對信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)估研究

2017-12-28 15:45:13王金玨立信會(huì)計(jì)師事務(wù)所特殊普通合伙江蘇分所

數(shù)碼世界 2017年12期

王金玨立信會(huì)計(jì)師事務(wù)所（特殊普通合伙）江蘇分所

王金玨立信會(huì)計(jì)師事務(wù)所（特殊普通合伙）江蘇分所

隨著信息科學(xué)技術(shù)的逐漸普及，互聯(lián)網(wǎng)技術(shù)已經(jīng)在全球范圍內(nèi)得到了廣泛的應(yīng)用，目前有很多行業(yè)已經(jīng)習(xí)慣使用信息技術(shù)與網(wǎng)絡(luò)操作的方式，網(wǎng)絡(luò)信息技術(shù)已經(jīng)滲透到人們的日常生活以及學(xué)習(xí)之中，為此，加強(qiáng)對信息的安全管理已經(jīng)成為人們關(guān)注的重點(diǎn)，人們對信息安全的要求也逐漸提升。從未來信息化發(fā)展以及信息安全體系的建設(shè)過程中來看，建立完善的、科學(xué)的、合理的信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)是非常重要的。本文主要分析信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)，并且探討了信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)核手段。

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系

近幾年，隨著信息技術(shù)的快速發(fā)展以及網(wǎng)絡(luò)技術(shù)在全世界范圍之內(nèi)的普及，網(wǎng)絡(luò)以及信息系統(tǒng)的穩(wěn)定運(yùn)行被很多行業(yè)應(yīng)用到各個(gè)領(lǐng)域當(dāng)中，信息技術(shù)幾乎滲透到了社會(huì)的各個(gè)方面。網(wǎng)絡(luò)信息技術(shù)與信息技術(shù)在說的過程當(dāng)中對于信息和服務(wù)安全方面的要求是非常重要的，當(dāng)信息與服務(wù)出現(xiàn)安全問題的時(shí)候，會(huì)對使用人員產(chǎn)生不利的影響，所以必須加強(qiáng)對信息系統(tǒng)安全的重視。根據(jù)加強(qiáng)對信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估可以知道信息運(yùn)行的具體環(huán)境，這樣就可以采取相應(yīng)的措施來有效地提高信息系統(tǒng)的安全性。

1 信息安全風(fēng)險(xiǎn)在信息系統(tǒng)管理中分析

1.1 信息系統(tǒng)與信息安全彼此之間的關(guān)聯(lián)

信息系統(tǒng)主要是由計(jì)算機(jī)以及其他的設(shè)備組成的，在使用的過程當(dāng)中可以根據(jù)事先制定好的目標(biāo)，對信息進(jìn)行收集保存、儲(chǔ)存、傳輸?shù)裙δ埽谶\(yùn)行的過程當(dāng)中可以將人與計(jì)算機(jī)結(jié)合在一起，其中非常關(guān)鍵的部分就是計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)技術(shù)。信息安全主要包括數(shù)據(jù)信息的完整性、可操作性、信息的嚴(yán)密性。信息系統(tǒng)當(dāng)中的信息安全主要指的是使用人員、互聯(lián)網(wǎng)以及信息運(yùn)行環(huán)境有關(guān)的操作安全技術(shù)、信息的安全監(jiān)督管理等，在有效地保障信息傳輸過程中安全性的同時(shí)，還可以有效地保障信息的完整性、嚴(yán)密性。

1.2 威脅評(píng)估

互聯(lián)網(wǎng)技術(shù)在使用的過程當(dāng)中具有全球性、開放性的優(yōu)點(diǎn)，在方便人們?nèi)粘Ｉ畹耐瑫r(shí)，還對信息系統(tǒng)的安全性帶來了很大的影響。部分影響可能是人為故意產(chǎn)生的，也有可能是因?yàn)榕既坏氖录鴮?dǎo)致系統(tǒng)收到攻擊。部分威脅還可以通過組織的資產(chǎn)而引發(fā)人們不希望發(fā)生的事件，這樣就會(huì)威脅到信息系統(tǒng)的安全性。對信息系統(tǒng)運(yùn)行過程當(dāng)中信息資產(chǎn)可能受到的危害進(jìn)行評(píng)估被稱作是威脅評(píng)估。因?yàn)槊恳粋€(gè)信息在運(yùn)行的過程當(dāng)中都可能會(huì)受到多方面的威脅，并且每一種威脅都會(huì)利用信息自身的脆弱性而產(chǎn)生不利的影響。對信息系統(tǒng)安全造成威脅的負(fù)擔(dān)有環(huán)境因素還是有人為因素。所以，必須要對信息運(yùn)行過程當(dāng)中的每一項(xiàng)資產(chǎn)都加強(qiáng)威脅識(shí)別。

