信息系统信息安全风险管理的发展趋势分析与方法

【摘要】随着社会不断的发展，信息技术已成为当今社会发展最为重要的经济动力之一。但是信息系统的安全风险的薄弱性对国家社会存在着威胁，因此，信息系统的信息安全风险管理已经成为社会关注和发展的基础。本文主要探讨了信息系统信息安全风险管理的发展历程和趋势，以及风险管理的方法分析。

【关键词】信息系统；信息安全；风险管理；发展历程；分析方法；发展趋势

0.前言

随着社会不断的发展，信息技术已成为当今社会发展最为强劲的因素，是世界经济增长的强劲动力。计算机在全球范围内的普及，不仅为人类的生活、工作和学习上带来了很大的影响，同时也使很多国家的经济、军事、政治上也带来影响，所以说，对于计算机网络信息系统的依赖性是越来越大。但是，信息系统在信息安全上还是很脆弱的，存在着很大的风险，这将会给整个社会中的关键设施造成严重的威胁。所以，信息安全风险管理作为实现全社会可持续发展和信息化的保障，已经成为社会关注信息系统的重点之一。

风险管理的理论是一项为了市场竞争策略的定制和经济战略发展，而由西方资本主义国家提出的方法、措施及理论。风险管理具有广泛适用性的特点，这就造就风险管理被广泛的应用在了国家的建设、安全，社会与经济的发展，公共和信息安全等众多的方面。风险管理是在20世纪60年代应用于信息系统的信息安全方面上的。本文主要探讨了信息系统信息安全风险管理的发展历程和趋势，以及风险管理的方法分析。

1.信息系统信息安全风险管理发展的历程

1.1在理论基础上的研究

在20世纪60年代中，随着早期的计算机网络系统和计算机资源共享系统的出现，计算机信息安全也存在着问题。在1967年11月，美国委托全球多个相关企业以及研究机构，主要针对计算机系统的安全问题，开启了历史上第一次针对计算机远程终端及大型机的研究评估，并且在1970年初，《计算机安全控制》出版，该报告全文长达数百页。而该报告也为全球研究信息系统安全风险拉开序幕。

1.2在理论深入上的研究

在社会不断发展的同时，也带动了计算机信息技术的飞速进步，也使之在网络上得到广泛的应用。在1989年，美国建立计算机应急组织，也是全球最早；随后，1990年，建立应急论坛；1994年，作为美国联合委员会之一的安全组织，强调要在信息安全风险管理的基础上建立美国信息系统，1996年4月，美国国会提出“加强信息安全，降低信息战略威胁”，美国总审局为响应号召，对国防系统信息安全做了首次风险评估，之后的1996年，发表了《信息安全：针对国防部的计算机攻击正构成日益增大的风险》的报告。

故而国际化组织在1996年就制定了《信息技术信息安全管理指南》，这项规定分成了《信息安全管理技术》、《信息安全管理和规划》以及《网络安全管理指南》等等几个部分。而这个阶段的风险管理的时间和理论的特点是：从只注重信息系统信息上的单机安全问题转变成为可以同时注重网络、数据以及操作系统方面的安全问题；在根据安全评测和安全质量的保证来进行对系统安全的保障。

1.3在理论深入上进行实践基础的研究

由于20世纪90年代以来，很多国家信息网络都是局限于国内方面，随着移动通信、因特网等方面的快速发展，信息网路与国土疆域的网络界限连成一体了，很多发达的国家在经济、政治、军事以及社会活动上都对信息系统的依赖性达到了很高的尺度。但是，在当前的社会中出现了很多的黑客，信息系统的安全受到了很大程度的攻击，促使了信息战的理论正走向一种新型的、成熟的作战模式，信息系统信息安全风险问题得到了全球范围内的重视和挑战。

