導(dǎo)語：如何才能寫好一篇信息安全風(fēng)險(xiǎn)評(píng)估，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

 

信息產(chǎn)業(yè)的迅猛發(fā)展，使得信息化技術(shù)成為社會(huì)發(fā)展的必要組成部分，信息化技術(shù)為國民經(jīng)濟(jì)的發(fā)展注入了新鮮的活力，更加速了國名經(jīng)濟(jì)的發(fā)展和人民生活水平的提高。當(dāng)然，人們?cè)谙硎苄畔⒓夹g(shù)帶來的巨大便利時(shí)，也面臨著各種信息安全問題帶來的威脅。這種信息安全事件帶來的影響是惡劣的，它將造成巨大的財(cái)產(chǎn)損失和信息系統(tǒng)的損害。因此，信息系統(tǒng)的安全問題不得不引起社會(huì)和民眾的關(guān)注，完善信息系統(tǒng)的安全性，加強(qiáng)信息安全的風(fēng)險(xiǎn)評(píng)估成為亟待解決的問題。

 

1 信息安全風(fēng)險(xiǎn)評(píng)估概述及必要性

 

1.1 信息安全風(fēng)險(xiǎn)評(píng)估概述

 

首先，信息安全風(fēng)險(xiǎn)，主要是指人為或自然的利用信息系統(tǒng)脆弱性操作威脅信息系統(tǒng)，以導(dǎo)致信息系統(tǒng)發(fā)生安全事件或造成一定消極影響的可能。而信息安全風(fēng)險(xiǎn)評(píng)估簡(jiǎn)單的理解，就是以減少信息安全風(fēng)險(xiǎn)為目的通過科學(xué)處理信息系統(tǒng)的方法對(duì)信息系統(tǒng)的保密性、完整性進(jìn)行評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估工作是一項(xiàng)保證信息系統(tǒng)相對(duì)安全的重要工作，必須科學(xué)的對(duì)信息系統(tǒng)的生命周期進(jìn)行評(píng)估，最大限度的保障網(wǎng)絡(luò)和信息的安全。

 

1.2 信息安全風(fēng)險(xiǎn)評(píng)估的必要性

 

信息安全評(píng)估是為了更好的保障信息系統(tǒng)的安全，以確保對(duì)信息化技術(shù)的正常使用。信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全管理的必要和關(guān)鍵的環(huán)節(jié)，因?yàn)樾畔⑾到y(tǒng)的安全管理必須建立在科學(xué)的風(fēng)險(xiǎn)評(píng)估基礎(chǔ)上，科學(xué)的風(fēng)險(xiǎn)評(píng)估有利于正確判斷信息系統(tǒng)的安全風(fēng)險(xiǎn)問題，提供風(fēng)險(xiǎn)問題的及時(shí)解決方案。

 

2 信息安全風(fēng)險(xiǎn)評(píng)估過程及方法

 

信息安全風(fēng)險(xiǎn)的評(píng)估過程極其復(fù)雜和規(guī)范。為了加強(qiáng)我國信息安全風(fēng)險(xiǎn)評(píng)估工作的開展，這里有必要對(duì)風(fēng)險(xiǎn)評(píng)估的過程和方法給予提示和借鑒。風(fēng)險(xiǎn)評(píng)估的過程要求完整而準(zhǔn)確。具體有如下步驟：

 

1)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備工作，即要確定信息系統(tǒng)資產(chǎn)，包含范圍、價(jià)值、評(píng)估團(tuán)隊(duì)、評(píng)估依據(jù)和方法等方面。要明確好這些資產(chǎn)信息，做好識(shí)別。2)對(duì)資產(chǎn)的脆弱性及威脅的識(shí)別工作，這是由于信息系統(tǒng)存在脆弱性的特點(diǎn)，所以要周密分析信息系統(tǒng)的脆弱點(diǎn)，統(tǒng)計(jì)分析信息系統(tǒng)發(fā)生威脅事件的可能性以及可能造成的損失。3)安全風(fēng)險(xiǎn)分析，這是較為重要的環(huán)節(jié)。主要是采用方法與工具確定威脅利用信息系統(tǒng)脆弱性導(dǎo)致安全事件發(fā)生的可能性，便于決策的提出。4)制定安全控制措施，主要有針對(duì)性的制定出控制威脅發(fā)生的措施，并確認(rèn)措施的有效性，最大限度的降低安全風(fēng)險(xiǎn)，確保信息系統(tǒng)的安全。5)措施實(shí)施的階段，主要是在有效監(jiān)督下實(shí)施安全措施，并及時(shí)發(fā)現(xiàn)問題和改正。

 

對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估的方法，國內(nèi)外進(jìn)行了很多不同的方法嘗試。方法一般都遵循風(fēng)險(xiǎn)評(píng)估的流程，只是在手段和計(jì)算方法上有差異，但是分別都有一定的評(píng)估效果。主要采用：定性評(píng)估、定量評(píng)估、以及定性與定量相結(jié)合的評(píng)估，最后的方法是一個(gè)互補(bǔ)的評(píng)估方式，能達(dá)到評(píng)估的最佳效果。

 

3 我國信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展現(xiàn)狀

 

較美國等西方國家關(guān)于信息安全系統(tǒng)風(fēng)險(xiǎn)評(píng)估的發(fā)展歷史和技術(shù)研究，我國起步比較晚且落后于發(fā)達(dá)國家。但近年來，隨著社會(huì)各界對(duì)信息系統(tǒng)安全的重視，我國開始在信息系統(tǒng)安全管理工作上加大力度，并把信息系統(tǒng)的安全評(píng)估工作放在重要的位置，不斷創(chuàng)新研究，取得了高效成果。但是，就我國目前的信息安全風(fēng)險(xiǎn)評(píng)估工作看來，還存在諸多問題。

 

1)我國部分企業(yè)、組織和部門對(duì)于信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估沒有引起絕對(duì)的重視，沒有大力普及風(fēng)險(xiǎn)評(píng)估工作。由于領(lǐng)導(dǎo)者及員工的信息安全防范意識(shí)不強(qiáng)以及自身素質(zhì)水平的影響，導(dǎo)致對(duì)風(fēng)險(xiǎn)評(píng)估的流程及必要性都不了解，就不太重視對(duì)企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估工作。

 

2)我國缺乏信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的規(guī)范化標(biāo)準(zhǔn)。我國目前的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的開展，大部分依靠參考國際標(biāo)準(zhǔn)提供服務(wù)，只注重效仿，而缺乏對(duì)我國信息系統(tǒng)安全風(fēng)險(xiǎn)的實(shí)際狀況的研究，沒有針對(duì)性，得不到應(yīng)有的效果。

 

3)我國缺乏行之有效的理論和技術(shù)，也缺乏實(shí)踐的經(jīng)驗(yàn)。由于科技水平的相對(duì)落后，對(duì)于信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估缺乏合適的理論、方法、技術(shù)等。我國僅依靠深化研究IT技術(shù)共性風(fēng)險(xiǎn)，而沒有針對(duì)性的行業(yè)信息個(gè)性風(fēng)險(xiǎn)評(píng)估，這是沒有聯(lián)系實(shí)際的舉措，是不能真正將信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估落實(shí)到位的。

 

4)在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)的額評(píng)估中角色的責(zé)任不明確。這應(yīng)該歸咎于領(lǐng)導(dǎo)的和員工的不符責(zé)任及素質(zhì)水平的落后。對(duì)風(fēng)險(xiǎn)評(píng)估理論缺乏，那么就會(huì)導(dǎo)致參與評(píng)估工作領(lǐng)導(dǎo)和員工角色不明確，領(lǐng)導(dǎo)對(duì)評(píng)估工作的指導(dǎo)角色以及責(zé)任不明確，員工則對(duì)評(píng)估工作流程方法不理解，都大大降低了風(fēng)險(xiǎn)評(píng)估的工作效率。

 

以上種種關(guān)于信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀問題反映出我國在對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的工作還缺乏很多理論和實(shí)踐的指導(dǎo)。我國的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的開展力度還遠(yuǎn)不夠，那些在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的成果還遠(yuǎn)遠(yuǎn)達(dá)不到評(píng)估工作的標(biāo)準(zhǔn)。

 

4 強(qiáng)化信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)策

 

4.1 加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的重視

 

信息化技術(shù)對(duì)于每一個(gè)企事業(yè)單位都是至關(guān)重要的，企業(yè)在對(duì)工作任務(wù)的執(zhí)行和管理中都必須用到信息化技術(shù)，因此，保證信息系統(tǒng)的安全性對(duì)于企業(yè)的發(fā)展至關(guān)重要。企業(yè)、組織和部門要加強(qiáng)對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的重視，強(qiáng)化風(fēng)險(xiǎn)意識(shí)，將信息安全風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)長期的工作來開展。

 

4.2 完善我國信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的規(guī)范化標(biāo)準(zhǔn)

 

上文中指出我國目前的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作大部分依靠國際標(biāo)準(zhǔn)在進(jìn)行，國內(nèi)沒有一個(gè)統(tǒng)一的評(píng)估標(biāo)準(zhǔn)。因此，我國應(yīng)該根據(jù)企業(yè)各種標(biāo)準(zhǔn)的側(cè)重點(diǎn)，自主創(chuàng)新研究，創(chuàng)造出自己的標(biāo)準(zhǔn)技術(shù)體系，而不再一味的去效仿他國。只有這樣，我國的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估才能得到迅猛的提高與發(fā)展，才能保證國家信息化的安全。

 

4.3 加強(qiáng)對(duì)評(píng)估專業(yè)人才的培養(yǎng)

 

信息化技術(shù)是一項(xiàng)非常專業(yè)的技術(shù)，只有擁有專業(yè)知識(shí)和技能的高科技人才才能控制和把握。信息安全風(fēng)險(xiǎn)的評(píng)估工作上則更需要擁有專業(yè)技能和業(yè)務(wù)水平的人才，他們必須對(duì)信息化技術(shù)相當(dāng)了解和精通，對(duì)風(fēng)險(xiǎn)評(píng)估的方法、手段、模型、流程必須熟練。因此，企事業(yè)單位要加強(qiáng)對(duì)專業(yè)人才的培養(yǎng)，定期進(jìn)行業(yè)務(wù)技能培訓(xùn)，鼓勵(lì)人才的自主學(xué)習(xí)，不斷提高自身的能力，為確保企業(yè)信息安全評(píng)估工作的高效發(fā)展及信息安全貢獻(xiàn)力量。

 

4.4 加強(qiáng)科技創(chuàng)新，增強(qiáng)評(píng)估的可操作性

 

我國的科技水平較西方國家有很大的差距，因此在對(duì)信息安全風(fēng)險(xiǎn)的評(píng)估工作中，也存在理論和技術(shù)上的差距。我國應(yīng)該不斷的加強(qiáng)科研力度，在理論和技術(shù)上加以完善，在評(píng)估工具上改進(jìn)，以確保評(píng)估工作的高效開展。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是一個(gè)過程體系，必須抓好每一環(huán)節(jié)的技術(shù)性，在依據(jù)實(shí)際狀況下進(jìn)行風(fēng)險(xiǎn)評(píng)估。

 

4.5 明確評(píng)估工作的職責(zé)劃分

 

信息安全風(fēng)險(xiǎn)評(píng)估工作是復(fù)雜的，每一個(gè)流程都需要投入一定的人力、物力和財(cái)力。針對(duì)人力這一方面，企業(yè)單位應(yīng)該明確劃分評(píng)估工作人員的職責(zé)范圍，管理者要發(fā)揮好領(lǐng)導(dǎo)監(jiān)督作用，有效指導(dǎo)評(píng)估工作的開展，員工則有效發(fā)揮自身的作用和能力。進(jìn)而在每一環(huán)節(jié)工作人員共同協(xié)作下，完成評(píng)估工作的各項(xiàng)流程，并達(dá)到預(yù)期的成效。

 

5 結(jié)束語

 

隨著我國信息技術(shù)水平不斷的進(jìn)步和提高，信息安全工作成為一項(xiàng)必須引起高度重視的工作之一。在當(dāng)前我國信息安全風(fēng)險(xiǎn)評(píng)估還不夠全面和科學(xué)的情況下，我國應(yīng)該加強(qiáng)科技創(chuàng)新，依靠科學(xué)有效的管理以及綜合規(guī)范的保障手段，在借鑒西方國家先進(jìn)理論和技術(shù)的同時(shí)結(jié)合我國企業(yè)單位信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)際現(xiàn)狀，有針對(duì)性的實(shí)施有效方法，確保信息系統(tǒng)的安全性，進(jìn)而保證我國信息化的安全發(fā)展。

篇2

1信息安全風(fēng)險(xiǎn)評(píng)估的方法

1.1定性分析方法

這是評(píng)估方法具有的一個(gè)明顯特點(diǎn)就是它的主觀性較強(qiáng)，在風(fēng)險(xiǎn)評(píng)估人員主觀上對(duì)資產(chǎn)風(fēng)險(xiǎn)因素所面臨的威脅以及漏洞等作出評(píng)估判斷的過程。它的結(jié)構(gòu)構(gòu)成包括故障樹分析法、事件樹分析法以及原因———后果法等。（1）故障樹分析法。這種分析方法的適用于對(duì)風(fēng)險(xiǎn)事件的發(fā)生源之間關(guān)系以及它的深層次原因進(jìn)行探究的，它的主要目的是在發(fā)現(xiàn)信息故障后對(duì)信息安全所進(jìn)行的定性分析。從它的運(yùn)行原理來看，它是把信息系統(tǒng)中發(fā)生的結(jié)果來作為首要解決的問題，分析總結(jié)出不愿發(fā)生事件的形成因素，從而確定出各個(gè)因素之間的邏輯關(guān)系。（2）事件樹分析方法。這種方法是在原有的信息系統(tǒng)風(fēng)險(xiǎn)基礎(chǔ)上，來對(duì)這些信息安全風(fēng)險(xiǎn)事件發(fā)生可能產(chǎn)生的風(fēng)險(xiǎn)結(jié)果進(jìn)行詳細(xì)的分析探究，它的分析工作開展的一個(gè)顯著特點(diǎn)就是需要對(duì)序列組中可能發(fā)生的危險(xiǎn)事故的結(jié)果進(jìn)行合理的列舉，需要注意的是這并代表是最后的結(jié)果，只是其中的一個(gè)環(huán)節(jié)，但是它的缺點(diǎn)就是不適于進(jìn)行大范圍的普適。（3）原因———后果分析方法。這種分析方法從運(yùn)行原理的實(shí)質(zhì)上來看，它是對(duì)前兩種分析方法的一種融合，它是前兩種分析方法所具有顯著特點(diǎn)的結(jié)合，但是，這種方法也有應(yīng)用的缺點(diǎn)，就是它在大型的、復(fù)雜的信息系統(tǒng)中應(yīng)用并起不到應(yīng)有的效果。

