiàn)了背離，相關(guān)的修訂和補充工作迫在眉睫。

（二）銀行信息技術(shù)風(fēng)險監(jiān)管基本處于空缺狀態(tài)

在美國等金融體系比較成熟的國家，銀行信息技術(shù)監(jiān)管已經(jīng)成為了銀行的常規(guī)現(xiàn)場檢查的基本內(nèi)容，并建立了詳細的現(xiàn)場檢查程序和標準，對信息技術(shù)風(fēng)險的防范措施比較到位。我國銀行信息技術(shù)監(jiān)管還處在起步階段，在技術(shù)風(fēng)險現(xiàn)場檢查和風(fēng)險評估等方面都沒有一個明確的規(guī)范化、制度化的參考標準，在技術(shù)風(fēng)險非現(xiàn)場監(jiān)測系統(tǒng)建設(shè)方面基本處于空缺狀態(tài)。

（三）銀行監(jiān)管人員的知識結(jié)構(gòu)不合理

銀行信息技術(shù)風(fēng)險管理有其獨特的一面，要求監(jiān)管人員在熟練掌握銀行業(yè)務(wù)知識、網(wǎng)上銀行、電子交易等新銀行業(yè)務(wù)知識的基礎(chǔ)上，還要具備良好的計算機應(yīng)用以及管理方面的能力。當(dāng)前國內(nèi)銀行監(jiān)管當(dāng)局工作的重點主要集中在對傳統(tǒng)銀行業(yè)風(fēng)險監(jiān)管上，對監(jiān)管人員在計算機知識方面的要求較低，監(jiān)管人員知識結(jié)構(gòu)的不合理降低了對銀行信息技術(shù)風(fēng)險管理的水平、

（四）缺乏完善的銀行信息技術(shù)安全審計體系

銀行技術(shù)安全的專業(yè)性較強，需要外部評估機構(gòu)對其進行專門的監(jiān)管。與美國相比，我國的銀行技術(shù)安全審計體系主要存在兩個方面的不足：一是合規(guī)的外部安全評估機構(gòu)較少，其評估結(jié)果權(quán)威性較差；二是銀監(jiān)會對外部評估機構(gòu)的監(jiān)管力度較弱，沒有一套完整、規(guī)范、標準的審查程序和監(jiān)管體系。

（五）缺乏合理的信息技術(shù)風(fēng)險評估的指標體系

在銀行信息技術(shù)風(fēng)險的現(xiàn)場檢查工作中，需要利用相應(yīng)的風(fēng)險指標來對信息技術(shù)的風(fēng)險水平進行相應(yīng)的定性和定量分析，以此來判斷整個信息系統(tǒng)的安全性。在國內(nèi)還沒有一套完整的信息技術(shù)風(fēng)險評估指標體系，現(xiàn)場檢查工作得出的結(jié)論難以體現(xiàn)出科學(xué)性和客觀性，削弱了銀行信息技術(shù)風(fēng)險管理的風(fēng)險控制水平。

（六）對外包風(fēng)險缺乏必要的控制

國內(nèi)部分銀行也實行了IT服務(wù)外包，但對外包風(fēng)險管理缺乏必要的控制，銀行對外部的依賴性較強，對外包商的控制力度較弱，同時，銀行監(jiān)管機構(gòu)也沒有一套完整的體系來對外包機構(gòu)進行評估和監(jiān)管。

二、國外銀行信息技術(shù)風(fēng)險管理對國內(nèi)銀行的啟示

盡管國內(nèi)銀行體系的發(fā)展與國外有些差異，但從銀行現(xiàn)階段的情況來看，有很多地方都是需要向國外銀行學(xué)習(xí)的。

（一）建立健全的信息技術(shù)風(fēng)險管理法律法規(guī)體系

法律法規(guī)的完善是保證信息技術(shù)風(fēng)險管理有效執(zhí)行的前提，建議從以下幾個方面來完善相關(guān)法規(guī)建設(shè)：完善信息技術(shù)風(fēng)險管理所涉及的范圍；建立完整的風(fēng)險監(jiān)管體系；建立合理的信息技術(shù)風(fēng)險評估的指標體系；建立科學(xué)風(fēng)險評估體系；建立銀行信息技術(shù)安全審計體系。此外，還要注意相關(guān)法律法規(guī)的及時修正和補充。

（二）加強銀行IT審計

首先，銀行領(lǐng)導(dǎo)層要充分認識IT審計的作用，完善銀行公司治理機制；其次，要積極解決IT審計人才不足的問題，調(diào)整信息技術(shù)風(fēng)險管理人員和監(jiān)管人員的知識結(jié)構(gòu)，提高銀行對信息技術(shù)風(fēng)險管理的控制和防范水平；第三，銀行監(jiān)管當(dāng)局要重視IT審計，把IT安全作為監(jiān)管的重要內(nèi)容，將IT審計作為評價其安全性的重要因素，通過現(xiàn)場及非現(xiàn)場對銀行業(yè)進行督促。

（三）重視信息技術(shù)風(fēng)險評估和外包風(fēng)險控制

風(fēng)險評估作為銀行信息技術(shù)風(fēng)險控制和系統(tǒng)安全建設(shè)的基礎(chǔ)，指導(dǎo)銀行信息系統(tǒng)系統(tǒng)安全技術(shù)體系和管理體系的建設(shè)。因此，要重視信息技術(shù)風(fēng)險評估工作，充分利用信息技術(shù)風(fēng)險評估指標體系來實現(xiàn)對信息技術(shù)現(xiàn)場檢查工作的客觀化、科學(xué)化和規(guī)范化。此外，銀行監(jiān)管當(dāng)局和銀行本身都要借鑒國外發(fā)達國家的實踐和經(jīng)驗，加強外包風(fēng)險控制。

三、結(jié)語