序論:在您撰寫安全風(fēng)險(xiǎn)評(píng)估論文時(shí)�,參考他人的優(yōu)秀作品可以開闊視野�,小編為您整理的7篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度�。
第1篇
我國的信息安全標(biāo)準(zhǔn)化制定工作比歐美國家起步晚。全國信息化標(biāo)準(zhǔn)制定委員會(huì)及其下屬的信息安全技術(shù)委員會(huì)開展了我國信息安全標(biāo)準(zhǔn)方面工作��,完成了許多安全技術(shù)標(biāo)準(zhǔn)的制定,如GB/T18336�����、GB17859等�����。在信息系統(tǒng)的安全管理方面����,我國目前在BS7799和ISO17799及CC標(biāo)準(zhǔn)基礎(chǔ)上完成了相關(guān)的標(biāo)準(zhǔn)修訂,我國信息安全標(biāo)準(zhǔn)體系的框架也正在逐步形成之中[1]���。隨著信息系統(tǒng)安全問題所產(chǎn)生的損失�����、危害不斷加劇��,信息系統(tǒng)的安全問題越來越受到人們的普遍關(guān)注���,如今國內(nèi)高校已經(jīng)加強(qiáng)關(guān)于信息安全管理方面的研究與實(shí)踐。
2高校信息安全風(fēng)險(xiǎn)評(píng)估模型
2.1信息安全風(fēng)險(xiǎn)評(píng)估流程
[2]在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí)�����,河南牧業(yè)經(jīng)濟(jì)學(xué)院成立了信息安全風(fēng)險(xiǎn)評(píng)估小組,由主抓信息安全的副校長擔(dān)任組長����,各個(gè)相關(guān)單位和部門的代表為成員,各自負(fù)責(zé)與本系部相關(guān)的風(fēng)險(xiǎn)評(píng)估事務(wù)�。評(píng)估小組及相關(guān)人員在風(fēng)險(xiǎn)評(píng)估前接受培訓(xùn),熟悉運(yùn)作的流程��、理解信息安全管理基本知識(shí)��,掌握風(fēng)險(xiǎn)評(píng)估的方法和技巧���。學(xué)院的風(fēng)險(xiǎn)評(píng)估活動(dòng)包括以下6方面:建立風(fēng)險(xiǎn)評(píng)估準(zhǔn)則���。建立評(píng)估小組,前期調(diào)研了解安全需求�����,確定適用的表格和調(diào)查問卷等�,制定項(xiàng)目計(jì)劃����,組織人員培訓(xùn)�,依據(jù)國家標(biāo)準(zhǔn)確定各項(xiàng)安全評(píng)估指標(biāo)��,建立風(fēng)險(xiǎn)評(píng)估準(zhǔn)則��。資產(chǎn)識(shí)別�。學(xué)院一卡通管理系統(tǒng)、教務(wù)管理系統(tǒng)等關(guān)鍵信息資產(chǎn)的標(biāo)識(shí)�。威脅識(shí)別。識(shí)別網(wǎng)絡(luò)入侵�、網(wǎng)絡(luò)病毒、人為錯(cuò)誤等各種信息威脅����,衡量威脅的可發(fā)性與來源。脆弱性識(shí)別���。識(shí)別各類信息資產(chǎn)����、各控制流程與管理中的弱點(diǎn)��。風(fēng)險(xiǎn)識(shí)別�����。進(jìn)行風(fēng)險(xiǎn)場景描述,依據(jù)國家標(biāo)準(zhǔn)劃分風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)風(fēng)險(xiǎn)��,編寫河南牧業(yè)經(jīng)濟(jì)學(xué)院信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告����。風(fēng)險(xiǎn)控制。推薦���、評(píng)估并確定控制目標(biāo)和控制����,編制風(fēng)險(xiǎn)處理計(jì)劃���。學(xué)院信息安全風(fēng)險(xiǎn)評(píng)估流程圖如圖1所示:
2.2基于PDCA循環(huán)的信息安全風(fēng)險(xiǎn)評(píng)估模型
PDCA(策劃—實(shí)施—檢查—措施)經(jīng)常被稱為“休哈特環(huán)”或者“戴明環(huán)”���,是由休哈特(WalterShewhart)在19世紀(jì)30年代構(gòu)想,隨后被戴明(EdwardsDeming)采納和宣傳�。此概念的提出是為了有效控制管理過程和工作質(zhì)量。隨著管理理念的深入�,該循環(huán)在各類管理領(lǐng)域得到廣泛使用���,取得良好效果��。PDCA循環(huán)將一個(gè)過程定義為策劃��、實(shí)施����、檢查、措施四個(gè)階段���,每個(gè)階段都有階段任務(wù)和目標(biāo)���,如圖2所示,四個(gè)階段為一個(gè)循環(huán)��,一個(gè)持續(xù)的循環(huán)使過程的目標(biāo)業(yè)績持續(xù)改進(jìn)���,如圖3所示����。
3基于PDCA循環(huán)模型的信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)現(xiàn)
[3-5]河南牧業(yè)經(jīng)濟(jì)學(xué)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的研究經(jīng)驗(yàn)積累不足����,本著邊實(shí)踐邊改進(jìn)�,逐步優(yōu)化的原則����,學(xué)院決定采用基于PDCA循環(huán)的信息安全評(píng)估模型。信息安全風(fēng)險(xiǎn)評(píng)估模型為信息安全風(fēng)險(xiǎn)評(píng)估奠定了理論依據(jù)�,是有效進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的前提。學(xué)院擁有3個(gè)校區(qū)�,正在逐步推進(jìn)數(shù)字化校園的建設(shè)。校園網(wǎng)一卡通�、教務(wù)、資產(chǎn)��、檔案等管理系統(tǒng)是學(xué)院網(wǎng)絡(luò)核心業(yè)務(wù)系統(tǒng)�����,同時(shí)各院系有自己的各類教學(xué)系統(tǒng)平臺(tái)�,由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性,經(jīng)常會(huì)監(jiān)控到信息系統(tǒng)受到內(nèi)外部的網(wǎng)絡(luò)攻擊��,信息安全防范問題已經(jīng)很突出����。信息安全風(fēng)險(xiǎn)評(píng)估小組依據(jù)自行研發(fā)的管理系統(tǒng)對學(xué)院各類信息系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估(圖4),以便下一步對存在的風(fēng)險(xiǎn)進(jìn)行有效的管理,根據(jù)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告�����,提出相應(yīng)的系統(tǒng)安全方案建議���,對全院信息系統(tǒng)當(dāng)前突出的安全問題進(jìn)行實(shí)際解決。
3.1建立信息安全管理體系環(huán)境風(fēng)險(xiǎn)評(píng)估(P策劃)
風(fēng)險(xiǎn)規(guī)劃是高校開展風(fēng)險(xiǎn)評(píng)估管理活動(dòng)的首要步驟��。學(xué)院分析內(nèi)外環(huán)境及管理現(xiàn)狀���,制定包括準(zhǔn)確的目標(biāo)定位��、具體的應(yīng)對實(shí)施計(jì)劃�、合理的經(jīng)費(fèi)預(yù)算�����、科學(xué)的技術(shù)手段等風(fēng)險(xiǎn)評(píng)估管理規(guī)劃����。風(fēng)險(xiǎn)規(guī)劃內(nèi)容包括確定范圍和方針、定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法����、識(shí)別風(fēng)險(xiǎn)�、評(píng)估風(fēng)險(xiǎn)�����、識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方法����。信息安全評(píng)估風(fēng)險(xiǎn)評(píng)估管理工作獲得院領(lǐng)導(dǎo)批準(zhǔn),評(píng)估小組開始實(shí)施和運(yùn)作信息安全管理體系�����。
3.2實(shí)施并運(yùn)行信息安全管理體系(D實(shí)施)