1.2定量分析方法

這種分析方法是對(duì)定性方法的一種改進(jìn)，削弱了定性方法的主觀性，但是在一些大型復(fù)雜的信息系統(tǒng)中，就很可能造成一些定量數(shù)據(jù)難以獲得，需要浪費(fèi)較多的時(shí)間成本，基于此，它的應(yīng)用最為廣泛的是定量的故障樹分析法和風(fēng)險(xiǎn)評(píng)審技術(shù)兩種。

1.3定性分析和定量分析相結(jié)合的方法

這種兩相結(jié)合的方法在現(xiàn)代應(yīng)用領(lǐng)域中是最為常見的，也是最適合的形式，這兩種方法相結(jié)合的主要目的是為了有效的彌補(bǔ)定性分析法和定量分析法之間的缺陷，因此，它的綜合性就會(huì)相對(duì)強(qiáng)一些。這種分析模式，適用范圍最為廣泛的并且最為主流的是層次分析法。

2在業(yè)務(wù)流程基礎(chǔ)上的信息安全風(fēng)險(xiǎn)評(píng)估方法

2.1信息資產(chǎn)的辨別

信息安全風(fēng)險(xiǎn)評(píng)估主要是針對(duì)于信息和信息處理設(shè)備所受到的威脅、影響以及威脅事件發(fā)生后所帶來的損失而進(jìn)行的評(píng)估預(yù)測(cè)，那么所進(jìn)行評(píng)估的內(nèi)容主要涉及到四個(gè)要素，即資產(chǎn)、威脅、漏洞以及原有的安全措施。對(duì)于這四個(gè)要素之間的關(guān)系論述，它們是屬于相互關(guān)系、相互作用的因素，各自對(duì)系統(tǒng)風(fēng)險(xiǎn)的影響各不相同，共同構(gòu)成復(fù)雜的風(fēng)險(xiǎn)評(píng)估系統(tǒng)工程。我們?cè)趯?shí)際的風(fēng)險(xiǎn)評(píng)估工作中，主要是對(duì)已經(jīng)存在的風(fēng)險(xiǎn)提出一系列有效的安全防范措施，并依據(jù)風(fēng)險(xiǎn)措施實(shí)行采取合理的控制措施，從而使風(fēng)險(xiǎn)控制到最合理的范圍內(nèi)，那么這么講就可以把它的具體實(shí)施流程劃分為兩大部分，即對(duì)風(fēng)險(xiǎn)的分析和對(duì)風(fēng)險(xiǎn)的控制。

2.2業(yè)務(wù)流程的風(fēng)險(xiǎn)模型分析

在業(yè)務(wù)開展的基本流程中，對(duì)于位置變動(dòng)資產(chǎn)的識(shí)別可以在它的開始階段就進(jìn)行，這是對(duì)位置變動(dòng)來說的，而對(duì)于位置固定的資產(chǎn)識(shí)別，就需要對(duì)每一個(gè)具體業(yè)務(wù)的節(jié)點(diǎn)進(jìn)行逐一開展。對(duì)于位置固定資產(chǎn)的識(shí)別來說，因?yàn)槠渥陨硇枰写罅康娜斯げ僮鳎虼怂娘L(fēng)險(xiǎn)一般是集中于業(yè)務(wù)節(jié)點(diǎn)環(huán)節(jié)上，并且各個(gè)節(jié)點(diǎn)上的風(fēng)險(xiǎn)類別、發(fā)生方式、起源以及造成的后果影響都是不相同的。此外，由于這些風(fēng)險(xiǎn)的產(chǎn)生是因?yàn)槲恢霉潭ㄙY產(chǎn)而引起的，因此，在業(yè)務(wù)流程的過程中一般只需要對(duì)位置固定資產(chǎn)的風(fēng)險(xiǎn)采取相應(yīng)的控制措施就可以了，這樣也就確保了位置別動(dòng)不會(huì)對(duì)資產(chǎn)的保密性、完整性以及可用性造成威脅。

3總結(jié)

篇3

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評(píng)估；脆弱性；威脅

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007—9599 （2012） 14—0000—02

一、引言

隨著信息技術(shù)的飛速發(fā)展，關(guān)系國計(jì)民生的關(guān)鍵信息資源的規(guī)模越來越大，信息系統(tǒng)的復(fù)雜程度越來越高，保障信息資源、信息系統(tǒng)的安全是國民經(jīng)濟(jì)發(fā)展和信息化建設(shè)的需要。信息安全的目標(biāo)主要體現(xiàn)在機(jī)密性、完整性、可用性等方面。風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn)，它的重要意義在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案的制定，以成本一效益平衡的原則，通過評(píng)估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性，并結(jié)合資產(chǎn)的重要程度來識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的分析方法和手段，系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，以防范和化解風(fēng)險(xiǎn)，或者將殘余風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)與信息安全。

二、網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析

“網(wǎng)絡(luò)信息的安全”從狹義的字面上來講就是網(wǎng)絡(luò)上各種信息的安全，而從廣義的角度考慮，還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲(chǔ)、傳輸?shù)仁褂眠^程的安全。

網(wǎng)絡(luò)信息安全具有如下5個(gè)特征：1.保密性。即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w。2.完整性。即信息未經(jīng)授權(quán)不能被修改、破壞。3.可用性。即能保證合法的用戶正常訪問相關(guān)的信息。4.可控性。即信息的內(nèi)容及傳播過程能夠被有效地合法控制。5.可審查性。即信息的使用過程都有相關(guān)的記錄可供事后查詢核對(duì)。網(wǎng)絡(luò)信息安全的研究內(nèi)容非常廣泛，根據(jù)不同的分類方法可以有多種不同的分類。研究內(nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問題的復(fù)雜性。

而通過有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析，就能夠?yàn)榇藦?fù)雜問題的解決找到一個(gè)考慮問題的立足點(diǎn)，能夠?qū)?fù)雜的問題量化，同時(shí)，也為能通過其他方法如人工智能網(wǎng)絡(luò)方法解決問題提供依據(jù)和基礎(chǔ)。

網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類：1.自然界因素，如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等；2.社會(huì)因素，主要是人類社會(huì)的各種活動(dòng)，如暴力、戰(zhàn)爭(zhēng)、盜竊等；3.網(wǎng)絡(luò)硬件的因素，如機(jī)房包括交換機(jī)、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響；4.軟件的因素，包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶計(jì)算機(jī)的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等；5.人為的因素，主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來的影響因素，如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等；6.其他因素，包括政府職能部門的監(jiān)管因素、有關(guān)部門對(duì)相關(guān)法律法規(guī)立法因素、教育部門對(duì)相關(guān)知識(shí)的培訓(xùn)因素、宣傳部門對(duì)相關(guān)安全內(nèi)容的宣傳因素等。這些因素對(duì)于網(wǎng)絡(luò)信息安全均會(huì)產(chǎn)生直接或者間接的影響。

三、安全風(fēng)險(xiǎn)評(píng)估方法

（一）定制個(gè)性化的評(píng)估方法

雖然已經(jīng)有許多標(biāo)準(zhǔn)評(píng)估方法和流程，但在實(shí)踐過程中，不應(yīng)只是這些方法的套用和拷貝，而是以他們作為參考，根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評(píng)估的能力，進(jìn)行“基因”重組，定制個(gè)性化的評(píng)估方法，使得評(píng)估服務(wù)具有可裁剪性和靈活性。評(píng)估種類一般有整體評(píng)估、IT安全評(píng)估、滲透測(cè)試、邊界評(píng)估、網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估、脆弱性掃描、策略評(píng)估、應(yīng)用風(fēng)險(xiǎn)評(píng)估等。

（二）安全整體框架的設(shè)計(jì)

風(fēng)險(xiǎn)評(píng)估的目的，不僅在于明確風(fēng)險(xiǎn)，更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)。作為評(píng)估直接輸出，用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架。但是由于不同企業(yè)環(huán)境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應(yīng)用較少。但是，企業(yè)至少應(yīng)該完成近期1～2年內(nèi)框架，這樣才能做到有律可依。

（三）多用戶決策評(píng)估

不同層面的用戶能看到不同的問題，要全面了解風(fēng)險(xiǎn)，必須進(jìn)行多用戶溝通評(píng)估。將評(píng)估過程作為多用戶“決策”過程，對(duì)于了解風(fēng)險(xiǎn)、理解風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、落實(shí)行動(dòng)，具有極大的意義。事實(shí)證明，多用戶參與的效果非常明顯。多用戶“決策”評(píng)估，也需要一個(gè)具體的流程和方法。

（四）敏感性分析

由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián)，使得風(fēng)險(xiǎn)越來越隱蔽。要提高評(píng)估效果，必須進(jìn)行深入關(guān)聯(lián)分析，比如對(duì)一個(gè)老漏洞，不是簡(jiǎn)單地分析它的影響和解決措施，而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞，找出病“根”，開出有效的“處方”。這需要強(qiáng)大的評(píng)估經(jīng)驗(yàn)知識(shí)庫支撐，同時(shí)要求評(píng)估者具有敏銳的分析能力。

（五）集中化決策管理

安全風(fēng)險(xiǎn)評(píng)估需要具有多種知識(shí)和能力的人參與，對(duì)這些能力和知識(shí)的管理，有助于提高評(píng)估的效果。集中化決策管理，是評(píng)估項(xiàng)目成功的保障條件之一，它不僅是項(xiàng)目管理問題，而且是知識(shí)、能力等“基因”的組合運(yùn)用。必須選用具有特殊技能的人，去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺(tái)審計(jì)和滲透性測(cè)試，由不具備攻防經(jīng)驗(yàn)和知識(shí)的人執(zhí)行，就達(dá)不到任何效果。

（六）評(píng)估結(jié)果管理

安全風(fēng)險(xiǎn)評(píng)估的輸出，不應(yīng)是文檔的堆砌，而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個(gè)完整的風(fēng)險(xiǎn)管理系統(tǒng)，但至少是一個(gè)非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)。企業(yè)需要這樣的評(píng)估管理系統(tǒng)，使用它來指導(dǎo)評(píng)估過程，管理評(píng)估結(jié)果，以便在管理層面提高評(píng)估效果。

四、風(fēng)險(xiǎn)評(píng)估的過程

（一）前期準(zhǔn)備階段

主要任務(wù)是明確評(píng)估目標(biāo)，確定評(píng)估所涉及的業(yè)務(wù)范圍，簽署相關(guān)合同及協(xié)議，接收被評(píng)估對(duì)象已存在的相關(guān)資料。展開對(duì)被評(píng)估對(duì)象的調(diào)查研究工作。

（二）中期現(xiàn)場(chǎng)階段

編寫測(cè)評(píng)方案，準(zhǔn)備現(xiàn)場(chǎng)測(cè)試表、管理問卷，展開現(xiàn)場(chǎng)階段的測(cè)試和調(diào)查研究階段。

（三）后期評(píng)估階段

撰寫系統(tǒng)測(cè)試報(bào)告。進(jìn)行補(bǔ)充調(diào)查研究，評(píng)估組依據(jù)系統(tǒng)測(cè)試報(bào)告和補(bǔ)充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告。

五、風(fēng)險(xiǎn)評(píng)估的錯(cuò)誤理解

1.不能把最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告認(rèn)為是結(jié)果唯一。

2.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以發(fā)現(xiàn)所有的安全問題。

3.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以一勞永逸的解決安全問題。

4.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是漏洞掃描。

5.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是 IT部門的工作，與其它部門無關(guān)。

6.不能認(rèn)為風(fēng)險(xiǎn)評(píng)估是對(duì)所有信息資產(chǎn)都進(jìn)行評(píng)估。

六、結(jié)語

總之，風(fēng)險(xiǎn)評(píng)估可以明確信息系統(tǒng)的安全狀況和主要安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ)。通過風(fēng)險(xiǎn)評(píng)估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案是信息系統(tǒng)安全工程的重要組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提。加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求，但是，信息安全評(píng)估工作的實(shí)施也存在一定的難題，涉及信息安全評(píng)估的行業(yè)或系統(tǒng)各不相同，并不是所有的評(píng)估方法都適用于任何一個(gè)行業(yè)，要選擇合適的評(píng)估方法，或開發(fā)適合于某一特定行業(yè)或系統(tǒng)的特定評(píng)估方法，是當(dāng)前很現(xiàn)實(shí)的問題，也會(huì)成為下一步研究的重點(diǎn)。

參考文獻(xiàn)：

[1]剛，吳昌倫.信息安全風(fēng)險(xiǎn)評(píng)估的策劃[J].信息技術(shù)與標(biāo)準(zhǔn)化，2004，09

[2]賈穎禾.信息安全風(fēng)險(xiǎn)評(píng)估[J].中國計(jì)算機(jī)用戶，2004，24

[3]楊潔.層次化的企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)分析方法研究[J].軟件導(dǎo)刊，2007，03

篇4

關(guān)鍵詞:信息安全;信息資產(chǎn);風(fēng)險(xiǎn)評(píng)估;層次分析法

中圖分類號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2010)19-5129-03

The Research for Information Security Risk Assessment Based on AHP Method

ZENG Li-mei, JIANG Wen-hao

(School of Computer Science and Technology , Chongqing University of Posts and Telecommunications, Chongqing 400065, China)

Abstract: The risk assessment of information security evolves four fundamental elements included information capital, the fragility of information capital, the encountering threats and the possible risk in information capital. The key problem for risk assessment relies on the weight among risk factors. This issue takes an enterprise as an example, introduced a method called Analytic Hierarchy Process (AHP) to evaluate the risk of systems. The results show that this method can be applied well to information security risk assessment.

