信息安全風(fēng)險評估方案設(shè)計與應(yīng)用.pdf

1、當(dāng)今社會，網(wǎng)絡(luò)和重要信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強，國民經(jīng)濟和社會對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的依賴性越來越大，事關(guān)國家經(jīng)濟和人民生活的金融、電力、電信等國家基礎(chǔ)設(shè)施系統(tǒng)，其運行都依賴于信息網(wǎng)絡(luò)系統(tǒng)。這些系統(tǒng)一旦發(fā)生問題，輕則導(dǎo)致經(jīng)濟損失和社會生活不便，重則會使整個國家的政治、經(jīng)濟或軍事面臨著新的挑戰(zhàn)。 目前國內(nèi)信息系統(tǒng)的安全現(xiàn)狀正處于單個安全威脅向混合安全威脅變化的趨勢中，存在的主要問題是在如此復(fù)雜的信息網(wǎng)絡(luò)環(huán)境中首先就

2、需要了解有哪些風(fēng)險，評估存在的風(fēng)險，預(yù)測其發(fā)生的可能性以及對信息系統(tǒng)建設(shè)單位的影響程度，然后盡可能量化風(fēng)險，根據(jù)優(yōu)先順序，采取適當(dāng)?shù)念A(yù)防措施。 基于此背景和現(xiàn)狀，本文主要論述了信息安全風(fēng)險評估在信息系統(tǒng)使用過程中的重要性和必要性，對網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用程序等的安全性、脆弱性和威脅進行測定的方法和依據(jù)。系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性地抵御威脅的防護對策和整

3、改措施。信息安全風(fēng)險評估方案設(shè)計和應(yīng)用過程均依據(jù)了國家及國際先進的信息安全技術(shù)和管理標(biāo)準(zhǔn)、原則，體現(xiàn)了風(fēng)險評估的先進性。本文形成了信息安全風(fēng)險評估具體的方案設(shè)計，并以此方案為模板應(yīng)用于山東高速公路集團信息系統(tǒng)的風(fēng)險評估實施，今后也可為各類信息系統(tǒng)的建設(shè)單位所使用。 綜上所述，信息安全風(fēng)險評估方案設(shè)計與應(yīng)用能夠幫助信息系統(tǒng)的管理者建立信息安全管理框架，了解目前存在的安全風(fēng)險和威脅，防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，

4、進而建立安全策略、IT安全體系，最大限度地保障網(wǎng)絡(luò)和信息系統(tǒng)的安全。此外，在國家大力推行信息系統(tǒng)安全等級保護的同時，本文的設(shè)計與應(yīng)用將等級保護與風(fēng)險評估科學(xué)的結(jié)合在一起，為企事業(yè)單位更好的理解等級保護的含義、準(zhǔn)確地為信息系統(tǒng)確定等級提供依據(jù)，從而指導(dǎo)用戶單位運用技術(shù)和管理的手段對信息系統(tǒng)的風(fēng)險進行有效評估，以確保信息系統(tǒng)合乎相應(yīng)的安全等級的標(biāo)準(zhǔn)，達(dá)不到相應(yīng)安全等級的信息系統(tǒng)可采納風(fēng)險評估報告進行整改。 我認(rèn)為本文有兩點還需進一步

5、改進和完善。一是對系統(tǒng)業(yè)務(wù)流程的梳理，在安全域劃分后，業(yè)務(wù)系統(tǒng)分離成多個子系統(tǒng)，沒有把子系統(tǒng)按照業(yè)務(wù)流程聯(lián)系重新組合，在進行信息安全風(fēng)險評估時出現(xiàn)多次重復(fù)性工作；二是運用IT項目管理的方法即采用IT服務(wù)管理、控制與流程將風(fēng)險評估工作流程化、規(guī)范化、標(biāo)準(zhǔn)化，更有效的控制風(fēng)險評估達(dá)到預(yù)期目標(biāo)。項目管理流程應(yīng)該進一步細(xì)化，經(jīng)過這次應(yīng)用，對信息安全風(fēng)險評估實施過程中的工作量、分工有了更深刻的認(rèn)識，在今后的工作中部分環(huán)節(jié)可以精簡，以實現(xiàn)更合理的項