99热精品69堂国产-97超级碰在线精品视频-日韩欧美中文字幕在线视频-欧美日韩大尺码免费专区-最新国产三级在线不卡视频-在线观看成人免费视频-亚洲欧美国产精品完整版-色综久久天天综合绕视看-中文字幕免费在线看线人-久久国产精品99精品国产

歡迎來到優(yōu)發(fā)表網(wǎng)!

購物車(0)

期刊大全 雜志訂閱 SCI期刊 期刊投稿 出版社 公文范文 精品范文

安全風(fēng)險(xiǎn)評估方法范文

時(shí)間:2023-06-15 17:11:02

序論:在您撰寫安全風(fēng)險(xiǎn)評估方法時(shí),參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。

安全風(fēng)險(xiǎn)評估方法

第1篇

關(guān)鍵詞:網(wǎng)絡(luò)安全;風(fēng)險(xiǎn)評估;方法

1網(wǎng)絡(luò)安全風(fēng)險(xiǎn)概述

1.1網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)最大的特點(diǎn)便是自身的靈活性高、便利性強(qiáng),其能夠?yàn)閺V大網(wǎng)絡(luò)用戶提供傳輸以及網(wǎng)絡(luò)服務(wù)等功能,網(wǎng)絡(luò)安全主要包括無線網(wǎng)絡(luò)安全和有線網(wǎng)絡(luò)安全。從無線網(wǎng)絡(luò)安全方面來看,無線網(wǎng)絡(luò)安全主要是保證使用者進(jìn)行網(wǎng)絡(luò)通話以及信息傳遞的安全性和保密性,其能否保證使用者的通話不被竊聽以及文件傳輸?shù)陌踩珕栴}都是當(dāng)前研究的重要課題,由于無線網(wǎng)絡(luò)在數(shù)據(jù)存儲和傳輸?shù)倪^程之中有著相當(dāng)嚴(yán)重的局限性,其在安全方面面臨著較大的風(fēng)險(xiǎn),如何對這些風(fēng)險(xiǎn)進(jìn)行預(yù)防直接關(guān)乎著使用者的切身利益。想要對無線網(wǎng)絡(luò)安全進(jìn)行全面正確的評估,單純的定量分析法已經(jīng)不能夠滿足當(dāng)前的需求,因此,本文更推薦將層次分析法和逼近思想法進(jìn)行雙重結(jié)合,進(jìn)一步對一些不確定因素進(jìn)行全面的評估,確保分析到每一個(gè)定量和變量,進(jìn)一步計(jì)算出當(dāng)前無線網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)值。而對于有線網(wǎng)絡(luò),影響其安全風(fēng)險(xiǎn)的因素相對較少,但是依然要對其進(jìn)行全面分析,盡最大可能得到最準(zhǔn)確的數(shù)值。

1.2網(wǎng)絡(luò)安全的目標(biāo)

網(wǎng)絡(luò)安全系統(tǒng)最重要的核心目標(biāo)便是安全。在網(wǎng)絡(luò)漏洞日益增多的今天,如何對網(wǎng)絡(luò)進(jìn)行全方位無死角的漏洞安全排查便顯得尤為重要。在網(wǎng)絡(luò)安全檢測的各個(gè)方面均有著不同的要求,而借助這些各方面各個(gè)層次的安全目標(biāo)最終匯集成為一個(gè)總的目標(biāo)方案,而采取這種大目標(biāo)和小目標(biāo)的分層形式主要是為了確保網(wǎng)絡(luò)安全評估的工作效率,盡最大可能減少每個(gè)環(huán)節(jié)所帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),從而保證網(wǎng)絡(luò)的合理安全運(yùn)行。1.3風(fēng)險(xiǎn)評估指標(biāo)在本論文的分析過程之中,主要對風(fēng)險(xiǎn)評估劃分了三個(gè)系統(tǒng)化的指標(biāo),即網(wǎng)絡(luò)層指標(biāo)體系、網(wǎng)絡(luò)傳輸風(fēng)險(xiǎn)指標(biāo)體系以及物理安全風(fēng)險(xiǎn)指標(biāo)體系,在各個(gè)指標(biāo)體系之中,又分別包含了若干個(gè)指標(biāo)要素,最終形成了一個(gè)完整的風(fēng)險(xiǎn)評估指標(biāo)體系,進(jìn)而避免了資源的不必要浪費(fèi),最終達(dá)到網(wǎng)絡(luò)安全的評估標(biāo)準(zhǔn)。

2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的方法

如何對網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行評估是當(dāng)前備受關(guān)注的研究課題之一。筆者結(jié)合了近幾年一些學(xué)者在學(xué)術(shù)期刊和論文上的意見進(jìn)行了全面的分析,結(jié)合網(wǎng)絡(luò)動(dòng)態(tài)風(fēng)險(xiǎn)的特點(diǎn)以及難點(diǎn)問題,最終在確定風(fēng)險(xiǎn)指標(biāo)系統(tǒng)的基礎(chǔ)上總結(jié)出了以下幾種方法,最終能夠保證網(wǎng)絡(luò)信息安全。

2.1網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

作為網(wǎng)絡(luò)安全第一個(gè)環(huán)節(jié)也是最為重要的一個(gè)環(huán)節(jié),網(wǎng)絡(luò)風(fēng)險(xiǎn)分析的成敗直接決定了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的成敗。對于網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行分析,不單單要涉及指標(biāo)性因素,還有將許多不穩(wěn)定的因素考慮在內(nèi),全面的徹底的分析網(wǎng)絡(luò)安全問題發(fā)生的可能性。在進(jìn)行分析的過程之中,要從宏觀和微觀兩個(gè)方面進(jìn)行入手分手,最大程度的保證將內(nèi)外部因素全部考慮在內(nèi),對網(wǎng)絡(luò)資產(chǎn)有一個(gè)大致的判斷,并借此展開深層次的分析和研究。

2.2風(fēng)險(xiǎn)評估

在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估之中,可以說整個(gè)活動(dòng)的核心便是風(fēng)險(xiǎn)評估了。網(wǎng)絡(luò)風(fēng)險(xiǎn)的突發(fā)性以及并發(fā)性相對其他風(fēng)險(xiǎn)較高,這便進(jìn)一步的體現(xiàn)了風(fēng)險(xiǎn)評估工作的重要性。在進(jìn)行風(fēng)險(xiǎn)評估的過程之中,我們主要通過對風(fēng)險(xiǎn)誘導(dǎo)因素進(jìn)行定量和定性分析,在此分析的基礎(chǔ)上再加以運(yùn)用逼近思想法進(jìn)行全面的驗(yàn)證,從而不斷的促進(jìn)風(fēng)險(xiǎn)評估工作的效率以及安全性。在進(jìn)行風(fēng)險(xiǎn)評估的過程之中,要充分結(jié)合當(dāng)前網(wǎng)絡(luò)所處的環(huán)境進(jìn)行分析,將工作思想放開,不能拘泥于理論知識,將實(shí)踐和理論相結(jié)合,最終完成整個(gè)風(fēng)險(xiǎn)評估工作。

2.3安全風(fēng)險(xiǎn)決策與監(jiān)測

在進(jìn)行安全風(fēng)險(xiǎn)決策的過程之中,對信息安全依法進(jìn)行管理和監(jiān)測是保證網(wǎng)絡(luò)風(fēng)險(xiǎn)安全的前提。安全決策主要是根據(jù)系統(tǒng)實(shí)時(shí)所面對的具體狀況所進(jìn)行的風(fēng)險(xiǎn)方案決策,其具有臨時(shí)性和靈活性的特點(diǎn)。借助安全決策可以在一定程度上確保當(dāng)前的網(wǎng)絡(luò)安全系統(tǒng)的穩(wěn)定,從而最終保證風(fēng)險(xiǎn)評估得以平穩(wěn)進(jìn)行。而對于安全監(jiān)測,網(wǎng)絡(luò)風(fēng)險(xiǎn)評估的任何一個(gè)過程都離不開安全檢測的運(yùn)行。網(wǎng)絡(luò)的不確定性直接決定了網(wǎng)絡(luò)安全監(jiān)測的必要性,在系統(tǒng)更新?lián)Q代中,倘若由于一些新的風(fēng)險(xiǎn)要素導(dǎo)致整個(gè)網(wǎng)絡(luò)的安全評估出現(xiàn)問題,那么之前的風(fēng)險(xiǎn)分析和決策對于后面的管理便已經(jīng)毫無作用,這時(shí)候網(wǎng)絡(luò)監(jiān)測所起到的一個(gè)作用就是實(shí)時(shí)判斷網(wǎng)絡(luò)安全是否產(chǎn)生突發(fā)狀況,倘若產(chǎn)生了突發(fā)狀況,相關(guān)決策部門能夠第一時(shí)間的進(jìn)行策略調(diào)整。因此,網(wǎng)絡(luò)監(jiān)測在整個(gè)工作之中起到一個(gè)至關(guān)重要的作用。

3結(jié)語

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估是一個(gè)復(fù)雜且完整的系統(tǒng)工程,其本質(zhì)性質(zhì)決定了風(fēng)險(xiǎn)評估的難度。在進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的過程之中,要有層次的選擇合適的評估方法進(jìn)行評估,確保風(fēng)險(xiǎn)分析和評估工作的有序進(jìn)行,同時(shí)又要保證安全決策和安全檢測的完整運(yùn)行,與此同時(shí),要保證所有的突發(fā)狀況都能夠及時(shí)的反映和對付,最終確保整個(gè)網(wǎng)絡(luò)安全的平穩(wěn)運(yùn)行。

參考文獻(xiàn)

[1]程建華.信息安全風(fēng)險(xiǎn)管理、評估與控制研究[D].吉林大學(xué),2008.