Key words: information security; information capital; risk assessment; Analytic Hierarchy Process (AHP)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在當(dāng)今社會(huì)迅猛發(fā)展并且得到廣泛應(yīng)用,使得各行各業(yè)對(duì)信息系統(tǒng)的依賴日益加深,信息技術(shù)幾乎滲透到了社會(huì)生活的方方面面。信息系統(tǒng)及其所承載信息的安全問題日益突出,為了在安全風(fēng)險(xiǎn)的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散等之間做出決策,需要對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

信息安全風(fēng)險(xiǎn)評(píng)估,是指依據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過程[1]。風(fēng)險(xiǎn)評(píng)估是提高系統(tǒng)安全性的關(guān)鍵環(huán)節(jié),通過風(fēng)險(xiǎn)評(píng)估,了解系統(tǒng)的安全狀況,將信息系統(tǒng)的風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。

1信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估要素

1.1 風(fēng)險(xiǎn)評(píng)估的各要素

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估要素及其各要素間的關(guān)系如圖l所示。

圖1中,整個(gè)模型的核心是風(fēng)險(xiǎn),資產(chǎn)、脆弱性和威脅是風(fēng)險(xiǎn)評(píng)估的基本要素。風(fēng)險(xiǎn)評(píng)估的工作圍繞其基本要素展開 。

1.2 風(fēng)險(xiǎn)評(píng)估各要素之間的關(guān)系

風(fēng)險(xiǎn)評(píng)估基本要素之間存在以下關(guān)系:

資產(chǎn)是信息系統(tǒng)中需要保護(hù)的對(duì)象,資產(chǎn)完成業(yè)務(wù)戰(zhàn)略。單位的業(yè)務(wù)戰(zhàn)略越重要,對(duì)資產(chǎn)的依賴度越高,資產(chǎn)的價(jià)值就越大,資產(chǎn)的價(jià)值越大風(fēng)險(xiǎn)則越大。

風(fēng)險(xiǎn)是由威脅引起的,威脅越大風(fēng)險(xiǎn)就越大,并很有可能演變成安全事件。

脆弱性是資產(chǎn)中的弱點(diǎn)。威脅利用脆弱性,脆弱性越大風(fēng)險(xiǎn)就越大。

安全需求由資產(chǎn)的重要性和對(duì)風(fēng)險(xiǎn)的意識(shí)導(dǎo)出。安全措施可以抗擊威脅,降低風(fēng)險(xiǎn),減弱安全事件的不良影響。

風(fēng)險(xiǎn)不可能也沒有必要降為零,在實(shí)施了安全措施后還會(huì)有殘留下來的風(fēng)險(xiǎn),稱為殘余風(fēng)險(xiǎn)。殘余風(fēng)險(xiǎn)可以接受,但應(yīng)受到密切監(jiān)視,因?yàn)樗赡軙?huì)在將來誘發(fā)新的安全事件[2]。

2 風(fēng)險(xiǎn)評(píng)估方法

目前國內(nèi)外存在很多風(fēng)險(xiǎn)評(píng)估的方法,還沒有統(tǒng)一的信息安全風(fēng)險(xiǎn)分析的方法。在風(fēng)險(xiǎn)評(píng)估過程中根據(jù)系統(tǒng)的實(shí)際情況,選擇合適的風(fēng)險(xiǎn)評(píng)估方法。風(fēng)險(xiǎn)評(píng)估的方法概括起來可分為三大類:定性分析方法、定量分析方法、定性和定量相結(jié)合的分析方法。[3]

2.1定性分析方法

定性分析方法是一種典型的模糊分析方法,可以快捷的對(duì)資源、威脅、脆弱性進(jìn)行系統(tǒng)評(píng)估。典型的定性分析方法有邏輯分析法、因素分析法、德爾斐法、歷史比較法[4] 。

定性評(píng)估方法的優(yōu)點(diǎn)是全面、深入,缺點(diǎn)是主觀性太強(qiáng),對(duì)評(píng)估者要求高。

2.2 定量分析方法

定量分析方法是在定性分析的邏輯基礎(chǔ)上,通過對(duì)風(fēng)險(xiǎn)評(píng)估各要素的分析,為信息系統(tǒng)提供系統(tǒng)的分析手段。典型的定量分析方法有決策樹法、回歸模型、因子分析法。

定量分析方法的優(yōu)點(diǎn)是直觀、明顯、客觀、對(duì)比性強(qiáng),缺點(diǎn)是簡(jiǎn)單化、模糊化、會(huì)造成誤解和曲解。

2.3 定性和定量結(jié)合的綜合評(píng)估方法

定量分析是定性分析的基礎(chǔ)和前提,定性分析應(yīng)該建立在定量分析的基礎(chǔ)上才能揭示客觀事物的內(nèi)在規(guī)律。不能將定性分析方法與定量分析方割裂,而是將這兩種方法融合起來,發(fā)揮各自的優(yōu)勢(shì),采用綜合分析評(píng)估方法。主要的綜合分析方法有模糊綜合評(píng)價(jià)方法、層次分析法、概率風(fēng)險(xiǎn)評(píng)估等。[5]

3 AHP方法

3.1 層次分析法簡(jiǎn)介

層次分析法(AHP)是美國運(yùn)籌學(xué)家薩蒂(T.L.Saaty)于20世紀(jì)70年代初提出的一種定性與定量分析相結(jié)合的多準(zhǔn)則決策分析方法,該方法簡(jiǎn)便、靈活又實(shí)用。

層次分析法的基本思想是在決策目標(biāo)的要求下,將決策對(duì)象相對(duì)于決策標(biāo)準(zhǔn)的優(yōu)劣狀況進(jìn)行兩兩比較,最終獲得各個(gè)對(duì)象的總體優(yōu)劣狀況,從而為決策者提供定量形式的決策依據(jù) [6] 。

3.2 系統(tǒng)分解,建立層次結(jié)構(gòu)模型

層次模型的構(gòu)造是運(yùn)用分解法的思想,進(jìn)行對(duì)象的系統(tǒng)分解。它的基本層次包括目標(biāo)層、準(zhǔn)則層、方案層三類。目的是建立系統(tǒng)的評(píng)估指標(biāo)體系。層次結(jié)構(gòu)如圖2所示。

3.3 構(gòu)造判斷矩陣

判斷矩陣的作用是同層次的兩兩元素之間的相對(duì)重要性進(jìn)行比較。層次分析法采用1～9標(biāo)度方法,對(duì)不同情況的評(píng)比給出數(shù)量標(biāo)度,如表1所示。[7]

構(gòu)造判斷矩陣,判斷矩陣A=(aij)n×n有如下性質(zhì):①aij>0;②當(dāng)i≠j時(shí),aji=1/aij;③當(dāng)i=j時(shí),aij=1。aij為i與j兩因素相對(duì)權(quán)值的比值。

3.4 層次排序

步驟一:將A的每一列向量歸一化。

步驟二:對(duì)按列歸一化的判斷矩陣,再按行求和。

步驟三:將向量歸一化。

3.5 一致性檢驗(yàn)

步驟一:計(jì)算判斷矩陣的最大特征根。

式中(AW)i表示AW的第i個(gè)元素。

步驟二:計(jì)算一致性指標(biāo)。

式中,λmax 表示比較判斷矩陣的最大特征根,n表示比較判斷矩陣階數(shù)。

步驟三:計(jì)算一致性比率。

當(dāng) CR

平均隨機(jī)一致性標(biāo)度如表2所示。

4.評(píng)估方法實(shí)際應(yīng)用

4.1 建立信息安全風(fēng)險(xiǎn)評(píng)估模型

為了突出風(fēng)險(xiǎn)評(píng)估的重點(diǎn),對(duì)信息系統(tǒng)風(fēng)險(xiǎn)的評(píng)價(jià)指標(biāo)進(jìn)行適當(dāng)?shù)暮?jiǎn)化,建立某企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估層次結(jié)構(gòu)模型,如圖3所示。

4.2 風(fēng)險(xiǎn)評(píng)估結(jié)果

根據(jù)圖3各評(píng)估因素及其相互關(guān)系,建立兩兩比較判斷矩陣,如表3、表4、表5、表6所示,用AHP方法求解一致性比率CR,判斷矩陣是否具有滿意一致性。

表3G-C的判斷矩陣

表4C1-P的判斷矩陣 表5C2-P的判斷矩陣 表6C3-P的判斷矩陣

以上結(jié)果CR均小于0.1,表明比較判斷矩陣都滿足一致性檢驗(yàn)標(biāo)準(zhǔn)。由以上結(jié)果求的最終的總層次排序結(jié)果如表7所示。

5 結(jié)束語

在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中,風(fēng)險(xiǎn)評(píng)估方法一直都是研究的關(guān)鍵點(diǎn)。本文采用層次分析法對(duì)風(fēng)險(xiǎn)評(píng)估的指標(biāo)進(jìn)行了分析,通過分析研究可得,層次分析法在風(fēng)險(xiǎn)評(píng)估和等級(jí)劃分的實(shí)際應(yīng)用中是一種行之有效、可操作性強(qiáng)的方法,可以很好的應(yīng)用于信息安全風(fēng)險(xiǎn)評(píng)估。

參考文獻(xiàn):

[1] GB/T 20984-2007,信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)[S].中華人民共和國國家標(biāo)準(zhǔn),2007.

[2] 向宏,傅鵬,詹榜華.信息安全測(cè)評(píng)與風(fēng)險(xiǎn)評(píng)估[M].北京:電子工業(yè)出版社,2009:319.

[3] 王偉,李春平,李建彬.信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法的研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2007,28(14):3473-3474.

[4] 范紅,馮登國,吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M].北京:清華大學(xué)出版社,2006:49-50.

[5] 吳亞非,李友新,祿凱.信息安全風(fēng)險(xiǎn)評(píng)估[M].北京:清華大學(xué)出版社,2007:101-109.

篇5

【 關(guān)鍵詞 】 軍校學(xué)員；信息安全；風(fēng)險(xiǎn)評(píng)估

Cadets’s Information Security Risk Assessment Problems and Solutions

Hu Peng-wei 1 Ding Yong-chao 1 Wang Bo-wei 1 Cheng Li-fu 2 Zhang Le-ping 3

（1.Second Military Medical University， Department of Health Services Corps Shanghai 200433；

2.Second Military Medical University， Department of Health Services， Public Health Management Shanghai 200433；

3.Second Military Medical University， Department of Computer Shanghai 200433）

【 Abstract 】 Rapid development and wide application of the Internet provides convenience for the majority of the cadets getting information， meanwhile， make a huge challenge to information security.So， Expand the cadet information security risk assessment of practical significance. This paper analyzes the the information security risks the cadets facing， point out the problems of information security risk assessment， and the specific implementation of countermeasures.

【 Keywords 】 cadet； information security； risk assessment

1 引言

軍隊(duì)院校信息化建設(shè)始于上個(gè)世紀(jì)90年代初開始，如今軍校教育教學(xué)、機(jī)關(guān)辦公、學(xué)員管理等基礎(chǔ)業(yè)務(wù)對(duì)網(wǎng)絡(luò)信息系統(tǒng)的依賴程度越來越大，同時(shí)面臨的信息安全問題也越來越復(fù)雜多樣化、越來越隱蔽化。雖然學(xué)校采取了安全監(jiān)測(cè)、入侵防護(hù)等安全技術(shù)措施，但由于學(xué)員網(wǎng)絡(luò)安全保密意識(shí)不強(qiáng)，網(wǎng)絡(luò)安全技術(shù)掌握不到位的欠缺，管理方法針對(duì)性不強(qiáng)，軍隊(duì)院校學(xué)員網(wǎng)絡(luò)安全風(fēng)險(xiǎn)高，以至網(wǎng)絡(luò)安全事件甚至泄密事件時(shí)有發(fā)生。而衛(wèi)勤軍校學(xué)員在平時(shí)的學(xué)習(xí)工作中均有可能會(huì)涉及并接觸到更多的軍事秘密，面臨的信息安全問題更加嚴(yán)峻。因此，迫切需要對(duì)衛(wèi)勤軍校學(xué)員的網(wǎng)絡(luò)信息安全現(xiàn)狀及風(fēng)險(xiǎn)因素進(jìn)行客觀有效的分析和評(píng)估，依據(jù)評(píng)估結(jié)果為針對(duì)軍校學(xué)員的網(wǎng)絡(luò)信息安全管理提供指導(dǎo)，進(jìn)而有針對(duì)性地采取綜合性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的有效管理措施。

2 軍校學(xué)員信息安全面臨的風(fēng)險(xiǎn)

2.1 網(wǎng)絡(luò)信息環(huán)境復(fù)雜，安全風(fēng)危險(xiǎn)性高

信息時(shí)代，互聯(lián)網(wǎng)的應(yīng)用已經(jīng)深入到各個(gè)領(lǐng)域，但其共享性、開放性和互聯(lián)性的特點(diǎn)，使得環(huán)境越來越復(fù)雜，危險(xiǎn)不安全因素越來越多。

一是網(wǎng)絡(luò)黑客攻擊。網(wǎng)絡(luò)攻擊包括黑客攻擊、病毒感染以及針對(duì)性軍事機(jī)構(gòu)、軍隊(duì)人員的網(wǎng)絡(luò)監(jiān)視，如軍校附近的企業(yè)、網(wǎng)絡(luò)監(jiān)聽。目前信息系統(tǒng)技術(shù)發(fā)達(dá)，網(wǎng)絡(luò)黑客可以通過極限攻擊、讀取受限文件、拒絕服務(wù)以及口令恢復(fù)等一系列技術(shù)獲取信息，對(duì)軍隊(duì)保密安全形成威脅。學(xué)員在使用網(wǎng)絡(luò)時(shí)感染病毒導(dǎo)致文件丟失、破壞，發(fā)生嚴(yán)重的安全事故。此外，針對(duì)軍事機(jī)構(gòu)和軍事人員的網(wǎng)絡(luò)監(jiān)視并不少見， 增加了軍校學(xué)員網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)。

二是網(wǎng)絡(luò)陷阱。特別是一些博客、論壇，借軍事愛好、討論敏感話題、套取軍事信息此外，有些人在網(wǎng)絡(luò)上設(shè)置陷阱，一旦發(fā)現(xiàn)軍人身份的網(wǎng)絡(luò)用戶便主動(dòng)接近，通過交流和獲取軍隊(duì)內(nèi)部信息。同時(shí)，由網(wǎng)絡(luò)海量信息形成的巨大信息流，其中摻雜著諸多不良信息，更有人借網(wǎng)絡(luò)進(jìn)行非法活動(dòng)的傳播，對(duì)大學(xué)生進(jìn)行鼓動(dòng)和教唆，嚴(yán)重危害學(xué)員身心健康。現(xiàn)代社會(huì)的多元化很大程度上反映到了互聯(lián)網(wǎng)上，隨著網(wǎng)絡(luò)的發(fā)展，論壇社區(qū)、交友網(wǎng)站的興起，微博、QQ、MSN等交流交互方式的流行，智能手機(jī)的廣泛應(yīng)用，吸引著軍校學(xué)員接觸網(wǎng)絡(luò)，給學(xué)員自身、學(xué)校甚至軍隊(duì)的信息安全都帶來很大的威脅。

