風險評估在信息安全中的有效運用論文

　　摘要:信息化時代在加快人們獲取資源速度的同時，也帶來了極大的弊端，由于現(xiàn)今人們對網(wǎng)絡的依賴程度越來越高，使網(wǎng)絡平臺變得越來越復雜，很多企業(yè)都將自身的機密保留在網(wǎng)絡中，一旦受到了惡意侵犯，將直接會為企業(yè)帶來巨大的損失。因此為了避免該問題的發(fā)生，在信息化時代研究出了信息安全風險評估，其在極大程度上降低了網(wǎng)絡遭遇侵襲的幾率�；�于此，本文著重從三個方面講述了信息安全中風險評估的應用，隨后對其關鍵技術(shù)進行了研究分析，以此來供相關人士交流參考。

　　關鍵詞:風險評估;信息安全;關鍵技術(shù);探究應用

　　信息安全風險評估是基于信息遭到惡意侵襲而研究出來的一種可以對風險發(fā)生可能性進行分析的一種評估方法。其最早出現(xiàn)在上世紀中期，由于評估方法多樣且均存在有一定的局限性，因此在使用評估方法進行評估時，就需要結(jié)合實際的情況對現(xiàn)有的評估方法進行改進，并對其關鍵技術(shù)進行研究，以保證評估方法可以有效發(fā)揮自身的作用，降低信息安全的風險。

　　1信息安全中風險評估的原則及工具

　　1.1保密原則

　　使用風險評估對信息安全進行評估時，一定要進行嚴格的保密，可以采取提前簽署保密協(xié)定的方式或是利用保密監(jiān)視的手段對評估進行保密。除此之外，還要將該評估直接添加到安全監(jiān)管體系中，避免又有新的風險出現(xiàn)在評估過程中。

　　1.2標準型原則

　　進行信息安全風險評估時，一定要結(jié)合相關的標準進行評估，做到有據(jù)可依。此外，在進行風險計算時，可以使用科學合理的數(shù)學模型來計算，同時還要確保整個工作均有與標準相符的評價指標，以使本次評估更具有可信度，增強整個評估過程的有效性以及科學性。

　　1.3主動型評估工具

　　對于主動型評估工具，其是通過人工編制而成的，在對信息安全風險進行評估時，采取的是主動評估的方式，直接對計算機的防火墻進行掃描，從而找出系統(tǒng)正常運行過程中程序內(nèi)部存在的潛在威脅。

　　1.4被動型評估工具

　　被動型評估工具與主動型評估工具在評估時恰好相反，其在對風險評估時，主要是通過守株待兔的方式有效地守住數(shù)據(jù)的關卡，對所有流入計算機的數(shù)據(jù)進行檢測，如果捕捉到了較為敏感的數(shù)據(jù)，直接就會對其分析。此外，該類型的評估工具有著極為明顯的優(yōu)點，其可以對系統(tǒng)在運行階段的安全情況進行準確的監(jiān)控。但是如果流入系統(tǒng)的數(shù)據(jù)存在潛在威脅，該類型的評估工具在評估準確度上便不如主動型評估工具。

　　1.5管理型評估工具

　　該類型的評估工具主要是管理整個評估的過程，其可以有效與前兩種評估工具相結(jié)合，同時也可以利用研究分析而成的風險管理模型對整個安全系統(tǒng)進行管理。

　　2信息安全風險評估關鍵技術(shù)研究

　　2.1威脅分析技術(shù)

　　信息安全中無時無刻都存在有潛在的威脅，如果不能及時發(fā)現(xiàn)，就會對資產(chǎn)或者組織帶來潛在的損害，其可以通過動機、途徑、主體以及資源等途徑實現(xiàn)，就威脅而言，其主要分為人為因素以及環(huán)境因素兩種，就環(huán)境因素來講，分為物理因素以及不可抗因素。人為因素分為惡意因素以及非惡意因素。具體的評估步驟如下所示：

