風(fēng)險評估在信息安全中的有效運用論文

　　摘要:信息化時(shí)代在加快人們獲取資源速度的同時(shí)，也帶來(lái)了極大的弊端，由于現今人們對網(wǎng)絡(luò )的依賴(lài)程度越來(lái)越高，使網(wǎng)絡(luò )平臺變得越來(lái)越復雜，很多企業(yè)都將自身的機密保留在網(wǎng)絡(luò )中，一旦受到了惡意侵犯，將直接會(huì )為企業(yè)帶來(lái)巨大的損失。因此為了避免該問(wèn)題的發(fā)生，在信息化時(shí)代研究出了信息安全風(fēng)險評估，其在極大程度上降低了網(wǎng)絡(luò )遭遇侵襲的幾率�；�于此，本文著(zhù)重從三個(gè)方面講述了信息安全中風(fēng)險評估的應用，隨后對其關(guān)鍵技術(shù)進(jìn)行了研究分析，以此來(lái)供相關(guān)人士交流參考。

　　關(guān)鍵詞:風(fēng)險評估;信息安全;關(guān)鍵技術(shù);探究應用

　　信息安全風(fēng)險評估是基于信息遭到惡意侵襲而研究出來(lái)的一種可以對風(fēng)險發(fā)生可能性進(jìn)行分析的一種評估方法。其最早出現在上世紀中期，由于評估方法多樣且均存在有一定的局限性，因此在使用評估方法進(jìn)行評估時(shí)，就需要結合實(shí)際的情況對現有的評估方法進(jìn)行改進(jìn)，并對其關(guān)鍵技術(shù)進(jìn)行研究，以保證評估方法可以有效發(fā)揮自身的作用，降低信息安全的風(fēng)險。

　　1信息安全中風(fēng)險評估的原則及工具

　　1.1保密原則

　　使用風(fēng)險評估對信息安全進(jìn)行評估時(shí)，一定要進(jìn)行嚴格的保密，可以采取提前簽署保密協(xié)定的方式或是利用保密監視的手段對評估進(jìn)行保密。除此之外，還要將該評估直接添加到安全監管體系中，避免又有新的風(fēng)險出現在評估過(guò)程中。

　　1.2標準型原則

　　進(jìn)行信息安全風(fēng)險評估時(shí)，一定要結合相關(guān)的標準進(jìn)行評估，做到有據可依。此外，在進(jìn)行風(fēng)險計算時(shí)，可以使用科學(xué)合理的數學(xué)模型來(lái)計算，同時(shí)還要確保整個(gè)工作均有與標準相符的評價(jià)指標，以使本次評估更具有可信度，增強整個(gè)評估過(guò)程的有效性以及科學(xué)性。

　　1.3主動(dòng)型評估工具

　　對于主動(dòng)型評估工具，其是通過(guò)人工編制而成的，在對信息安全風(fēng)險進(jìn)行評估時(shí)，采取的是主動(dòng)評估的方式，直接對計算機的防火墻進(jìn)行掃描，從而找出系統正常運行過(guò)程中程序內部存在的潛在威脅。

　　1.4被動(dòng)型評估工具

　　被動(dòng)型評估工具與主動(dòng)型評估工具在評估時(shí)恰好相反，其在對風(fēng)險評估時(shí)，主要是通過(guò)守株待兔的方式有效地守住數據的關(guān)卡，對所有流入計算機的數據進(jìn)行檢測，如果捕捉到了較為敏感的數據，直接就會(huì )對其分析。此外，該類(lèi)型的評估工具有著(zhù)極為明顯的優(yōu)點(diǎn)，其可以對系統在運行階段的安全情況進(jìn)行準確的監控。但是如果流入系統的數據存在潛在威脅，該類(lèi)型的評估工具在評估準確度上便不如主動(dòng)型評估工具。

　　1.5管理型評估工具

　　該類(lèi)型的評估工具主要是管理整個(gè)評估的過(guò)程，其可以有效與前兩種評估工具相結合，同時(shí)也可以利用研究分析而成的風(fēng)險管理模型對整個(gè)安全系統進(jìn)行管理。

　　2信息安全風(fēng)險評估關(guān)鍵技術(shù)研究

　　2.1威脅分析技術(shù)

　　信息安全中無(wú)時(shí)無(wú)刻都存在有潛在的威脅，如果不能及時(shí)發(fā)現，就會(huì )對資產(chǎn)或者組織帶來(lái)潛在的損害，其可以通過(guò)動(dòng)機、途徑、主體以及資源等途徑實(shí)現，就威脅而言，其主要分為人為因素以及環(huán)境因素兩種，就環(huán)境因素來(lái)講，分為物理因素以及不可抗因素。人為因素分為惡意因素以及非惡意因素。具體的評估步驟如下所示：

　　2.1.1識別威脅

　　研究人員需要根據信息資源的實(shí)際情況以及當前環(huán)境結合自身的經(jīng)驗對其可能面對的威脅進(jìn)行評估，由于潛在的威脅形式多樣，所以需要結合具體的威脅采取針對性的方式識別。