三是病毒感染網(wǎng)絡(luò)沉迷?；ヂ?lián)網(wǎng)的虛擬性極大程度地吸引著學(xué)員不斷接觸網(wǎng)絡(luò)，其中網(wǎng)絡(luò)戀情和網(wǎng)絡(luò)游戲是最主要的沉迷對(duì)象。人生觀和價(jià)值觀正在形成過程中的大學(xué)生分辨能力和自制能力較差，加上軍隊(duì)院校相對(duì)封閉的環(huán)境，部分軍校學(xué)員沉迷于網(wǎng)絡(luò)戀情或網(wǎng)絡(luò)游戲而不能自拔，安全意識(shí)更加薄弱，往往將自身信息和軍事機(jī)密信息透漏出去，甚至引發(fā)安全事故。

2.2 信息安全意識(shí)差，抵御能力弱

一方面隨著智能終端的不斷研發(fā)，信息化進(jìn)程的不斷推進(jìn)，上網(wǎng)方式已經(jīng)不再局限于計(jì)算機(jī)，智能手機(jī)、平板電腦以及各種無線網(wǎng)絡(luò)設(shè)備都可以方便連接網(wǎng)絡(luò)。學(xué)生作為網(wǎng)絡(luò)的主體，網(wǎng)絡(luò)信息安全意識(shí)差，依賴上網(wǎng)方式的多樣化和便捷性頻繁的接觸網(wǎng)絡(luò)。另一方面，隨著微時(shí)代的到來，微文化流行，參與便捷，加之學(xué)員的信息安全意識(shí)不強(qiáng)，將校區(qū)所處的環(huán)境圖片、課件、聽看到的信息、消息等隨手轉(zhuǎn)發(fā)到網(wǎng)絡(luò)上，給學(xué)校和軍事機(jī)構(gòu)帶來嚴(yán)重的安全隱患。更有甚者，學(xué)員利用網(wǎng)絡(luò)散播不良信息，參與黑客等網(wǎng)絡(luò)破壞活動(dòng)，給國家和軍隊(duì)帶來嚴(yán)重的損失。迅速發(fā)展和廣泛應(yīng)用的互聯(lián)網(wǎng)，是廣大軍校學(xué)員獲取信息的有效途徑，同時(shí)也對(duì)信息安全形成巨大挑戰(zhàn)。互聯(lián)網(wǎng)大量的信息集成，是對(duì)每個(gè)涉足互聯(lián)網(wǎng)人員的沖擊，沒有強(qiáng)烈的安全意識(shí)，很容易導(dǎo)致安全事故的發(fā)生。在管理方式上，大多數(shù)只停留在接受口頭安全教育的層面上，沒有意識(shí)到現(xiàn)代高端的信息技術(shù)和間諜技術(shù)帶來的威脅。

2.3 網(wǎng)絡(luò)信息安全管理差，處理方法少

目前軍校面臨的信息安全問題也越來越復(fù)雜多樣化、越來越隱蔽化。雖然殺毒軟件、防火墻、入侵檢測(cè)等安全技術(shù)的應(yīng)用起到一定的防御作用，但由于管理方法針對(duì)性不強(qiáng)，對(duì)于安全事件的處理不到位，信息安全事故依舊不減。軍隊(duì)院校是培養(yǎng)軍隊(duì)專門人才的特殊教育訓(xùn)練機(jī)構(gòu)，互聯(lián)網(wǎng)、校園網(wǎng)、軍事信息綜合網(wǎng)等各類網(wǎng)絡(luò)廣泛應(yīng)用。軍校學(xué)員在生活、學(xué)習(xí)過程中，有機(jī)會(huì)了解和掌握軍隊(duì)的編制體制、方針政策、武器裝備等涉及軍事秘密等信息，而針對(duì)軍校學(xué)員的網(wǎng)絡(luò)信息安全管理辦法少、科學(xué)性不強(qiáng)，主要體現(xiàn)在兩方面。

一是宣傳式教育過于形式化。大多數(shù)學(xué)校的網(wǎng)絡(luò)信息安全教育是以口頭說教、安全講座、安全知識(shí)考試以及教育傳單的形式展開，而這些宣傳式的教育流于表面，沒有真正讓學(xué)員體會(huì)到現(xiàn)代網(wǎng)絡(luò)環(huán)境存在的風(fēng)險(xiǎn)，也沒有意識(shí)到自己的網(wǎng)絡(luò)行為所造成的安全隱患。

二是限制網(wǎng)絡(luò)使用效果不明顯。為了防止安全保密事故的發(fā)生，學(xué)校常常用會(huì)限制學(xué)員的網(wǎng)絡(luò)使用，但是這種 “堵”的方式只能限制了學(xué)員對(duì)學(xué)校網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備的使用，學(xué)員依舊可以方便選擇通過其他智能終端使用網(wǎng)絡(luò)，而且這種方式與現(xiàn)代信息社會(huì)格格不入，阻礙和影響到了學(xué)員正常獲取學(xué)校正常教學(xué)、辦公信息和知識(shí)的途徑，引起教學(xué)辦公人員的不滿。這些辦法并沒有真正加強(qiáng)學(xué)員的安全意識(shí)以及阻止安全事件的發(fā)生，也為信息安全帶來了風(fēng)險(xiǎn)。

3 軍校學(xué)員信息安全評(píng)估存在的問題

3.1 針對(duì)性不強(qiáng)，評(píng)估指標(biāo)不完善

目前大多數(shù)軍校都會(huì)定期對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)和維護(hù)，對(duì)于信息安全的風(fēng)險(xiǎn)評(píng)估大多數(shù)側(cè)重于網(wǎng)絡(luò)硬件和軟件的基本情況，忽視了針對(duì)學(xué)員的信息風(fēng)險(xiǎn)評(píng)估。認(rèn)為通過限制使用就可以避免風(fēng)險(xiǎn)，這樣不但浪費(fèi)了資源，也沒有真正起到降低風(fēng)險(xiǎn)的作用。很多風(fēng)險(xiǎn)評(píng)估沒有針對(duì)學(xué)員的評(píng)估指標(biāo)，或者沒有深入研究學(xué)員的網(wǎng)絡(luò)行為，其指標(biāo)缺乏有針對(duì)性，導(dǎo)致評(píng)估在學(xué)員信息安全防范措施這一環(huán)節(jié)上的薄弱。

3.2 科學(xué)性不高，風(fēng)險(xiǎn)量化能力差

對(duì)于軍校學(xué)員的信息安全風(fēng)險(xiǎn)評(píng)估大多數(shù)指標(biāo)是定性的，而定性的安全風(fēng)險(xiǎn)評(píng)估無法準(zhǔn)確地確定風(fēng)險(xiǎn)的大小，無法對(duì)安全風(fēng)險(xiǎn)進(jìn)行精確地排序，從而難以確定系統(tǒng)面臨的真正風(fēng)險(xiǎn)。這就要求軍校學(xué)員信息安全風(fēng)險(xiǎn)評(píng)估工作所運(yùn)用的評(píng)估方法必須具備一定的量化能力。量化風(fēng)險(xiǎn)評(píng)估分析方法的關(guān)鍵在于輸入?yún)?shù)的量化。對(duì)制定的量表進(jìn)行有效的賦值，并在此基礎(chǔ)上歸類分析是量化評(píng)估的難點(diǎn)，而目前軍校在對(duì)學(xué)員進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，處理這些量化難點(diǎn)做的還不夠到位。

3.3 系統(tǒng)性評(píng)估流于形式，對(duì)評(píng)估結(jié)果沒有充分利用

多數(shù)軍校只有上級(jí)安全部門進(jìn)行的檢查評(píng)估時(shí)才進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估工作，并沒有進(jìn)行自評(píng)估，或者自評(píng)估的次數(shù)少，不能及時(shí)發(fā)現(xiàn)學(xué)員存在的信息安全隱患。風(fēng)險(xiǎn)評(píng)估在國內(nèi)發(fā)展的時(shí)間較短，在軍校學(xué)員中開展系統(tǒng)性的信息安全風(fēng)險(xiǎn)評(píng)估，軍校引入的并不多，所以評(píng)估的形式欠科學(xué)性。同時(shí)評(píng)估流于形式，有些軍校雖然開展了對(duì)學(xué)員的評(píng)估，但不能根據(jù)評(píng)估結(jié)果采取相應(yīng)的安全措施，失去了評(píng)估的意義。

4 軍校學(xué)員風(fēng)險(xiǎn)評(píng)估實(shí)施策略

4.1 提高重視程度，采用先進(jìn)管理方法

提高對(duì)學(xué)員信息安全風(fēng)險(xiǎn)評(píng)估的重視程度是決定風(fēng)險(xiǎn)評(píng)估效果的關(guān)鍵因素。首先，軍校工作人員在對(duì)學(xué)校整個(gè)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，應(yīng)當(dāng)把對(duì)學(xué)員的信息安全風(fēng)險(xiǎn)評(píng)估單獨(dú)列出，著重從倫理道德、紀(jì)律規(guī)范、網(wǎng)絡(luò)技能和網(wǎng)絡(luò)行為等方面進(jìn)行評(píng)估，提高學(xué)員的安全思想意識(shí)。其次，要引進(jìn)先進(jìn)的管理辦法，不能只停留在宣傳式教育和限制網(wǎng)絡(luò)上。宣傳形式要新穎，可以用實(shí)例向?qū)W員宣講，同時(shí)模擬真實(shí)的環(huán)境，讓學(xué)員參與其中，從而加深印象，提高意識(shí)。管理上可以對(duì)學(xué)員進(jìn)行跟蹤監(jiān)測(cè)，發(fā)現(xiàn)學(xué)員在網(wǎng)絡(luò)使用上的漏洞，將其列為控制的關(guān)鍵環(huán)節(jié)加強(qiáng)管理；也可以對(duì)學(xué)員進(jìn)行調(diào)研，了解學(xué)員對(duì)于網(wǎng)絡(luò)行為和信息安全的認(rèn)識(shí)程度，及時(shí)進(jìn)行針對(duì)性教育。同時(shí)，領(lǐng)導(dǎo)層面要加強(qiáng)重視，才能提供更多的人力物力支持評(píng)估工作。各級(jí)干部和學(xué)員要抓好落實(shí)，養(yǎng)成良好的安全習(xí)慣，配合好風(fēng)險(xiǎn)評(píng)估工作。

4.2 深入研究風(fēng)險(xiǎn)，有針對(duì)性地建立指標(biāo)體系

合理有效的評(píng)估指標(biāo)體系是進(jìn)行風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)要素。建立有針對(duì)性的評(píng)估指標(biāo)體系：一是要要充分調(diào)研學(xué)員信息安全存在的風(fēng)險(xiǎn)，跟蹤學(xué)員的網(wǎng)絡(luò)行為，發(fā)現(xiàn)關(guān)鍵環(huán)節(jié)；二是要把握指標(biāo)體現(xiàn)建立的原則。首先是一般性原則，包括系統(tǒng)性原則、典型性原則、導(dǎo)向性原則、針對(duì)性原則、簡(jiǎn)約性原則、可操作性原則以及可延續(xù)性原則。風(fēng)險(xiǎn)評(píng)估設(shè)計(jì)要考慮到學(xué)員心理行為、網(wǎng)絡(luò)安全技術(shù)和安全管理制度等多方面因素，依照一般性原則的同時(shí)也要綜合考慮這些特殊因素；三是要多維度建立評(píng)估指標(biāo)體系。依據(jù)信息安全風(fēng)險(xiǎn)評(píng)估成熟的理論和方法，根據(jù)對(duì)軍校學(xué)員網(wǎng)絡(luò)行為的研究結(jié)果，從法律法規(guī)、倫理道德、安全保密和安全技術(shù)等維度入手，在每個(gè)維度中確立定性和定量的指標(biāo)，建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估架構(gòu)。

4.3 充分利用評(píng)估結(jié)果，將風(fēng)險(xiǎn)評(píng)估制度化

在完成了對(duì)學(xué)員信息安全風(fēng)險(xiǎn)的評(píng)估后，要對(duì)采集的數(shù)據(jù)進(jìn)行科學(xué)的分析。針對(duì)學(xué)員的信息安全風(fēng)險(xiǎn)評(píng)估存在大量的定性指標(biāo)，具有結(jié)構(gòu)復(fù)雜、不確定性和非線性的特點(diǎn)，傳統(tǒng)的權(quán)重賦值方法精度低。人工神經(jīng)網(wǎng)絡(luò)是近幾年發(fā)展起來的一種新興的科學(xué)方法，它模仿人大腦的工作機(jī)理和思維本質(zhì)，通過數(shù)學(xué)模型與計(jì)算機(jī)的結(jié)合，所建立起來的一套智能的系統(tǒng)。目前，人工神經(jīng)網(wǎng)絡(luò)已經(jīng)發(fā)展了十幾種，適用于不同的實(shí)際問題來建模。而徑向基神經(jīng)網(wǎng)絡(luò)因其能夠逼近任意的非線性函數(shù)，解決系統(tǒng)內(nèi)在難以解析的規(guī)律，因此在實(shí)際評(píng)估的過程中能很好地處理主觀與客觀的指標(biāo)，得到較為完善的評(píng)估結(jié)果。針對(duì)評(píng)估結(jié)果，學(xué)校應(yīng)當(dāng)采取一系列管理措施，并制定長期的網(wǎng)絡(luò)使用規(guī)范和有關(guān)信息安全的紀(jì)律條例，并根據(jù)新的問題進(jìn)行修改和完善。把對(duì)學(xué)員信息安全的風(fēng)險(xiǎn)評(píng)估制度化、規(guī)范化，真正展現(xiàn)發(fā)揮風(fēng)險(xiǎn)評(píng)估的效果效用，從而避免安全事故的發(fā)生。

參考文獻(xiàn)

[1] 賈玲.軍校網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估研究[J]. 武警學(xué)院學(xué)報(bào)，2010（8）：95-96.

[2] 賈衛(wèi)國，許浩，王成.軍校網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估工作探討[J]. 計(jì)算機(jī)安全，2009（9）：78-80.

[3] 孫利娟，劉彩紅.高校信息安全教育問題研究[J]. 電腦技術(shù)與知識(shí)，2010（8）：30.