[2]李志偉.信息系統(tǒng)風(fēng)險(xiǎn)評估及風(fēng)險(xiǎn)管理對策研究[D].北京交通大學(xué),2010.

[3]孫文磊.信息安全風(fēng)險(xiǎn)評估輔助管理軟件開發(fā)研究[D].天津大學(xué),2012.

[4]劉剛.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估、控制和預(yù)測技術(shù)研究[D].南京理工大學(xué),2014.

第2篇

檔案信息資產(chǎn)是與檔案信息系統(tǒng)有關(guān)的所有資產(chǎn),包括檔案信息系統(tǒng)的硬件、軟件、數(shù)據(jù)、人員、服務(wù)及組織形象等,是有形和無形資產(chǎn)的總和。脆弱性是檔案信息系統(tǒng)自身存在的技術(shù)和管理漏洞,可能被外部威脅利用,造成安全事故;威脅是外部存在的、可能導(dǎo)致檔案信息系統(tǒng)發(fā)生安全事故的潛在因素。威脅、脆弱性及檔案信息資產(chǎn)的相互影響造成檔案信息系統(tǒng)面臨安全風(fēng)險(xiǎn),最后計(jì)算出風(fēng)險(xiǎn)值。

檔案信息安全風(fēng)險(xiǎn)評估總體方法

檔案信息安全風(fēng)險(xiǎn)評估的核心問題之一是風(fēng)險(xiǎn)評估方法的選擇,風(fēng)險(xiǎn)評估方法包括總體方法和具體方法??傮w方法是從宏觀的角度確定檔案信息安全風(fēng)險(xiǎn)評估大致方法,包括:風(fēng)險(xiǎn)評價(jià)標(biāo)準(zhǔn)確定方法;風(fēng)險(xiǎn)評估中資產(chǎn)、威脅和脆弱性的識別方法;風(fēng)險(xiǎn)評估輔助工具使用方法及風(fēng)險(xiǎn)評估管理方法等。事實(shí)上,信息安全風(fēng)險(xiǎn)評估方法經(jīng)歷了一個(gè)不斷發(fā)展的過程,“經(jīng)歷了從手動(dòng)評估到工具輔助評估的階段,目前正在由技術(shù)評估到整體評估發(fā)展,由定性評估向定性和定量相結(jié)合的方向發(fā)展,由基于知識(或經(jīng)驗(yàn))的評估向基于模型(或標(biāo)準(zhǔn))的評估方法發(fā)展?!?。隨著信息安全技術(shù)與安全管理的不斷發(fā)展,目前信息安全風(fēng)險(xiǎn)評估方法已發(fā)展到基于標(biāo)準(zhǔn)的、定性與定量相結(jié)合的、借用工具輔助評估的整體評估方法。檔案信息安全風(fēng)險(xiǎn)評估總體方法應(yīng)采用目前最先進(jìn)方法,即采用依據(jù)合適風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)、定性與定量結(jié)合、借助評估工具或軟件來實(shí)現(xiàn)不僅進(jìn)行檔案信息安全技術(shù)評估,而且進(jìn)行檔案信息安全管理評估的整體評估方法。

1 檔案信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)的確定

信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)主要分為國際國外標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)。國際國外標(biāo)準(zhǔn)有:《ISO/IEC 13335 信息技術(shù) IT安全管理指南》、《ISO/IEC 17799:2005信息安全管理實(shí)施指南》、《ISO/IEC27001:2005信息安全管理體系要求》、《NIST SP 800-30信息技術(shù)系統(tǒng)的風(fēng)險(xiǎn)管理指南》系列標(biāo)準(zhǔn)等,這些標(biāo)準(zhǔn)在國外已得到廣泛使用,而我國信息安全風(fēng)險(xiǎn)評估起步較晚,在吸取國外標(biāo)準(zhǔn)且根據(jù)我國國情的基礎(chǔ)上于2007年制定了國家標(biāo)準(zhǔn)((GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》,并在全國范圍內(nèi)推廣。國家發(fā)展改革委員會、公安部、國家保密局于2008年了“關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評估工作的通知(發(fā)改高技[2008]2071號)”,該文件要求國家電子政務(wù)工程建設(shè)項(xiàng)目(以下簡稱電子政務(wù)項(xiàng)目),應(yīng)開展信息安全風(fēng)險(xiǎn)評估工作,且規(guī)定采用《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》。檔案信息系統(tǒng)屬于電子政務(wù)系統(tǒng),檔案信息安全風(fēng)險(xiǎn)評估也應(yīng)該采取OB/T 20984-2007標(biāo)準(zhǔn)。

2 檔案信息安全風(fēng)險(xiǎn)評估需定性與定量相結(jié)合

定性分析方法是目前廣泛采用的方法,需要憑借評估者的知識、經(jīng)驗(yàn)和直覺,為風(fēng)險(xiǎn)的各個(gè)要素定級。定性分析法操作相對容易,但也可能因?yàn)榉治鼋Y(jié)果過于主觀性,很難完全反映安全現(xiàn)實(shí)情況。定量分析則對構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失水平賦予數(shù)值或貨幣金額,最后得出系統(tǒng)安全風(fēng)險(xiǎn)的量化評估結(jié)果。

定量分析方法準(zhǔn)確,但由于信息系統(tǒng)風(fēng)險(xiǎn)評估是一個(gè)復(fù)雜的過程,整個(gè)信息系統(tǒng)又是一個(gè)龐大的系統(tǒng)工程,需要考慮的安全因素眾多,而完全量化這些因素是不切實(shí)際的,因此完全量化評估是很難實(shí)現(xiàn)的。

定性與定量結(jié)合分析方法就是將風(fēng)險(xiǎn)要素的賦值和計(jì)算,根據(jù)需要分別采取定性和定量的方法,將定性分析方法和定量分析方法有機(jī)結(jié)合起來,共同完成信息安全風(fēng)險(xiǎn)評估。檔案信息安全風(fēng)險(xiǎn)評估應(yīng)采取定性與定量相結(jié)合的方法,在檔案信息系統(tǒng)資產(chǎn)重要度、威脅分析和脆弱性分析可用定性方法,但給予賦值可采用定量方法。具體脆弱性測試軟件可得出定量的數(shù)據(jù),最后得出風(fēng)險(xiǎn)值,并判斷哪些風(fēng)險(xiǎn)可接受和不可接受等。

3 檔案信息安全風(fēng)險(xiǎn)評估需借用輔助評估工具

目前信息安全風(fēng)險(xiǎn)評估輔助工具的出現(xiàn),改變了以往一切工作都只能手工進(jìn)行的狀況,這些工作包括識別重要資產(chǎn)、威脅和弱點(diǎn)發(fā)現(xiàn)、安全需求分析、當(dāng)前安全實(shí)踐分析、基于資產(chǎn)的風(fēng)險(xiǎn)分析和評估等。其工作量巨大,容易出現(xiàn)疏漏,而且有些工作如系統(tǒng)軟硬件漏洞檢測等無法用手工完成,因此目前國內(nèi)外均使用相應(yīng)的評估輔助工具,如漏洞檢測軟件和風(fēng)險(xiǎn)評估輔助軟件等。檔案信息安全風(fēng)險(xiǎn)評估也需借助相應(yīng)的輔助工具,直接可用的是各種系統(tǒng)軟硬件漏洞測試軟件或我國依據(jù)《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》開發(fā)的風(fēng)險(xiǎn)評估輔助軟件,將來可開發(fā)專門的檔案信息安全風(fēng)險(xiǎn)評估輔助工具軟件。

4 檔案信息安全風(fēng)險(xiǎn)評估需整體評估

信息安全風(fēng)險(xiǎn)評估不僅需進(jìn)行安全技術(shù)評估,更重要的需進(jìn)行安全管理等評估,我國已將信息系統(tǒng)等級保護(hù)作為一項(xiàng)安全制度,對不同等級的信息系統(tǒng)根據(jù)國家相關(guān)標(biāo)準(zhǔn)確定安全等級并采取該等級對應(yīng)的基本安全措施,其中包括安全技術(shù)措施和安全管理措施,因此評估風(fēng)險(xiǎn)時(shí)同樣需進(jìn)行安全技術(shù)和安全管理的整體風(fēng)險(xiǎn)評估,檔案信息安全風(fēng)險(xiǎn)評估同樣如此。

檔案信息安全風(fēng)險(xiǎn)評估具體方法

根據(jù)檔案信息安全風(fēng)險(xiǎn)評估原理。從資產(chǎn)識別到風(fēng)險(xiǎn)計(jì)算,都需根據(jù)信息系統(tǒng)自身情況和風(fēng)險(xiǎn)評估要求選擇合適的具體方法,包括:資產(chǎn)識別方法、威脅識別方法、脆弱性識別方法、現(xiàn)有措施識別法和風(fēng)險(xiǎn)計(jì)算方法等。

