信息安全風險評估關鍵技術探究

前言：尋找寫作靈感？中文期刊網用心挑選的信息安全風險評估關鍵技術探究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

【摘要】伴隨現代信息技術的發展，無紙化辦公這一風潮正廣受各國青睞并得到了推行。但是隨之所帶來的信息安全風險確實備受世界各國所關注及擔憂，尤其是在某些公司以及政府重要部門信息泄露所帶來的威脅更是無法承受。因此，防范無紙化辦公所帶來的信息安全風險是當前各國政府的工作重點，尤其是對于信息安全風險評估關鍵技術的研究與實現更是其中的一項主要內容，這對提高我國無紙化辦公的安全性，減少相關信息泄露所帶來的風險具有重要的意義。

【關鍵詞】風險評估；資產識別；威脅分析

無紙化辦公是當前的世界各國發展的趨勢，而限制無紙化辦公的關鍵之一就是信息安全，尤其是對于某些具有較高價值的信息，信息安全風險更是各個企業以及政府部門在建設信息化系統所必須考慮的關鍵。因此，建立完善的信息安全保障體系對于保障信息安全極為關鍵，而構建完善的信息安全保障體系其中的關鍵是信息安全風險的評估，我國當前在相關理論方面并無太多的研究，迫切需要根據行業及組織進行相關理論的研究。

1信息安全風險評估概述

1.1信息安全風險評估的定義

信息安全風險評估是指在信息系統在技術和管理等等所面臨的安全風險，其具體包括系統的脆弱性、信息系統資產及相關安全措施、外界風險等諸多內容。事實上，信息安全風險廣泛存在于任何的信息系統當中，信息安全風險的可控性才是真正的關鍵。通過利用信息安全風險評估對信息系統進行相應的評估，并以此作為依據建設信息系統。

1.2風險評估方法

信息安全風險的評估方法具體包括故障樹分析、事件樹分析、德爾菲法、模糊分析、線性加權評估等多重分析方式。故障樹分析主要是通過計算故障樹的最小割集借此來發現系統結構中的薄弱部分；事件樹分析主要是通過對某一事件出現所可能導致的結果進行匯總與分析，這一風險評估方式需要以大量的數據作為支撐；德爾菲法主要是通過獨立成員之間的工作進行匯總與分析，但是這一風險評估方式一方面需要大量的人力資源，另一方面則是需要充裕的時間以對相應的工作成果作出分析；模糊分析主要是通過程度描述評價對象，更符合人類的思考與評價方式；線性加權評估主要是通過對不同的風險評估因素相對重要性進行相應的評價，在數據處理之后以此最終判斷信息系統的安全風險程度。

2信息安全風險評估關鍵技術

2.1資產與威脅評估

信息系統中的資產最主要是指具有價值的信息，資產評估的主要對象也正是這些信息價值的高低，只有在明確相關信息價值的基礎上才能選擇恰當的信息保護方式。影響資產自身價值的影響因素主要有：種類、時間、信息的完整性與保密性、威脅性，在結合實際后根據以上的因素對資產進行相應的賦值，以此得到相應的資產評估結果；威脅評估結果主要是建立在相應的資產評估結果之上，它們兩者之間具有十分緊密的聯系，基本上重要程度較高的資產所面臨的威脅越高。而且威脅評估結果還包括一些客觀的因素，這其中主要是以自然因素對于威脅評估結果具有較高的影響。

2.2脆弱性評估

信息資產的脆弱性是客觀存在的事物，而且它只有在遭受到相應的威脅才會產生相應的損失。脆弱性主要是由技術脆弱性和管理脆弱性兩方面，管理脆弱性是由于管理機制的缺陷所造成的漏洞，技術的脆弱性則是技術本身客觀具有的缺陷所導致。針對需要保護的信息資產進行相應的脆弱性識別是保護資產的關鍵所在，并將威脅、資產和脆弱性三者進行綜合的考慮，并依據相關的漏洞掃描工具找出系統存在的漏洞，能夠有效提升信息系統的安全性。

2.3風險計算與量化分析

資產評估、威脅評估、脆弱性評估等都是為了更好地評價資產自身所具有的風險值，而這是能夠有效評價相關安全事故發生的重要評價指標之一。通過將相應的風險評估結果進行量化，更加能夠有效地對相應的安全事故進行處理與防范，有效的提升了信息資產自身的安全性。同時，根據相應的風險評估結果需要為相關的企業及政府機構生成相應的檢測報告，更是整體風險評估當中的關鍵，尤其是其中的風險處理建議更是需要相關的評估人員的專業意見。

3信息風險評估的流程

3.1準備階段

信息風險評估的準備階段主要是確定信息評估的范圍及內容，并對評估方法進行確定。這是前期所必需的準備，只有完善的前期準備才能保障后期評估工作的順利進行與完成。

3.2實施階段

信息風險評估的準備階段主要是對各項信息資產的調查與評估，通過將信息資產進行相應的分類與賦值，并對其威脅性、脆弱性進行綜合的評估與賦值，最終將所有的數據進行相應的處理。

3.3分析階段

信息風險評估的分析階段主要是對其準備階段、實施階段得到的數據進行進一步的匯總與處理，最終得到的結夠能夠有效地評價信息系統自身的安全性。由于這一評價結果受到了相應數據以及數據處理的準確性的影響，相關評估人員應對此引起重視。

4結束語

信息技術的出現徹底改變了人類的生產與生活方式，尤其是在其取得了近乎革命性的成果之后，無紙化的辦公風潮更是正逐漸流行于世界各國，而且在某些注重環保的國家更是取得了較好的發展成果，諸如瑞典、瑞士、挪威等國家。我國也正是在這一風潮的影響之下，開始了自身的信息化辦公道路。但是由于受到信息技術安全風險的客觀存在，當前在我國某些企業以及政府的重要部門無紙化辦公受到了一定的阻礙。且我國當前缺乏統一的信息風險評估標準，客觀上更是對信息安全具有較大的威脅，所以在對于信息安全風險評估關鍵技術研究與實現上仍需要進一步的努力。

參考文獻

[1]劉瑩.基于知識庫的信息安全風險評估技術研究與軟件實現[D].山東輕工業學院，2009.

[2]孫鵬鵬，張玉清，韓臻.信息安全風險評估工具的設計與實現[J].計算機工程與應用，2007，43（9）：95~98.

[3]陳鑫，王曉晗，黃河.基于威脅分析的多屬性信息安全風險評估方法研究[J].計算機工程與設計，2009，30（1）：38~40.

[4]胡偉，李鐵克，崔建雙.基于模糊層次分析法的信息安全風險評估[J].網絡安全技術與應用，2005（6）：32~35.

作者:呂虹 單位:貴州職業技術學院