[4] 劉楓.大學(xué)生信息安全素養(yǎng)分析與形成[J]. 計(jì)算機(jī)教育，2010（21）：77-80.

[5] 申時(shí)凱，佘玉梅. 糊神經(jīng)網(wǎng)絡(luò)在信息安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用[J]. 計(jì)算機(jī)仿真，2011（10）：92-94.

[6] 黃婷婷.網(wǎng)絡(luò)安全防御管理研究及對(duì)策[J]. SILICONVALLEY，2010（6）：107.

[7] 趙軍勇. 網(wǎng)絡(luò)信息系統(tǒng)技術(shù)安全與防范[J]. 廣播電視技術(shù)，2011（4）：9-11.

[8] 任麗平. 加強(qiáng)大學(xué)生網(wǎng)絡(luò)安全教育[J]. 內(nèi)江師范學(xué)院學(xué)報(bào)，2004（5）：97-100.

[9] 巢傳宣.大學(xué)生網(wǎng)絡(luò)安全問題研究[J]. 南昌工程學(xué)院學(xué)報(bào)，2010（5）：54-57.

[10] 韓立群.人工神經(jīng)網(wǎng)絡(luò)理論、設(shè)計(jì)及應(yīng)用（第2 版）[M].化學(xué)工業(yè)出版社，2011（9）：164.

[11] 郝文江，武捷.三網(wǎng)融合中的安全風(fēng)險(xiǎn)及防范技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2012，（01）：5-9.

[12] 任偉.無線網(wǎng)絡(luò)安全問題初探[J].信息網(wǎng)絡(luò)安全，2012，（01）：10.

[13] 郎為民，楊德鵬，李虎生.基于SIR模型的智能電網(wǎng)WCSN數(shù)據(jù)偽造攻擊研究[J].信息網(wǎng)絡(luò)安全，2012，（01）：14-16.

基金項(xiàng)目：

基于神經(jīng)網(wǎng)絡(luò)模型的大學(xué)生網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估及對(duì)策研究；項(xiàng)目級(jí)別：校創(chuàng)新能力基金；項(xiàng)目編號(hào)：ZD2012039。

作者簡(jiǎn)介：

篇6

關(guān)鍵詞：商業(yè)銀行；信息安全；風(fēng)險(xiǎn)評(píng)估；控制

中圖分類號(hào)：F832.33

商業(yè)銀行對(duì)于金融行業(yè)的穩(wěn)定有積極的現(xiàn)實(shí)意義，在我國經(jīng)濟(jì)發(fā)展中具有舉足輕重的作用。商業(yè)銀行的重要角色主要是由它自身的職能所決定的，因此做好商業(yè)銀行的信息安全尤為重要。

1 商業(yè)銀行信息安全的重要性

1.1 信用中介的職能

信用中介作為銀行的最基本的職能，是銀行的本質(zhì)特征的反映，商業(yè)銀行銀行的主營業(yè)務(wù)收入是通過借貸之間的差價(jià)獲取的。商業(yè)銀行在不同的主體的借貸之間，實(shí)際上扮演的就是一個(gè)信用中介的角色。商業(yè)銀行通過向存款者提供利息，把社會(huì)上的閑散的貨幣資金收集起來，再通過收取利息，把這些自己通過業(yè)務(wù)往借給經(jīng)濟(jì)投資者。

1.2 支付中介的職能

銀行的另一項(xiàng)職能就是支付中介的職能。銀行在擔(dān)當(dāng)信用中介的過程中，本身產(chǎn)生了信用。這樣，一些社會(huì)上的資金保管的安全自身無法保障時(shí)，就會(huì)交給銀行保管。一些商業(yè)主體的業(yè)務(wù)往來的資金，也可以通過銀行在雙方的賬戶上進(jìn)行資金的轉(zhuǎn)移

1.3 信用創(chuàng)造的功能

商業(yè)銀行在信用中介的功能的擔(dān)當(dāng)和中介職能的擔(dān)當(dāng)時(shí)，就產(chǎn)生了信用創(chuàng)造的職能。商業(yè)銀行在進(jìn)行收集社會(huì)閑散資金時(shí)，將受到的自己發(fā)放到社會(huì)上形成貸款、商業(yè)銀行利用社會(huì)借款和貸款。形成了資金的來源，在支票流通和轉(zhuǎn)賬結(jié)算的條件下，將原本是貸款的資金轉(zhuǎn)化成了銀行的存款，增加了銀行的資金存款，貸向社會(huì)，有增加了派生的資金。商業(yè)銀行在進(jìn)行主營業(yè)務(wù)時(shí)，又具備了信用創(chuàng)造的功能。

1.4 金融服務(wù)職能

經(jīng)濟(jì)的快速發(fā)展，尤其是電子商務(wù)的快遞發(fā)展，使得自己的流通日益復(fù)雜，各項(xiàng)活動(dòng)的經(jīng)濟(jì)往來越來越多。工商銀行自身專業(yè)化的發(fā)展，使得一些其他的機(jī)構(gòu)把自己的某些資金業(yè)務(wù)也交給銀行辦理。如工資等。在消費(fèi)的個(gè)體，方面，人們?cè)絹碓絻A向于一些電子業(yè)務(wù)的結(jié)算，如信用卡的使用。這些現(xiàn)象的存在，都使銀行不能僅僅滿足于原來簡(jiǎn)單的存貸業(yè)務(wù)。商業(yè)銀行的服務(wù)領(lǐng)域在向各個(gè)方面擴(kuò)展。在現(xiàn)代社會(huì)中，銀行的金融服務(wù)職能在日常生活中發(fā)揮著越來越重要的作用。

2 信息安全風(fēng)險(xiǎn)的表現(xiàn)形式

商業(yè)銀行信息化水平的不斷提高，為人們帶來的不僅是生活的便利，也帶來了潛在的風(fēng)險(xiǎn)。從新聞中我們可以發(fā)現(xiàn)，近年來，人們通過網(wǎng)絡(luò)交易面臨的財(cái)產(chǎn)損失的新聞越來越多。通過總結(jié)，我們可以發(fā)現(xiàn)，網(wǎng)絡(luò)信心安全時(shí)間顯現(xiàn)出的特點(diǎn)主要表現(xiàn)在以下的幾個(gè)方面：

2.1 軟件和硬件產(chǎn)品的脆弱性

商業(yè)銀行信息系統(tǒng)包含著數(shù)以萬計(jì)的設(shè)備，和服務(wù)器，每臺(tái)設(shè)備又包含著大量的零件和軟件。在如此多的細(xì)節(jié)組成的龐大的系統(tǒng)中，有任何一個(gè)環(huán)節(jié)出現(xiàn)些微的錯(cuò)誤，都可能為信息系統(tǒng)的安全留下隱患。在龐大的系統(tǒng)中，難免有照顧不周的地方，加之外界環(huán)境的各種干擾，都可能造成不好的后果，使信息安全系統(tǒng)呈現(xiàn)出脆弱性的特征。

2.2 信息系統(tǒng)外部的威脅

傳統(tǒng)的銀行對(duì)信心安全的保護(hù)一般采取的物理隔離的方式或者是協(xié)議隔離的方式。但是，隨著銀行的金融業(yè)務(wù)的極大拓展，給銀行的客戶帶來了很大的便利?，F(xiàn)在，網(wǎng)上銀行等電子商務(wù)的出現(xiàn)，又進(jìn)一步的促進(jìn)了銀行利潤的增長。但是，銀行利潤渠道的增多也就意味著風(fēng)險(xiǎn)的增多。外部的各種木馬軟件的惡意入侵和銀行內(nèi)部的網(wǎng)絡(luò)病毒等都會(huì)威脅著銀行信息系統(tǒng)的安全。這些都對(duì)全面開放下的銀行業(yè)務(wù)系統(tǒng)有了新的安全的需求。這些新的外部和內(nèi)部的威脅，對(duì)信息安全系統(tǒng)帶來了巨大的挑戰(zhàn)。

2.3 缺乏有效的信息安全技術(shù)保障

我國的信息系統(tǒng)本身具有脆弱性，外部又收到了各方面的威脅，但是我國的商業(yè)銀行的信息安全系統(tǒng)的建設(shè)卻不是很理想。從整體上看，針對(duì)可能存在的風(fēng)險(xiǎn)，銀行自身沒有監(jiān)控和預(yù)警的手段。也沒有一個(gè)相對(duì)智能的，主動(dòng)的防御體系去抵擋各方面的風(fēng)險(xiǎn)從局部上看，現(xiàn)在商業(yè)銀行的信心安全管理體系過于落后，針對(duì)新興的木馬軟件、黑客病毒等其他方面的威脅。傳統(tǒng)的防御體系顯然不能很大的作用。這些都需要新的產(chǎn)品的更新?lián)Q代。

2.4 信息安全架構(gòu)和管理流程不完善

商業(yè)銀行內(nèi)部的網(wǎng)絡(luò)規(guī)模十分龐大，業(yè)務(wù)系統(tǒng)除了集中在總行數(shù)據(jù)中心的大部分，還有一些分散在各個(gè)分支行。在分支行中，不論是從系統(tǒng)人員的素質(zhì)，還是從系統(tǒng)設(shè)備和網(wǎng)絡(luò)設(shè)備的水平來說，都達(dá)不到總行的管理和運(yùn)行水平。在整個(gè)商業(yè)銀行信息安全系統(tǒng)中。這些薄弱環(huán)節(jié)是最容易發(fā)生問題的地方。就我國目前商業(yè)銀行的現(xiàn)狀來看，大多存在著管理流程不順暢、面對(duì)風(fēng)險(xiǎn)處理能力不足、風(fēng)險(xiǎn)管理缺乏彈性等問題。這些問題的存在，都可能導(dǎo)致風(fēng)險(xiǎn)控制失控，突發(fā)事件不能及時(shí)處理的現(xiàn)象發(fā)生。

3 信息安全風(fēng)險(xiǎn)管理體系建設(shè)具體措施

3.1 加強(qiáng)對(duì)信息安全重要性的認(rèn)識(shí)

商業(yè)銀行的信息安全關(guān)系著金融的穩(wěn)定和社會(huì)穩(wěn)定。因此，商業(yè)銀行要加強(qiáng)對(duì)信息安全的重視程度，采取可行的措施來把防范風(fēng)險(xiǎn)的工作切實(shí)做到位。一方面，在領(lǐng)導(dǎo)的頂層決策時(shí)，就要形成安全的意識(shí)。對(duì)信息安全的問題上，要意識(shí)到信息安全帶來的負(fù)面影響。在員工方面，要加強(qiáng)對(duì)員工的安全教育工作和信息安全的培訓(xùn)工作。由于現(xiàn)在商業(yè)銀行的業(yè)務(wù)大部分依靠計(jì)算機(jī)和網(wǎng)絡(luò)來進(jìn)行處理。所以在銀行的操作員工，要具備較高的計(jì)算機(jī)操作水平。同時(shí)，員工也要時(shí)時(shí)刻刻記住安全的重要性，在日常的工作中時(shí)刻考級(jí)信息安全的管理制度。

3.2 完善信息安全管理制度和風(fēng)險(xiǎn)控制制度的有效性

保證信息安全的重點(diǎn)在于人的管理。人的主觀能動(dòng)性的發(fā)揮，對(duì)有效堵塞和防范風(fēng)險(xiǎn)有著極其重要的作用。識(shí)人充分發(fā)揮主顧南能動(dòng)性，就要加強(qiáng)銀行內(nèi)部的管理和控制。銀行要根據(jù)信息安全的保護(hù)要求，對(duì)整個(gè)管理體系進(jìn)行有效的梳理，進(jìn)行層層有效的監(jiān)控和控制。建立有效的管理體制和風(fēng)險(xiǎn)防控體制。

3.3 加強(qiáng)銀行內(nèi)部人員的技術(shù)建設(shè)

商業(yè)銀行為了保證信息安全的保護(hù)，對(duì)人才隊(duì)伍的建設(shè)也要重視起來。首先，要建設(shè)專門的監(jiān)管理機(jī)構(gòu)。運(yùn)用這些機(jī)構(gòu)加強(qiáng)信息安全的管理職能。其次，加強(qiáng)對(duì)專業(yè)技術(shù)人員的培養(yǎng)。信息安全技術(shù)的保證需要大量的經(jīng)驗(yàn)豐富的專業(yè)技術(shù)人員。商業(yè)銀行要提高自己的薪資待遇和福利條件，吸引優(yōu)秀的IT人員進(jìn)入銀行，幫助商業(yè)銀行進(jìn)行安全管理的體系。最后，要謹(jǐn)慎對(duì)待到一些IT外包的業(yè)務(wù)。商業(yè)銀行的某些業(yè)務(wù)有些因?yàn)榧夹g(shù)問題或者其他原因，會(huì)將一些技術(shù)業(yè)務(wù)外包給專業(yè)的信心花處理機(jī)構(gòu)。這些措施雖然會(huì)為商業(yè)銀行的業(yè)務(wù)帶來專業(yè)型的支持，但是在選擇外包業(yè)務(wù)時(shí)也要堅(jiān)持謹(jǐn)慎的原則。特別要重視保密措施的處理。謹(jǐn)防安全信息外泄等問題的出現(xiàn)。

4 結(jié)束語

新型的電子業(yè)務(wù)為商業(yè)銀行帶來更多的利潤的同時(shí)，也帶來了新的安全問題。商業(yè)銀行新的業(yè)務(wù)的產(chǎn)生所帶來的漏洞和原來商業(yè)銀行本身可能存在的風(fēng)險(xiǎn)都使安全隱患的問題越來越多。存在的一些小的問題所引發(fā)的的大的矛盾都可能給銀行帶來不可挽回的損失。但是商業(yè)銀行信息安全風(fēng)險(xiǎn)管理是一項(xiàng)系統(tǒng)的復(fù)雜的涉及多方面的工程。商業(yè)信息安全的漏洞需要大量的工作去發(fā)現(xiàn)。在實(shí)際工作中，我們要時(shí)刻加強(qiáng)安全意識(shí)。評(píng)估商業(yè)銀行的風(fēng)險(xiǎn)以及推出一些具體的解決措施對(duì)商業(yè)銀行的健康發(fā)展具有重要的意義。

參考文獻(xiàn)：

[1]王永強(qiáng).淺議商業(yè)銀行信息風(fēng)險(xiǎn)的防范[J].中國電子商務(wù)，2013（04）：23-24.