1 資產(chǎn)識別方法

檔案信息資產(chǎn)識別是對信息資產(chǎn)的分類和判定其價(jià)值,因此資產(chǎn)識別方法包括資產(chǎn)分類方法和資產(chǎn)賦值方法。

(1)資產(chǎn)分類方法

在風(fēng)險(xiǎn)評估中資產(chǎn)分類沒有嚴(yán)格的標(biāo)準(zhǔn),但一般需滿足:所有的資產(chǎn)都能找到相應(yīng)的類;任何資產(chǎn)只能有唯一的類相對應(yīng)。常用的資產(chǎn)分類方法有:按資產(chǎn)表現(xiàn)形式分類、按資產(chǎn)安全級別分類和按資產(chǎn)的功能分類等。

在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》中,對資產(chǎn)按其表現(xiàn)形式進(jìn)行分類,即分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員及其他(主要指組織的無形資產(chǎn))。這種分類方法的優(yōu)點(diǎn)為:資產(chǎn)分類清晰、資產(chǎn)分類詳細(xì),其缺點(diǎn)為:資產(chǎn)分類與其安全屬性無關(guān)、資產(chǎn)分類過細(xì)造成評估極其復(fù)雜,因?yàn)槟壳按蟛糠诛L(fēng)險(xiǎn)評估

都以資產(chǎn)識別作為起點(diǎn),一項(xiàng)資產(chǎn)面臨多項(xiàng)威脅,—項(xiàng)威脅又與多項(xiàng)脆弱性有關(guān),最后造成針對某一項(xiàng)資產(chǎn)的風(fēng)險(xiǎn)評估就十分復(fù)雜,缺乏實(shí)際可操作性。這種分類方法比較適合于初次風(fēng)險(xiǎn)評估單位對所有信息資產(chǎn)進(jìn)行摸底和統(tǒng)計(jì)。

風(fēng)險(xiǎn)評估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量,所以信息資產(chǎn)分類應(yīng)與信息資產(chǎn)安全要求有關(guān),即依據(jù)信息資產(chǎn)對安全要求的高低進(jìn)行分類,這種方法同時(shí)也滿足下一環(huán)節(jié)即信息資產(chǎn)重要度賦值需求。任何一個(gè)檔案信息資產(chǎn)無論是硬件、軟件還是其他,其均有安全屬性,在《GB/T 20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》中要求:“資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級,經(jīng)過綜合評定得出”??蛇x擇每個(gè)資產(chǎn)在上述三個(gè)安全屬性中最重要的安全屬性等級作為其最后重要等級。但檔案信息安全屬性應(yīng)該更多,除上述屬性外還包括:真實(shí)性、不可否認(rèn)性(抗抵賴)、可控性和可追溯性,所以可以根據(jù)檔案信息的七個(gè)安全屬性中最重要屬性的等級作為該資產(chǎn)等級。

目前信息資產(chǎn)安全屬性等級如保密性等級可分為:很高、高、中等、低、很低,因此信息資產(chǎn)按安全等級也可分為:很高、高、中等、低、很低,即如果此信息資產(chǎn)保密性等級為“中”,完整性等級為“中”,可用性等級為“低”,則取此信息資產(chǎn)安全等級最高的“中”級。

按信息資產(chǎn)安全級別分類法符合風(fēng)險(xiǎn)評估要求,因?yàn)轶w現(xiàn)了安全要求越高其資產(chǎn)價(jià)值越高的宗旨,在統(tǒng)計(jì)資產(chǎn)時(shí)也可按表現(xiàn)形式和安全等級結(jié)合的方法進(jìn)行,如下表1所示。“類別”為按第一種分類方法中的類別,重要度為第二種方法中的五個(gè)等級。

但如果風(fēng)險(xiǎn)評估時(shí)按表1進(jìn)行資產(chǎn)分類時(shí),每個(gè)檔案信息系統(tǒng)將具有很多資產(chǎn),這樣針對每一項(xiàng)資產(chǎn)進(jìn)行評估的時(shí)間和精力對于評估方都難以接受。因此,在《信息安全風(fēng)險(xiǎn)評估——概念、方法和實(shí)踐》一書中提出:“最好的解決辦法應(yīng)該是面對系統(tǒng)的評估”,信息資產(chǎn)安全等級分類的起點(diǎn)可以認(rèn)為是系統(tǒng)(或子系統(tǒng)),這樣可以在資產(chǎn)統(tǒng)計(jì)時(shí)用資產(chǎn)表現(xiàn)形式進(jìn)行分類,在資產(chǎn)安全等級分類時(shí)按系統(tǒng)或子系統(tǒng)進(jìn)行大致分類,即同一個(gè)系統(tǒng)或子系統(tǒng)中的資產(chǎn)的安全等級相同,這樣滿足了組織進(jìn)行風(fēng)險(xiǎn)評估時(shí)“用最少的時(shí)間找到主要風(fēng)險(xiǎn)”的思想。

(2)資產(chǎn)賦值方法

由于信息資產(chǎn)價(jià)值與安全等級有關(guān),因此對資產(chǎn)賦值應(yīng)與“很高、高、中等、低、很低”相關(guān),但這是定性的方法,結(jié)合定量方法為對應(yīng)“5、4、3、2、1”五個(gè)值,同時(shí)將此值稱為“資產(chǎn)等級重要度”。

2 威脅識別方法

(1)威脅分類方法

對檔案信息系統(tǒng)的威脅可從表現(xiàn)形式、來源、動(dòng)機(jī)、途徑等多角度進(jìn)行分類,而常用的為按來源和表現(xiàn)形式分類。按來源可分為:環(huán)境因素和人為因素,人為因素又分為惡意和無意兩種。基于表現(xiàn)形式可分為:物理環(huán)境影響、軟硬件故障、無作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改和抵賴等。由于威脅對信息系統(tǒng)的破壞性極大,所以應(yīng)以分類詳細(xì)為宗旨,按表現(xiàn)形式方法分類較為合適。

(2)威脅賦值方法

威脅賦值是以威脅出現(xiàn)的頻率為依據(jù)的,評估者應(yīng)根據(jù)經(jīng)驗(yàn)或相關(guān)統(tǒng)計(jì)數(shù)據(jù)進(jìn)行判斷,綜合考慮三個(gè)方面:“以往安全事件中出現(xiàn)威脅頻率及其頻率統(tǒng)計(jì),實(shí)踐中檢測到的威脅頻率統(tǒng)計(jì)、近期國內(nèi)外相關(guān)組織的威脅預(yù)警”。??梢詫ν{出現(xiàn)的頻率進(jìn)行等級化賦值,即為:“很高、高、中等、低、很低”,相應(yīng)的值為:“5、4、3、2、1”。

3 脆弱性識別方法

脆弱性的識別可以以資產(chǎn)為核心,針對每一項(xiàng)需要保護(hù)的資產(chǎn),識別可能被威脅利用的弱點(diǎn),同時(shí)結(jié)合已有安全控制措施,對脆弱性的嚴(yán)重程度進(jìn)行評估。脆弱性識別時(shí)來自于信息資產(chǎn)的所有者、使用者,以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等,并對脆弱性識別途徑主要有:問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。

(1)脆弱性分類方法

脆弱性一般可以分為兩大類:信息資產(chǎn)本身脆弱性和安全控制措施不足帶來的脆弱性。資產(chǎn)本身的脆弱性可以通過測試或漏洞掃描等途徑得到,屬于技術(shù)脆弱性。而安全控制措施不足的脆弱性包括技術(shù)脆弱性和管理脆弱性,管理脆弱性更容易被威脅所利用,最后造成安全事故。檔案信息系統(tǒng)脆弱性分類最好按技術(shù)脆弱性和管理脆弱性進(jìn)行。技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題,管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面。

(2)脆弱性賦值方法

根據(jù)脆弱性對資產(chǎn)的暴露程度(指被威脅利用后資產(chǎn)的損失程度),采用等級方式可對已經(jīng)分類并識別的脆弱性進(jìn)行賦值。如果脆弱性被威脅利用將對資產(chǎn)造成完全損害,則為最高等級,共分五級:“很高、高、中等、低、很低”,相應(yīng)的值為:“5、4、3、2、1”。

脆弱性值(已有控制措施仍存在的脆弱性)也可稱為暴露等級,將暴露等級“5、4、3、2、1”可轉(zhuǎn)化為對應(yīng)的暴露系數(shù):100%、80%、60%、40%、20%,再將“脆弱性”與“資產(chǎn)重要度等級”聯(lián)系,計(jì)算出如果脆弱性被威脅利用后發(fā)生安全事故的影響等級。

影響等級=暴露系數(shù)×資產(chǎn)等級重要度

4 已有控制措施識別方法

(1)識別方法

在識別脆弱性的同時(shí)應(yīng)對已經(jīng)采取的安全措施進(jìn)行確認(rèn),然后確定安全事件發(fā)生的容易度。容易度描述的是在采取安全控制措施后威脅利用脆弱性仍可能發(fā)生安全事故的容易情況,也就是威脅的五個(gè)等級:“很高、高、中等、低、很低”,相應(yīng)的取值為:“5、4、3、2、1”,“5”為最容易發(fā)生安全事故。

