信息系統(tǒng)實(shí)施階段風(fēng)險(xiǎn)評(píng)估模型研究.pdf

1、當(dāng)前，隨著信息技術(shù)發(fā)展和社會(huì)信息化進(jìn)程的全面加快，國(guó)民經(jīng)濟(jì)對(duì)信息和信息系統(tǒng)的依賴(lài)越來(lái)越大。由此而產(chǎn)生的信息安全問(wèn)題也日益突出，必須高度重視，并有充分的對(duì)策。信息安全管理的本質(zhì)是風(fēng)險(xiǎn)管理，這是因?yàn)闆](méi)有絕對(duì)的安全也沒(méi)有徹底的風(fēng)險(xiǎn)，安全和風(fēng)險(xiǎn)密不可分。所謂的安全的信息系統(tǒng)，就是通過(guò)最優(yōu)的風(fēng)險(xiǎn)管理策略，把信息系統(tǒng)上客觀存在的風(fēng)險(xiǎn)，逐步降低到一個(gè)可以接受的程度。而風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的第一步工作，是保障信息安全的重要手段，其作用被越來(lái)越多的人所認(rèn)可

2、。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)際上就是根據(jù)有關(guān)的信息安全測(cè)評(píng)標(biāo)準(zhǔn)，對(duì)信息資產(chǎn)存在的脆弱性、面臨的威脅以及脆弱性被威脅利用會(huì)產(chǎn)生的負(fù)面影響和危害事件發(fā)生的可能性，進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程。對(duì)信息系統(tǒng)風(fēng)險(xiǎn)而言，脆弱性和威脅是原因，負(fù)面影響和可能性是結(jié)果。在信息化建設(shè)中進(jìn)行信息系統(tǒng)的風(fēng)險(xiǎn)分析和安全管理，是一個(gè)新的和十分重要的課題，已經(jīng)引起國(guó)家的高度重視。信息安全管理不單單是管理體制或技術(shù)問(wèn)題，而是策略、管理和技術(shù)有機(jī)結(jié)合。本文結(jié)合不同信息系統(tǒng)開(kāi)發(fā)方法特點(diǎn)，將

3、信息系統(tǒng)開(kāi)發(fā)的各個(gè)階段進(jìn)行了明確的劃分，并將系統(tǒng)實(shí)施階段的工作任務(wù)進(jìn)行了有效地闡述。然后，以系統(tǒng)安全工程能力成熟模型(SSE-CMM)為理論指導(dǎo)，基于過(guò)程改善的思想，結(jié)合信息系統(tǒng)安全風(fēng)險(xiǎn)的特性，對(duì)信息系統(tǒng)實(shí)施階段風(fēng)險(xiǎn)特點(diǎn)進(jìn)行了闡述，給出了實(shí)施階段系統(tǒng)風(fēng)險(xiǎn)的特點(diǎn)；并結(jié)合風(fēng)險(xiǎn)評(píng)估理論和方法，提出了信息系統(tǒng)實(shí)施階段風(fēng)險(xiǎn)層次指標(biāo)體系，將系統(tǒng)實(shí)施階段的風(fēng)險(xiǎn)體系分為風(fēng)險(xiǎn)來(lái)源、影響范圍和防范措施三個(gè)層次進(jìn)行詳細(xì)描述，并將為風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制提供了理論