[2]徐崇玲.銀行信心安全風(fēng)險(xiǎn)自聘雇的流程和方法[J].中國金融電腦，2007（02）：12-13.

[3]高松，李陽，王琰.山野銀行信心系統(tǒng)研發(fā)風(fēng)險(xiǎn)管控新思路[J].現(xiàn)代商業(yè)，2013（27）：78-79.

篇7

【關(guān)鍵詞】系統(tǒng)安全工程；信息系統(tǒng)；風(fēng)險(xiǎn)

引言

隨著科學(xué)技術(shù)的快速發(fā)展，信息系統(tǒng)安全問題也越來越常見，如何采取有效措施預(yù)防并減少信息系統(tǒng)風(fēng)險(xiǎn)已經(jīng)逐漸成為信息安全研究的關(guān)鍵。對(duì)于信息系統(tǒng)安全，可以采用風(fēng)險(xiǎn)大小進(jìn)行度量，同對(duì)信息在保密性、完整性等多個(gè)方面所受到的威脅，可以對(duì)安全威脅進(jìn)行有效控制。需要注意的是，為了保障信息安全，不僅需要依靠安全技術(shù)和產(chǎn)品，而且還需要信息系統(tǒng)安全工程的支持。通過構(gòu)建系統(tǒng)安全工程能力成熟模型，對(duì)影響信息系統(tǒng)的各個(gè)安全要素進(jìn)行分析，并對(duì)風(fēng)險(xiǎn)因素發(fā)生的可能性進(jìn)行評(píng)價(jià)分析，能夠保證信息安全管理決策的客觀性和合理性。

1我國礦山生產(chǎn)安全現(xiàn)狀

近年來，隨著國家的重視與社會(huì)的關(guān)注，礦山的百萬噸死亡率以及前人死亡率有所下降，但是礦山的安全工程還是存在一定的問題，就目前看來，其主要存在以下問題：①我國大多數(shù)的礦山都缺乏統(tǒng)一持續(xù)的安全戰(zhàn)略規(guī)劃目標(biāo)，我國大型的礦山企業(yè)都是國有企業(yè)，其在生產(chǎn)的過程中都十分重視礦產(chǎn)的安全管理，十分重視企業(yè)生產(chǎn)安全。但是其在生產(chǎn)的過程中同樣需要面臨著市場(chǎng)競(jìng)爭(zhēng)帶來的壓力，對(duì)于礦山生產(chǎn)的風(fēng)險(xiǎn)性以及隨機(jī)性沒有充分的把握，難以從根本上提升礦山的安全性；②我國礦產(chǎn)開采缺乏完善的安全理念，盡管大多數(shù)的礦產(chǎn)企業(yè)在開采時(shí)都確立了安全生產(chǎn)理念，但是這些理念僅僅概況成了幾句口號(hào)，并沒有得到徹底的落實(shí)，這樣一來無法有效的確保礦山安全管理的質(zhì)量；③我國礦山開采安全程度較低，尤其是一些小型礦產(chǎn)，基本沒有安全設(shè)施，采用的甚至是一些落后的工藝設(shè)備。為了有效的判斷礦山生產(chǎn)過程中的風(fēng)險(xiǎn)，需要建立完善的風(fēng)險(xiǎn)評(píng)估模型，下面簡(jiǎn)單的介紹系統(tǒng)安全工程能力成熟模型，以及其在風(fēng)險(xiǎn)評(píng)估中的作用。

2系統(tǒng)安全工程能力成熟模型概述

系統(tǒng)安全工程能力指的是系統(tǒng)在實(shí)際應(yīng)用中，能夠達(dá)到的安全性指標(biāo)的能力，通過改善系統(tǒng)工程的過程安全能力，能夠使系統(tǒng)工程變得更加成熟。在系統(tǒng)安全工程能力成熟模型的構(gòu)建過程，需要完善的、成熟的、可度量的安全工程。在系統(tǒng)安全工程下，所有工程活動(dòng)都有明確的定義，并且對(duì)于所有工程活動(dòng)，都可以進(jìn)行有效的測(cè)量、管理和控制。系統(tǒng)安全工程能力成熟度模型主要是由兩個(gè)部分所組成的，包括“過程域”和“能力”。其中，過程域指的是在完成一個(gè)子任務(wù)過程中，所需要完成的一系列工程實(shí)踐，過程域指又可以被分為三個(gè)部分，即工程過程域、組織過程域和項(xiàng)目過程域。其中，組織過程域和項(xiàng)目過程域與系統(tǒng)安全沒有直接關(guān)聯(lián)，因此，二者不是模型的組成部分。模型為每個(gè)過程域均定義了一組確定的基本實(shí)踐（BP），在子任務(wù)的完成過程中，每個(gè)基本實(shí)踐都必不可少。另外，能力維指的是實(shí)踐代表過程管理和制度化能力，其又可以被稱為通用實(shí)踐（GP）。通用實(shí)踐的主要作用是對(duì)每個(gè)級(jí)別的共同特性（CF）進(jìn)行描述，即每個(gè)級(jí)別的判定反映為一組共同特性。通用實(shí)踐是應(yīng)用于所有過程的活動(dòng)，通用實(shí)踐的重點(diǎn)是對(duì)過程進(jìn)行度量和管理。應(yīng)用通用實(shí)踐描述共同特性的邏輯區(qū)域可以被被劃分5個(gè)能力級(jí)別，

3信息系統(tǒng)風(fēng)險(xiǎn)的特征

信息系統(tǒng)的投資比較大，建設(shè)周期長，影響因素較多，因此，信息系統(tǒng)所面臨的風(fēng)險(xiǎn)種類也比較多，并且不同風(fēng)險(xiǎn)之間的關(guān)系錯(cuò)綜復(fù)雜。通過對(duì)大中型信息系統(tǒng)進(jìn)行調(diào)查分析發(fā)現(xiàn)，信息系統(tǒng)風(fēng)險(xiǎn)的特征主要體現(xiàn)在以下幾點(diǎn)：客觀性和不確定性。在信息系統(tǒng)的實(shí)際應(yīng)用中，信息系統(tǒng)風(fēng)險(xiǎn)客觀存在，因此，在整個(gè)信息系統(tǒng)生命周期中，風(fēng)險(xiǎn)因素?zé)o處不在，但是有具有明顯的不確定特征，風(fēng)險(xiǎn)事件的客觀體現(xiàn)指的是隨著客觀條件的變化，所造成的不確定性。在信息系統(tǒng)的實(shí)際運(yùn)行過程中，各類不確定因素的伴隨物即為信息系統(tǒng)風(fēng)險(xiǎn)。多層次性和多樣性。信息系統(tǒng)風(fēng)險(xiǎn)包包括多種層次風(fēng)險(xiǎn)，包括物理安全風(fēng)險(xiǎn)、邏輯安全風(fēng)險(xiǎn)等等，其中，物理安全風(fēng)險(xiǎn)是由周界控制、區(qū)域訪問控制以及區(qū)內(nèi)設(shè)施安全等所組成的，安全管理內(nèi)容包括人員管理、系統(tǒng)管理、應(yīng)急管理等，信息系統(tǒng)風(fēng)險(xiǎn)的種類也具有可變性和動(dòng)態(tài)性特征，隨著信息技術(shù)的發(fā)展，信息系統(tǒng)風(fēng)險(xiǎn)也逐漸呈動(dòng)態(tài)性和可變性特征。在信息系統(tǒng)實(shí)際運(yùn)行過程中，對(duì)于有些風(fēng)險(xiǎn)因素，由于采取了有效措施，因此風(fēng)險(xiǎn)得以消除，而對(duì)于有些風(fēng)險(xiǎn)因素，由于沒有采取有效的消除措施，因此風(fēng)險(xiǎn)逐漸成為主要風(fēng)險(xiǎn)?？蓽y(cè)性。系統(tǒng)安全風(fēng)險(xiǎn)的本質(zhì)是不確定性，在各類風(fēng)險(xiǎn)因素中，任何風(fēng)險(xiǎn)的發(fā)生都是多個(gè)風(fēng)險(xiǎn)因素共同作用所造成的，也有個(gè)別風(fēng)險(xiǎn)因素的發(fā)生是偶然事件，但是，通過對(duì)大量風(fēng)險(xiǎn)發(fā)生事件進(jìn)行統(tǒng)計(jì)和分析發(fā)現(xiàn)，風(fēng)險(xiǎn)時(shí)間的發(fā)生具有一定的運(yùn)動(dòng)規(guī)律。對(duì)于風(fēng)險(xiǎn)時(shí)間的發(fā)生概率以及其所造成，可以采用多種風(fēng)險(xiǎn)分析方式進(jìn)行計(jì)算，并對(duì)可能發(fā)生的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)分析，從而為防范決策提供重要依據(jù)。由于信息系統(tǒng)風(fēng)險(xiǎn)具有多層次以及多樣性特征，因此，安全防范難度較大，對(duì)此，一般采用防火墻技術(shù)進(jìn)行安全管理。另外，由于信息系統(tǒng)風(fēng)險(xiǎn)具有多層次以及動(dòng)態(tài)性特征，因此，很難構(gòu)建覆蓋全部安全問題的安全防控體系，綜合考慮安全投入成本以及被保護(hù)資產(chǎn)價(jià)值，必須構(gòu)建合適的安全準(zhǔn)則。通過上述分析可見，信息系統(tǒng)風(fēng)險(xiǎn)復(fù)雜程度比較高，并且系統(tǒng)風(fēng)險(xiǎn)的涉及面比較廣泛，因此，在信息系統(tǒng)整個(gè)生命周期中，都必須加強(qiáng)風(fēng)險(xiǎn)評(píng)估和管理，對(duì)此，應(yīng)該在模型的指導(dǎo)下來保證信SSE-CMM息系統(tǒng)的安全。

4信息風(fēng)險(xiǎn)評(píng)估模型

信息風(fēng)險(xiǎn)評(píng)估的過程指的是，對(duì)信息系統(tǒng)資產(chǎn)所面對(duì)的各類風(fēng)險(xiǎn)因素進(jìn)行分析，并對(duì)安全控制措施進(jìn)行研究，從而準(zhǔn)確識(shí)別系統(tǒng)風(fēng)險(xiǎn)因素，并對(duì)各類風(fēng)險(xiǎn)因素進(jìn)行評(píng)價(jià)。從系統(tǒng)風(fēng)險(xiǎn)管理角度出發(fā)，系統(tǒng)風(fēng)險(xiǎn)管理過程值得是對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行控制、降低以及消除的過程，在此過程中，需要對(duì)網(wǎng)絡(luò)與信息系統(tǒng)中所面臨的風(fēng)險(xiǎn)因素進(jìn)行準(zhǔn)確識(shí)別，并采取有效的控制措施。在對(duì)安全事件進(jìn)行評(píng)估過程中，如果發(fā)現(xiàn)風(fēng)險(xiǎn)因素可能會(huì)產(chǎn)生的危害事件，則應(yīng)該立即提出相應(yīng)的低于威脅防護(hù)措施，對(duì)安全風(fēng)險(xiǎn)進(jìn)行化解，或者采取有效的防范措施，將信息安全風(fēng)險(xiǎn)控制在一定范圍內(nèi)，從而有效保障網(wǎng)絡(luò)安全以及信息安全。在進(jìn)行信息風(fēng)險(xiǎn)評(píng)估過程中，需要注意以下幾點(diǎn)：①準(zhǔn)確識(shí)別被評(píng)估信息資產(chǎn)，并對(duì)其估價(jià)；②對(duì)網(wǎng)絡(luò)弱點(diǎn)進(jìn)行檢測(cè)，評(píng)估資產(chǎn)脆弱性；③獲取系統(tǒng)各對(duì)象信息，并詳細(xì)列出資產(chǎn)威脅；④識(shí)別當(dāng)前安全控制；⑤綜合考慮脆弱性和威脅的嚴(yán)重程度，對(duì)資產(chǎn)的重要性進(jìn)行計(jì)算分析。風(fēng)險(xiǎn)事件因素對(duì)于信息系統(tǒng)的影響程度具有模糊性特征，因此，對(duì)于安全風(fēng)險(xiǎn)，可以將其描述為關(guān)于威脅和這種威脅后果的一個(gè)函數(shù)，通過對(duì)其進(jìn)行定量分析，能夠估算出風(fēng)險(xiǎn)時(shí)間發(fā)生后對(duì)于系統(tǒng)安全性的影響程度，同時(shí)還能夠?qū)?fù)雜的思維決策過程模型化、數(shù)量化。系統(tǒng)所有者在系統(tǒng)的實(shí)際應(yīng)用過程中，可以結(jié)合項(xiàng)目實(shí)際情況，在資產(chǎn)風(fēng)險(xiǎn)評(píng)估過程中，對(duì)資產(chǎn)、威脅和脆弱性等各因素所占權(quán)重進(jìn)行計(jì)算，并賦予其相應(yīng)的權(quán)向量：A=（r1，r2，r3，…，ri），其中，其中ri指的是判斷矩陣相應(yīng)因素。aij=rij/nk=1Σrkj（i=1，2，…，n）（1）由公式（1）再按行求和：c軃i=nj=1Σrkj（i=1，2，…，n）（2）通過公式（2）可得：ci=c軃ini=1Σc軃i（i=1，2，…，n）（3）其中，c指的是所求的特征向量，具體而言其指的是對(duì)應(yīng)i個(gè)因素的相對(duì)重要程度，即權(quán)重系數(shù)，如果c越高，則說明風(fēng)險(xiǎn)越大，系統(tǒng)安全工程的安全程度比較低。因此，可以根據(jù)以上公式，計(jì)算出風(fēng)險(xiǎn)評(píng)估量化分析結(jié)果，并對(duì)系統(tǒng)中的各類風(fēng)險(xiǎn)因素進(jìn)行建模分析，從而計(jì)算得出各類風(fēng)險(xiǎn)權(quán)重，并以此為依據(jù)，對(duì)信息風(fēng)險(xiǎn)評(píng)估以及系統(tǒng)安全策略的制定提供重要的參考依據(jù)。

5結(jié)語

綜上所述，在信息系統(tǒng)的建設(shè)過程中，加強(qiáng)安全工程管理至關(guān)重要，現(xiàn)如今已經(jīng)逐漸引起社會(huì)各界的廣泛關(guān)注，而我國信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估研究起步比較晚，定量評(píng)估模型依然處于探索階段。為了有效保障保障信息系統(tǒng)的安全性，應(yīng)該采用SSE-CMM模型作為安全指導(dǎo)思想，通過對(duì)風(fēng)險(xiǎn)因素進(jìn)行全過程、全方位的分析，能夠有效解決信息系統(tǒng)安全的動(dòng)態(tài)性和廣泛性問題。本文主要對(duì)SSE-CMM模型進(jìn)行了詳細(xì)分析，SSE-CMM模型屬于理論指導(dǎo)模型，可以用在信息系統(tǒng)的效益分析、系統(tǒng)可靠性分析等方面，所以具有較大的推廣價(jià)值，但是需要注意的是，在其實(shí)際應(yīng)用中，還應(yīng)該綜合考慮不同性質(zhì)的信息系統(tǒng)，采取不同的實(shí)施方案。

參考文獻(xiàn)

[1]吳峰，賁可榮.系統(tǒng)安全測(cè)試能力成熟度模型框架研究[J].計(jì)算機(jī)與數(shù)字工程，2011，39（2）：128~132.