同時(shí)安全事件發(fā)生的可能性與已有控制措施有關(guān),評估人員可以根據(jù)對系統(tǒng)的調(diào)查分析直接給在用控制措施的有效性進(jìn)行賦值,賦值等級可分為0-5級,

“0”為控制措施基本有效,“5”為控制措施基本無效。

(2)安全事件可能性賦值

安全事件發(fā)生的可能性可用以下公式計(jì)算:

發(fā)生可能性=發(fā)生容易度(即威脅賦值)+控制措施

5 風(fēng)險(xiǎn)計(jì)算方法

風(fēng)險(xiǎn)計(jì)算方法有很多種,但其必須與資產(chǎn)安全等級、面臨威脅值、脆弱性值、暴露等級值、容易度值、已有控制措施值等有關(guān),計(jì)算出風(fēng)險(xiǎn)評估原理圖中的影響等級和發(fā)生可能性值。目前一般而言風(fēng)險(xiǎn)計(jì)算公式如下:

風(fēng)險(xiǎn)=影響等級×發(fā)生可能性

綜上所述,可將信息資產(chǎn)、面臨威脅、可利用脆弱性、暴露、容易度、控制措施、影響、可能性、風(fēng)險(xiǎn)值構(gòu)成表2,最終計(jì)算出風(fēng)險(xiǎn)值。下表以某數(shù)字檔案館為例,其主要分為館內(nèi)檔案管理系統(tǒng)和電子文件中心,評估資產(chǎn)以子系統(tǒng)作為分類和賦值為起點(diǎn),并只以部分威脅、脆弱性列出并計(jì)算風(fēng)險(xiǎn)。

上表中暴露等級值體現(xiàn)了脆弱性,容易度體現(xiàn)了威脅,以表2第一行為例計(jì)算檔案管理系統(tǒng)數(shù)據(jù)泄密的風(fēng)險(xiǎn)值,過程如下:

影響等級=暴露系數(shù)×資產(chǎn)等級重要度=(3/5)*5=3

可能性=容易度(威脅值)+控制措施值=3+3=6

風(fēng)險(xiǎn)=影響等級×可能性=3×6=18

第3篇

關(guān)鍵詞:風(fēng)險(xiǎn)評估;信息安全;評估技術(shù)

中圖分類號:TP309文獻(xiàn)標(biāo)識碼: A 文章編號:1007-9599 (2010) 11-0000-01

Information System Security Risk Assessment Methods StudyChen Liandong1,Lv Chunmei2

(1.Hebei Electric Power Research Institute,Shijiazhuang050000,China;2.North China Electric Power University,Baoding071003,China)

Abstract:The scientific risk assessment is essential to the protection of information systems security,the paper on information security risk management has been introduced,and the variety of risk assessment methods are analyzed and compared.

Keywords:Risk assessment;Information security;Assessment techniques

隨著計(jì)算機(jī)技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊、病毒破壞、電腦黑客等信息竊取和破壞事件越來越多,信息安全問題日益突出,因此進(jìn)行信息系統(tǒng)安全管理具有重要意義。風(fēng)險(xiǎn)評估是信息安全管理的依據(jù),信息系統(tǒng)進(jìn)行科學(xué)的風(fēng)險(xiǎn)分析和評估,發(fā)現(xiàn)系統(tǒng)存在問題,對于保護(hù)和管理信息系統(tǒng)至關(guān)重要。

一、信息安全技術(shù)風(fēng)險(xiǎn)管理

信息安全是保護(hù)信息系統(tǒng)抵御各種威脅的侵害,確保業(yè)務(wù)保密性和連續(xù)性,使系統(tǒng)遭受風(fēng)險(xiǎn)最小化[1]。信息系統(tǒng)安全包括安全管理技術(shù)、風(fēng)險(xiǎn)評估、策略標(biāo)準(zhǔn)以及實(shí)施控制等多方面的內(nèi)容。信息安全管理體系(Information Security Management System,ISMS)是信息系統(tǒng)管理體系的一個(gè)部分,包括建立、實(shí)施、操作、監(jiān)測、復(fù)查、維護(hù)和改進(jìn)信息安全等一系列的管理活動(dòng),涉及策略準(zhǔn)則、計(jì)劃目標(biāo)、人員責(zé)任、過程和方法等諸多因素[1]。ISO27001是英國標(biāo)準(zhǔn)協(xié)會的關(guān)于建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)。ISO27001要求建立ISMS框架過程為:確定管理體系范圍,制定安全策略,明確管理責(zé)任,通過風(fēng)險(xiǎn)評估確定信息安全控制目標(biāo)和控制方式[2]。當(dāng)信息管理體系建立起來,則可以循環(huán)實(shí)施、維護(hù)和持續(xù)改進(jìn)ISMS,保持體系運(yùn)作的有效性。

二、風(fēng)險(xiǎn)評估方法概述

風(fēng)險(xiǎn)評估能夠檢測系統(tǒng)面臨的威脅、潛在的安全漏洞和脆弱性,針對性地提出防護(hù)和整改措施,保障系統(tǒng)安全。完整的風(fēng)險(xiǎn)評估過程包括:前期調(diào)研,了解需求;制定項(xiàng)目計(jì)劃,明確范圍,確定各項(xiàng)評估指標(biāo)體系,成立評估小組;識別并評估信息資產(chǎn);估算威脅發(fā)生的可能性;識別脆弱點(diǎn)及其嚴(yán)重成度;進(jìn)行風(fēng)險(xiǎn)描述,計(jì)算風(fēng)險(xiǎn)值,劃分風(fēng)險(xiǎn)等級,得出評估分析報(bào)告;制定風(fēng)險(xiǎn)控制方法,進(jìn)行風(fēng)險(xiǎn)處理。

風(fēng)險(xiǎn)計(jì)算描述如下:Risk=R(A,T,V)

其中R是安全評估風(fēng)險(xiǎn)函數(shù),A是資產(chǎn),T是威脅,V是脆弱性。由此公式可以計(jì)算風(fēng)險(xiǎn)值,估計(jì)信息系統(tǒng)的安全等級,以及風(fēng)險(xiǎn)對系統(tǒng)的破壞程度或者可能造成的損失程度。下面從不同的角度分析風(fēng)險(xiǎn)評估,得到劃分如下。

(一)基于技術(shù)評估和基于整體評估

基于技術(shù)評估是指對信息系統(tǒng)現(xiàn)有的技術(shù)水平進(jìn)行評估,包括信息安全人員技術(shù)水平、網(wǎng)絡(luò)防護(hù)技術(shù)、信息系統(tǒng)抗攻擊能力等方面進(jìn)行評估?;谡w評估是從信息系統(tǒng)整體分析,確定信息系統(tǒng)所屬等級,參照等級保護(hù)劃分規(guī)則,在對系統(tǒng)定級的基礎(chǔ)上進(jìn)行風(fēng)險(xiǎn)評估。

(二)基于知識分析和基于模型分析

基于知識分析的風(fēng)險(xiǎn)評估方法是依靠評估者經(jīng)驗(yàn)進(jìn)行,采用獲取專家評估經(jīng)驗(yàn),對評估指標(biāo)因素進(jìn)行分析,評估信息系統(tǒng)安全。基于模型分析的評估方法采用建模的方法,分析系統(tǒng)內(nèi)部以及和外部交互時(shí)可能產(chǎn)生的危險(xiǎn)因素,從而完成資產(chǎn)、威脅和脆弱性的分析。

(三)定性評估、定量評估和綜合評估

定性評估是指對評估對象各個(gè)因素進(jìn)行相應(yīng)價(jià)值的判斷。需要評估者對評估對象進(jìn)行定性描述,如只關(guān)注威脅事件帶來的損失,忽略了威脅發(fā)生的概率,因此得出的評估結(jié)果主觀性強(qiáng),具有數(shù)量化水平低等特點(diǎn)。定量評估主要分析資產(chǎn)的價(jià)值,威脅發(fā)生概率和脆弱點(diǎn)存在的可能性,用量化的數(shù)據(jù)進(jìn)行表示,但是量化數(shù)據(jù)具有不精確特點(diǎn)。綜合評估方法采用定量和定性結(jié)合的方法,通常是先進(jìn)行總體性質(zhì)的確定,然后進(jìn)行定量分析,在量化基礎(chǔ)上再進(jìn)行定性分析。

三、典型評估方法比較

下面列出幾種典型風(fēng)險(xiǎn)評估方法,有故障樹分析、事件樹分析等,趨于定性分析,BP神經(jīng)網(wǎng)絡(luò)、風(fēng)險(xiǎn)評審技術(shù)方法趨于定量分析,還有一些綜合評估方法,如層次分析法[3]。

(一)故障樹分析:通過對可能造成系統(tǒng)危險(xiǎn)的各種初始因素進(jìn)行分析,畫出故障樹,計(jì)算整體風(fēng)險(xiǎn)發(fā)生概率。特點(diǎn)是簡明形象,邏輯關(guān)系復(fù)雜,適用于找出各種實(shí)效事件之間的關(guān)系。