在这一阶段的信息系统信息安全风险管理的特点是：信心安全风险管理的对象是信息系统和信息这两个方面，其中包含了网络基础设施、局域计算环境等。同时研究人员与安全专家们达成一致共识，就是从管理、人员和技术这三个方面的能力来对信息系统信息安全风险管理进行管理。而信息安全风险管理的应从检测、反应、保护和恢复这四个方面的能力进行决策，这样就可以对信息系统信息安全建立纵深的防御体系保障。因此，风险管理作为一项通用的基础理论和方法论，广泛的应用到了信息系统信息安全的实践基础工作中。

2.信息系统信息安全风险管理的方法介绍

2.1信息系统信息安全风险管理的故障树分析法（FTA）

在20世纪60年代，最初的故障树是为了便于火箭系统进行分析而提出的，到后来这种方法广泛的应用在电子设备、化学工业、航天工业以及核工业等等方面中的可靠性分析，并且在这些方面中取得很好的成果。目前，故障树分析法现在主要用在分析一些比较大型复杂系统中的安全性和可靠性，被公认为是一种对复杂系统进行安全可靠上分析的有效方法。同时它还是top-down分析的一种方法，通过对系统中的硬件、软件和人为因素等方面可能会造成的故障进行分析，总结画出故障原因的发生概率和各种组合的方式，由总体到部分，呈树状的结构模式，进行逐层细化的进行分析。

2.2信息系统信息安全风险管理的失效式及效果/危害程度分析方法（FMECA）

它是由危害性分析和故障模式影响分析两个部分工作构成的。同时它还是用来分析审查信息系统和设备的一种潜在的故障模式，具有安全性、可靠性、维修性、保障性的特点。还可以确定其对信息系统和设备的工作能力产生的影响，从而发现潜在的薄弱环节，在针对这些问题提出预防改进的措施，来减少和消除信息系统发生故障的可能性，故而提高了信息系统和设备的安全性、可靠性、维修性、保障性的水平。它还是bottom-up分析的一种方法，只要是按照规定记录产品中可能发生故障的模式，来分析各种故障对信息系统的状态和工作的影响，并确定其单点的故障，将各种故障按对信息系统的影响的发生概率和程度来进行排序，从而发现潜在的薄弱环节，再根据这些问题提出预防改进的措施，确保了信息系统信息安全的可靠性。

3.信息系统信息安全风险管理的发展趋势

20世纪90年代，随着全球经济化的发展，信息技术也成为世界各国所关注、所需要的重要科技技术之一，而我国在信息产业、技术、网络上也在不断的蓬勃发展当中。随之而来的信息安全风险问题也日益突出，故而，信息风险管理的重要性得到空前的关注。2002年我国首次规划了关于信息安全风险管理方面的课题—《系统安全风险分析和评估方法研究》。在2003年8月中由国家组织成立了关于信息安全风险评估的课题小组，对信息系统的信息安全管理和评估进行理论上的研究。而我国很多的企业和研究机构都介绍了发达国家在信息安全风险评估、管理上的方法、经验和理论，为我国在信息安全风险管理领域可以进行研究和探讨，同时也是我国应该关注和解决的重要课题。我国信息系统信息安全风险管理研究的时间较短，而（下转第292页）（上接第317页）国外已有的方法和结论，不符合我国信息系统安全保障时间理论和研究成果均比较薄弱的情况；另一方面，传统的信息安全风险管理的方法和理论，在信息系统规模逐渐扩大和网络结构越来越复杂的情况下，不再能达到信息系统信息安全的要求。寻求适合我国信息系统信息安全风险管理的理论与方法成为当务之急。

4.结语

综上所述，信息系统信息安全风险管理在经过一定发展历程之后，又通过综合使用各种信息风险管理的分析方法的思路，来克服了信息系统中所存在的各种问题和故障，为以后信息系统信息安全风险管理的发展奠定了基础。

【参考文献】

[1]翟雪荣，刘志刚，卞春.信息系统信息安全风险管理的发展趋势分析[J].农业网络信息，2007（12）：116-118.

[2]张利，江常青，陈晓桦.传统风险分析方法在信息系统安全风险管理过程中的应用[J].中国信息协会，45-51.