公司網(wǎng)絡(luò )和信息系統安全風(fēng)險管理與實(shí)施評估研究論文

　　本文是一篇項目風(fēng)險管理論文，本文以 X 公司網(wǎng)絡(luò )和信息系統的安全性為背景，以“X公司網(wǎng)絡(luò )與信息系統安全風(fēng)險管理與實(shí)施評估研究”作為主題，全方位考慮網(wǎng)絡(luò )和信息系統的安全性、可靠性和實(shí)用性，對其可能存在的風(fēng)險點(diǎn)進(jìn)行綜合分析與評估，并根據評估意見(jiàn)提出合理的解決方案，建立完善的信息安全保障體系，為網(wǎng)絡(luò )和信息系統安全管理提供可靠的理論依據。

　　第一章 緒論

　　1.1 研究背景和意義

　　1.1.1 問(wèn)題的提出

　　隨著(zhù)我國深入開(kāi)展信息化建設工作，信息化與工業(yè)化融合的需求逐步增強，信息系統對工業(yè)的支撐作用逐步顯現，信息系統的安全穩定運行直接關(guān)系到企業(yè)秩序與國計民生。X 公司的業(yè)務(wù)作為工業(yè)領(lǐng)域的典型代表，其信息化需求程度正隨著(zhù)行業(yè)發(fā)展逐步提高，業(yè)務(wù)邏輯等對于信息系統的依賴(lài)程度進(jìn)一步增加，信息安全的盲點(diǎn)逐漸顯現。這些信息系統不同程度的存在著(zhù)網(wǎng)絡(luò )層面、業(yè)務(wù)層面、應用層面的安全隱患問(wèn)題，而這些安全隱患相對分散，對單個(gè)隱患處理整改后不能整體、有效的提升公司信息安全水平，缺乏統一的實(shí)施方案進(jìn)行指導。

　　基于 X 公司網(wǎng)絡(luò )和信息系統的安全狀況，本項目通過(guò)技術(shù)測試手段與管理手段相結合的方式，對公司重要的信息系統開(kāi)展信息安全風(fēng)險評估工作，通過(guò)規范化安全防護策略，提升重要在運對外服務(wù)業(yè)務(wù)系統信息安全防護能力，能夠有效抵御公司外部有組織性的威脅源發(fā)起的惡意攻擊，保證信息安全、避免信息損失是當前面臨的首要任務(wù)。本文以 X 公司網(wǎng)絡(luò )和信息系統的安全性為背景，以“X公司網(wǎng)絡(luò )與信息系統安全風(fēng)險管理與實(shí)施評估研究”作為主題，全方位考慮網(wǎng)絡(luò )和信息系統的安全性、可靠性和實(shí)用性，對其可能存在的風(fēng)險點(diǎn)進(jìn)行綜合分析與評估，并根據評估意見(jiàn)提出合理的解決方案，建立完善的信息安全保障體系，為網(wǎng)絡(luò )和信息系統安全管理提供可靠的理論依據。

　　1.1.2 研究意義

　　近年來(lái)，隨著(zhù)社會(huì )經(jīng)濟的快速發(fā)展和市場(chǎng)化進(jìn)程的進(jìn)一步加快，原有 X 公司體制逐步向市場(chǎng)化轉變，并加強信息化工作投入力度，利用信息化支撐公司發(fā)展，以提高勞動(dòng)生產(chǎn)率和管理水平，從而提高企業(yè)在行業(yè)內的綜合競爭力。但是，隨著(zhù)信息系統的互聯(lián)范圍進(jìn)一步擴大，信息網(wǎng)絡(luò )面臨日益突出的信息系統安全風(fēng)險。在企業(yè)的綜合信息管理系統中，必須從信息網(wǎng)絡(luò )、操作系統等各方面來(lái)保證系統的安全。研究信息系統所面臨的安全性問(wèn)題，并根據安全威脅建立系統的安全防護方案，制訂在信息網(wǎng)絡(luò )遭受惡意攻擊情況下的防范措施及數據恢復措施等信息安全應急預案是當前信息化工作的重要內容。本文以 X 公司網(wǎng)絡(luò )和信息系統的安全性為背景，對網(wǎng)絡(luò )和信息系統中存在的安全隱患和威脅進(jìn)行分析評估，利用研究結果指導信息系統安全保防護系的建立，為該公司網(wǎng)絡(luò )和信息系統安全管理提供可靠的理論依據。