(二)事件樹分析:是一種邏輯演繹法,它在給定的一個(gè)初因事件的前提下分析此事件可能導(dǎo)致的各種事件序列的結(jié)果,可用于找出一種實(shí)效引起的后果或各種不同的后果,提高業(yè)務(wù)影響分析的全面性和系統(tǒng)性。

(三)BP神經(jīng)網(wǎng)絡(luò):是一種按誤差逆向傳播算法訓(xùn)練的多層前饋網(wǎng)絡(luò),具有自學(xué)習(xí)能力,能夠?qū)崿F(xiàn)輸入和輸出之間的復(fù)雜非線性關(guān)系。缺點(diǎn)是風(fēng)險(xiǎn)因素的權(quán)值確定較難,優(yōu)點(diǎn)是有自學(xué)能力,問題抽象化,適用于事故預(yù)測和方案擇優(yōu)。

(四)風(fēng)險(xiǎn)評審技術(shù)方法:通過模擬實(shí)際系統(tǒng)研制時(shí)間、費(fèi)用及性能分布,針對不同條件對信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行預(yù)測,需多次訪問,數(shù)據(jù)準(zhǔn)確性要求高。

(五)層次分析法:是一種多指標(biāo)綜合評價(jià)方法。首先將相互關(guān)聯(lián)、相互制約的因素按它們之間的隸屬關(guān)系排成若干層次,再利用數(shù)學(xué)方法,對各因素層排序,最后對排序結(jié)果進(jìn)行分析。特點(diǎn)是減少了主觀因素中的影響,需求解判斷矩陣的最大特征根以及對應(yīng)的特征向量。適用于為決策者提供定量形式的決策依據(jù)。

四、結(jié)束語

本文介紹了信息系統(tǒng)安全管理,分析風(fēng)險(xiǎn)評估的流程,對風(fēng)險(xiǎn)評估方法整體從不同角度的進(jìn)行劃分,其中對幾種典型的評估方法進(jìn)行了比較和分析。風(fēng)險(xiǎn)評估對于信息安全管理具有重要的意義,相信以后還會出現(xiàn)新的,更加科學(xué)的風(fēng)險(xiǎn)評估方法。

參考文獻(xiàn):

[1]宋曉莉,王勁松.信息安全風(fēng)險(xiǎn)評估方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006,12:67-68

第4篇

1信息安全風(fēng)險(xiǎn)評估的方法

1.1定性分析方法

這是評估方法具有的一個(gè)明顯特點(diǎn)就是它的主觀性較強(qiáng),在風(fēng)險(xiǎn)評估人員主觀上對資產(chǎn)風(fēng)險(xiǎn)因素所面臨的威脅以及漏洞等作出評估判斷的過程。它的結(jié)構(gòu)構(gòu)成包括故障樹分析法、事件樹分析法以及原因———后果法等。(1)故障樹分析法。這種分析方法的適用于對風(fēng)險(xiǎn)事件的發(fā)生源之間關(guān)系以及它的深層次原因進(jìn)行探究的,它的主要目的是在發(fā)現(xiàn)信息故障后對信息安全所進(jìn)行的定性分析。從它的運(yùn)行原理來看,它是把信息系統(tǒng)中發(fā)生的結(jié)果來作為首要解決的問題,分析總結(jié)出不愿發(fā)生事件的形成因素,從而確定出各個(gè)因素之間的邏輯關(guān)系。(2)事件樹分析方法。這種方法是在原有的信息系統(tǒng)風(fēng)險(xiǎn)基礎(chǔ)上,來對這些信息安全風(fēng)險(xiǎn)事件發(fā)生可能產(chǎn)生的風(fēng)險(xiǎn)結(jié)果進(jìn)行詳細(xì)的分析探究,它的分析工作開展的一個(gè)顯著特點(diǎn)就是需要對序列組中可能發(fā)生的危險(xiǎn)事故的結(jié)果進(jìn)行合理的列舉,需要注意的是這并代表是最后的結(jié)果,只是其中的一個(gè)環(huán)節(jié),但是它的缺點(diǎn)就是不適于進(jìn)行大范圍的普適。(3)原因———后果分析方法。這種分析方法從運(yùn)行原理的實(shí)質(zhì)上來看,它是對前兩種分析方法的一種融合,它是前兩種分析方法所具有顯著特點(diǎn)的結(jié)合,但是,這種方法也有應(yīng)用的缺點(diǎn),就是它在大型的、復(fù)雜的信息系統(tǒng)中應(yīng)用并起不到應(yīng)有的效果。

1.2定量分析方法

這種分析方法是對定性方法的一種改進(jìn),削弱了定性方法的主觀性,但是在一些大型復(fù)雜的信息系統(tǒng)中,就很可能造成一些定量數(shù)據(jù)難以獲得,需要浪費(fèi)較多的時(shí)間成本,基于此,它的應(yīng)用最為廣泛的是定量的故障樹分析法和風(fēng)險(xiǎn)評審技術(shù)兩種。

1.3定性分析和定量分析相結(jié)合的方法

這種兩相結(jié)合的方法在現(xiàn)代應(yīng)用領(lǐng)域中是最為常見的,也是最適合的形式,這兩種方法相結(jié)合的主要目的是為了有效的彌補(bǔ)定性分析法和定量分析法之間的缺陷,因此,它的綜合性就會相對強(qiáng)一些。這種分析模式,適用范圍最為廣泛的并且最為主流的是層次分析法。

2在業(yè)務(wù)流程基礎(chǔ)上的信息安全風(fēng)險(xiǎn)評估方法

2.1信息資產(chǎn)的辨別

信息安全風(fēng)險(xiǎn)評估主要是針對于信息和信息處理設(shè)備所受到的威脅、影響以及威脅事件發(fā)生后所帶來的損失而進(jìn)行的評估預(yù)測,那么所進(jìn)行評估的內(nèi)容主要涉及到四個(gè)要素,即資產(chǎn)、威脅、漏洞以及原有的安全措施。對于這四個(gè)要素之間的關(guān)系論述,它們是屬于相互關(guān)系、相互作用的因素,各自對系統(tǒng)風(fēng)險(xiǎn)的影響各不相同,共同構(gòu)成復(fù)雜的風(fēng)險(xiǎn)評估系統(tǒng)工程。我們在實(shí)際的風(fēng)險(xiǎn)評估工作中,主要是對已經(jīng)存在的風(fēng)險(xiǎn)提出一系列有效的安全防范措施,并依據(jù)風(fēng)險(xiǎn)措施實(shí)行采取合理的控制措施,從而使風(fēng)險(xiǎn)控制到最合理的范圍內(nèi),那么這么講就可以把它的具體實(shí)施流程劃分為兩大部分,即對風(fēng)險(xiǎn)的分析和對風(fēng)險(xiǎn)的控制。

2.2業(yè)務(wù)流程的風(fēng)險(xiǎn)模型分析

在業(yè)務(wù)開展的基本流程中,對于位置變動(dòng)資產(chǎn)的識別可以在它的開始階段就進(jìn)行,這是對位置變動(dòng)來說的,而對于位置固定的資產(chǎn)識別,就需要對每一個(gè)具體業(yè)務(wù)的節(jié)點(diǎn)進(jìn)行逐一開展。對于位置固定資產(chǎn)的識別來說,因?yàn)槠渥陨硇枰写罅康娜斯げ僮?,因此它的風(fēng)險(xiǎn)一般是集中于業(yè)務(wù)節(jié)點(diǎn)環(huán)節(jié)上,并且各個(gè)節(jié)點(diǎn)上的風(fēng)險(xiǎn)類別、發(fā)生方式、起源以及造成的后果影響都是不相同的。此外,由于這些風(fēng)險(xiǎn)的產(chǎn)生是因?yàn)槲恢霉潭ㄙY產(chǎn)而引起的,因此,在業(yè)務(wù)流程的過程中一般只需要對位置固定資產(chǎn)的風(fēng)險(xiǎn)采取相應(yīng)的控制措施就可以了,這樣也就確保了位置別動(dòng)不會對資產(chǎn)的保密性、完整性以及可用性造成威脅。

3總結(jié)

第5篇

【關(guān)鍵詞】信息系統(tǒng);信息安全;風(fēng)險(xiǎn)評估;評估方法

【中圖分類號】C931.6 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672-5158(2012)09-0025-01

一、信息安全風(fēng)險(xiǎn)評估的評估實(shí)施流程

信息安全風(fēng)險(xiǎn)評估包括:資產(chǎn)評估、威脅評估、脆弱性評估、現(xiàn)有安全措施評估、風(fēng)險(xiǎn)計(jì)算和分析、風(fēng)險(xiǎn)決策和安全建議,在風(fēng)險(xiǎn)評估之后就是要進(jìn)行安全整改。

