信息系统的安全风险评估及风险管理
时间:2022-08-02 10:10:43
【摘要】信息科学技术的发展,使得计算机技术与网络信息技术实现了进一步的融合发展,信息系统被广泛的运用到经营和管理工作中,越来越多的网络不安全事故也频繁发生,病毒、黑客、网络攻击已经成为影响当前信息系统安全的重要因素。本文的主要内容就是针对信息系统的安全问题进行探讨,如何进行系统安全的评估和风险的管理。
【关键词】信息系统;安全;风险评估;管理
一、信息系统安全
何谓信息系统,依据美国国家信息系统安全词汇表的定义,信息系统是指用于收集、处理、存储、传输、显示、传播和清除信息的所有设施、组织、人员等部件的总和。在这个定义中,我们不难看出,信息系统应该是一种结合了人力因素、硬件设备、软件系统等多方面元素的一种集合。信息系统的安全,主要就是围绕着信息系统的功能,即数据的处理、存储、传输等内容来展开。当前信息系统存在的安全隐患就是数据被篡改、被窃取、系统运行被破坏这几种情形。信息系统的安全以数据为核心,但是其内容又并不局限于数据,理论上信息系统的安全包括四个方面的内容,即实体安全、运行安全、数据安全和管理安全四个方面。这其中的每一个方面对信息系统的安全评价角度都是不同的,不同角度的安全评价决定了我们在对信息系统进行风险评估时所选取的方式和角度也必然是不同的。
二、信息系统风险评估方法
根据信息系统的构建和组成,我们对信息系统的风险评估主要采用以下几种方法:(1)事件树分析:这是一种利用逻辑进行演绎推理的方法,它的作用发挥方式是以某一个给定的事件为依据。根据这个事件展开分析,寻找出可能出现的各种具有影响力的后果,通过多角度、多层面的推理演绎,实习对风险的预估。(2)层次分析法:是一种多指标综合评价方法。这种评价方法的关键在于寻找不同因素直接存在的联系,这种联系可能表现为相互制约,也可能表现为一种形态上的隶属关系。无论是那一种关系,都需要按照一定的标准,采用数学方法对不同的因素进行层次上的排序。然后根据排序的结果来对风险进行预估。(3)BP神经网络:是一种按误差逆向传播算法训练的多层前馈网络,具有自学习能力,能够实现输入和输出之间的复杂非线性关信息系统的风险管理系。缺点是风险因素的权值确定较难,优点是有自学能力,问题抽象化,适用于事故预测和方案择优。(4)故障树分析:这是一种较为形象的风险预测方法,即首先对具有潜在危险的各种因素进行初始的分析,根据这些因素绘画出故障树,利用故障树来发现不同因素之间存在的复杂联系,找出事件发生之间的联系。(5)风险评审技术方法:通过模拟实际系统研制时间、费用及性能分布,针对不同条件对信息系统的风险进行预测,需多次访问,数据准确性要求高。
三、信息系统的风险管理
无论是对信息系统安全还是风险评估方法,我们的目的都是希望其最终能够服务于信息系统的风险管理工作。信息系统的风险管理,我们从以下几个方面来进行分析:第一,信息系统的动态风险态势评估。信息系统的风险管理,是一项动静结合的工作。由于当前网络环境是处于不断运动的状态,所以动态管理对信息系统的风险管理具有重要的意义。信息系统面临的风险虽然具有突发性,但是我们通过对某一段时间的态势值比较分析能够做出一定的判断,当一段时间内的态势值与正常范围内的态势值有差异的时候,我们应该加强系统信息的风险预警。通过这种动态的评估,管理人员能够在数据参考的基础上做出一些应对。第二,ART-BP神经网络的模糊专家系统风险管理。随着计算机技术和网络信息技术的进一步普及,信息系统在未来仍然会以规模化的趋势覆盖我们的日常生活,信息系统对人类生活产生的重要影响将越来越突出,风险管理的水平必须进一步提升和加强。ART-BP神经网络的基本工作原理是:网络接收外面环境的输入状况,对网络已经存储的模式和新来的网络样本进行比较和权衡,通过一定的程序对二者的相似度进行计算,利用阈值检查已有的网络存储模式和输入的样本,并且对连接权重进行调整,实现最大的相似度。第三,加强风险管理中的人力因素管理。信息系统是由人力、硬软件设备共同发挥作用而组成的一个管理系统。信息系统各种不安全因素的出现,最大的始作俑者也是人类,人力因素在整个信息系统的安全管理中有着重要的作用。信息系统的风险管理,必须加强对人力因素的控制和管理,人力因素在整个系统风险管理中作用的发挥的是首要的。加强人力因素的管理,首先我们要提高从业人员的素质,这种素质不仅仅是专业的信息技术素质,而且包括一个人的品行、工作态度等多方面素质的综合。其次加强那个人力因素管理,还应该通过制度来予以明确的规定,用明文的制度来规范具体的操作行为和操作流程,加强风险预警意识的培养,是实现风险管理的另一个重要途径。
参考文献
[1]刘翠翠,王云.浅析网络信息安全挑战及其应对措施[J].电脑知识与技术.2008:36
[2]黄景文.基于知识的信息安全风险评估研究[D].东华大学.2008
[3]赵冬梅,刘海峰,刘晨光.基于BP神经网络的信息安全风险评估[J].计算机工程与应用.2007(1)
