計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險(xiǎn)研究

前言：想要寫(xiě)出一篇引人入勝的文章？我們特意為您整理了計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險(xiǎn)研究范文，希望能給你帶來(lái)靈感和參考，敬請(qǐng)閱讀。

一、計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的作用分析

根據(jù)以往學(xué)者研究及實(shí)踐表明，對(duì)計(jì)算機(jī)信息安全保障的工作可歸納為安全管理、安全組織以及安全技術(shù)等三方面的體系建設(shè)。而確保其保障工作的順利展開(kāi)需以信息安全的風(fēng)險(xiǎn)評(píng)估作為核心內(nèi)容。因此對(duì)風(fēng)險(xiǎn)評(píng)估的作用主要體現(xiàn)在：首先，信息安全保障需以風(fēng)險(xiǎn)評(píng)估作為基礎(chǔ)。對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估過(guò)程多集中在對(duì)系統(tǒng)所面臨的安全性、可靠性等方面的風(fēng)險(xiǎn)，并在此基礎(chǔ)上做出相應(yīng)的防范、控制、轉(zhuǎn)移以及分散等策略。其次，信息安全風(fēng)險(xiǎn)管理中的風(fēng)險(xiǎn)評(píng)估是重要環(huán)節(jié)。從《信息安全管理系統(tǒng)要求》中不難發(fā)現(xiàn)，對(duì)ISMS的建立、實(shí)施以及維護(hù)等方面都應(yīng)充分發(fā)揮風(fēng)險(xiǎn)評(píng)估的作用。最后，風(fēng)險(xiǎn)評(píng)估的核查作用。驗(yàn)收信息系統(tǒng)設(shè)計(jì)安裝等是否滿(mǎn)足安全標(biāo)準(zhǔn)時(shí)，風(fēng)險(xiǎn)評(píng)估可提供具體的數(shù)據(jù)參考。同時(shí)在維護(hù)信息系統(tǒng)貴過(guò)程中，通過(guò)風(fēng)險(xiǎn)評(píng)估也可將系統(tǒng)對(duì)環(huán)境變化的適應(yīng)能力以及相關(guān)的安全措施進(jìn)行核查。若出現(xiàn)信息系統(tǒng)出現(xiàn)故障問(wèn)題時(shí)，風(fēng)險(xiǎn)評(píng)估又可對(duì)其中的風(fēng)險(xiǎn)作出分析并采取相應(yīng)的技術(shù)或管理措施。

二、計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估方法分析

（一）以定性與定量為主的評(píng)估方法。

計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法中應(yīng)用較為廣泛的主要為定性評(píng)估方式，其分析內(nèi)容大多為信息系統(tǒng)威脅事件可能發(fā)生的概率及其可能造成的損失。通常以指定期望值進(jìn)行表示如高值、中值以及低值等。但這種方式無(wú)法將風(fēng)險(xiǎn)的大小作出正確判斷。另外定量分析方法對(duì)威脅事件發(fā)生的可能性與其所造成的損失評(píng)估時(shí)，首先會(huì)對(duì)特定資產(chǎn)價(jià)值進(jìn)行分析，再以客觀數(shù)據(jù)為依據(jù)對(duì)威脅頻率進(jìn)行計(jì)算，當(dāng)完成威脅影響系數(shù)的計(jì)算后，便將三者綜合分析，最終推出計(jì)算風(fēng)險(xiǎn)的等級(jí)。

（二）以知識(shí)和模型為基礎(chǔ)的風(fēng)險(xiǎn)評(píng)估。

以知識(shí)為基礎(chǔ)的風(fēng)險(xiǎn)評(píng)估通常會(huì)根據(jù)安全專(zhuān)家的評(píng)估經(jīng)驗(yàn)為依據(jù)，優(yōu)勢(shì)在于風(fēng)險(xiǎn)評(píng)估的結(jié)構(gòu)框架、實(shí)施計(jì)劃以及保護(hù)措施可被提供，對(duì)較為相似的機(jī)構(gòu)可直接利用以往的保護(hù)措施等便可實(shí)現(xiàn)機(jī)構(gòu)安全風(fēng)險(xiǎn)的降低。另外以模型為基礎(chǔ)的評(píng)估方式可將計(jì)算機(jī)信息系統(tǒng)自身的風(fēng)險(xiǎn)及其與外部環(huán)境交互過(guò)程中存在的不利因素等進(jìn)行分析，以此實(shí)現(xiàn)對(duì)系統(tǒng)安全風(fēng)險(xiǎn)的定性評(píng)估。

（三）動(dòng)態(tài)評(píng)估與分析方式。

計(jì)算信息系統(tǒng)風(fēng)險(xiǎn)管理實(shí)際又可理解為信息安全管理的具體過(guò)程，一般會(huì)將信息安全方針的制定、風(fēng)險(xiǎn)的評(píng)估與控制、控制方式的選擇等內(nèi)容包含在內(nèi)。整個(gè)評(píng)估與分析方式具有一定的動(dòng)態(tài)特征，以PDCA為典型代表，其計(jì)劃、實(shí)施、檢查以及改進(jìn)實(shí)現(xiàn)了對(duì)風(fēng)險(xiǎn)的動(dòng)態(tài)管理。

（四）典型風(fēng)險(xiǎn)評(píng)估與差距分析方法分析。

典型風(fēng)險(xiǎn)評(píng)估主要包括FTA、FMECA、Hazop等方法，對(duì)計(jì)算機(jī)信息系統(tǒng)設(shè)計(jì)中潛在的故障與薄弱之處，都可提出相應(yīng)的解決措施，以FTA故障樹(shù)分析為典型代表，在分析家算計(jì)信息系統(tǒng)的安全性與可靠性方面極為有效。差距分析方式往往以識(shí)別、判斷以及具體分析的方式對(duì)系統(tǒng)的安全要求與當(dāng)前的系統(tǒng)現(xiàn)狀存在的差距進(jìn)行系統(tǒng)風(fēng)險(xiǎn)的確定，存在的差距越大則證明存在的風(fēng)險(xiǎn)越大。

三、結(jié)論

計(jì)算機(jī)信息系統(tǒng)風(fēng)險(xiǎn)的評(píng)估是解決當(dāng)前信息時(shí)代下網(wǎng)絡(luò)問(wèn)題的必然途徑。在實(shí)際評(píng)估過(guò)程中，需以具體的評(píng)估標(biāo)準(zhǔn)為依據(jù)，立足于自身計(jì)算機(jī)信息系統(tǒng)的安全現(xiàn)狀，選擇相應(yīng)的風(fēng)險(xiǎn)評(píng)估方法。這樣才可促使計(jì)算機(jī)信息系統(tǒng)的安全性與可靠性得以保障，發(fā)揮其在各領(lǐng)域中的應(yīng)用效果，同時(shí)對(duì)計(jì)算機(jī)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)研究過(guò)程主要需從具體的等級(jí)保護(hù)標(biāo)準(zhǔn)、安全保障評(píng)估的具體框架、風(fēng)險(xiǎn)評(píng)估的基本原則以及具體過(guò)程等方面著手，使整個(gè)計(jì)算機(jī)信息系統(tǒng)風(fēng)險(xiǎn)研究評(píng)估達(dá)到最佳化。

作者：張小兵 單位：赤峰學(xué)院計(jì)算機(jī)與信息工程學(xué)院