網(wǎng)省公司信息系統(tǒng)風(fēng)險(xiǎn)評估的主要內(nèi)容包括:資產(chǎn)評估、威脅評估、脆弱性評估和現(xiàn)有安全措施評估,一般采用全面風(fēng)險(xiǎn)評估的方法,以安全顧問訪談、管理問卷調(diào)查、安全文檔分析等方式,并結(jié)合了漏洞掃描、人工安全檢查等手段,對評估范圍內(nèi)的網(wǎng)絡(luò)、主機(jī)以及相應(yīng)的部門的安全狀況進(jìn)行了全面的評估,經(jīng)過充分的分析后,得到了信息系統(tǒng)的安全現(xiàn)狀。

二、信息安全風(fēng)險(xiǎn)評估實(shí)施方法

2.1 資產(chǎn)評估

網(wǎng)省公司資產(chǎn)識別主要針對提供特定業(yè)務(wù)服務(wù)能力的應(yīng)用系統(tǒng)展開,通常一個(gè)應(yīng)用系統(tǒng)都可劃分為數(shù)據(jù)存儲、業(yè)務(wù)處理、業(yè)務(wù)服務(wù)提供和客戶端四個(gè)功能部分,這四個(gè)部分在信息系統(tǒng)的實(shí)例中都顯現(xiàn)為獨(dú)立的資產(chǎn)實(shí)體,例如:典型的協(xié)同辦公系統(tǒng)可分為客戶端、Web服務(wù)器、Domino服務(wù)器、DB2數(shù)據(jù)庫服務(wù)器四部分資產(chǎn)實(shí)體。綜合考慮資產(chǎn)的使命、資產(chǎn)本身的價(jià)值、資產(chǎn)對于應(yīng)用系統(tǒng)的重要程度、業(yè)務(wù)系統(tǒng)對于資產(chǎn)的依賴程度、部署位置及其影響范圍等因素評估信息資產(chǎn)價(jià)值。資產(chǎn)賦值是資產(chǎn)評估由定性化判斷到定量化賦值的關(guān)鍵環(huán)節(jié)。

2.2 威脅評估

威脅評估是通過技術(shù)手段、統(tǒng)計(jì)數(shù)據(jù)和經(jīng)驗(yàn)判斷來確定信息系統(tǒng)面臨的威脅的過程。在實(shí)施過程中,根據(jù)各單位業(yè)務(wù)系統(tǒng)的具體系統(tǒng)情況,結(jié)合系統(tǒng)以往發(fā)生的信息安全事件及對網(wǎng)絡(luò)、系統(tǒng)管理員關(guān)于威脅發(fā)生可能性和發(fā)展趨勢的調(diào)查,下面按照威脅的主體分別對這些威脅及其可能發(fā)生的各種情形進(jìn)行簡單描述:

2.3 脆弱性評估

脆弱性評估內(nèi)容包括管理、運(yùn)維和技術(shù)三方面的內(nèi)容,具體實(shí)施可參照公司相應(yīng)的技術(shù)或管理標(biāo)準(zhǔn)以及評估發(fā)起方的要求,根據(jù)評估選擇的策略和評估目的的不同進(jìn)行調(diào)整。下表是一套脆弱性識別對象的參考:

管理脆弱性:安全方針、信息安全組織機(jī)構(gòu)、人員安全管理、信息安全制度文件管理、信息化建設(shè)中的安全管理、信息安全等級保護(hù)工作、信息安全評估管理、信息安全的宣傳與培訓(xùn)、信息安全監(jiān)督與考核工作、符合性管理。

運(yùn)維脆弱性:信息系統(tǒng)運(yùn)行管理、資產(chǎn)分類管理、配置與變更管理、業(yè)務(wù)連續(xù)性管理、物理環(huán)境安全、設(shè)備與介質(zhì)安全。

技術(shù)脆弱性:網(wǎng)絡(luò)系統(tǒng)、主機(jī)安全、通用系統(tǒng)安全、業(yè)務(wù)系統(tǒng)安全、現(xiàn)有安全措施。

管理、運(yùn)維、技術(shù)三方面脆弱性是相互關(guān)聯(lián)的,管理脆弱性可能會導(dǎo)致運(yùn)維脆弱性和技術(shù)脆弱性的產(chǎn)生,運(yùn)維脆弱性也可能導(dǎo)致技術(shù)脆弱性的產(chǎn)生。技術(shù)的脆弱性識別主要采用工具掃描和人工審計(jì)的方式進(jìn)行,運(yùn)維和管理的脆弱性主要通過訪談和調(diào)查問卷來發(fā)現(xiàn)。此外,對以往的安全事件的統(tǒng)計(jì)和分析也是確定脆弱性的主要方法。

三、現(xiàn)有安全措施評估

通過現(xiàn)有安全措施指評估安全措施的部署、使用和管理情況,確定這些措施所保護(hù)的資產(chǎn)范圍,以及對系統(tǒng)面臨風(fēng)險(xiǎn)的消除程度。

3.1 安全技術(shù)措施評估

通過對各單位安全設(shè)備、防病毒系統(tǒng)的部署、使用和管理情況,對特征庫的更新方式、以及最近更新時(shí)間,設(shè)備自身資源使用率(CPU、MEM、DISK)、自身工作狀況、以及曾經(jīng)出現(xiàn)過的異常現(xiàn)象、告警策略、日志保存情況、系統(tǒng)中管理員的個(gè)數(shù)、管理員所使用的口令的強(qiáng)度、弱口令情況等信息進(jìn)行脆弱性分析,并確定級別。

3.2 安全管理措施評估

訪談被評估單位是否成立了信息安全領(lǐng)導(dǎo)小組,并以文件的形式明確了信息安全領(lǐng)導(dǎo)小組成員和相關(guān)職責(zé),是否結(jié)合實(shí)際提出符合自身發(fā)展的信息化建設(shè)策略,其中包括是否制定了信息安全工作的總體方針和安全策略,建立健全了各類安全管理制度,對日常管理操作建立了規(guī)范的操作規(guī)程;定期組織全員學(xué)習(xí)國家有關(guān)信息安全政策、法規(guī)等。

3.3 物理與環(huán)境安全

查看被訪談單位信息機(jī)房是否有完善的物理環(huán)境保障措施,是否有健全的漏水監(jiān)測系統(tǒng),滅火系統(tǒng)是否安全可用,有無溫濕度監(jiān)測及越限報(bào)警功能,是否配備精密空調(diào)嚴(yán)格調(diào)節(jié)控制機(jī)房內(nèi)溫度及濕度,保障機(jī)房設(shè)備的良好運(yùn)行環(huán)境。

3.4 應(yīng)急響應(yīng)與恢復(fù)管理

為正確、有效和快速處理網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件,最大限度地減少網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件對單位生產(chǎn)、經(jīng)營、管理造成的損失和對社會的不良影響,需查看被評估單位是否具備完善網(wǎng)絡(luò)信息系統(tǒng)應(yīng)急保證體系和應(yīng)急響應(yīng)機(jī)制,應(yīng)對網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件的組織指揮能力和應(yīng)急處置能力,是否及時(shí)修訂本單位的網(wǎng)絡(luò)信息系統(tǒng)突發(fā)事件應(yīng)急預(yù)案,并進(jìn)行嚴(yán)格的評審、。

3.5 安全整改

被評估單位根據(jù)信息安全風(fēng)險(xiǎn)評估結(jié)果,對本單位存在的安全風(fēng)險(xiǎn)進(jìn)行整改消除,從安全技術(shù)及安全管理兩方面,落實(shí)信息安全風(fēng)險(xiǎn)控制及管理,確保信息系統(tǒng)安全穩(wěn)定運(yùn)行。

四、結(jié)語

公司近兩年推行了“雙網(wǎng)雙機(jī)、分區(qū)分域、等級保護(hù)、分層防御”的安全防護(hù)策略和一系列安全措施,各單位結(jié)合風(fēng)險(xiǎn)評估實(shí)踐情況,以技術(shù)促安全、以管理保安全,確保公司信息系統(tǒng)穩(wěn)定運(yùn)行,為公司發(fā)展提供有力信息支撐。

參考文獻(xiàn)

第6篇

關(guān)鍵詞:云平臺;信息安全;保障;風(fēng)險(xiǎn)評估

引言

某云服務(wù)平臺是以云分布式計(jì)算系統(tǒng)為基礎(chǔ),面向全省打造的云服務(wù)平臺,實(shí)現(xiàn)大數(shù)據(jù)資源開放、互通、共享。該平臺的建設(shè)和應(yīng)用將為實(shí)現(xiàn)數(shù)據(jù)應(yīng)用、衍生產(chǎn)業(yè)提供強(qiáng)有力的支撐。該平臺將搭建電子政務(wù)云、工業(yè)云、電子商務(wù)云、智能交通云、智慧旅游云、食品安全云、環(huán)保云等,稱為“N朵云工程”。從該云平臺的總體規(guī)劃化上看,包括了公有云、私有云、混合云以及社區(qū)云,應(yīng)用場景和應(yīng)用結(jié)構(gòu)較為復(fù)雜。另一方面,隨著信息化建設(shè)的進(jìn)一步深入,將有更多業(yè)務(wù)納入該云平臺中,故而信息安全保障工作是一項(xiàng)至關(guān)重要的工作。如果一旦形成數(shù)據(jù)竊取、非法入侵、數(shù)據(jù)丟失等問題,將必將產(chǎn)生重大后果,并釀成重大事故。