該階段的任務(wù)是管理運(yùn)作適當(dāng)?shù)膬?yōu)先權(quán)��,執(zhí)行選擇控制���,以管理識(shí)別的信息安全風(fēng)險(xiǎn)��。學(xué)院通過自行研發(fā)的信息安全風(fēng)險(xiǎn)管理工具�����,將常見的風(fēng)險(xiǎn)評(píng)估方法集成到軟件之中�����,包括有信息資產(chǎn)和應(yīng)用系統(tǒng)識(shí)別��、風(fēng)險(xiǎn)識(shí)別與評(píng)估���、風(fēng)險(xiǎn)處置措施及監(jiān)測、風(fēng)險(xiǎn)匯總與報(bào)告生成等功能����。通過使用信息安全風(fēng)險(xiǎn)管理工具,安全風(fēng)險(xiǎn)評(píng)估工作都得到了簡化�����,減輕人員的工作量����,幫助信息安全管理人員完成復(fù)雜的風(fēng)險(xiǎn)評(píng)估工作,從而提高學(xué)院的信息安全管理水平�。
3.3監(jiān)視并評(píng)審信息安全管理體系(C檢查)
檢查階段是尋求改進(jìn)機(jī)會(huì)的階段,是PDCA循環(huán)的關(guān)鍵階段�����。信息安全管理體系分析運(yùn)行效果,檢查到不合理���、不充分的控制措施����,采取不同的糾正措施����。學(xué)院在系統(tǒng)實(shí)施過程中,規(guī)劃各院系的信息安全風(fēng)險(xiǎn)評(píng)估由本系專門人員上傳數(shù)據(jù)�����,但在具體項(xiàng)目實(shí)施中����,發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰,嚴(yán)重影響學(xué)院整體信息系統(tǒng)安全評(píng)估的可靠性����,為了強(qiáng)化人員責(zé)任意識(shí),除了加強(qiáng)風(fēng)險(xiǎn)評(píng)估的培訓(xùn)外�,還制定相應(yīng)的懲罰獎(jiǎng)勵(lì)制度,實(shí)時(shí)進(jìn)行監(jiān)督檢查��,盡最大可能保證風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)的準(zhǔn)確性[6]。
3.4改進(jìn)信息安全管理體系(A措施)
經(jīng)過以上3個(gè)步驟之后���,評(píng)估小組報(bào)告該階段所策劃的方案����,確定該循環(huán)給管理體系是否帶來明顯的效果����,是繼續(xù)執(zhí)行,還是升級(jí)改進(jìn)���、放棄重新進(jìn)行新的策劃。學(xué)院在項(xiàng)目具體實(shí)施后�����,信息安全狀況有了明顯的改善�����,信息管理人員安全責(zé)任意識(shí)明顯提升����,遭受到的內(nèi)外網(wǎng)絡(luò)攻擊���、網(wǎng)絡(luò)病毒等風(fēng)險(xiǎn)因素能及時(shí)發(fā)現(xiàn)處理。評(píng)估小組考慮將成果具體擴(kuò)大到學(xué)院其他的部門或領(lǐng)域����,開始了新一輪的PDCA循環(huán)持續(xù)改進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估。
4結(jié)語
第2篇
當(dāng)前����,人們的日常生活和生產(chǎn)活動(dòng)中,幾乎全部都能夠在網(wǎng)絡(luò)上進(jìn)行�����,這樣不僅提高了效率和效果�����,而且還在很大程度上降低了運(yùn)營成本和投資成本��。其中網(wǎng)絡(luò)的開放性是現(xiàn)代網(wǎng)絡(luò)最大的特點(diǎn)�����,無論是誰�,在什么地方都能快速���、便捷的參與到網(wǎng)絡(luò)活動(dòng)中去,任何團(tuán)體或者個(gè)人都能在網(wǎng)絡(luò)上快速獲得自己所需要的信息���。但是在這過程中�,網(wǎng)絡(luò)也暴露出了許多問題�����,很多人在利用網(wǎng)絡(luò)促進(jìn)社會(huì)發(fā)展和創(chuàng)造財(cái)富的同時(shí)�����,也有小部分的人利用網(wǎng)絡(luò)開放性的特點(diǎn)非法竊取商業(yè)機(jī)密和信息����,有的甚至還會(huì)對商業(yè)信息進(jìn)行篡改�,從而不僅造成了巨大的經(jīng)濟(jì)損失,而且還對整個(gè)社會(huì)產(chǎn)生了負(fù)面的影響���。隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展�����,網(wǎng)絡(luò)安全問題也越來越得到了人們的重視�,網(wǎng)絡(luò)安全問題不僅關(guān)系到人們的切身利益,而且它還關(guān)系到社會(huì)和國家的安全與穩(wěn)定���。近幾年來�,黑客攻擊事件頻繁發(fā)生�����,再加上人們對于網(wǎng)絡(luò)的安全意識(shí)比較淡薄�����,沒有安全漏洞的防護(hù)措施����,從而造成了嚴(yán)重的后果。
2網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
網(wǎng)絡(luò)安全的定義需要針對對象而異���,對象不同���,其定義也有所不同。例如對象是一些個(gè)體,網(wǎng)絡(luò)安全就代表著信息的機(jī)密性和完整性以及在信息傳輸過程中的安全性等�����,防止和避免某些不法分子冒用信息以及破壞訪問權(quán)限等����;如果對象是一些安全及管理部門,網(wǎng)絡(luò)安全就意味盡最大可能防止某些比較重要的信息泄露和漏洞的產(chǎn)生���,盡量降低其帶來的損失和傷害�,換句話說就是必須要保證信息的完整性�����。站在社會(huì)的意識(shí)形態(tài)角度考慮����,網(wǎng)絡(luò)安全所涉及的內(nèi)容主要包括有網(wǎng)絡(luò)上傳播的信息和內(nèi)容以及這些信息和內(nèi)容所產(chǎn)生的影響。其實(shí)網(wǎng)絡(luò)安全意味著信息安全����,必須要保障信息的可靠性��。雖然網(wǎng)絡(luò)具有很大的開放性,但是對于某些重要信息的保密性也是十分重要的���,在一系列信息產(chǎn)生到結(jié)束的過程中�����,都應(yīng)該充分保證信息的完整性���、可靠性以及保密性,未經(jīng)許可泄露給他人的行為都屬于違法行為�。
同時(shí)網(wǎng)絡(luò)上的內(nèi)容和信息必須是在可以控制的范圍內(nèi),一旦發(fā)生失誤����,應(yīng)該可以立即進(jìn)行控制和處理。當(dāng)網(wǎng)絡(luò)安全面臨著調(diào)整或威脅的時(shí)候����,相關(guān)的工作人員或部門應(yīng)該快速地做出處理,從而盡量降低損失����。在網(wǎng)絡(luò)運(yùn)行的過程中,應(yīng)該盡量減少由于人為失誤而帶來的損失和風(fēng)向�����,同時(shí)還需要加強(qiáng)人們的安全保護(hù)意識(shí),積極建立相應(yīng)的監(jiān)測機(jī)制和防控機(jī)制�,保證當(dāng)外部出現(xiàn)惡意的損害和入侵的時(shí)候能夠及時(shí)做出應(yīng)對措施,從而將損失降到最低程度�����。除此之外���,還應(yīng)該對網(wǎng)絡(luò)的安全漏洞進(jìn)行定期的檢查監(jiān)測��,一旦發(fā)現(xiàn)問題應(yīng)該及時(shí)進(jìn)行處理和修復(fù)�。
而網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估主要是對潛在的威脅和風(fēng)險(xiǎn)���、有價(jià)值的信息以及脆弱性進(jìn)行判斷���,對安全措施進(jìn)行測試,待符合要求后�����,方可采取�。同時(shí)還需要建立完整的風(fēng)險(xiǎn)預(yù)測機(jī)制以及等級(jí)評(píng)定規(guī)范,從而有利于對風(fēng)險(xiǎn)的大小以及帶來的損害做出正確的評(píng)價(jià)�。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不僅存在于信息中,而且還有可能存在于網(wǎng)絡(luò)設(shè)備中��。因此��,對于自己的網(wǎng)絡(luò)資產(chǎn)首先應(yīng)該進(jìn)行準(zhǔn)確的評(píng)估���,對其產(chǎn)生的價(jià)值大小和可能受到的威脅進(jìn)行正確的預(yù)測和評(píng)估�����,而對于本身所具有的脆弱性做出合理的風(fēng)險(xiǎn)評(píng)估���,這樣不僅有效的避免了資源的浪費(fèi),而且還在最大程度上提高了網(wǎng)絡(luò)的安全性�����。
3網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵技術(shù)
隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)達(dá)��,網(wǎng)絡(luò)安全技術(shù)也隨之在不斷的完善和提高�。近年來有很多的企業(yè)和事業(yè)單位都對網(wǎng)絡(luò)系統(tǒng)采取了相應(yīng)的、有效的防護(hù)體系�����。例如,防火墻的功能主要是對外部和內(nèi)部的信息進(jìn)行仔細(xì)的檢查和監(jiān)測��,并對內(nèi)部的網(wǎng)絡(luò)系統(tǒng)進(jìn)行隨時(shí)的檢測和防護(hù)��。利用防火墻對網(wǎng)絡(luò)的安全進(jìn)行防護(hù)��,雖然在一定程度上避免了風(fēng)險(xiǎn)的產(chǎn)生�����,但是防火墻本身具有局限性�,因此不能對因?yàn)樽约寒a(chǎn)生的漏洞而帶來的攻擊進(jìn)行防護(hù)和攻擊,同時(shí)又由于防火墻的維護(hù)系統(tǒng)是由內(nèi)而外的����,因此不能為網(wǎng)絡(luò)系統(tǒng)的安全提供重要的保障條件。針對于此�,應(yīng)該在防火墻的基礎(chǔ)上與網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估系統(tǒng)有效地進(jìn)行結(jié)合,對網(wǎng)絡(luò)的內(nèi)部安全隱患進(jìn)行調(diào)整和處理���。
從目前來看�,在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的系統(tǒng)中����,網(wǎng)絡(luò)掃描技術(shù)是人們或團(tuán)體經(jīng)常采用的技術(shù)手段之一��。網(wǎng)絡(luò)掃描技術(shù)不僅能夠?qū)⑾嚓P(guān)的信息進(jìn)行搜集和整理,而且還能對網(wǎng)絡(luò)動(dòng)態(tài)進(jìn)行實(shí)時(shí)的監(jiān)控����,從而有助于人們隨時(shí)隨地地掌握到有用的信息。近幾年來�����,隨著計(jì)算機(jī)互聯(lián)網(wǎng)在各個(gè)行業(yè)中的廣泛運(yùn)用��,使得掃描技術(shù)更加被人們進(jìn)行頻繁的使用����。對于原來的防護(hù)機(jī)制而言,網(wǎng)絡(luò)掃描技術(shù)可以在最大程度上提高網(wǎng)絡(luò)的安全系數(shù)��,從而將網(wǎng)絡(luò)的安全系數(shù)降到最低�。由于網(wǎng)絡(luò)掃描技術(shù)是對網(wǎng)絡(luò)存在的漏洞和風(fēng)險(xiǎn)的出擊手段具有主動(dòng)性,因此能夠?qū)W(wǎng)絡(luò)安全的隱患進(jìn)行主動(dòng)的檢測和判斷�����,并且在第一時(shí)間能夠進(jìn)行正確的調(diào)整和處理,而對那些惡意的攻擊����,例如黑客的入侵等,都會(huì)起到一個(gè)預(yù)先防護(hù)的作用�����。
網(wǎng)絡(luò)安全掃描針對的對象主要包括有主機(jī)���、端口以及潛在的網(wǎng)絡(luò)漏洞���。網(wǎng)絡(luò)安全掃描技術(shù)首先是對主機(jī)進(jìn)行掃描,其效率直接影響到了后面的步驟����,對主機(jī)進(jìn)行掃描主要是網(wǎng)絡(luò)控制信息協(xié)議對信息進(jìn)行判斷,由于主機(jī)自身的防護(hù)體制常常被設(shè)置為不可用的狀態(tài)����,因此可以用協(xié)議所提供的信息進(jìn)行判斷。同時(shí)可以利用Ping功能向所需要掃描的目標(biāo)發(fā)送一定量的信息�,通過收到的回復(fù)對目標(biāo)是否可以到達(dá)或發(fā)動(dòng)的信息被目標(biāo)屏蔽進(jìn)行判斷。而對于防護(hù)體系所保護(hù)的目標(biāo)��,不能直接從外部進(jìn)行掃描,可以利用反響映射探測技術(shù)對其及進(jìn)行檢測�����,當(dāng)某個(gè)目標(biāo)被探測的時(shí)候�����,可以向未知目標(biāo)傳遞數(shù)據(jù)包���,通過目標(biāo)的反應(yīng)進(jìn)行判斷。例如沒有收到相應(yīng)的信息報(bào)告��,可以借此判斷IP的地址是否在該區(qū)域內(nèi)����,由于受到相關(guān)設(shè)備的影響,也將會(huì)影響到這種方法的成功率���。而端口作為潛在的信息通道�����,通過對端口的掃描收到的有利信息量進(jìn)行分析����,從而了解內(nèi)部與外部交互的內(nèi)容,從而發(fā)現(xiàn)潛在的漏洞���,進(jìn)而能夠在很大程度上提高安全風(fēng)險(xiǎn)的防范等級(jí)��。利用相應(yīng)的探測信息包向目標(biāo)進(jìn)行發(fā)送��,從而做出反應(yīng)并進(jìn)行分析和整理���,就能判斷出端口的狀態(tài)是否處于關(guān)閉或打開的狀態(tài),并且還能對端口所提供的信息進(jìn)行整合�����。從目前來看����,端口的掃描防止主要包括有半連接、全連接以及FIN掃描�,同時(shí)也還可以進(jìn)行第三方掃描,從而判斷目標(biāo)是否被控制了���。
除此之外�����,在網(wǎng)絡(luò)安全的掃描技術(shù)中��,人們還比較常用的一種技術(shù)是網(wǎng)絡(luò)漏洞掃描技術(shù)����,這種技術(shù)對于網(wǎng)絡(luò)安全也起到了非常重要的作用。在一般情況下��,網(wǎng)絡(luò)漏洞掃描技術(shù)主要分為兩種手段�,第一種手段是先對網(wǎng)絡(luò)的端口進(jìn)行掃描�,從而搜集到相應(yīng)的信息,隨后與原本就存在的安全漏洞數(shù)據(jù)庫進(jìn)行比較����,進(jìn)而可以有效地推測出該網(wǎng)絡(luò)系統(tǒng)是否存在著網(wǎng)絡(luò)漏洞;而另外一種手段就是直接對網(wǎng)絡(luò)系統(tǒng)進(jìn)行測試��,從而獲得相關(guān)的網(wǎng)絡(luò)漏洞信息���,也就是說����,在黑客對網(wǎng)絡(luò)進(jìn)行惡意攻擊的情況下,并且這種攻擊是比較有效的��,從而得出網(wǎng)絡(luò)安全的漏洞信息���。通過網(wǎng)絡(luò)漏洞掃描技術(shù)的這種手段而獲取到的漏洞信息之后�,針對這些漏洞信息對網(wǎng)絡(luò)安全進(jìn)行及時(shí)的��、相應(yīng)的維護(hù)和處理����,從而保證網(wǎng)絡(luò)端口一直處于安全狀態(tài)。
4結(jié)語
第3篇
(1)影響儲(chǔ)配站安全的主要因素有:儲(chǔ)配設(shè)備與工藝���、電氣安全����、防火防爆措施�����、內(nèi)部布置�����、建(構(gòu))筑物、自然災(zāi)害和周邊環(huán)境等���;燃?xì)夤艿佬孤兜闹饕蚴峭饬ζ茐?�、腐蝕����、地面沉降����、管材缺陷、操作失誤�、自然災(zāi)害等,其中外力破壞是主要原因�;影響調(diào)壓站安全的主要因素有:建(構(gòu))筑物�����、調(diào)壓設(shè)施可靠性��、安全防護(hù)和通風(fēng)設(shè)施���、自然災(zāi)害和周邊環(huán)境等�。
(2)燃?xì)鈶?yīng)用系統(tǒng)風(fēng)險(xiǎn)因素。主要包括由于室內(nèi)管道閥門老化�、腐蝕,膠管老化�、脫落、損壞�����,外部機(jī)械撞擊�,使用不安全灶具(無回火安全防爆裝置和熄火保護(hù)裝置),誤操作�����,自殺和犯罪導(dǎo)致的火災(zāi)�、爆炸和人員中毒事故。
2燃?xì)夤?yīng)系統(tǒng)公共安全風(fēng)險(xiǎn)評(píng)估體系
根據(jù)以上風(fēng)險(xiǎn)分析結(jié)果可知�����,在城鎮(zhèn)燃?xì)夤?yīng)系統(tǒng)的流程上首先要保證氣源系統(tǒng)供給安全���、輸配系統(tǒng)安全以及應(yīng)用系統(tǒng)安全��。在建立城鎮(zhèn)燃?xì)夤?yīng)系統(tǒng)公共安全風(fēng)險(xiǎn)評(píng)估體系時(shí)����,還應(yīng)增加保障各流程安全的綜合安全管理水平的考核以及外界環(huán)境對系統(tǒng)影響程度的考核。因此�,將城鎮(zhèn)燃?xì)夤?yīng)系統(tǒng)風(fēng)險(xiǎn)的評(píng)估指標(biāo)劃分為五大部分,四個(gè)層次�,見下表。
3燃?xì)夤?yīng)系統(tǒng)公共安全風(fēng)險(xiǎn)評(píng)估體系應(yīng)用
3.1某城市燃?xì)夤?yīng)系統(tǒng)概況
某城市燃?xì)夤?yīng)系統(tǒng)現(xiàn)有3個(gè)門站����、3個(gè)儲(chǔ)配站、280多個(gè)調(diào)壓站�����,民用用戶180萬戶�,商服用戶8000戶,管線總長度約5000km���,燃?xì)夤芫W(wǎng)采用環(huán)狀管網(wǎng)形式供氣���,管線分為高壓��、次高壓、中壓和低壓管線��,市區(qū)均采用埋地敷設(shè)��。為預(yù)防事故采取了一系列安全保障措施����,例如媒體長期性免費(fèi)宣傳、暴露有獎(jiǎng)活動(dòng)�、企業(yè)強(qiáng)制保險(xiǎn)和家庭建議保險(xiǎn)相結(jié)合、有計(jì)劃管網(wǎng)改造���、加強(qiáng)安全巡檢和24小時(shí)客服等��。
