网络信息安全风险评估理论基础的研究

网络信息安全风险评估理论基础的研究

ID:15758185

大小:199.00 KB

页数:15页

时间:2018-08-05

网络信息安全风险评估理论基础的研究_第1页
网络信息安全风险评估理论基础的研究_第2页
网络信息安全风险评估理论基础的研究_第3页
网络信息安全风险评估理论基础的研究_第4页
网络信息安全风险评估理论基础的研究_第5页
资源描述:

《网络信息安全风险评估理论基础的研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络信息安全风险评估理论——发展、研究与运用考号:115106193552姓名:周倩【内容提要】信息是有价值的,是一种资源,是一种资产。无论是个人,组织,还是国家,保持关键的信息资产的安全性是非常重要的。保障信息安全是国家安全地需要,组织持续发展的需要和个人隐私与财产的需要。而建立信息系统安全体系首先必须明确系统的脆弱性,并明确这些弱点在什么条件下将形成对信息系统的冲击实践。在安全体系建设过程中需要具体地了解这些冲击事件产生的概率和造成地损失,以便选择恰当地安全控制方式,制定相应地应急计划和管理措施,进而形成完整的安全策略,这就是信息安全风险评估。系统的风险

2、评估是信息安全的基础和前提。【关键词】信息安全风险管理信息安全评估正文“信息”是一个十分广泛地概念。这里所说的“信息安全”中的“信息”是指数字化信息,或者数是指通过网络、计算机进行传、处理的信息。信息安全就应该是指通过网络、计算机进行传输、处理的数据信息的安全。信息是一种资产,就像其他重要的商业资产一样,它对一个组织来说是有价值的,因此需要妥善进行保护。信息安全保护信息免受多种威胁的攻击,保证业务连续性,将业务损失降至最少,同时最大限度地获得投资回报和利用商业机遇。信息安全具有保密性、完整性、可用性特征(即CAI)[1]:l保密性:确保只有经过受权的人才能访

3、问信息;l完整性:保护信息和信息的处理方法准确而完整;l可能性:确保受权的用户在需要时可以访问信息并使用相关信息资产。威胁和脆弱性结合在一起会破坏以上三种CAI属性。信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一套的控制措施,确保满足组织特定的安全目标。对信息安全实施等级化保护和等级化管理是一种实现信息安全的方法。信息安全问题的基础和前提就是对信息安全解决方案进行充分有效的风险分析评估,了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,从而将系统的风险降到一个可以接受的程度,

4、这就是风险评估所要完成的任务。信息安全评估的基本原理可从三方面说起,即:信息安全风险管理、信息安全评估定义以及信息安全评估的时机和作用。而本文研究的是基于安全等级的风险评估,所以若不作特别说明,本文将安全等级评估和安全风险评估统称为“安全评估”。风险管理(RiskManagement),由风险评估、风险处理以及基于风险的决策所组成的完整过程。风险管理由三部分组成:风险评估、风险减缓以及基于风险的决策。风险评估过程将全面评估信息系统的资产,威胁,脆弱性以及现有的安全措施,分析安全事件发生的可能性以及可能的损失,从而确定信息系统的风险,判断风险的优先级,建议处理

5、风险的措施。基于风险评估的结果,风险处理过程将考察信息安全措施的成本,选择合适的方法处理风险,将风险控制到可以接受的程度。基于风险的决策是风险管理的最后过程,旨在由信息系统的主管者或运营者判断残余风险是否处在可接受的水平之内[2]-15-。基于这一判断,主管者或运营者将做出决策,决定是否允许信息系统运行。风险管理的基本要素包括:使命、资产、资产价值、威胁、脆弱性、事件、风险、残余风险、安全要求、安全措施。脆弱性资产价值威胁安全需求事件安全措施残留依赖使命风险资产残余风险暴露拥有演变成导出增加满足未控制可能诱发降低利用增加增加成本图1风险管理各要素之间的关系风

6、险管理要素之间的关系如上图所示。使命依赖于资产去完成。资产拥有价值,信息化的程度越高,单位的使命越重要,对资产的依赖度越高,资产的价值则就越大。资产的价值越大则风险越大。风险是由威胁发起的,威胁越大则风险越大,并可能演变成事件。威胁都要利用脆弱性,脆弱性越大则风险越大。脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险。资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的。安全措施可以抗击威胁,降低风险,减弱事件的影响。风险不可能业没有必要降为零,在实施了安全措施后还会有残余风险——-15

7、-一部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全措施的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的。残余风险应到密切监视,因为它可能会在将来诱发新的事件。通过安全措施来对资产加以保护,对脆弱性加以弥补,可以降低风险。实施了安全措施后,威胁只能形成残余风险。为了对付某种威胁,往往需要多个安全措施共同作用。在某些情况下,也会有多个脆弱性被同时利用。脆弱性与威胁是独立的,威胁要利用脆弱性才能造成安全事件。但有时,某些脆弱性可能没有对应的威胁,这可能是由于其对应的威胁不存在,或者这个威

8、胁的影响极小,以至忽略不计。采取安全措施的目的是处理

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。