　　1.2本文主要方法和內容

　　1.2.2 研究方法

　　本文主要采取了調查法、文獻研究法、描述性研究法和經(jīng)驗總結法對課題進(jìn)行研究。通過(guò)分析和研究，探索課題研究的目的和意義，提出研究思路和方法，達到研究的目的。在梳理國內外相關(guān)研究文獻和資料的基礎上，分析了 X 公司網(wǎng)絡(luò )和信息系統安全風(fēng)險管理的現狀和需求，采用了先進(jìn)的技術(shù)手段和管理方法對風(fēng)險進(jìn)行了評估，建立了完善的安全保障體系。

　　在項目的實(shí)施過(guò)程中，主要使用的方法工具有包括工作分解結構（WBS）和甘特圖。

　　1.工作分解結構

　　工作分解結構（Work Breakdown Structure,WBS）是指把一個(gè)項目按照一定的原則分解成一個(gè)個(gè)的任務(wù)，再將這些任務(wù)進(jìn)行分解，分解成一項一項的工作，最后把這些工作分配給每個(gè)人。工作分解結構的功能是對項目的工作范圍進(jìn)行定義，并把項目的關(guān)鍵要素進(jìn)行分組。本文第五章中，根據項目的工作需求，應用WBS 將項目進(jìn)行了分解，變成可更加易于管理的部分，使得付成果更加詳細。

　　2.甘特圖

　　甘特圖（Gantt chart）常用于進(jìn)度管理。它能夠很直觀(guān)的表明在整個(gè)項目實(shí)施的過(guò)程中，計劃任務(wù)在什么時(shí)間進(jìn)行，實(shí)際進(jìn)度與計劃進(jìn)度之間的對比。它基本就是一條線(xiàn)形圖，縱軸是活動(dòng)，橫軸是時(shí)間。每項活動(dòng)的計劃或實(shí)際完成用線(xiàn)條表示。它的優(yōu)點(diǎn)是圖形化界面，易于使用和理解；缺點(diǎn)是不使用于關(guān)系復雜的項目。本文第五章中，運用了甘特圖對項目的時(shí)間進(jìn)行管理，定義了保障項目按時(shí)完成所需的各個(gè)時(shí)間點(diǎn)，確保了項目的順利完成。

　　第二章 相關(guān)理論綜述

　　2.1 風(fēng)險評估概述

　　2.1.1 風(fēng)險評估原則

　　風(fēng)險評估可以更好的評價(jià)網(wǎng)絡(luò )和信息系統的安全性和可靠性，為進(jìn)一步提升信息安全性能和安全壞境提供了很好的參考依據，從而使信息系統能夠更好的服務(wù)于企業(yè)、服務(wù)于用戶(hù)。風(fēng)險評估的原則主要包括：最小影響原則、標準性原則、可控性原則、整體性原則、保密原則和互動(dòng)性原則。具體如下：

　　1.最小影響原則：從評估所采用的工具技術(shù)和管理方法等層面，充分做好風(fēng)險評估工作計劃，在盡可能小的影響目前信息系統的正常運行運轉的前提下，最好的完成風(fēng)險評估工作。

　　2.標準性原則：在項目方案的設計、應用過(guò)程中，不僅要保證項目的高效、便捷開(kāi)展，還要考慮其是否符合國家的相關(guān)規范要求，如等級保護基本技術(shù)要求、相關(guān)主管機關(guān)要求。

　　3.可控性原則：對風(fēng)險評估的實(shí)施過(guò)程采取全過(guò)程監控，其中包括人員可控性、工具可控性和項目過(guò)程可控性。

　�。�1）人員可控性

　　參與網(wǎng)絡(luò )和信息系統風(fēng)險評估的工作人員均要進(jìn)行資格審查，并在工作說(shuō)明中明確規定評估人員的工作職責。同時(shí)，在工作過(guò)程中，如果需要進(jìn)行人員的調整，要嚴格履行審批手續，確保人員的可控。

　�。�2）工具可控性

　　風(fēng)險評估的工具都要經(jīng)過(guò)多方面額的性能對比，并取得專(zhuān)家和有關(guān)部門(mén)的認可。同時(shí)，在評估工作中需要應用到的工具技術(shù)都要事先向評估對象進(jìn)行介紹，并進(jìn)行實(shí)驗后才可以使用。