3.2指標(biāo)權(quán)重的確定
結(jié)合對本城市燃?xì)夤?yīng)系統(tǒng)的現(xiàn)場調(diào)研���、管理咨詢及專家訪談情況,利用層析分析法����,確定各指標(biāo)權(quán)重。
4結(jié)束語
第4篇
風(fēng)險(xiǎn)評(píng)估是一項(xiàng)周期性工作��,是進(jìn)行風(fēng)險(xiǎn)管理�����。由于風(fēng)險(xiǎn)評(píng)估的結(jié)果將直接影響到信息系統(tǒng)防護(hù)措施的選擇,從而在一定程度上決定了風(fēng)險(xiǎn)管理的成效�。風(fēng)險(xiǎn)評(píng)估可以概括為:①風(fēng)險(xiǎn)評(píng)估是一個(gè)技術(shù)與管理的過程。②風(fēng)險(xiǎn)評(píng)估是根據(jù)威脅�����、脆弱性判斷系統(tǒng)風(fēng)險(xiǎn)的過程�����。③風(fēng)險(xiǎn)評(píng)估貫穿于系統(tǒng)建設(shè)生命周期的各階段���。
2.信息安全風(fēng)險(xiǎn)評(píng)估方法
(1)安全風(fēng)險(xiǎn)評(píng)估�����。為確定這種可能性����,需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性��。影響是按照系統(tǒng)在單位任務(wù)實(shí)施中的重要程度來確定的。風(fēng)險(xiǎn)評(píng)估以現(xiàn)實(shí)系統(tǒng)安全為目的�,按照科學(xué)的程序和方法�,對系統(tǒng)中的危險(xiǎn)要素進(jìn)行充分的定性、定量分析�,并作出綜合評(píng)價(jià),以便針對存在的問題��,根據(jù)當(dāng)前科學(xué)技術(shù)和經(jīng)濟(jì)條件���,提出有效的安全措施��,消除危險(xiǎn)或?qū)⑽kU(xiǎn)降到最低程度���。即:風(fēng)險(xiǎn)評(píng)估是對系統(tǒng)存在的固有和潛在危險(xiǎn)及風(fēng)險(xiǎn)性進(jìn)行定性和定量分析,得出系統(tǒng)發(fā)送危險(xiǎn)的可能性和程度評(píng)價(jià)����,以尋求最低的事故率、最少的損失和最優(yōu)的安全投資效益��。(2)風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容�����。①技術(shù)層面�。評(píng)估和分析網(wǎng)絡(luò)和主機(jī)上存在的安全技術(shù)風(fēng)險(xiǎn)��,包括物理環(huán)境��、網(wǎng)絡(luò)設(shè)備���、主機(jī)系統(tǒng)、操作系統(tǒng)��、數(shù)據(jù)庫���、應(yīng)用系統(tǒng)等軟�、硬件設(shè)備��。②管理層面����。從本單位的工作性質(zhì)、人員組成����、組織結(jié)構(gòu)、管理制度��、網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障措施及其他運(yùn)行管理規(guī)范等角度,分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷�。(3)風(fēng)險(xiǎn)評(píng)估方法。①技術(shù)評(píng)估和整體評(píng)估�����。技術(shù)評(píng)估是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序系統(tǒng)����、及時(shí)地檢查���,包括對組織內(nèi)部計(jì)算環(huán)境的安全性及對內(nèi)外攻擊脆弱性的完整性攻擊���。整體風(fēng)險(xiǎn)評(píng)估擴(kuò)展了上述技術(shù)評(píng)估的范圍,著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn)���,包括內(nèi)部和外部的風(fēng)險(xiǎn)源�����、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)����。②定性評(píng)估和定量評(píng)估。定性分析方法是使用最廣泛的風(fēng)險(xiǎn)分析方法�����。根據(jù)組織本身歷史事件的統(tǒng)計(jì)記錄等方法確定資產(chǎn)的價(jià)值權(quán)重���,威脅發(fā)生的可能性以及如將其賦值為“極低�����、低��、中����、高�����、極高”����。③基于知識(shí)的評(píng)估和基于模型的評(píng)估?;谥R(shí)的風(fēng)險(xiǎn)評(píng)估方法主要依靠經(jīng)驗(yàn)進(jìn)行���。經(jīng)驗(yàn)從安全專家處獲取并憑此來解決相似場景的風(fēng)險(xiǎn)評(píng)估問題。該方法的優(yōu)越性在于能直接提供推薦的保護(hù)措施��、結(jié)構(gòu)框架和實(shí)施計(jì)劃�。(4)信息安全風(fēng)險(xiǎn)的計(jì)算。①計(jì)算安全事件發(fā)生的可能性���。根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況�����,計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。具體評(píng)估中����,應(yīng)綜合攻擊者技術(shù)能力、脆弱性被利用的難易程度�、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性。②計(jì)算安全事件發(fā)生后的損失�����。根據(jù)資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度�����,計(jì)算安全事件一旦發(fā)生后的損失。部分安全事件損失的發(fā)生不僅針對該資產(chǎn)本身���,還可能影響業(yè)務(wù)的連續(xù)性����;不同安全事件的發(fā)生對組織造成的影響也不一樣�。③計(jì)算風(fēng)險(xiǎn)值。根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失計(jì)算風(fēng)險(xiǎn)值����。
3.風(fēng)險(xiǎn)評(píng)估模型選擇
參考多個(gè)國際風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),建立了由安全風(fēng)險(xiǎn)管理流程模型���、安全風(fēng)險(xiǎn)關(guān)系模型和安全風(fēng)險(xiǎn)計(jì)算模型共同組成的安全風(fēng)險(xiǎn)模型(見圖1)���。(1)安全風(fēng)險(xiǎn)管理過程模型。①風(fēng)險(xiǎn)評(píng)估過程���。信息安全評(píng)估包括技術(shù)評(píng)估和管理評(píng)估����。②安全風(fēng)險(xiǎn)報(bào)告。提交安全風(fēng)險(xiǎn)報(bào)告�,獲知安全風(fēng)險(xiǎn)狀況是安全評(píng)估的主要目標(biāo)。③風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)���。根據(jù)單位安全風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估的結(jié)果�����,建立本單位的風(fēng)險(xiǎn)管理系統(tǒng)�,將風(fēng)險(xiǎn)評(píng)估結(jié)果入庫保存�,為安全管理和問題追蹤提供數(shù)據(jù)基礎(chǔ)。④安全需求分析���。根據(jù)本單位安全風(fēng)險(xiǎn)評(píng)估報(bào)告,確定有效安全需求��。⑤安全建議�����。依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果����,提出相關(guān)建議�,協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu)�����,結(jié)合組織本地�、遠(yuǎn)程網(wǎng)絡(luò)架構(gòu),為制定完整動(dòng)態(tài)的安全解決方案提供參考�����。⑥風(fēng)險(xiǎn)控制����。根據(jù)安全風(fēng)險(xiǎn)報(bào)告,結(jié)合單位特點(diǎn)���,針對面對的安全風(fēng)險(xiǎn)���,分析將面對的安全影響,提供相應(yīng)的風(fēng)險(xiǎn)控制建議���。⑦監(jiān)控審核�����。風(fēng)險(xiǎn)管理過程中每一個(gè)步驟都需要進(jìn)行監(jiān)控和審核程序����,保證整個(gè)評(píng)估過程規(guī)范、安全��、可信��。⑧溝通�����、咨詢與文檔管理�。整個(gè)風(fēng)險(xiǎn)管理過程的溝通、咨詢是保證風(fēng)險(xiǎn)評(píng)估項(xiàng)目成功實(shí)施的關(guān)鍵因素���。(2)安全風(fēng)險(xiǎn)關(guān)系模型�����。安全風(fēng)險(xiǎn)關(guān)系模型以風(fēng)險(xiǎn)為中心,形象地描述了面臨的風(fēng)險(xiǎn)�、弱點(diǎn)、威脅及其相應(yīng)的資產(chǎn)價(jià)值�、防護(hù)需求��、保護(hù)措施等動(dòng)態(tài)循環(huán)的復(fù)雜關(guān)系�����。(3)安全風(fēng)險(xiǎn)計(jì)算模型�����。安全風(fēng)險(xiǎn)計(jì)算模型中詳細(xì)����、具體地提供了風(fēng)險(xiǎn)計(jì)算的方法�,通過威脅級(jí)別、威脅發(fā)生的概率及風(fēng)險(xiǎn)評(píng)估矩陣得出安全風(fēng)險(xiǎn)����。