　　2.1.2評估威脅

　　待對威脅識別完成之后，緊接著(zhù)研究人員就需要對威脅可能發(fā)生的幾率進(jìn)行評估，其需要結合威脅來(lái)源以及種類(lèi)將威脅劃分成不同的級別，然后依照類(lèi)別的不同對可能性進(jìn)行定義，即威脅的等級越高，就說(shuō)明威脅發(fā)生的可能性越大。

　　2.2資產(chǎn)管理技術(shù)

　　資管管理技術(shù)主要應用于對價(jià)值較高的信息資源的風(fēng)險評估，具體的形式包括有硬件、文檔以及部分服務(wù)、形象等。在進(jìn)行信息安全風(fēng)險評估時(shí)，首先要進(jìn)行的就是資產(chǎn)評估，此外，在評估的過(guò)程中還要遵循風(fēng)險評估的保密原則，具體的評估方法如下：

　　2.2.1劃分資產(chǎn)類(lèi)別

　　由于資產(chǎn)的來(lái)源多樣，包括業(yè)務(wù)管理系統以及網(wǎng)絡(luò )等，因此在評估時(shí)不能采用統一評估的方式，應按照其不同的用途以及形態(tài)先對其進(jìn)行劃分。

　　2.2.2資產(chǎn)賦值

　　待對資產(chǎn)類(lèi)別劃分結束以后，就需要結合不同的資產(chǎn)類(lèi)別對其進(jìn)行賦值，總共級別有五級，其在衡量時(shí)并不需要結合賬面的價(jià)格來(lái)衡量，僅需要在考慮到資產(chǎn)的投入成本的基礎上，選取相對價(jià)值作為衡量標準。此外，評估人員還需要明確資產(chǎn)評估對網(wǎng)絡(luò )信息業(yè)務(wù)的重要性，同時(shí)也要明確影響資產(chǎn)賦值的因素，即包括信譽(yù)影響、商業(yè)利益、系統破壞以及系統安全等。

　　2.3脆弱性識別技術(shù)

　　脆弱性識別主要包括技術(shù)層面以及管理方面，其在對不安全數據以及因素進(jìn)行識別時(shí)，可以直接使用漏洞掃描的方式對網(wǎng)絡(luò )設備以及主機進(jìn)行掃描，尤其是對于一些需要保護的資產(chǎn)，在掃描過(guò)程中如果發(fā)現了潛在的威脅，就要結合其脆弱性的強度以及威脅可能發(fā)生的機會(huì )展開(kāi)風(fēng)險評估。由于掃描軟件是漏洞掃描的必要設備，所以當前市場(chǎng)上也涌入了大批功能強大的掃描軟件，可以用于對大多數系統漏洞的掃描。待掃描結束以后，掃描軟件會(huì )自行對掃描到的數據進(jìn)行研究分析，從而輸出可以反映出系統是否存在風(fēng)險漏洞的信息。

　　3結束語(yǔ)

　　信息化時(shí)代有效地推動(dòng)了社會(huì )的發(fā)展，但是由于網(wǎng)絡(luò )數據的透明，也帶來(lái)了眾多安全風(fēng)險，尤其是對于一些存儲在計算機內部的機密文件，一旦受到惡意的盜竊或者侵襲，直接就會(huì )為一方帶來(lái)極大的損失。尤其是在信息資源就是核心競爭力的市場(chǎng)，安全風(fēng)險評估更是有著(zhù)不可忽視的作用。但是由于評估方法眾多，因此為了有效降低信息資源被盜取的風(fēng)險，在對安全管理系統裝備時(shí)，還要結合實(shí)際的情況對其進(jìn)行目的性的創(chuàng )新，有效規避新的風(fēng)險，進(jìn)而提升網(wǎng)絡(luò )信息的安全度。

　　參考文獻

　　[1]宋文軍,韓懌冰,尚展壘.大數據時(shí)代背景下網(wǎng)絡(luò )安全風(fēng)險評估關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò )安全技術(shù)與應用,2016(03):59-60.

　　[2]鄭成容.信息安全風(fēng)險評估在構筑信息安全保障體系中的作用與地位[J].信息安全與技術(shù),2015(04):12-14.

　　[3]徐慧瓊.有關(guān)大數據時(shí)代背景下網(wǎng)絡(luò )安全風(fēng)險評估關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò )安全技術(shù)與應用,2017(07):72-72.

　　[4]王榮斌,吳茵,周黎輝.基于云平臺的信息安全保障及安全風(fēng)險評估方法的研究[J].網(wǎng)絡(luò )安全技術(shù)與應用,2017(05):80-81.

【風(fēng)險評估在信息安全中的有效運用論文】相關(guān)文章：

信息安全的風(fēng)險評估論文08-10

信息安全風(fēng)險評估模型在制造業(yè)企業(yè)中的運用05-19

信息安全技術(shù)風(fēng)險評估的理論與方法的論文10-07

信息安全風(fēng)險評估綜合管理系統設計的論文06-21

有關(guān)風(fēng)險管理在電力安全生產(chǎn)管理中的運用的論文09-28

電力企業(yè)信息安全風(fēng)險評估的方法論文06-25

關(guān)于模糊綜合的信息安全風(fēng)險評估07-13

產(chǎn)科護理中護理風(fēng)險管理的運用效果的論文07-08

PKI在電子信息安全中的有效應用論文10-24

幼兒游戲在幼兒教育中的有效運用論文09-24