　�。�3）項目過(guò)程可控性

　　項目的風(fēng)險評估都要依據管理學(xué)的方法，注重項目的溝通管理，實(shí)現項目全過(guò)程的可控。

　　4.整體性原則：按照評估對象的要求進(jìn)行劃分，并開(kāi)展全面的風(fēng)險評估工作，評估內容涉及到網(wǎng)絡(luò )和信息系統安全的各個(gè)層面。

　　5.保密原則：必須與委托單位及個(gè)人簽訂工作保密協(xié)議，協(xié)議明確規定過(guò)程各類(lèi)數據等均要進(jìn)行嚴格的保密，未經(jīng)雙方許可不得以任何方式泄露給其他人，否則委托單位將有權追究法律責任。

　　6.互動(dòng)性原則：在進(jìn)行網(wǎng)絡(luò )和信息系統安全性風(fēng)險評估時(shí)，將重點(diǎn)強調受評估方與評估方之間的互動(dòng)，項目領(lǐng)導小組以及實(shí)施小組成員必須由雙方共同組成，從而保證項目執行的效果，有效提高受評估方的安全技能等。

　　2.2 信息資產(chǎn)識別

　　2.2.1 信息資產(chǎn)要素定義

　　安全風(fēng)險評估的對象主要是針對風(fēng)險評估范圍內的所有信息資產(chǎn)。信息是機構保障業(yè)務(wù)發(fā)展的資產(chǎn)，與其他的有形資產(chǎn)（如：服務(wù)器、網(wǎng)絡(luò )設備等）一樣，它對各業(yè)務(wù)系統而言具有非常重要的價(jià)值，這些資產(chǎn)十分容易受到信息安全威脅的侵害，造成不必要的后果。

　　在對 X 公司的風(fēng)險評估中，風(fēng)險的所有重要因素都以業(yè)務(wù)信息資產(chǎn)為中心，包括威脅、脆弱性、風(fēng)險都是客觀(guān)存在的。與以往將每個(gè)網(wǎng)絡(luò )設備、服務(wù)器、人員甚至業(yè)務(wù)信息資產(chǎn)分別獨立的識別、賦值并劃分重要程度等級不同，為達到分析業(yè)務(wù)影響性和整體安全風(fēng)險的目的，就不能孤立對單個(gè)設備進(jìn)行估價(jià)，更重要的是要考慮所有資產(chǎn)所構成的整體對于業(yè)務(wù)的重要影響，即損失某一或整個(gè)資產(chǎn)可能引發(fā)的威脅。

　　2.2.2 主要工作和意義

　　1.調查和統計 X 公司業(yè)務(wù)信息數據類(lèi)型和分類(lèi)；

　　2.調查 X 公司的業(yè)務(wù)系統和網(wǎng)絡(luò )的拓撲結構，梳理業(yè)務(wù)信息數據交互時(shí)所生成的本地計算環(huán)境和網(wǎng)絡(luò )結構；

　　3.明確網(wǎng)絡(luò )設備和本地計算環(huán)境的現有狀況、配置情況和管理情況。例如，主機系統需要明確其開(kāi)發(fā)平臺、系統版本、補丁升級等基本情況外，還需明確主機所開(kāi)放的端口和服務(wù)等配置信息；

　　4.對業(yè)務(wù)資產(chǎn)信息進(jìn)行交換時(shí)所涉及的硬件資產(chǎn)進(jìn)行識別和估價(jià)，包括對資產(chǎn)的分類(lèi)、編號，根據其在業(yè)務(wù)信息交互過(guò)程中所起的重要作用確定資產(chǎn)的價(jià)值。

　　正確管理企業(yè)信息資產(chǎn)，對于一個(gè)機構來(lái)說(shuō)是非常必要的。因此，為了更好的開(kāi)展風(fēng)險評估工作，就必須對業(yè)務(wù)系統所涉及范圍內的相關(guān)資產(chǎn)進(jìn)行安全識別，從而根據資產(chǎn)在業(yè)務(wù)和應用流程中的重要性進(jìn)行估價(jià)。

　　本項目具體實(shí)施的方法以業(yè)務(wù)信息資產(chǎn)為主線(xiàn)，評價(jià)為了保證業(yè)務(wù)信息正常流轉而必須的網(wǎng)絡(luò )設備、服務(wù)器、安全設備等資產(chǎn)的重要性