4.結(jié)語
第5篇
1.1信息安全風(fēng)險(xiǎn)評(píng)估的含義
信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度出發(fā),構(gòu)建風(fēng)險(xiǎn)評(píng)估模型�,建立風(fēng)險(xiǎn)評(píng)估體系,運(yùn)用風(fēng)險(xiǎn)評(píng)估方法���,系統(tǒng)地分析信息系統(tǒng)所面臨的風(fēng)險(xiǎn)威脅及系統(tǒng)的脆弱性/漏洞��,評(píng)估風(fēng)險(xiǎn)發(fā)生帶來的危害程度�,提出應(yīng)對風(fēng)險(xiǎn)的安全控制措施,規(guī)避和控制信息安全風(fēng)險(xiǎn)�,降低風(fēng)險(xiǎn)發(fā)生的概率,將風(fēng)險(xiǎn)控制在可承受的范圍����,為信息安全風(fēng)險(xiǎn)評(píng)估提供科學(xué)依據(jù)。
1.2信息安全風(fēng)險(xiǎn)評(píng)估的方法
隨著信息安全風(fēng)險(xiǎn)評(píng)估研究工作的不斷深入�,形成了多種不同的信息安全風(fēng)險(xiǎn)評(píng)估方法,這些方法的出現(xiàn)大大縮短了信息安全風(fēng)險(xiǎn)評(píng)估的時(shí)間����,節(jié)省了大量的資源,提高了信息安全風(fēng)險(xiǎn)評(píng)估的效率和準(zhǔn)確性��,為防范信息安全中出現(xiàn)的風(fēng)險(xiǎn)提供了理論依據(jù)[3]�����。目前�����,常用的信息安全風(fēng)險(xiǎn)評(píng)估的方法有定量評(píng)估方法��、定性評(píng)估方法和定性與定量相結(jié)合的綜合評(píng)估方法��。其中���,定量評(píng)估方法是根據(jù)信息系統(tǒng)中風(fēng)險(xiǎn)相關(guān)數(shù)據(jù)�,利用具體的評(píng)估算法計(jì)算出評(píng)估結(jié)果�����,并對結(jié)果進(jìn)行分析���,它能夠直觀地反應(yīng)評(píng)估結(jié)果�����,更容易被人們接受���。但是該方法主要依賴于數(shù)學(xué)模型來描述風(fēng)險(xiǎn),在量化的過程中將原本復(fù)雜的事物理想化�����,一般適用于風(fēng)險(xiǎn)評(píng)估材料齊全且數(shù)學(xué)理論基礎(chǔ)較好的情況���,常見的定量評(píng)估方法有Markov分析法���、聚類分析方法�����、決策樹分析方法���、風(fēng)險(xiǎn)審計(jì)技術(shù)等。定性評(píng)估方法是評(píng)估者利用自己擁有的專業(yè)知識(shí)和積累的經(jīng)驗(yàn)對信息系統(tǒng)存在的風(fēng)險(xiǎn)進(jìn)行識(shí)別和評(píng)價(jià)�����,并提出應(yīng)對風(fēng)險(xiǎn)的安全控制措施�。它對評(píng)估者知識(shí)和經(jīng)驗(yàn)的要求較高,一般適用于風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)不全或者數(shù)學(xué)理論基礎(chǔ)較為薄弱的情況����,常見的定性評(píng)估方法有故障樹分析法(FTA)、故障模式影響及危害性分析方法(RMECA)����、德爾菲法(Delphi)等。在風(fēng)險(xiǎn)評(píng)估的實(shí)際過程中����,采用較多的是定性與定量相結(jié)合的綜合風(fēng)險(xiǎn)評(píng)估方法�����,該方法可以將復(fù)雜問題按照層次化結(jié)構(gòu)分解成多個(gè)簡單的問題進(jìn)行分析,大大節(jié)省了評(píng)估時(shí)間���、人力和費(fèi)用��,提高了風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性和效率�����,常見的定性與定量相結(jié)合的綜合評(píng)估方法有層次分析法�����。
1.3信息安全風(fēng)險(xiǎn)評(píng)估的模型
[4]信息安全風(fēng)險(xiǎn)評(píng)估模型是信息安全風(fēng)險(xiǎn)評(píng)估的理論基礎(chǔ)�����,是提高信息安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)確性和效率的重要前提��。信息安全風(fēng)險(xiǎn)評(píng)估模型如圖1所示��,造成信息安全風(fēng)險(xiǎn)的主要因素有威脅���、信息資產(chǎn)��、信息系統(tǒng)的脆弱性及漏洞和未被控制的殘余風(fēng)險(xiǎn)����,信息系統(tǒng)的威脅越大�、脆弱性越暴露、漏洞越多��、信息資產(chǎn)的價(jià)值越大�����、未被控制的風(fēng)險(xiǎn)越多����,則信息系統(tǒng)面臨的風(fēng)險(xiǎn)也越多,風(fēng)險(xiǎn)越多�����,信息系統(tǒng)的安全性越低�。業(yè)務(wù)系統(tǒng)主要依賴于服務(wù)器和軟件等信息資產(chǎn)���,業(yè)務(wù)系統(tǒng)越關(guān)鍵,對服務(wù)器等硬件和軟件資源的要求就越高�,被攻擊的價(jià)值也就越大,面臨的風(fēng)險(xiǎn)也就越大���。資產(chǎn)的價(jià)值和防范風(fēng)險(xiǎn)的意識(shí)會(huì)導(dǎo)出信息系統(tǒng)的安全需求���。當(dāng)信息系統(tǒng)的安全需求被相應(yīng)的安全控制措施滿足時(shí)���,就會(huì)降低發(fā)生風(fēng)險(xiǎn)的概率。然而有些風(fēng)險(xiǎn)由于成本過高��、控制難度較大���,往往不進(jìn)行控制����,這部分不被控制的風(fēng)險(xiǎn)具有潛在的威脅�����,應(yīng)該受到密切監(jiān)視,它可能會(huì)增加信息系統(tǒng)的風(fēng)險(xiǎn)�����。
2高校信息安全面臨的風(fēng)險(xiǎn)及應(yīng)對策略分析
隨著高校數(shù)字化校園建設(shè)和信息化建設(shè)的不斷推進(jìn)��,高校業(yè)務(wù)處理對信息系統(tǒng)的依賴性越來越強(qiáng)�。由于部分高校缺乏危機(jī)意識(shí)、防范風(fēng)險(xiǎn)的制度和措施�,沒有一套完善的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估體系預(yù)防風(fēng)險(xiǎn),當(dāng)遇到信息安全的突發(fā)事件時(shí)���,只能被動(dòng)地采用“救火式”的方法處理風(fēng)險(xiǎn)危機(jī)�����,使得信息系統(tǒng)面臨的風(fēng)險(xiǎn)不斷增加���。為了及時(shí)應(yīng)對信息系統(tǒng)面臨的各種風(fēng)險(xiǎn)威脅,各個(gè)部門���、各個(gè)環(huán)節(jié)應(yīng)密切配合�、協(xié)調(diào)��,對高校信息安全面臨的各種風(fēng)險(xiǎn)及應(yīng)對策略應(yīng)進(jìn)行調(diào)研分析,建立信息安全的風(fēng)險(xiǎn)評(píng)估體系�����,實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估的規(guī)范化和制度化�,逐步形成監(jiān)控風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的有效機(jī)制[5]。