2 信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)核手段

2.1 信息安全風(fēng)險(xiǎn)評(píng)核具體內(nèi)容

信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估大體上主要包括評(píng)估資產(chǎn)的安全性以及脆弱性，對已經(jīng)制定的安全措施進(jìn)行風(fēng)險(xiǎn)評(píng)估。信息資產(chǎn)主要指的是信息產(chǎn)生的機(jī)頂應(yīng)用價(jià)值，信息資產(chǎn)時(shí)對信息系統(tǒng)進(jìn)行安全評(píng)估的過程當(dāng)中非常重要的保護(hù)目標(biāo)，其中主要包括人力、相關(guān)信息、軟件以及硬件等方面，按照信息相關(guān)的安全性、可操作性進(jìn)行安全評(píng)估等級(jí)劃分，對信息系統(tǒng)中整體的信息資產(chǎn)進(jìn)行安全評(píng)估，其主要的目的是對安全風(fēng)險(xiǎn)的要求進(jìn)行分析，根據(jù)存在的安全風(fēng)險(xiǎn)創(chuàng)建風(fēng)險(xiǎn)防范措施，這樣就可以有效地降低信息安全的威脅性。

2.2 信息安全風(fēng)險(xiǎn)

對信息系統(tǒng)的信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估主要是在各種設(shè)備的安全運(yùn)作前提下進(jìn)行的，在既定的時(shí)間之內(nèi)，黑客可以使用網(wǎng)絡(luò)安全風(fēng)險(xiǎn)中比較脆弱的部分對整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，非法獲得重要信息的訪問權(quán)限，這樣就會(huì)使得與信息有關(guān)的對象安全性失去相應(yīng)的作用，引發(fā)非常嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，這樣就會(huì)導(dǎo)致客戶的信息被竊取，導(dǎo)致嚴(yán)重的后果。對于信息系統(tǒng)來講，信息在傳輸?shù)倪^程當(dāng)中安全風(fēng)險(xiǎn)的產(chǎn)生不是不安全的體現(xiàn)，因?yàn)榇嬖诘娘L(fēng)險(xiǎn)只要可以控制就表示系統(tǒng)可以穩(wěn)定地運(yùn)行。信息安全風(fēng)險(xiǎn)的評(píng)估可以為信息系統(tǒng)的安全運(yùn)行提供有效的保障，為信息安全系統(tǒng)的運(yùn)行提供有效的技術(shù)支持。

2.3 層次分析方法

在建立完善的信息安全評(píng)估體系的時(shí)候，可以使用層次分析的方法對信息系統(tǒng)中的安全風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)。為了能夠給信息系統(tǒng)信息安全的風(fēng)險(xiǎn)評(píng)估提供有效的依據(jù)，可以通過使用層次分析的方法對信息安全中的風(fēng)險(xiǎn)進(jìn)行有效的評(píng)價(jià)，在分析的過程當(dāng)中可以結(jié)合網(wǎng)絡(luò)信息所有要素的排序情況進(jìn)行橫向的比較分析，這樣就可以評(píng)估信息安全存在的風(fēng)險(xiǎn)。在對信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估的過程當(dāng)中使用層次分析法可以有效地提高風(fēng)險(xiǎn)評(píng)估的科學(xué)性以及準(zhǔn)確性。

3 結(jié)束語

綜上所述，在這個(gè)信息管理系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的過程當(dāng)中，通過對信息安全風(fēng)險(xiǎn)評(píng)估的主體進(jìn)行研究，在評(píng)估的過程當(dāng)中使用層次分析法可以對風(fēng)險(xiǎn)進(jìn)行有效的評(píng)價(jià)，這樣就可以有效解決信息系統(tǒng)管理過程當(dāng)中存在的安全風(fēng)險(xiǎn)。通過對信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)可以對存在的風(fēng)險(xiǎn)進(jìn)行等級(jí)劃分，這樣就可以制定出合理的解決措施，有效地實(shí)現(xiàn)降低信息安全風(fēng)險(xiǎn)的效果，通過對信息系統(tǒng)當(dāng)中各種要素進(jìn)行合理的排序，就可以很快地找出信息系統(tǒng)當(dāng)中存在的薄弱部分，并且使用相應(yīng)的安全措施加以完善，這樣就可以有效地保障信息系統(tǒng)管理過程當(dāng)中信息的安全性。

[1] 黃仲. 信息安全風(fēng)險(xiǎn)評(píng)估發(fā)展現(xiàn)狀及前景分析[J]. 企業(yè)科技與發(fā)展. 2014（14）.

[2] 張良乾. 信息系統(tǒng)信息安全風(fēng)險(xiǎn)管理方法研究[J]. 信息通信，2014，05（12）：158.