1云安全保障工作重點(diǎn)

首先,我們基于云分布式計(jì)算系統(tǒng)的體系結(jié)構(gòu)分析該云平臺的邏輯結(jié)構(gòu)。我們可以將云分布式計(jì)算系統(tǒng)及其管理的云基礎(chǔ)計(jì)算資源及云基礎(chǔ)存儲資源看成該云平臺的基礎(chǔ)層,“N朵云工程”的云應(yīng)用及云服務(wù)、云平臺門戶是構(gòu)建在基礎(chǔ)層之上的應(yīng)用層。同時(shí)還有云資源權(quán)限控制體系及云管理保障服務(wù)體系作為十分重要的保障體系。根據(jù)以上分析,可以看出,從信息安全的角度上講,信息安全保障工作應(yīng)從云基礎(chǔ)安全、云平臺的云應(yīng)用及云服務(wù)安全、云應(yīng)用及云服務(wù)建設(shè)的標(biāo)準(zhǔn)化和規(guī)范化、云資源權(quán)限控制體系的安全保障、管理保障服務(wù)體系可靠有效等方面進(jìn)行分析。(1)針對云基礎(chǔ)安全方面,依據(jù)相關(guān)云分布式計(jì)算系統(tǒng)的安全白皮書的相關(guān)內(nèi)容,安全保障重點(diǎn)在于基礎(chǔ)資源的可用性檢查及故障修復(fù)、云操作系統(tǒng)的補(bǔ)丁安裝及版本升級、云平臺的邊界安全、接入安全、云基礎(chǔ)平臺建設(shè)過程監(jiān)理、云分布式計(jì)算系統(tǒng)運(yùn)維服務(wù)支持等方面。(2)針對該云平臺云應(yīng)用及云服務(wù)安全方面,需對基于云基礎(chǔ)平臺開發(fā)的應(yīng)用的權(quán)限管理、應(yīng)用漏洞掃描、公有云、私有云、混合云以及社區(qū)云的合理使用等內(nèi)容進(jìn)行評估分析。(3)針對云資源權(quán)限控制體系的安全保障方面,基于相關(guān)云分布式計(jì)算系統(tǒng)的安全白皮書的相關(guān)內(nèi)容進(jìn)行分析,可看出系統(tǒng)安全性主要通過其復(fù)雜的云資源權(quán)限控制模塊完成,因此針對云資源權(quán)限控制模塊的用戶及其權(quán)限管理是至關(guān)重要的,重中之重是對其配置的云資源權(quán)限規(guī)則的審計(jì)和檢查。(4)針對云應(yīng)用及云服務(wù)建設(shè)的標(biāo)準(zhǔn)化和規(guī)范化方面,需在應(yīng)用設(shè)計(jì)開發(fā)過程中,嚴(yán)格審計(jì)開發(fā)單位的設(shè)計(jì)思路、開發(fā)過程、開發(fā)規(guī)范性檢查,并在應(yīng)用及服務(wù)上線前,引入第三方測試,確保開發(fā)過程中嚴(yán)格按照云分布式計(jì)算系統(tǒng)的開發(fā)作業(yè)標(biāo)準(zhǔn)進(jìn)行,無嚴(yán)重性漏洞,特別是權(quán)限控制和數(shù)據(jù)管理。(5)針對系統(tǒng)可用性方面,應(yīng)嚴(yán)格監(jiān)控出口帶寬及流量消耗問題、系統(tǒng)故障影響范圍分析、系統(tǒng)故障排除周期分析等內(nèi)容。(6)針對信息安全保障制度建設(shè)方面,應(yīng)以云分布式計(jì)算系統(tǒng)的基本保障要求及云平臺自身的信息安全保障要求,構(gòu)建包括人員管理制度、開發(fā)團(tuán)隊(duì)管理制度、運(yùn)維管理制度、基礎(chǔ)配套管理制度、機(jī)房管理制度、云服務(wù)及應(yīng)用開發(fā)規(guī)范、數(shù)據(jù)應(yīng)用及交換申請?jiān)u估制度、云服務(wù)及應(yīng)用完備性測試管理制度、安全事件應(yīng)急指揮制度等在內(nèi)的多項(xiàng)規(guī)章制度建設(shè)制度。并針對每項(xiàng)制度的執(zhí)行情況做定期監(jiān)督檢查。綜上所述,云基礎(chǔ)平臺安全檢查及審計(jì)、云平臺應(yīng)用及服務(wù)、云應(yīng)用及云服務(wù)上線前審查及測試、云資源權(quán)限控制體系的管理、信息安全保障制度建設(shè)及監(jiān)督檢查是該云平臺信息安全保障工作的重點(diǎn)。

2云安全風(fēng)險(xiǎn)評估方法

依據(jù)以上分析,可得出云平臺的信息安全評估方法。依據(jù)IT基礎(chǔ)資源管理軟件、云操作系統(tǒng)的實(shí)時(shí)監(jiān)控工具等手段對云基礎(chǔ)設(shè)施進(jìn)行實(shí)時(shí)監(jiān)控,并建立應(yīng)急指揮體系,發(fā)現(xiàn)問題及時(shí)排除。由于該云平臺的“N朵云工程”的云應(yīng)用及云服務(wù)均是基于云分布式計(jì)算系統(tǒng)完成的,首先定期對云基礎(chǔ)操作系統(tǒng)進(jìn)行全面檢查及防護(hù),這也是評估工作的重點(diǎn)內(nèi)容。按照地方政府對該云平臺的基本要求,對各類數(shù)據(jù)資源及計(jì)算資源的分配權(quán)限及配置規(guī)則進(jìn)行評估檢查,確保最小化授權(quán)機(jī)制,嚴(yán)防因權(quán)限控制規(guī)則設(shè)置不當(dāng)而產(chǎn)生的數(shù)據(jù)泄露、亂用、非正常改變等問題。針對基于云分布式計(jì)算系統(tǒng)開發(fā)的相關(guān)云應(yīng)用及云服務(wù)的程序漏洞、管理口令、運(yùn)維窗口、系統(tǒng)升級流程、數(shù)據(jù)修改及銷毀過程等進(jìn)行全面的審計(jì)和安全評估。對新開發(fā)上線的云應(yīng)用及云服務(wù)進(jìn)行系統(tǒng)測評評估,確保通過評估的系統(tǒng)可上線,未過評估的應(yīng)用及服務(wù)杜絕其部署到正式環(huán)境中,特別是權(quán)限控制不嚴(yán)格的、有故有可被黑客利用的漏洞的程序。簡單可視的自動(dòng)化配置方法,降低虛擬化網(wǎng)絡(luò)安全管理的技術(shù)復(fù)雜度,屏蔽虛擬化網(wǎng)絡(luò)內(nèi)部技術(shù)細(xì)節(jié);軟件定義的安全檢測邊界,提供靈活、高效的網(wǎng)絡(luò)安全管理方法;無間斷的安全服務(wù),無需人工干預(yù)的自主安全策略跟隨遷移,適應(yīng)虛擬化動(dòng)態(tài)擴(kuò)展、自主遷移等拓?fù)涠嘧兊奶匦浴?/p>

3云應(yīng)用上線測試

云應(yīng)用上線前需要基于云分布式計(jì)算系統(tǒng)進(jìn)行性能與安全測試。服務(wù)商提供多種平臺和多種瀏覽器的平臺,一般的用戶在本地用Selenium把自動(dòng)化測試腳本編寫好,然后上傳到云平臺,然后就可以在他們的平臺上運(yùn)行測試腳本。云測試提供一整套測試環(huán)境,測試人員利用虛擬桌面等手段登錄到該測試環(huán)境,就可以立即展開測試。以現(xiàn)在的虛擬化技術(shù),在測試人員指定硬件配置、軟件棧(操作系統(tǒng)、中間件、工具軟件)、網(wǎng)絡(luò)拓?fù)浜螅瑒?chuàng)建一套新的測試環(huán)境只需幾個(gè)小時(shí)。如果測試人員可以接受已創(chuàng)建好的標(biāo)準(zhǔn)測試環(huán)境,那么他可以立即登錄。提供專業(yè)知識的服務(wù)。這些知識可以通過測試用例、測試數(shù)據(jù)、自動(dòng)測試服務(wù)等形式提供。例如,許多應(yīng)用需要讀取文件,云測試可以提供針對文件讀取的模糊測試。測試人員將被測試的應(yīng)用程序提交給云,云將其部署到多臺測試機(jī)上。在每一臺測試上,應(yīng)用程序要讀取海量的文件,每一個(gè)文件都是特意構(gòu)造的攻擊文件。一旦棧溢出、堆溢出等問題被發(fā)現(xiàn),將立即保存應(yīng)用程序的內(nèi)存映像。一段時(shí)間后,測試人員將獲得云測試返回的測試結(jié)果,暨一份詳細(xì)的分析報(bào)告和一大堆內(nèi)存映像文件。測試類型包括了:兼容測試、性能測試、功能測試、安全測試。

4結(jié)束語

本文通過以上各方面,以某云平臺為例闡述了云平臺信息安全保障及評估方法的基本研究思路和工作內(nèi)容。要提升云平臺的安全保障能力,需從組織安全管理、合規(guī)安全管理、數(shù)據(jù)安全管理、訪問控制管理、人員安全管理、物理安全管理、基礎(chǔ)安全管理、系統(tǒng)開發(fā)及維護(hù)管理、災(zāi)難恢復(fù)及業(yè)務(wù)連續(xù)性管理等方面綜合考慮,以云平臺及其應(yīng)用安全為我們研究的最終目標(biāo)。

參考文獻(xiàn):

[1]桑子華,喻愛惠.基于XenApp技術(shù)的區(qū)域性教育資源云平臺安全布署.湖南師范大學(xué)自然科學(xué)學(xué)報(bào),2016.