2.1高校信息安全面臨的風(fēng)險(xiǎn)分析
高校信息安全面臨的風(fēng)險(xiǎn)一般可以分為技術(shù)脆弱性/漏洞風(fēng)險(xiǎn)和非技術(shù)性風(fēng)險(xiǎn)[6]�。
2.1.1技術(shù)脆弱性/漏洞風(fēng)險(xiǎn)
高校信息系統(tǒng)面臨的技術(shù)性/漏洞風(fēng)險(xiǎn)主要包括數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)、系統(tǒng)權(quán)限設(shè)置風(fēng)險(xiǎn)�����、軟件編碼風(fēng)險(xiǎn)�����、硬件設(shè)備風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等����。其中數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)主要體現(xiàn)在數(shù)據(jù)存儲(chǔ)空間不足�、數(shù)據(jù)備份策略不健全、數(shù)據(jù)庫安全性低容易導(dǎo)致SQL注入篡改數(shù)據(jù)庫中的數(shù)據(jù)�����、數(shù)據(jù)不被加密在傳輸過程中容易被篡改或刪除、數(shù)據(jù)庫結(jié)構(gòu)不合理等方面�����;系統(tǒng)設(shè)置權(quán)限風(fēng)險(xiǎn)主要體現(xiàn)在訪問控制策略失效�、系統(tǒng)訪問權(quán)限過大、客戶身份認(rèn)證失敗等�;軟件編碼風(fēng)險(xiǎn)主要體現(xiàn)在操作失誤、系統(tǒng)漏洞���、系統(tǒng)接口不安全��、代碼健壯性差���、系統(tǒng)運(yùn)行環(huán)境改變等;硬件設(shè)備風(fēng)險(xiǎn)主要體現(xiàn)在服務(wù)器配置過低��、物理設(shè)備損壞���、網(wǎng)絡(luò)帶寬不足��、網(wǎng)絡(luò)硬件防護(hù)設(shè)備不齊全等�����;網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要體現(xiàn)在網(wǎng)絡(luò)惡意攻擊使網(wǎng)絡(luò)癱瘓�����、服務(wù)劫持�����、拒絕服務(wù)����、利用端口漏洞破壞系統(tǒng)、內(nèi)外網(wǎng)設(shè)置缺陷����、網(wǎng)站掛馬���、非法訪問系統(tǒng)�����、竊取和篡改網(wǎng)絡(luò)傳輸數(shù)據(jù)等���。
2.1.2非技術(shù)性風(fēng)險(xiǎn)
高校信息系統(tǒng)面臨的非技術(shù)性風(fēng)險(xiǎn)主要包括人為疏忽行為����、管理不到位�、技術(shù)失效、蓄意行為和不可抗拒風(fēng)險(xiǎn)等��。其中人為疏忽行為主要體現(xiàn)在由于人為過失或非法操作導(dǎo)致服務(wù)器硬件損壞�,系統(tǒng)和數(shù)據(jù)無法恢復(fù)等;管理不到位主要體現(xiàn)在沒有安裝殺毒軟件�����、沒有做系統(tǒng)備份策略和系統(tǒng)安全防護(hù)策略等�����;技術(shù)失效主要體現(xiàn)在硬件壽命設(shè)計(jì)缺陷�、軟件服務(wù)到期、軟件后門等�;蓄意行為主要體現(xiàn)在惡意軟件、系統(tǒng)設(shè)備帶木馬程序���、蓄意泄漏機(jī)密文件�、黑客與信息敲詐等�;不可抗拒風(fēng)險(xiǎn)主要體現(xiàn)為地震、雷擊等自然災(zāi)害造成的風(fēng)險(xiǎn)�。
2.2高校信息安全面臨的風(fēng)險(xiǎn)應(yīng)對策略分析
在對信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),可以根據(jù)風(fēng)險(xiǎn)評(píng)估等級(jí)�、風(fēng)險(xiǎn)發(fā)生概率大小、風(fēng)險(xiǎn)影響大小����、控制風(fēng)險(xiǎn)的難易程度和風(fēng)險(xiǎn)管理的成本,給出處理與應(yīng)對風(fēng)險(xiǎn)的相應(yīng)策略�����,供高校決策部門和相關(guān)技術(shù)部門參考��,來降低風(fēng)險(xiǎn)對信息系統(tǒng)的影響�����。高校應(yīng)對信息安全面臨風(fēng)險(xiǎn)的應(yīng)對策略主要有風(fēng)險(xiǎn)規(guī)避�、風(fēng)險(xiǎn)轉(zhuǎn)嫁����、風(fēng)險(xiǎn)預(yù)防、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)承受和風(fēng)險(xiǎn)追蹤等�。其中風(fēng)險(xiǎn)規(guī)避是高校在風(fēng)險(xiǎn)發(fā)生之前,采取相關(guān)技術(shù)措施消除風(fēng)險(xiǎn)因素���,避免風(fēng)險(xiǎn)發(fā)生�����;風(fēng)險(xiǎn)轉(zhuǎn)嫁是高校不能完全避免風(fēng)險(xiǎn)發(fā)生時(shí)��,為了降低風(fēng)險(xiǎn)造成的損失���,將風(fēng)險(xiǎn)轉(zhuǎn)嫁給其他組織或個(gè)人承擔(dān),并支付風(fēng)險(xiǎn)承擔(dān)者一定費(fèi)用�;風(fēng)險(xiǎn)預(yù)防是高校在風(fēng)險(xiǎn)發(fā)生之前密切監(jiān)視風(fēng)險(xiǎn)的動(dòng)態(tài),采取相應(yīng)風(fēng)險(xiǎn)防范措施�����,以降低風(fēng)險(xiǎn)發(fā)生的概率�����;風(fēng)險(xiǎn)控制是高校在風(fēng)險(xiǎn)發(fā)生時(shí)采取各種技術(shù)手段降低風(fēng)險(xiǎn)影響后果����,縮小風(fēng)險(xiǎn)影響范圍等���;風(fēng)險(xiǎn)承受是高校在綜合考慮控制風(fēng)險(xiǎn)難度、控制風(fēng)險(xiǎn)花費(fèi)���、風(fēng)險(xiǎn)發(fā)生概率和高校風(fēng)險(xiǎn)承受能力等情況下�,選擇自行承擔(dān)風(fēng)險(xiǎn)的方式��;風(fēng)險(xiǎn)追蹤是高校在發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)��,對風(fēng)險(xiǎn)的來源及發(fā)起者進(jìn)行跟蹤��,查到根源后追究其相應(yīng)責(zé)任�����,客觀上可以降低風(fēng)險(xiǎn)發(fā)生的頻率�����。
3高校信息安全的風(fēng)險(xiǎn)評(píng)估過程
[7]高校信息安全風(fēng)險(xiǎn)評(píng)估過程包括風(fēng)險(xiǎn)評(píng)估目標(biāo)確定����、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)����、風(fēng)險(xiǎn)控制策略選擇和風(fēng)險(xiǎn)評(píng)估效果分析幾個(gè)環(huán)節(jié),這些環(huán)節(jié)是相輔相成����,缺一不可的。
3.1風(fēng)險(xiǎn)評(píng)估目標(biāo)確定
風(fēng)險(xiǎn)評(píng)估目標(biāo)是高校開展信息安全風(fēng)險(xiǎn)評(píng)估的首要步驟��。高校在對信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)�,應(yīng)當(dāng)制定準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估目標(biāo)。風(fēng)險(xiǎn)評(píng)估目標(biāo)主要包括風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)�����、風(fēng)險(xiǎn)因素標(biāo)準(zhǔn)���、風(fēng)險(xiǎn)控制目標(biāo)��、風(fēng)險(xiǎn)控制費(fèi)用標(biāo)準(zhǔn)���、風(fēng)險(xiǎn)防范措施制定、風(fēng)險(xiǎn)評(píng)估效果評(píng)價(jià)�、風(fēng)險(xiǎn)發(fā)生后果影響等�����。
3.2風(fēng)險(xiǎn)識(shí)別