[2]李燦，周春雷，華斌，等.信息系統(tǒng)應(yīng)用成熟度評(píng)價(jià)模型[J].華東電力，2014，42（11）：2428~2431.

篇8

但是，近幾年除了老百姓日常關(guān)心的因農(nóng)、獸藥違規(guī)使用、監(jiān)管不當(dāng)及環(huán)境污染而導(dǎo)致局部地區(qū)農(nóng)，獸藥殘和有害重金屬超標(biāo)事件之外，最使人震驚和不解的是，為什么會(huì)不斷，甚至反復(fù)地出現(xiàn)在食品中違法添加有害物的重大事件，如較早的紅心鴨蛋事件，后來的三聚氰胺事件，以及最近的瘦肉精事件等。這些事件擁有共同的特點(diǎn)：都是明知的有害添加物；其源頭都因分段監(jiān)管不夠明晰i從技術(shù)層面上講，檢測(cè)難度并不太大；都涉及大型食品企業(yè)和多個(gè)利益鏈。

如今，我國已有《食品安全法》和《農(nóng)產(chǎn)品質(zhì)量安全法》，以法保障食品安全，而且明確以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)(即以食品毒理學(xué)和生物學(xué)評(píng)估為手段)，以安全標(biāo)準(zhǔn)為核心。那么，當(dāng)今食品安全風(fēng)險(xiǎn)評(píng)估還有哪些難點(diǎn)和不足?怎樣建立完善的食品標(biāo)準(zhǔn)體系和安全鏈，從而對(duì)外取得有力的話語權(quán)，對(duì)內(nèi)消除食品安全問題上的盲區(qū)、誤區(qū)、甚至誤導(dǎo)，真實(shí)、科學(xué)地引導(dǎo)我國廣大食品生產(chǎn)者和消費(fèi)者?這是我們需要了解和關(guān)注的。

食品安全風(fēng)險(xiǎn)評(píng)估

在國際食品法典委員會(huì)(cAC)的程序手冊(cè)中，將食品風(fēng)險(xiǎn)分析的過程定義為3部分：風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)交流。其中風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)分析體系的基礎(chǔ)，是對(duì)食品生產(chǎn)、加工、儲(chǔ)運(yùn)，營銷等過程中可能危害人體健康的化學(xué)，生物和物理因素等進(jìn)行的科學(xué)評(píng)估，是一個(gè)以科學(xué)為依據(jù)的過程，CAC程序手冊(cè)中明列其步驟如圖1(a)所示。在CAC導(dǎo)則和國內(nèi)有關(guān)專著中都指出，風(fēng)險(xiǎn)交流貫穿于風(fēng)險(xiǎn)管理，風(fēng)險(xiǎn)評(píng)估乃至整個(gè)風(fēng)險(xiǎn)分析過程，所以我們認(rèn)為風(fēng)險(xiǎn)交流和管理實(shí)際上即為風(fēng)險(xiǎn)應(yīng)對(duì)，其內(nèi)容可如圖1(b)所示。圖1說明風(fēng)險(xiǎn)評(píng)估是為應(yīng)對(duì)風(fēng)險(xiǎn)奠定科學(xué)基礎(chǔ)，而風(fēng)險(xiǎn)應(yīng)對(duì)是最終目的。

CAC對(duì)風(fēng)險(xiǎn)評(píng)估的理念

(1)對(duì)風(fēng)險(xiǎn)評(píng)估首先要求對(duì)有害物進(jìn)行定性、定量分析和確定，這是基礎(chǔ)：

(2)特別強(qiáng)調(diào)要對(duì)有害物進(jìn)行毒理學(xué)和生物學(xué)評(píng)估，這是核心

(3)對(duì)風(fēng)險(xiǎn)評(píng)估的每一個(gè)環(huán)節(jié)都強(qiáng)調(diào)要作出量化的評(píng)估，包括相關(guān)的不確定性，這是要求立論有據(jù)；

(4)最終為制定食品安全標(biāo)準(zhǔn)奠定科學(xué)依據(jù)。

真正進(jìn)行嚴(yán)密的有害物風(fēng)險(xiǎn)性評(píng)估，包括對(duì)化學(xué)性污染(農(nóng)獸藥殘留，有毒有害的元素及違規(guī)、違禁添加物等)和生物性污染(病原性微生物及毒素)等的風(fēng)險(xiǎn)評(píng)估，是食品安全管理的科學(xué)基礎(chǔ)，但同時(shí)，又存在諸多難點(diǎn)和不足。這是因?yàn)槭称钒踩L(fēng)險(xiǎn)評(píng)估的關(guān)鍵技術(shù)手段是食品毒理學(xué)，雖然早在5000年前，神農(nóng)嘗百草就已開始區(qū)分食物，藥物與毒物，但毒理學(xué)，特別是食品毒理學(xué)的發(fā)展，在國際上也是在20世紀(jì)50年代之后才真正起步。我國則更晚一步，于1975年起步，1994年頒布實(shí)施《食品安全性毒理學(xué)評(píng)價(jià)程序》，2003年對(duì)其進(jìn)行修訂。近年來才出版了多本《食品毒理學(xué)》專著。

當(dāng)今食品安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵技術(shù)手段和基礎(chǔ)――食品毒理學(xué)，在研究和應(yīng)用上仍存在諸多難點(diǎn)和不足，在科學(xué)儀器及分析技術(shù)高度發(fā)展的今天，對(duì)有害物的定性、定量分析和確定已不太難，難點(diǎn)在于：

(1)藥物毒理學(xué)本身就復(fù)雜，而有害物質(zhì)隨食品進(jìn)入人體后的分布，代謝、轉(zhuǎn)化，復(fù)合，排泄、富集等過程比藥物毒理學(xué)等更復(fù)雜；

(2)有害物通過食品進(jìn)入人體后的各種毒性，致癌性，致畸性、致敏性等反應(yīng)及過程更為復(fù)雜；

(3)遵循倫理道德，毒理學(xué)研究方法只能使用動(dòng)物體內(nèi)和體外試驗(yàn)，不僅耗時(shí)、費(fèi)工、周期長，難實(shí)現(xiàn)大量。快速篩選，而且影響因素復(fù)雜，由于種屬不同，人體與動(dòng)物體反應(yīng)也存在諸多差異和不確定性；

㈩有害物的人群流行性學(xué)調(diào)查也受地域。人種，年齡，性別，習(xí)慣及個(gè)體不同等因素的影響，存在諸多不確定性，

(5)分子生物學(xué)等新技術(shù)，如基因重組、克隆、核酸雜交、PCR，DNA測(cè)序和突變檢測(cè)、熒光原位雜交、芯片技術(shù)，流式細(xì)胞檢測(cè)技術(shù)、核磁共振技術(shù)以及轉(zhuǎn)基因動(dòng)物等，尚有待進(jìn)一步探索、完善和普及。

正是由于上述原因，加之國際貿(mào)易中摻入技術(shù)性壁壘，所以盡管國外不斷修改和提升食品安全標(biāo)準(zhǔn)，其實(shí)我國常是不得已而隨之，嚴(yán)格地說有些是缺乏嚴(yán)密的風(fēng)險(xiǎn)性評(píng)估的，這已為眾多學(xué)者和管理機(jī)構(gòu)所認(rèn)同，如日本，雖在2006年5月實(shí)施了肯定列表制，但事后制訂了“食品健康影響評(píng)估計(jì)劃”，擬定從2008年開始，5年內(nèi)完成對(duì)758種農(nóng)藥等進(jìn)行風(fēng)險(xiǎn)評(píng)估，并說明“因沒有時(shí)間進(jìn)行食品健康影響的評(píng)估，所以先制定肯定列表，事后再進(jìn)行風(fēng)險(xiǎn)評(píng)估?！?/p>

隨著《食品安全法》的頒布實(shí)施，2009年12月8日，我國第一屆國家食品安全風(fēng)險(xiǎn)評(píng)估專家委員會(huì)成立了。據(jù)媒體報(bào)道。衛(wèi)生部部長陳竺透露，我國將力爭(zhēng)用兩年時(shí)間，在全國建立起覆蓋食品生產(chǎn)經(jīng)營各環(huán)節(jié)；各省，市、縣并延伸到農(nóng)村的食品中污染物，食源性疾病和總膳食調(diào)查體系，籌建國家食品安全風(fēng)險(xiǎn)評(píng)估中心，在有能力的省份成立國家食品安全風(fēng)險(xiǎn)評(píng)估分中心。我們期待著在該委員會(huì)的統(tǒng)領(lǐng)下，大力開展食品毒理學(xué)的研究與應(yīng)用，迎來我國深入開展食品安全風(fēng)險(xiǎn)評(píng)估的新時(shí)期。

亟待構(gòu)建完善的食品安全標(biāo)準(zhǔn)體系

食品質(zhì)量安全標(biāo)準(zhǔn)體系是一個(gè)龐大，復(fù)雜、層面眾多的系統(tǒng)工程?！妒称钒踩ā返诙畻l規(guī)定了食品安全標(biāo)準(zhǔn)的內(nèi)容，2010年1月成立了我國第一屆食品安全國家標(biāo)準(zhǔn)審評(píng)委員會(huì)，《農(nóng)產(chǎn)品質(zhì)量安全法》的第二章對(duì)農(nóng)產(chǎn)品質(zhì)量安全標(biāo)準(zhǔn)做了原則性和概念性的法律規(guī)定。我國當(dāng)今與食品安全相關(guān)的標(biāo)準(zhǔn)雖多但頗亂，有些還很舊，而且有關(guān)文件中都沒有明確以下關(guān)鍵問題：(1)食品，農(nóng)產(chǎn)品質(zhì)量安全標(biāo)準(zhǔn)體系的核心是什么；(2)各種標(biāo)準(zhǔn)之間是何種派生，外延和關(guān)聯(lián)性：(3)各種標(biāo)準(zhǔn)中有哪些不確定性。鑒于供食用的農(nóng)產(chǎn)品是食品的最主要源頭，本文試以農(nóng)產(chǎn)品為例，通過圖2㈦和圖2(b)表述以上三個(gè)問題。

圖2(a)說明農(nóng)產(chǎn)品質(zhì)量安全標(biāo)準(zhǔn)的核心應(yīng)是依據(jù)食品毒理學(xué)、生物學(xué)(風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)和核心)及營養(yǎng)學(xué)，制定農(nóng)產(chǎn)品質(zhì)量安全標(biāo)準(zhǔn)(有害物的限量標(biāo)準(zhǔn)和營養(yǎng)品質(zhì)標(biāo)準(zhǔn))，由安全質(zhì)量標(biāo)準(zhǔn)派生出來檢驗(yàn)檢測(cè)方法標(biāo)準(zhǔn)。

圖2(b)說明為了使農(nóng)產(chǎn)品達(dá)到相應(yīng)的質(zhì)量安全標(biāo)準(zhǔn)，不僅要從藥效，更應(yīng)從農(nóng)、獸藥的降解、代謝以及生物富集等高度來確定農(nóng)、獸藥安全使用標(biāo)準(zhǔn)，而且為了確保動(dòng)物源性食品達(dá)到相應(yīng)的質(zhì)量安全標(biāo)準(zhǔn)，應(yīng)從動(dòng)物對(duì)飼料及添加劑的吸收，代謝和殘留等高度制定飼料及添加劑的標(biāo)準(zhǔn)；為確保植物源性食品達(dá)到相應(yīng)的質(zhì)量安全標(biāo)準(zhǔn)，應(yīng)從作物對(duì)養(yǎng)分和農(nóng)藥等有害物質(zhì)的吸收，代謝，降解，轉(zhuǎn)移、富集等高度來制定肥料、農(nóng)藥和生態(tài)環(huán)境標(biāo)準(zhǔn)，而為了實(shí)現(xiàn)以上要求，必須制定出一系列逐一對(duì)應(yīng)的檢測(cè)分析方法的標(biāo)準(zhǔn)。

構(gòu)建食品安全保障管體系

我國提出“從田野到餐桌”，確保農(nóng)產(chǎn)品、食品安全已多年。也取得了可喜的效果，但其理念上還是從最終端產(chǎn)品的質(zhì)量安全監(jiān)控入手，再追溯到供食用的農(nóng)產(chǎn)品和添加劑，進(jìn)而外延至生產(chǎn)環(huán)境。近十多年來在CAC和糧農(nóng)組織的倡導(dǎo)下，發(fā)達(dá)國家開始實(shí)施從源頭到最終產(chǎn)品的完整的食品安全預(yù)防控制體系――危害分析與關(guān)鍵控制點(diǎn)(HACCP)體系，我國也已開始試行。HACCP體系是運(yùn)用食品加工，微生物學(xué)、質(zhì)量控制和危險(xiǎn)性評(píng)價(jià)等有關(guān)原理和方法，對(duì)食品原料、加工直至最終食用產(chǎn)品進(jìn)行實(shí)際存在和潛在性的危害分析判斷，使產(chǎn)品的危險(xiǎn)性減小到最低限度，控制危害性，預(yù)防性的完整食品安全管理體系。很顯然，HACCP并不是一個(gè)獨(dú)立存在的體系，它必須建立在一系列與食品安全直接相關(guān)聯(lián)的良好操作規(guī)范的基礎(chǔ)上，包括：