[2]黃宗正.關(guān)于云平臺安全審計(jì)技術(shù)的研究.工程技術(shù):文摘版,2016.

第7篇

【 關(guān)鍵詞 】 網(wǎng)絡(luò);安全;風(fēng)險(xiǎn);評估

1 前言

網(wǎng)絡(luò)風(fēng)險(xiǎn)評估就是對網(wǎng)絡(luò)自身存在的脆弱性狀況、外界環(huán)境可能導(dǎo)致網(wǎng)絡(luò)安全事件發(fā)生的可能性以及可能造成的影響進(jìn)行評價(jià)。網(wǎng)絡(luò)風(fēng)險(xiǎn)評估涉及諸多方面,為及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案,運(yùn)用有效地網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估方法可以作為保障信息安全的基本前提。網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估主要用于識別網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn),對計(jì)算機(jī)的正常運(yùn)行具有重要的作用。如何進(jìn)行網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估是當(dāng)前網(wǎng)絡(luò)安全運(yùn)行關(guān)注的焦點(diǎn)。因此,研究網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估方法具有十分重要的現(xiàn)實(shí)意義。鑒于此,本文對網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估方法進(jìn)行了初步探討。

2 概述網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估

2.1 網(wǎng)絡(luò)安全的目標(biāo)要求

網(wǎng)絡(luò)安全的核心原則應(yīng)該是以安全目標(biāo)為基礎(chǔ)。在網(wǎng)絡(luò)安全威脅日益增加的今天,要求在網(wǎng)絡(luò)安全框架模型的不同層面、不同側(cè)面的各個(gè)安全緯度,有其相應(yīng)的安全目標(biāo)要求,而這些安全目標(biāo)要求可以通過一個(gè)或多個(gè)指標(biāo)來評估,以減少信息丟失和網(wǎng)絡(luò)安全事故的發(fā)生,進(jìn)而提高工作效率,降低風(fēng)險(xiǎn)。具體說來,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估指標(biāo),如圖1所示。

2.2 風(fēng)險(xiǎn)評估指標(biāo)的確定

風(fēng)險(xiǎn)評估是識別和分析相關(guān)風(fēng)險(xiǎn)并確定應(yīng)對策略的過程。從風(fēng)險(xiǎn)評估的指標(biāo)上來看,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)指標(biāo)體系由三大部分組成,分別是網(wǎng)絡(luò)層指標(biāo)體系、傳輸網(wǎng)風(fēng)險(xiǎn)指標(biāo)體系和物理安全風(fēng)險(xiǎn)指標(biāo),為內(nèi)部控制措施實(shí)施指明了方向。同時(shí),每種指標(biāo)體系中還包含資產(chǎn)、威脅和脆弱性三要素。

3 網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估方法

網(wǎng)絡(luò)安全問題具有很強(qiáng)的動(dòng)態(tài)特征,在了解網(wǎng)絡(luò)安全的目標(biāo)要求和風(fēng)險(xiǎn)評估指標(biāo)的基礎(chǔ)上,為了更合理地評估網(wǎng)絡(luò)安全風(fēng)險(xiǎn), 使信息網(wǎng)絡(luò)安全體系具有反饋控制和快速反應(yīng)能力,可以從幾個(gè)方面入手。

3.1 網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的關(guān)鍵。在網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估中,安全風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)評估的第一個(gè)環(huán)節(jié),是全面掌握安全風(fēng)險(xiǎn)狀況的基礎(chǔ)。一般來說,風(fēng)險(xiǎn)就是指丟失所需要保護(hù)資產(chǎn)的可能性。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析就是估計(jì)網(wǎng)絡(luò)威脅發(fā)生的可能性,以及因系統(tǒng)的脆弱性而引起的潛在損失。大多數(shù)風(fēng)險(xiǎn)分析在最初要對網(wǎng)絡(luò)資產(chǎn)進(jìn)行確認(rèn)和評估;此后再用不同的方法進(jìn)行損失計(jì)算。

3.2 風(fēng)險(xiǎn)評估工作

風(fēng)險(xiǎn)評估工作在網(wǎng)絡(luò)安全中具有重要的作用。由于誘發(fā)網(wǎng)絡(luò)安全事故的因素很多,在進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估時(shí),開展安全風(fēng)險(xiǎn)評估工作,對防范安全風(fēng)險(xiǎn)有舉足輕重的作用??偟膩碚f,風(fēng)險(xiǎn)評估的方法有定量的風(fēng)險(xiǎn)評估方法和定性的風(fēng)險(xiǎn)評估方法兩種。從網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評估方法上看,不同的評估方法對安全風(fēng)險(xiǎn)的評估也不盡相同。在進(jìn)行安全風(fēng)險(xiǎn)評估時(shí),應(yīng)結(jié)合網(wǎng)絡(luò)安全的實(shí)際情況,選擇安全風(fēng)險(xiǎn)評估方法。

3.3 安全風(fēng)險(xiǎn)決策

信息安全風(fēng)險(xiǎn)評估是對信息安全進(jìn)行風(fēng)險(xiǎn)管理的最根本依據(jù),就網(wǎng)絡(luò)安全而言,安全風(fēng)險(xiǎn)決策是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的重要組成部分。安全決策就是根據(jù)評估結(jié)論決定網(wǎng)絡(luò)系統(tǒng)所需要采取的安全措施。風(fēng)險(xiǎn)分析與評估的目的是為了向網(wǎng)絡(luò)管理者提供決策支持信息,進(jìn)而形成合理的、有針對性地安全策略,保障信息系統(tǒng)安全。由上可知,安全風(fēng)險(xiǎn)決策在一定程度上可以使網(wǎng)絡(luò)威脅得到有效控制。

3.4 安全風(fēng)險(xiǎn)監(jiān)測

為加強(qiáng)網(wǎng)絡(luò)安全管理,在網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估過程中,安全風(fēng)險(xiǎn)監(jiān)測也至關(guān)重要。就目前而言,在網(wǎng)絡(luò)運(yùn)行期間,系統(tǒng)隨時(shí)都有可能產(chǎn)生新的變化,例如增添新的網(wǎng)絡(luò)軟硬件、軟件升級、設(shè)備更新等都將導(dǎo)致資產(chǎn)發(fā)生變化。這時(shí)先前的風(fēng)險(xiǎn)評估結(jié)論就失去了意義,需要重新進(jìn)行風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評估和安全決策,以適應(yīng)網(wǎng)絡(luò)系統(tǒng)的新變化。安全監(jiān)測過程能夠?qū)崟r(shí)監(jiān)視和判斷網(wǎng)絡(luò)系統(tǒng)中的各種資產(chǎn)在運(yùn)行期間的狀態(tài),并及時(shí)記錄和發(fā)現(xiàn)新的變換情況。因此,建立安全風(fēng)險(xiǎn)監(jiān)測項(xiàng)目數(shù)據(jù)庫,進(jìn)行動(dòng)態(tài)分析勢在必行。

4 結(jié)束語

網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估是一項(xiàng)綜合的系統(tǒng)工程,具有長期性和復(fù)雜性。網(wǎng)絡(luò)安全評估系統(tǒng)能夠發(fā)現(xiàn)網(wǎng)絡(luò)存在的系統(tǒng)脆弱性,在進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的過程中,應(yīng)把握好網(wǎng)絡(luò)風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評估工作、安全風(fēng)險(xiǎn)決策和安全風(fēng)險(xiǎn)監(jiān)測這幾個(gè)環(huán)節(jié),發(fā)現(xiàn)和堵塞系統(tǒng)的潛在漏洞,不斷探索網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評估方法,只有這樣,才能最大限度的降低網(wǎng)絡(luò)安全威脅,確保網(wǎng)絡(luò)的安全運(yùn)行。

參考文獻(xiàn)

[1] 覃德澤,蒙軍全.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估方法分析與比較[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2011(04).

[2] 劉楓.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估研究與實(shí)踐[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2009(11).

[3] 黨德鵬,孟真.基于支持向量機(jī)的信息安全風(fēng)險(xiǎn)評估[J].華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版),2010(03).

[4] 黃水清,張佳鑫,閆雪.一種內(nèi)部網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估模型及技術(shù)實(shí)現(xiàn)[J].情報(bào)理論與實(shí)踐,2010(02).

[5] 趙冬梅,劉金星,馬建峰.基于改進(jìn)小波神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)評估[J].計(jì)算機(jī)科學(xué),2010(02).

[6] 黎水林.基于安全域的政務(wù)外網(wǎng)安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全,2012,(07):3-5.