【摘要】伴随现代信息技术的发展,无纸化办公这一风潮正广受各国青睐并得到了推行。但是随之所带来的信息安全风险确实备受世界各国所关注及担忧,尤其是在某些公司以及政府重要部门信息泄露所带来的威胁更是无法承受。因此,防范无纸化办公所带来的信息安全风险是当前各国政府的工作重点,尤其是对于信息安全风险评估关键技术的研究与实现更是其中的一项主要内容,这对提高我国无纸化办公的安全性,减少相关信息泄露所带来的风险具有重要的意义。
【关键词】风险评估;资产识别;威胁分析
无纸化办公是当前的世界各国发展的趋势,而限制无纸化办公的关键之一就是信息安全,尤其是对于某些具有较高价值的信息,信息安全风险更是各个企业以及政府部门在建设信息化系统所必须考虑的关键。因此,建立完善的信息安全保障体系对于保障信息安全极为关键,而构建完善的信息安全保障体系其中的关键是信息安全风险的评估,我国当前在相关理论方面并无太多的研究,迫切需要根据行业及组织进行相关理论的研究。
1信息安全风险评估概述
1.1信息安全风险评估的定义
信息安全风险评估是指在信息系统在技术和管理等等所面临的安全风险,其具体包括系统的脆弱性、信息系统资产及相关安全措施、外界风险等诸多内容。事实上,信息安全风险广泛存在于任何的信息系统当中,信息安全风险的可控性才是真正的关键。通过利用信息安全风险评估对信息系统进行相应的评估,并以此作为依据建设信息系统。
1.2风险评估方法
信息安全风险的评估方法具体包括故障树分析、事件树分析、德尔菲法、模糊分析、线性加权评估等多重分析方式。故障树分析主要是通过计算故障树的最小割集借此来发现系统结构中的薄弱部分;事件树分析主要是通过对某一事件出现所可能导致的结果进行汇总与分析,这一风险评估方式需要以大量的数据作为支撑;德尔菲法主要是通过独立成员之间的工作进行汇总与分析,但是这一风险评估方式一方面需要大量的人力资源,另一方面则是需要充裕的时间以对相应的工作成果作出分析;模糊分析主要是通过程度描述评价对象,更符合人类的思考与评价方式;线性加权评估主要是通过对不同的风险评估因素相对重要性进行相应的评价,在数据处理之后以此最终判断信息系统的安全风险程度。
2信息安全风险评估关键技术
2.1资产与威胁评估
信息系统中的资产最主要是指具有价值的信息,资产评估的主要对象也正是这些信息价值的高低,只有在明确相关信息价值的基础上才能选择恰当的信息保护方式。影响资产自身价值的影响因素主要有:种类、时间、信息的完整性与保密性、威胁性,在结合实际后根据以上的因素对资产进行相应的赋值,以此得到相应的资产评估结果;威胁评估结果主要是建立在相应的资产评估结果之上,它们两者之间具有十分紧密的联系,基本上重要程度较高的资产所面临的威胁越高。而且威胁评估结果还包括一些客观的因素,这其中主要是以自然因素对于威胁评估结果具有较高的影响。
2.2脆弱性评估
信息资产的脆弱性是客观存在的事物,而且它只有在遭受到相应的威胁才会产生相应的损失。脆弱性主要是由技术脆弱性和管理脆弱性两方面,管理脆弱性是由于管理机制的缺陷所造成的漏洞,技术的脆弱性则是技术本身客观具有的缺陷所导致。针对需要保护的信息资产进行相应的脆弱性识别是保护资产的关键所在,并将威胁、资产和脆弱性三者进行综合的考虑,并依据相关的漏洞扫描工具找出系统存在的漏洞,能够有效提升信息系统的安全性。
2.3风险计算与量化分析
资产评估、威胁评估、脆弱性评估等都是为了更好地评价资产自身所具有的风险值,而这是能够有效评价相关安全事故发生的重要评价指标之一。通过将相应的风险评估结果进行量化,更加能够有效地对相应的安全事故进行处理与防范,有效的提升了信息资产自身的安全性。同时,根据相应的风险评估结果需要为相关的企业及政府机构生成相应的检测报告,更是整体风险评估当中的关键,尤其是其中的风险处理建议更是需要相关的评估人员的专业意见。
3信息风险评估的流程
3.1准备阶段
信息风险评估的准备阶段主要是确定信息评估的范围及内容,并对评估方法进行确定。这是前期所必需的准备,只有完善的前期准备才能保障后期评估工作的顺利进行与完成。
3.2实施阶段
信息风险评估的准备阶段主要是对各项信息资产的调查与评估,通过将信息资产进行相应的分类与赋值,并对其威胁性、脆弱性进行综合的评估与赋值,最终将所有的数据进行相应的处理。
3.3分析阶段
信息风险评估的分析阶段主要是对其准备阶段、实施阶段得到的数据进行进一步的汇总与处理,最终得到的结够能够有效地评价信息系统自身的安全性。由于这一评价结果受到了相应数据以及数据处理的准确性的影响,相关评估人员应对此引起重视。
4结束语
信息技术的出现彻底改变了人类的生产与生活方式,尤其是在其取得了近乎革命性的成果之后,无纸化的办公风潮更是正逐渐流行于世界各国,而且在某些注重环保的国家更是取得了较好的发展成果,诸如瑞典、瑞士、挪威等国家。我国也正是在这一风潮的影响之下,开始了自身的信息化办公道路。但是由于受到信息技术安全风险的客观存在,当前在我国某些企业以及政府的重要部门无纸化办公受到了一定的阻碍。且我国当前缺乏统一的信息风险评估标准,客观上更是对信息安全具有较大的威胁,所以在对于信息安全风险评估关键技术研究与实现上仍需要进一步的努力。
参考文献
[1]刘莹.基于知识库的信息安全风险评估技术研究与软件实现[D].山东轻工业学院,2009.
[2]孙鹏鹏,张玉清,韩臻.信息安全风险评估工具的设计与实现[J].计算机工程与应用,2007,43(9):95~98.
[3]陈鑫,王晓晗,黄河.基于威胁分析的多属性信息安全风险评估方法研究[J].计算机工程与设计,2009,30(1):38~40.
[4]胡伟,李铁克,崔建双.基于模糊层次分析法的信息安全风险评估[J].网络安全技术与应用,2005(6):32~35.
作者:吕虹 单位:贵州职业技术学院