(1)良好農(nóng)業(yè)規(guī)范(GAP)：GAP是一套針對(duì)農(nóng)產(chǎn)品生產(chǎn)(包括作物種植和動(dòng)物養(yǎng)殖等)的操作標(biāo)準(zhǔn)，內(nèi)容涉及規(guī)范土壤、水，作物和飼料、植保，畜禽生產(chǎn)、畜禽健康、收獲、加工、儲(chǔ)運(yùn)。關(guān)注農(nóng)產(chǎn)品種植、養(yǎng)殖、采收，清洗、包裝、貯藏和運(yùn)輸過程中有害物質(zhì)和有害生物的控制及其保障能力等，在農(nóng)業(yè)生產(chǎn)中全面實(shí)施，完善地保障農(nóng)產(chǎn)品質(zhì)量安全；

(2)良好操作規(guī)范(GMP)：GMP適用于所有食品生產(chǎn)企業(yè)，主要內(nèi)容是要求生產(chǎn)企業(yè)具備合理的生產(chǎn)過程、良好的生產(chǎn)設(shè)備、正確的生產(chǎn)知識(shí)和嚴(yán)格的操作規(guī)范，以及完善的質(zhì)量控制和管理體系。GMP的具體內(nèi)容各國不盡相同。但都涉及人員、環(huán)境、車間及設(shè)施的衛(wèi)生，原料、輔料選用和加工，包裝，貯運(yùn)的衛(wèi)生以及有害物控制與檢驗(yàn)，直至產(chǎn)品標(biāo)識(shí)和可追溯性等，其強(qiáng)調(diào)食品的生產(chǎn)和貯運(yùn)全過程應(yīng)避免微生物，化學(xué)性和物理性污染。

篇9

關(guān)鍵詞：信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析

一、前言

電力系統(tǒng)越來越依賴電力信息網(wǎng)絡(luò)來保障其安全、可靠、高效的運(yùn)行，該數(shù)據(jù)信息網(wǎng)絡(luò)出現(xiàn)的任何信息安全方面的問題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，因此電力信息網(wǎng)絡(luò)的安全保障工作刻不容緩[1，2]。風(fēng)險(xiǎn)評(píng)估具體的評(píng)估方法從早期簡(jiǎn)單的純技術(shù)操作，逐漸過渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關(guān)標(biāo)準(zhǔn)的方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)，以威脅為觸發(fā)，以技術(shù)、管理、運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型[3]。

二、信息安全風(fēng)險(xiǎn)評(píng)估

在我國，風(fēng)險(xiǎn)評(píng)估工作已經(jīng)完成了調(diào)查研究階段、標(biāo)準(zhǔn)草案編制階段和全國試點(diǎn)工作階段，國信辦制定的標(biāo)準(zhǔn)草案《信息安全風(fēng)險(xiǎn)評(píng)估指南》[4]（簡(jiǎn)稱《指南》）得到了較好地實(shí)踐。本文設(shè)計(jì)的工具是基于《指南》的，涉及內(nèi)容包括：

（一）風(fēng)險(xiǎn)要素關(guān)系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開，在對(duì)基本要素的評(píng)估過程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與基本要素相關(guān)的各類屬性。

（二）風(fēng)險(xiǎn)分析原理。資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。

（三）風(fēng)險(xiǎn)評(píng)估流程。包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)消減[5]。

三、電力信息網(wǎng)風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

本文設(shè)計(jì)的信息安全風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)是基于《指南》的標(biāo)準(zhǔn)，設(shè)計(jì)階段參考了Nipc-RiskAssessTool-V2.0，Microsoft Security Risk Self-Assessment Tool等風(fēng)險(xiǎn)評(píng)估工具。系統(tǒng)采用C/S結(jié)構(gòu)，是一個(gè)多專家共同評(píng)估的風(fēng)險(xiǎn)評(píng)估工具。分為知識(shí)庫管理端、信息庫管理端、系統(tǒng)評(píng)估端、評(píng)估管理端。其中前兩個(gè)工具用于更新知識(shí)庫和信息庫。后兩個(gè)工具是風(fēng)險(xiǎn)評(píng)估的主體。下面對(duì)系統(tǒng)各部分的功能模塊進(jìn)行詳細(xì)介紹：

（一）評(píng)估管理端。評(píng)估管理端控制風(fēng)險(xiǎn)評(píng)估的進(jìn)度，綜合管理系統(tǒng)評(píng)估端的評(píng)估結(jié)果。具體表現(xiàn)在：開啟評(píng)估任務(wù)；分配風(fēng)險(xiǎn)評(píng)估專家；對(duì)準(zhǔn)備階段、資產(chǎn)識(shí)別階段、威脅識(shí)別階段、脆弱性識(shí)別階段、已有控制措施識(shí)別階段、風(fēng)險(xiǎn)分析階段、選擇控制措施階段這七個(gè)階段多個(gè)專家的評(píng)估進(jìn)行確認(rèn)，對(duì)多個(gè)專家的評(píng)估數(shù)據(jù)進(jìn)行綜合，得到綜合評(píng)估結(jié)果。

（二）系統(tǒng)評(píng)估端。系統(tǒng)評(píng)估端由多個(gè)專家操作，同時(shí)開展評(píng)估。系統(tǒng)評(píng)估端要經(jīng)歷如下階段：a.準(zhǔn)備階段：評(píng)估系統(tǒng)中CIA的相對(duì)重要性；b.資產(chǎn)識(shí)別階段；c.威脅識(shí)別階段；d.脆弱性識(shí)別階段；e.已有控制措施識(shí)別階段；f.風(fēng)險(xiǎn)分析階段；g.控制措施選擇階段。在完成了風(fēng)險(xiǎn)評(píng)估的所有階段之后，和評(píng)估管理端一樣，可以瀏覽、導(dǎo)出、打印評(píng)估的結(jié)果—風(fēng)險(xiǎn)評(píng)估報(bào)表系列。

（三）信息庫管理端。信息庫管理端由資產(chǎn)管理，威脅管理，脆弱點(diǎn)管理，控制措施管理四部分組成。具體功能是：對(duì)資產(chǎn)大類、小類進(jìn)行管理；對(duì)威脅列表進(jìn)行管理；對(duì)脆弱點(diǎn)大類、列表進(jìn)行管理；對(duì)控制措施列表進(jìn)行管理。

（四）知識(shí)庫管理端。知識(shí)庫的管理分為系統(tǒng)CIA問卷管理，脆弱點(diǎn)問卷管理，威脅問卷管理，資產(chǎn)屬性問卷管理，控制措施問卷管理，控制措施損益問卷管理六部分。

四、總結(jié)

信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)新興的領(lǐng)域，本文在介紹了信息安全風(fēng)險(xiǎn)評(píng)估研究意義的基礎(chǔ)之上，詳細(xì)闡述了信息安全風(fēng)險(xiǎn)評(píng)估輔助工具的結(jié)構(gòu)設(shè)計(jì)和系統(tǒng)主要部分的功能描述。測(cè)試結(jié)果表明系統(tǒng)能對(duì)已有的控制措施進(jìn)行識(shí)別，分析出已有控制措施的實(shí)施效果，為風(fēng)險(xiǎn)處理計(jì)劃提供依據(jù)。

參考文獻(xiàn)：

[1]Huisheng Gao,Yiqun Sun，Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.

[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.

[3]左曉棟等.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估中幾個(gè)重要問題的認(rèn)識(shí)[J].計(jì)算機(jī)安全,2004,7:64-66

篇10

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)管理；信息安全風(fēng)險(xiǎn)管理框架

中圖分類號(hào)：G203 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1001-828X（2012）02-00-01

一、引言

20世紀(jì)90年代以來，計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)技術(shù)的發(fā)展把人類帶入了信息時(shí)代，信息技術(shù)被廣泛應(yīng)用到各個(gè)領(lǐng)域，給人類社會(huì)的發(fā)展帶來巨大的生產(chǎn)力，信息技術(shù)正逐步改變著人類的生產(chǎn)方式和生活方式，社會(huì)的發(fā)展對(duì)信息資源的依賴程序越來越高。然而由于環(huán)境的開放性以及信息系統(tǒng)自身的缺陷等因素，導(dǎo)致信息面臨著巨大的安全隱患。如何保護(hù)信息安全逐步成為人們關(guān)注的焦點(diǎn)。

信息安全的解決不僅要要依靠技術(shù)，更應(yīng)當(dāng)加強(qiáng)安全方面的管理。只有建立有效的信息安全管理體系，對(duì)信息安全進(jìn)行正確的分析評(píng)估，制定出相應(yīng)的策略并實(shí)施控制，才能保證信息系統(tǒng)和信息資源的安全。

二、信息安全風(fēng)險(xiǎn)管理的一般過程概況

至目前為止，信息安全風(fēng)險(xiǎn)管理沒有通用的管理方法、管理模式。不同的標(biāo)準(zhǔn)有著各自的風(fēng)險(xiǎn)評(píng)估方法和管理流程，下面文章分析了一些主要的標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管理方法。

1.英國的BS7799，英國標(biāo)準(zhǔn)協(xié)會(huì)(BSI)頒布《信息安全管理實(shí)施細(xì)則》，形成了BS7799的基礎(chǔ)。之后經(jīng)過改版成為國際標(biāo)準(zhǔn)。BS7799提供了一個(gè)對(duì)組織有效進(jìn)行信息安全風(fēng)險(xiǎn)管理的公共基礎(chǔ)，體現(xiàn)了信息安全的“三分技術(shù)，七分管理”的原則。

2.AS/NZS4360：1999《風(fēng)險(xiǎn)管理指南》是澳大利亞和新西蘭兩個(gè)國家聯(lián)合開發(fā)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，第一版于1995年，是在全世界內(nèi)制定最早、影響最大、并且被國際標(biāo)準(zhǔn)組織(ISO)的國家性風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。

3.NIST SP800-30風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，是美國國家技術(shù)標(biāo)準(zhǔn)局(NIST)于2002年的信息技術(shù)風(fēng)險(xiǎn)管理指南，風(fēng)險(xiǎn)管理包括三個(gè)過程：風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)緩解、再評(píng)價(jià)及評(píng)估。

此外，有關(guān)風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估的理論和方法有許多，比如微軟的The Security Risk Management Guide(《信息安全管理指南》)，美國卡耐基?梅隆大學(xué)開發(fā)的風(fēng)險(xiǎn)評(píng)估方法OCTIVE，系統(tǒng)安全工程能力成熟度模型SSE-CMM(System Security Engineering Capability Maturity Model)等。還有許多企業(yè)或個(gè)人參考標(biāo)準(zhǔn)開發(fā)的一些風(fēng)險(xiǎn)評(píng)估工具等。

三、一種綜合的風(fēng)險(xiǎn)管理框架

近年來，許多學(xué)者指出需要建立一種綜合的信息安全風(fēng)險(xiǎn)管理的方法以減少傳統(tǒng)的風(fēng)險(xiǎn)管理方法的一些不足。文章提出一個(gè)綜合的信息安全風(fēng)險(xiǎn)管理的框架，如圖1所示。

框架將風(fēng)險(xiǎn)管理分為四個(gè)方面，四個(gè)角度，涵蓋了風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估的所有的內(nèi)容。

框架的第一部分是標(biāo)準(zhǔn)規(guī)范，這是進(jìn)行風(fēng)險(xiǎn)評(píng)估的指導(dǎo)性文件。

第二部分是工具技術(shù)，包括數(shù)學(xué)的模型、統(tǒng)計(jì)學(xué)的方法、相關(guān)的工具以及開發(fā)的計(jì)算機(jī)軟件，還有操作中的某些經(jīng)驗(yàn)等。

第三部分是過程步驟，這是一個(gè)動(dòng)態(tài)的角度來分析風(fēng)險(xiǎn)管理。將把信息安全風(fēng)險(xiǎn)管理分為風(fēng)險(xiǎn)規(guī)劃、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)決策、風(fēng)險(xiǎn)實(shí)施、風(fēng)險(xiǎn)評(píng)價(jià)等六個(gè)階段。

第四部分是風(fēng)險(xiǎn)管理的對(duì)象，企業(yè)組織中的人員、資產(chǎn)(主要指物理設(shè)備)和資產(chǎn)賴以存在的環(huán)境構(gòu)成了實(shí)體層，企業(yè)的信息安全既要依靠技術(shù)，更要注重管理，管理則主要體現(xiàn)于策略中。而最終的目標(biāo)都是保證企業(yè)的核心業(yè)務(wù)能正常運(yùn)轉(zhuǎn)，不會(huì)受到信息安全風(fēng)險(xiǎn)的影響。各層內(nèi)部之間也存在著相互關(guān)系。在實(shí)體層如人力管理、人員培訓(xùn)，對(duì)資產(chǎn)的管理需要分類分級(jí)別進(jìn)行、要落實(shí)到人，資產(chǎn)設(shè)備的安全則有賴于周圍的環(huán)境，比如安全邊界的劃分，電力、溫度濕度的保障等。而這些都含有策略因素。此外，環(huán)境包括硬環(huán)境和軟環(huán)境，軟環(huán)境的因素也部分影響著策略的選擇，如相關(guān)的法律法規(guī)、相關(guān)的知識(shí)產(chǎn)權(quán)、個(gè)人隱私權(quán)等也會(huì)影響組織的策略，組織在制定策略時(shí)不能與之沖突。在管理層，策略與技術(shù)是相互補(bǔ)充的，一些策略的實(shí)現(xiàn)離不開技術(shù)，比如不同層次的人員具有不同的訪問控制權(quán)限，信息安全的保障也需要信息技術(shù)本身。技術(shù)本身也需要一定的管理。在目標(biāo)層，保持核心業(yè)務(wù)的連續(xù)性，不受干擾是組織的目標(biāo)。因此需要不斷地進(jìn)行風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估。

四、總結(jié)

信息安全對(duì)組織的重要性是不言而喻的，對(duì)信息安全管理不僅是技術(shù)層面的問題，更是管理層面的事件。本文給出的信息安全風(fēng)險(xiǎn)管理綜合框架涵蓋了風(fēng)險(xiǎn)管理的各個(gè)方面，為企業(yè)的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理提供一些有益的幫助。

參考文獻(xiàn)：

[1]BS 7799-1,Information Security Management. Code of Practice for Information Security Management System, British Standards Institute,1999.

[2]Australian/New Zealand Standard AN/NZS 4360:Risk Management[S].1999.

[3]NIST SP800-30, Risk Management Guide for Information Technology Systems[S].2002.

[4] Microsoft. The Security Risk Management Guide[S].2004.

[5]ISO/IEC TR 13335-1 Management of Information and Communications technology Security- -part1:Concepts and models of IT Security[S].1997.1.

[6] uccato,A.,Holistic security management framework applied in electronic commerce. Computer&Security 26(1), p256-265.