　　第三章 X 公司網(wǎng)絡(luò )和信息系統安全風(fēng)險現狀分析 .................. 13

　　3.1 公司網(wǎng)絡(luò )和信息系統安全控制機制 ............................ 13

　　3.1.1 明確信息安全管控機制 ................................ 13

　　3.1.2 建立信息安全督查機制................................ 15

　　第四章 X 公司網(wǎng)絡(luò )和信息系統安全風(fēng)險評估實(shí)施流程 .............. 20

　　4.1 需求分析和準備工作 ........................................ 20

　　4.1.1 用戶(hù)需求界定范圍 .................................... 20

　　4.1.2 系統架構需求分析 .................................... 20

　　第五章 X 公司網(wǎng)絡(luò )和信息系統安全風(fēng)險評估過(guò)程管理 .............. 28

　　5.1 項目整體管理過(guò)程 .......................................... 28

　　5.2 項目組織.................................................. 30

　　第六章 X 公司網(wǎng)絡(luò )和信息系統安

　　全風(fēng)險的評估控制

　　6.1 安全風(fēng)險的評估管理分析

　　6.1.1 評估工作質(zhì)量管控

　　此外，在組織開(kāi)展信息安全風(fēng)險評估工作中，風(fēng)險評估實(shí)施過(guò)程接受用戶(hù)的質(zhì)量監督，以確保實(shí)施過(guò)程嚴格按照工作方案進(jìn)行風(fēng)險評估的。安全評估工作成果接受由領(lǐng)導小組組織的相關(guān)人員所進(jìn)行的質(zhì)量審查。

　　6.1.2 評估工作安全風(fēng)險管控

　　被評估信息系統可能存在一定的風(fēng)險，但是安全風(fēng)險評估工作本身也具有一定的客觀(guān)風(fēng)險，如果評估過(guò)程風(fēng)險防范不夠，將給系統正常運行帶來(lái)一定的影響。如果遇到無(wú)法解決問(wèn)題，應由項目雙方工作人員共同協(xié)商進(jìn)行解決。

　　第七章 結論和展望

　　7.1 研究結論

　　X 公司所開(kāi)展的針對網(wǎng)絡(luò )和信息系統的風(fēng)險評估，是在工業(yè)化與信息化融合背景下組織實(shí)施信息化建設的重要組成部分，評估成果將直接制約著(zhù)企業(yè)生產(chǎn)進(jìn)程的穩鍵發(fā)展，以及 IT 業(yè)務(wù)核心的機密性、完整性和可用性。目前，該公司信息安全隱患相對分散，對單個(gè)隱患處理整改后不能整體、有效的提升公司信息安全水平，缺乏統一的實(shí)施方案進(jìn)行指導。為了解決上述問(wèn)題，同時(shí)適應管理體系的整體構建，助力堅強企業(yè)建設，需要在信息內網(wǎng)、信息外網(wǎng)進(jìn)行安全評估和資產(chǎn)清查，全面掌握當前信息安全狀況，并后期信息安全體系架構制定發(fā)展規劃，指導信息安全工作發(fā)展方向。

　　通過(guò)本項目的研究，能夠全面掌握信息系統安全現狀，掌握該公司購置的所有安全設備的運行狀況及利用效果，針對信息系統安全配置不足及未充分利用的安全設備提出改進(jìn)措施，并參照當前實(shí)際情況及國家信息規劃要求制定信息安全工作發(fā)展方向，明確信息安全各階段工作目標及內容，梳理信息安全工作各項流程，將信息安全風(fēng)險管控工作標準化、合理化。

　　參考文獻（略）

【公司網(wǎng)絡(luò )和信息系統安全風(fēng)險管理與實(shí)施評估研究論文】相關(guān)文章：

我國壽險公司風(fēng)險評估研究11-25

管理畢業(yè)論文-如何評估市場(chǎng)研究公司03-03

相似云下的網(wǎng)絡(luò )安全風(fēng)險評估論文11-27

傳統風(fēng)險導向審計和現代風(fēng)險導向審計風(fēng)險評估策略比較研究03-21

網(wǎng)絡(luò )教育生態(tài)管理研究論文12-04

研討壽險公司的風(fēng)險評估03-26

電力企業(yè)網(wǎng)絡(luò )和信息安全管理初探論文11-13

關(guān)于模糊綜合的信息安全風(fēng)險評估03-02

資源多約束進(jìn)度網(wǎng)絡(luò )的風(fēng)險評估03-21

我國網(wǎng)絡(luò )信息資源管理研究論文的統計分析03-05