風(fēng)險(xiǎn)識(shí)別是高校信息安全風(fēng)險(xiǎn)評(píng)估過程中最重要也最難的環(huán)節(jié)�。風(fēng)險(xiǎn)識(shí)別直接關(guān)系到風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果及風(fēng)險(xiǎn)等級(jí)的確定�,關(guān)系到風(fēng)險(xiǎn)控制策略的選擇,如果不能正確識(shí)別風(fēng)險(xiǎn)��,就不能采取正確的風(fēng)險(xiǎn)控制策略去規(guī)避和控制風(fēng)險(xiǎn)���,會(huì)大大增加風(fēng)險(xiǎn)發(fā)生的可能性��。3.3風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)價(jià)是高校信息安全風(fēng)險(xiǎn)評(píng)估過程中的主要環(huán)節(jié)���。它主要包括對風(fēng)險(xiǎn)成因、發(fā)生概率��、影響范圍��、威脅程度�����、損失大小等因素進(jìn)行定性和定量分析����,通過特定的風(fēng)險(xiǎn)評(píng)估方法進(jìn)行測算分析���,確定風(fēng)險(xiǎn)的等級(jí)及危害程度�。
3.險(xiǎn)控制策略選擇
高校在綜合考慮風(fēng)險(xiǎn)承受能力、風(fēng)險(xiǎn)控制費(fèi)用�、風(fēng)險(xiǎn)危害程度、風(fēng)險(xiǎn)發(fā)生概率和風(fēng)險(xiǎn)評(píng)估目標(biāo)等因素的基礎(chǔ)上�����,根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果�,選取相應(yīng)的風(fēng)險(xiǎn)控制策略,來降低風(fēng)險(xiǎn)發(fā)生的概率及帶來的危害�。
3.5風(fēng)險(xiǎn)評(píng)估效果分析
風(fēng)險(xiǎn)評(píng)估效果分析是高校結(jié)合自身的實(shí)際情況對風(fēng)險(xiǎn)評(píng)估等級(jí)的判斷是否準(zhǔn)確、風(fēng)險(xiǎn)識(shí)別的準(zhǔn)確性���、風(fēng)險(xiǎn)評(píng)估目標(biāo)是否達(dá)標(biāo)�、風(fēng)險(xiǎn)控制策略是否得當(dāng)���、風(fēng)險(xiǎn)評(píng)估過程的科學(xué)性���、風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)和算法的合理性進(jìn)行綜合分析的過程��。它對高校提高信息安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性和科學(xué)性有一定的指導(dǎo)作用�����。
4結(jié)語
第6篇
利用云變換得到的僅是相關(guān)的原子概念����,因未能關(guān)注原子云模型間存在的相應(yīng)關(guān)系���,由此也導(dǎo)致了兩個(gè)云之間易發(fā)生一些真空地帶���,或模型間的距離過近,所以需要對原子概念采取概念提升�,以便能獲得較粗粒度的概念,以避免所提取的定性概念無法可靠地對原始數(shù)據(jù)進(jìn)行準(zhǔn)確的描述����。文中選擇距離最近的兩個(gè)正態(tài)云概念,然后將其合并成更高層次的正態(tài)云概念�����,最終達(dá)到概念個(gè)數(shù)能滿足指定個(gè)數(shù)的目的。研究中為了產(chǎn)生不合理的合并����,引入了距離閾值,從而生成了一種新定性概念提升算法��,即MAQC算法��,具體情況如下所示:輸入���。用CLOUDS來表示云變換生成的原子概念集合,利用σ來表示距離閾值�。
2實(shí)驗(yàn)分析
2.1概念提取安全事件的獲取可為系統(tǒng)提供數(shù)據(jù)支撐,也是確保物聯(lián)網(wǎng)安全屬性概念提取的基本前提�。為了對上述提取方法的有效性進(jìn)行驗(yàn)證,本文進(jìn)行了相關(guān)實(shí)驗(yàn)��。實(shí)驗(yàn)數(shù)據(jù)選擇DARPA的入侵檢測數(shù)據(jù)集來實(shí)施試驗(yàn)網(wǎng)絡(luò)的訓(xùn)練����,對于安全事件及日志信息的采集方面,綜合運(yùn)用了多種方法�,如文件方式、Syslog及SNMPTrap等�。此外,還綜合應(yīng)用了系統(tǒng)運(yùn)行日志及數(shù)據(jù)庫等,在Matlab程序設(shè)計(jì)實(shí)現(xiàn)方面則選擇了數(shù)據(jù)的概念劃分算法�����。在概念提取方面選擇了屬性CPU利用率作為案例����,其中涵蓋了系統(tǒng)運(yùn)行48過程中產(chǎn)生的2880條數(shù)據(jù)。圖1為CPU利用率頻率分布情況�,從圖中可看出,大多數(shù)時(shí)間系統(tǒng)的CPU利用率相對較低���,但當(dāng)CPU利用率達(dá)到60%以上時(shí)��,隨著CPU利用率的逐漸升高����,數(shù)據(jù)分布也表現(xiàn)出了越來越稀疏的狀態(tài)��,數(shù)據(jù)分布情況和系統(tǒng)實(shí)際運(yùn)行情況之間保持一致����。借助EAQC算法對系統(tǒng)中CPU利用率情況采取概念提取的方式進(jìn)行評(píng)估,為盡可能簡化計(jì)算��,研究中假定梯形云的左右半云熵及超熵相同,借助云變換算法所得到的對應(yīng)數(shù)字特征情況如表1所示���。
2.2概念合并根據(jù)MAQC算法��,對上述9個(gè)不確定性概念實(shí)施了合并��,假設(shè)σ=2.5�,則再通過兩次合并后���,就可獲得5個(gè)不確定性概念�,而這幾個(gè)概念所對應(yīng)數(shù)字特征的具體情況如表2所示�����?�?梢钥闯?,在最終得到的5個(gè)定性概念能夠相對準(zhǔn)確地表現(xiàn)出CPU利用率的具體分布情況�。同時(shí),這些合并后的概念云中涵蓋了原子概念云的取值區(qū)間��,即使在進(jìn)行概念提升后的云模型概念集合無法完全客觀表現(xiàn)出原始數(shù)據(jù)的具體分布情況��,但這些合并后的云模型概念集合相對更符合人的思維,因此可被接受并加以有效應(yīng)用�����。其中屬性值借助逆向云發(fā)生器的作用�����,就能有效判斷其對概念的隸屬度���,只需根據(jù)極大判別法便可得到屬性值所屬的概念�����,在此基礎(chǔ)上完成對物聯(lián)網(wǎng)安全要素?cái)?shù)值型數(shù)據(jù)的有效軟化分��。
3結(jié)束語
第7篇
信息技術(shù)以及信息產(chǎn)業(yè)的飛速發(fā)展�����,給檔案管理信息化建設(shè)帶來了機(jī)會(huì)���,同時(shí)也給其帶來了巨大的沖擊和新的挑戰(zhàn)。信息系統(tǒng)自身所處的網(wǎng)絡(luò)環(huán)境的特點(diǎn)以及信息系統(tǒng)自身的局限性會(huì)導(dǎo)致信息系統(tǒng)的發(fā)展過程中會(huì)受到一些因素的影響����。而且���,在使用的過程中也會(huì)遇到一些認(rèn)為破壞或者是木馬等方面的破壞。所以�����,檔案管理信息化的過程中會(huì)遇到一些信息安全隱患���,這嚴(yán)重影響信息的安全可靠性��。但是����,隨著時(shí)代的快速發(fā)展�,人們在不斷的探索和研究防止信息系統(tǒng)遭受到破壞的措施�,而且在殺毒軟件和入侵檢測技術(shù)方面獲得了很大的成就。雖然這些檢測手段的使用在一定程度上可以防止惡意程序?qū)π畔⑾到y(tǒng)的破壞��,但是并沒有從根本上解決檔案信息系統(tǒng)的安全問題�����。因?yàn)殡S著信息技術(shù)的發(fā)展,信息系統(tǒng)受到的威脅也在逐漸向著多樣化的趨勢發(fā)展變化�����,而且更加的隱蔽化�����,對于信息系統(tǒng)的破壞性越來越大���。隨著信息技術(shù)的廣泛使用����,信息安全的內(nèi)涵也在不斷的豐富��,已經(jīng)不再是最開始的單單對信息保密����,而是向著保證信息的完整性、準(zhǔn)確性方向發(fā)展����,使檔案信息變得更加的實(shí)用而且具有不可否認(rèn)性。進(jìn)而實(shí)現(xiàn)多方面的防控實(shí)施技術(shù)�����。
二、檔案管理信息化中安全風(fēng)險(xiǎn)評(píng)估的作用
