浅谈网络信息安全风险评估问题.doc

浅谈网络信息安全风险评估问题.doc

ID:57891071

大小:65.50 KB

页数:5页

时间:2020-04-02

浅谈网络信息安全风险评估问题.doc_第1页
浅谈网络信息安全风险评估问题.doc_第2页
浅谈网络信息安全风险评估问题.doc_第3页
浅谈网络信息安全风险评估问题.doc_第4页
浅谈网络信息安全风险评估问题.doc_第5页
资源描述:

《浅谈网络信息安全风险评估问题.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、浅谈网络信息安全风险评估问题浅谈网络信息安全风险评佔问题【摘耍】我国的信息化进程时间比较短,在网络信息技术高速发展的过程屮,其安全问题也不断地暴露出来。信息安全风险评估是建立信息安全体系的基础,是信息系统安全工程的一个关键组成部分。本文探讨了目前网络信息安全风险评佔工作中急需解决的问题。【关键词】信息安全:风险评估:脆弱性:威胁【中图分类号ITP309【文献标识码】A【文章编号11672-5158(2013)04-0047-011引言随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资

2、源、信息系统的安全是国民经济发展和信息化建设的需耍。信息安全的目标主耍体现在机密性、完整性、可用性等方面。风险评佔是安全建设的出发点,它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定,以成本一效益平衡的原则,通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性,并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对

3、性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。2网络信息安全的内容和主耍因素分析“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。网络信息安全具有如下5个特征:(1)保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法

4、控制。(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人丁智能网络方法解决问题提供依据和基础。网络信息安全的风险因素主要有以下6大类:(1)自然界因素,如地震、火灾、风灾、水灾、雷电等;(2)社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;(3)网络硕件的

5、因索,如机房包括•交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;(4)软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;(5)人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取II令、木马攻击等;(6)其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信

6、息安全均会产生直接或者间接的影响。3安全风险评估方法3.1定制个性化的评估方法虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。3.2安全整体框架的设计风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。

7、但是由于不同企业环境差异、需求差异,加上在操作层而可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1〜2年内框架,这样才能做到有律可依。3・3多用户决策评估不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。3.4敏感性分析由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个

8、老漏洞,不是简单地分析它的影响和解决措施,而是要推断岀可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”o这需要强大的评估经验知识库支撑,同吋要求评估者具有敏锐的分析能力。3.5集中化决策管理安

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。