返回
检察系统信息网络安全的风险评估.pdf

检察系统信息网络安全的风险评估.pdf

ID:52398400

大小:313.67 KB

页数:5页

时间:2020-03-27

检察系统信息网络安全的风险评估.pdf_第1页
检察系统信息网络安全的风险评估.pdf_第2页
检察系统信息网络安全的风险评估.pdf_第3页
检察系统信息网络安全的风险评估.pdf_第4页
检察系统信息网络安全的风险评估.pdf_第5页
资源描述:

《检察系统信息网络安全的风险评估.pdf》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、检察系统信息网络安全的风险评估·167·祝崇光姚旺辽宁省人民检察院摘要:随着检察机关信息化建设的不断推进,系统内部信息的开放与网络的互联互通同时带来了安全隐患,且其威胁程度和破坏力往往难以预测。解决安全问题的一个重要方面就是分析系统目煎母未来的风险所在,充分评估这些风险可能带来的威胁与影响的程度,根据风险评估的结论作出相应的安全对策,本文利用风险评估的方法和流程来对检察系统信息网络安全进行风险评估。关键词:检察系统信息网络安全风险评估一、引言作为风险管理的起点,安全风险评估对于了解安全现状,明确安全目标,制定安全对策都具有至关重要的意义。

2、信息安全风险评估就是对安全风险进行识别、分析和评价,依据有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的过程。它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。风险评估提倡一种适度的安全,不追求零风险,风险评估体现一个基本原则,就是从实际出发,坚持有针对性的建设和管理。一个全面的风险分析包括对各种层次的风险发生的概率和影响进行描述,给出统一的度量标准来估算各因素的风

3、险指标,然后根据一定的评价方法,给出整个系统的风险等级。风险评估的目的是为了让管理者了解面临的危险并进行风险处置,运用综合的策略来解决风险。二、信息系统风险评估的常见方法信息系统风险评估方法的选择直接影响到评估过程中的每个环节,甚至可以左右最终的评估结果,所以需要根据系统的具体情况,选择合适的风险评估方法。风险评估的方法有很多种,概括起来可分为三大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的评估方法。(1)定量评估方法。定量的评估方法是指运用数量指标来对风险进行评估。典型的定量分析方法有因子分析法、聚类分析法、时序模型、

4、回归模型、等风险图法、决策树法等。定量的评估方法的优点是用直观的数据来表述评估的结果,看起来一目了然,而且比较客观,定量分析方法的采用,可以使研究结果更科学,更严密,更深刻。有时,一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的。但缺点是,常常为了量化,使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解和曲解。(2)定性评估方法。定性的评估方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料,然后通过一个理

5、论推导分析框架,对资料进行编码整理,在此基础上做出调查结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法等。定性评估方法的优点是避免了定量方法的缺·168·全国计算机安全学术交流会论文集点,可以挖掘出一些蕴藏很深的思想,使评估的结论更全面、更深刻;但它的主观性很强,对评估者本身的要求很高。(3)定性与定量相结合的综合评估方法。系统风险评估是一个复杂的过程,需要考虑的因素很多,有些评估要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的,不能在风险评估过程中一味地追求量化,也不能认为一切都是量化的风险

6、评估过程是科学、准确的。定量分析是定性分析的基础和前提,定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂,是形成概念、观点,做出判断,得出结论所必须依靠的,在复杂的信息系统风险评估过程中,不能将定性分析和定量分析两种方法简单的割裂开来。而是应该将这两种方法融合起来,采用综合的评估方法。三、风险评估流程风险评估的流程如图1所示。首先识别系统的资产及可能面对的威胁,其次识别并描述出系统的薄弱点,在识别现有的安全控制措施的基础上,确定威胁发生的可能性及可能造成的后果,根据风险评价原则来确定各风险因素,进而确定系统的风

7、险等级。图l风险评估过程图1.检察信息系统资产检察信息系统需要保护的资产包括信息资产和物理资产两部分。(1)物理资产。包括系统中的各种硬件、软件和物理设施。硬件资产包括计算机、交换机、集线器、网关设备等网络设备。软件资产包括计算机操作系统、网络操作系统、通用应用软件、网络管理软件、数据库管理软件和业务应用软件等。物理设施包括场地、机房、电力供给以及防水、防火、地震、雷击等的灾难应急等设施。(2)信息资产。包括系统业务信息、系统维护管理信息。系统业务信息包括检务办公系统的应用数据。系统维护管理息包括系统运行、审计日志、系统监督日志、入侵检测

8、记录、系统口令、系统权限设置、数据存储分配、IP地址分配信息等。2.检察信息系统面临的威胁检察信息系统的薄弱点所产生的威胁主要包括人为的和非可能性人为的、恶意的和非恶意的、内部攻击和外部攻击等

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。