人們在進(jìn)行檔案信息管理的過程中受到認(rèn)識(shí)能力以及實(shí)踐能力的限制����,不能夠保證信息管理的完全安全性,所以檔案信息管理系統(tǒng)在一定程度上存在著脆弱性����,這種情況導(dǎo)致在使用檔案信息的過程中面臨著一些人為或者是自然條件的破壞,所以檔案信息管理存在安全風(fēng)險(xiǎn)具有必然性��。因此����,對檔案信息管理進(jìn)行安全風(fēng)險(xiǎn)評(píng)估具有重要的意義,信息安全建設(shè)的前提是��,基于對綜合成本以及效益的考慮����,采取有效的安全方法對風(fēng)險(xiǎn)進(jìn)行控制����,保證殘余風(fēng)險(xiǎn)降低在最小的程度。因?yàn)?��,人們追求?shí)際的信息系統(tǒng)的安全�����,是指對信息系統(tǒng)實(shí)施了風(fēng)險(xiǎn)控制之后���,接受殘余風(fēng)險(xiǎn)的存在,但是殘余風(fēng)險(xiǎn)應(yīng)該控制在最小的程度�����。所以�����,要保證檔案信息系統(tǒng)的安全可靠性�����,就應(yīng)該實(shí)施全面�、系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估,將安全風(fēng)險(xiǎn)評(píng)估的思想以及觀念貫穿到整個(gè)信息管理的過程中。通常情況下���,信息安全風(fēng)險(xiǎn)主要指的是在整個(gè)信息管理的過程中�,信息的安全屬性所面臨的危害發(fā)生的可能性�。產(chǎn)生這種可能性的原因是系統(tǒng)脆弱性、人為因素或者是其他的因素造成的威脅���。用來衡量安全事件發(fā)生的概率以及造成的影響的指標(biāo)主要有兩種���。然而,危害的程度并不只取決于安全事件發(fā)展的概率��,還與其造成的后果的嚴(yán)重性的大小有著直接的關(guān)系���。安全風(fēng)險(xiǎn)評(píng)估具有很多的特點(diǎn)����。首先��,它具有決策支持性�,這個(gè)特點(diǎn)在整個(gè)安全風(fēng)險(xiǎn)評(píng)估周期中都存在,只是內(nèi)容不相同�,因?yàn)榘踩u(píng)估的真正目的是供給安全管理支持以及服務(wù)的。在系統(tǒng)生命周期中都存在著安全隱患,所以整個(gè)生命周期中都離不開安全風(fēng)險(xiǎn)評(píng)估���。其次,比較分析性��,這個(gè)特點(diǎn)主要體現(xiàn)在對安全管理和運(yùn)營的不同的方案能夠進(jìn)行有效的比較以及分析��;能夠?qū)Σ煌尘扒闆r下使用的科學(xué)技術(shù)以及資金投入進(jìn)行比較分析���;還能夠?qū)Ξa(chǎn)生的結(jié)果進(jìn)行有效的比較分析��。最后����,前提假設(shè)性���,對檔案信息進(jìn)行管理的過程中所使用的風(fēng)險(xiǎn)評(píng)估會(huì)涉及到各種評(píng)估數(shù)據(jù)��,這些數(shù)據(jù)能夠被分為兩種����。其中一種數(shù)據(jù)的功能是對檔案信息實(shí)際情況的描述���,通過這些數(shù)據(jù)就可以了解整個(gè)檔案管理信息中的情況����;另一種數(shù)據(jù)是指預(yù)測數(shù)據(jù),主要是根據(jù)系統(tǒng)各種假設(shè)前提條件確定的����,因?yàn)樵谛畔⒐芾淼恼麄€(gè)過程中,都要對一些未知的情況進(jìn)行事先的預(yù)測��,然后做出必要的假設(shè)���,得出相關(guān)的預(yù)測數(shù)據(jù)���,再根據(jù)這些預(yù)測數(shù)據(jù)對系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。
三���、檔案管理不同階段
進(jìn)行不同的風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)的開發(fā)涉及到很多的模型����,而且隨著科學(xué)技術(shù)的快速發(fā)展��,各種模型都在不斷的升級(jí)����。從最早期的線性模型到螺旋式模型再到后來的并發(fā)式的模型�����,這些系統(tǒng)模型的開發(fā)都是為了滿足不同的系統(tǒng)需求。然而����,風(fēng)險(xiǎn)評(píng)估卻存在于整個(gè)信息系統(tǒng)的生命周期中,但是由于信息系統(tǒng)的生命周期中有很多的階段��,而且每一個(gè)階段活動(dòng)的內(nèi)容都有所差別����,因此信息管理的安全目標(biāo)以及對安全風(fēng)險(xiǎn)評(píng)估的要求也是不同的。
(一)對于分析階段的風(fēng)險(xiǎn)評(píng)估��。其真正的目的是為了實(shí)現(xiàn)規(guī)劃中的檔案信息系統(tǒng)安全風(fēng)險(xiǎn)的獲得����,這樣才能夠根據(jù)獲得的信息來滿足安全建設(shè)的具體需求。分析階段的風(fēng)險(xiǎn)評(píng)估的重點(diǎn)是抓住系統(tǒng)初期的安全風(fēng)險(xiǎn)評(píng)估�����,從而有效的滿足對安全性的需求,然后從宏觀的角度來分析和評(píng)估檔案信息管理系統(tǒng)中可能存在的危險(xiǎn)因素����。
(二)設(shè)計(jì)階段的安全風(fēng)險(xiǎn)評(píng)估。這個(gè)階段涉及到的安全目標(biāo)比較多��,所以能夠有效的確定安全目標(biāo)具有重要的意義�。應(yīng)該采取有效的措施,通過安全風(fēng)險(xiǎn)評(píng)估�����,保證檔案信息管理系統(tǒng)中安全目標(biāo)的明確���。
(三)集成實(shí)現(xiàn)階段�。這個(gè)階段的主要目的是要驗(yàn)證系統(tǒng)安全要求的實(shí)現(xiàn)效果與符合性是否一致����,所以,應(yīng)該通過有效的風(fēng)險(xiǎn)評(píng)估對其進(jìn)行驗(yàn)證�。需要注意的是,在進(jìn)行資產(chǎn)評(píng)估的時(shí)候����,如果在分析階段以及設(shè)計(jì)階段已經(jīng)對資產(chǎn)進(jìn)行了評(píng)估�,那么在這個(gè)階段就不需要再重新做資產(chǎn)評(píng)估的工作�����,防止重復(fù)性工作的發(fā)生�。所以,可以直接用前兩個(gè)階段得出的資產(chǎn)評(píng)估的結(jié)果����,但是如果在分析階段和設(shè)計(jì)階段都沒有進(jìn)行資產(chǎn)評(píng)估�,則需要在此階段先進(jìn)行這項(xiàng)工作。威脅評(píng)估依然著重威脅環(huán)境��,而且要對真實(shí)環(huán)境中的具體威脅進(jìn)行有效的分析���。除此之外����,還應(yīng)該對檔案信息管理系統(tǒng)進(jìn)行實(shí)際環(huán)境的脆弱性的有效分析�,重點(diǎn)放在信息的運(yùn)行環(huán)境以及管理環(huán)境中的脆弱性的分析。
(四)運(yùn)行維護(hù)階段�����。對檔案管理系統(tǒng)不斷的進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估,從而確保系統(tǒng)的安全�、可靠性,這樣才能夠保證檔案管理系統(tǒng)在整個(gè)生命周期中都處于安全的環(huán)境�����。
四���、檔案信息安全風(fēng)險(xiǎn)評(píng)估存在的不足
我國在檔案信息安全風(fēng)險(xiǎn)評(píng)估方面已經(jīng)取得了很大的成就��,積累了一些寶貴的經(jīng)驗(yàn)��。但是�����,由于我國檔案信息安全風(fēng)險(xiǎn)評(píng)估工作起步晚����,還存在一些不足之處�����,主要表現(xiàn)在以下幾點(diǎn)����。
(一)管理層對于信息安全風(fēng)險(xiǎn)評(píng)估缺乏一定的重視��,而且缺少一些專業(yè)評(píng)估技術(shù)人員���。當(dāng)前評(píng)估技術(shù)人員的專業(yè)技能不高也是現(xiàn)階段存在的問題。所以����,應(yīng)該對評(píng)估人員進(jìn)行定期的培訓(xùn),提高他們的專業(yè)技能�����,保證風(fēng)險(xiǎn)評(píng)估工作有效的進(jìn)行��,同時(shí)還應(yīng)該采取有效的措施來提高工作人員對于風(fēng)險(xiǎn)評(píng)估的重視���,是檔案管理信息化環(huán)境處于安全的運(yùn)行環(huán)境中。
(二)風(fēng)險(xiǎn)評(píng)估的工作流程還不夠完善��,而且一些風(fēng)險(xiǎn)技術(shù)標(biāo)準(zhǔn)也需要進(jìn)一步的更新��。檔案信息化管理的風(fēng)險(xiǎn)評(píng)估��,不僅僅是一個(gè)管理的過程,也是一個(gè)技術(shù)性的過程����,所以應(yīng)該根據(jù)實(shí)際情況來科學(xué)合理地制定工作流程和技術(shù)標(biāo)準(zhǔn)。如果所有的環(huán)境和情況都套用一種工作流程和一個(gè)技術(shù)標(biāo)準(zhǔn)���,就會(huì)導(dǎo)致不匹配現(xiàn)象的出現(xiàn)�����,不僅影響風(fēng)險(xiǎn)評(píng)估的效果���,而且在一定程度上還影響信息系統(tǒng)的安全性。
(三)評(píng)估工具的發(fā)展比較滯后��,隨著科學(xué)技術(shù)的快速發(fā)展����,信息安全漏洞會(huì)逐漸顯露出來,所以對信息系統(tǒng)的威脅逐漸增加���。應(yīng)該采用先進(jìn)的評(píng)估工具對其進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,從而滿足檔案管理信息化的需求��。
五��、結(jié)語
