前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計算機信息系統(tǒng)安全風險研究范文,希望能給你帶來靈感和參考,敬請閱讀。
一、計算機信息系統(tǒng)安全風險評估的作用分析
根據(jù)以往學者研究及實踐表明,對計算機信息安全保障的工作可歸納為安全管理、安全組織以及安全技術(shù)等三方面的體系建設。而確保其保障工作的順利展開需以信息安全的風險評估作為核心內(nèi)容。因此對風險評估的作用主要體現(xiàn)在:首先,信息安全保障需以風險評估作為基礎(chǔ)。對計算機信息系統(tǒng)進行風險評估過程多集中在對系統(tǒng)所面臨的安全性、可靠性等方面的風險,并在此基礎(chǔ)上做出相應的防范、控制、轉(zhuǎn)移以及分散等策略。其次,信息安全風險管理中的風險評估是重要環(huán)節(jié)。從《信息安全管理系統(tǒng)要求》中不難發(fā)現(xiàn),對ISMS的建立、實施以及維護等方面都應充分發(fā)揮風險評估的作用。最后,風險評估的核查作用。驗收信息系統(tǒng)設計安裝等是否滿足安全標準時,風險評估可提供具體的數(shù)據(jù)參考。同時在維護信息系統(tǒng)貴過程中,通過風險評估也可將系統(tǒng)對環(huán)境變化的適應能力以及相關(guān)的安全措施進行核查。若出現(xiàn)信息系統(tǒng)出現(xiàn)故障問題時,風險評估又可對其中的風險作出分析并采取相應的技術(shù)或管理措施。
二、計算機信息系統(tǒng)安全風險的評估方法分析
(一)以定性與定量為主的評估方法。
計算機信息系統(tǒng)安全風險評估方法中應用較為廣泛的主要為定性評估方式,其分析內(nèi)容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進行表示如高值、中值以及低值等。但這種方式無法將風險的大小作出正確判斷。另外定量分析方法對威脅事件發(fā)生的可能性與其所造成的損失評估時,首先會對特定資產(chǎn)價值進行分析,再以客觀數(shù)據(jù)為依據(jù)對威脅頻率進行計算,當完成威脅影響系數(shù)的計算后,便將三者綜合分析,最終推出計算風險的等級。
(二)以知識和模型為基礎(chǔ)的風險評估。
以知識為基礎(chǔ)的風險評估通常會根據(jù)安全專家的評估經(jīng)驗為依據(jù),優(yōu)勢在于風險評估的結(jié)構(gòu)框架、實施計劃以及保護措施可被提供,對較為相似的機構(gòu)可直接利用以往的保護措施等便可實現(xiàn)機構(gòu)安全風險的降低。另外以模型為基礎(chǔ)的評估方式可將計算機信息系統(tǒng)自身的風險及其與外部環(huán)境交互過程中存在的不利因素等進行分析,以此實現(xiàn)對系統(tǒng)安全風險的定性評估。
(三)動態(tài)評估與分析方式。
計算信息系統(tǒng)風險管理實際又可理解為信息安全管理的具體過程,一般會將信息安全方針的制定、風險的評估與控制、控制方式的選擇等內(nèi)容包含在內(nèi)。整個評估與分析方式具有一定的動態(tài)特征,以PDCA為典型代表,其計劃、實施、檢查以及改進實現(xiàn)了對風險的動態(tài)管理。
(四)典型風險評估與差距分析方法分析。
典型風險評估主要包括FTA、FMECA、Hazop等方法,對計算機信息系統(tǒng)設計中潛在的故障與薄弱之處,都可提出相應的解決措施,以FTA故障樹分析為典型代表,在分析家算計信息系統(tǒng)的安全性與可靠性方面極為有效。差距分析方式往往以識別、判斷以及具體分析的方式對系統(tǒng)的安全要求與當前的系統(tǒng)現(xiàn)狀存在的差距進行系統(tǒng)風險的確定,存在的差距越大則證明存在的風險越大。
三、結(jié)論
計算機信息系統(tǒng)風險的評估是解決當前信息時代下網(wǎng)絡問題的必然途徑。在實際評估過程中,需以具體的評估標準為依據(jù),立足于自身計算機信息系統(tǒng)的安全現(xiàn)狀,選擇相應的風險評估方法。這樣才可促使計算機信息系統(tǒng)的安全性與可靠性得以保障,發(fā)揮其在各領(lǐng)域中的應用效果,同時對計算機信息系統(tǒng)安全風險評估標準研究過程主要需從具體的等級保護標準、安全保障評估的具體框架、風險評估的基本原則以及具體過程等方面著手,使整個計算機信息系統(tǒng)風險研究評估達到最佳化。
作者:張小兵 單位:赤峰學院計算機與信息工程學院