　　2.1.1識別威脅

　　研究人員需要根據(jù)信息資源的實際情況以及當前環(huán)境結(jié)合自身的經(jīng)驗對其可能面對的威脅進行評估，由于潛在的威脅形式多樣，所以需要結(jié)合具體的威脅采取針對性的方式識別。

　　2.1.2評估威脅

　　待對威脅識別完成之后，緊接著研究人員就需要對威脅可能發(fā)生的幾率進行評估，其需要結(jié)合威脅來源以及種類將威脅劃分成不同的級別，然后依照類別的不同對可能性進行定義，即威脅的等級越高，就說明威脅發(fā)生的可能性越大。

　　2.2資產(chǎn)管理技術(shù)

　　資管管理技術(shù)主要應用于對價值較高的信息資源的風險評估，具體的形式包括有硬件、文檔以及部分服務、形象等。在進行信息安全風險評估時，首先要進行的就是資產(chǎn)評估，此外，在評估的過程中還要遵循風險評估的保密原則，具體的評估方法如下：

　　2.2.1劃分資產(chǎn)類別

　　由于資產(chǎn)的來源多樣，包括業(yè)務管理系統(tǒng)以及網(wǎng)絡等，因此在評估時不能采用統(tǒng)一評估的方式，應按照其不同的用途以及形態(tài)先對其進行劃分。

　　2.2.2資產(chǎn)賦值

　　待對資產(chǎn)類別劃分結(jié)束以后，就需要結(jié)合不同的資產(chǎn)類別對其進行賦值，總共級別有五級，其在衡量時并不需要結(jié)合賬面的價格來衡量，僅需要在考慮到資產(chǎn)的投入成本的基礎上，選取相對價值作為衡量標準。此外，評估人員還需要明確資產(chǎn)評估對網(wǎng)絡信息業(yè)務的重要性，同時也要明確影響資產(chǎn)賦值的因素，即包括信譽影響、商業(yè)利益、系統(tǒng)破壞以及系統(tǒng)安全等。

　　2.3脆弱性識別技術(shù)

　　脆弱性識別主要包括技術(shù)層面以及管理方面，其在對不安全數(shù)據(jù)以及因素進行識別時，可以直接使用漏洞掃描的方式對網(wǎng)絡設備以及主機進行掃描，尤其是對于一些需要保護的資產(chǎn)，在掃描過程中如果發(fā)現(xiàn)了潛在的威脅，就要結(jié)合其脆弱性的強度以及威脅可能發(fā)生的機會展開風險評估。由于掃描軟件是漏洞掃描的必要設備，所以當前市場上也涌入了大批功能強大的掃描軟件，可以用于對大多數(shù)系統(tǒng)漏洞的掃描。待掃描結(jié)束以后，掃描軟件會自行對掃描到的數(shù)據(jù)進行研究分析，從而輸出可以反映出系統(tǒng)是否存在風險漏洞的信息。

　　3結(jié)束語

　　信息化時代有效地推動了社會的發(fā)展，但是由于網(wǎng)絡數(shù)據(jù)的透明，也帶來了眾多安全風險，尤其是對于一些存儲在計算機內(nèi)部的機密文件，一旦受到惡意的盜竊或者侵襲，直接就會為一方帶來極大的損失。尤其是在信息資源就是核心競爭力的市場，安全風險評估更是有著不可忽視的作用。但是由于評估方法眾多，因此為了有效降低信息資源被盜取的風險，在對安全管理系統(tǒng)裝備時，還要結(jié)合實際的情況對其進行目的性的創(chuàng)新，有效規(guī)避新的風險，進而提升網(wǎng)絡信息的安全度。

　　參考文獻

　　[1]宋文軍,韓懌冰,尚展壘.大數(shù)據(jù)時代背景下網(wǎng)絡安全風險評估關鍵技術(shù)研究[J].網(wǎng)絡安全技術(shù)與應用,2016(03):59-60.

　　[2]鄭成容.信息安全風險評估在構(gòu)筑信息安全保障體系中的作用與地位[J].信息安全與技術(shù),2015(04):12-14.

　　[3]徐慧瓊.有關大數(shù)據(jù)時代背景下網(wǎng)絡安全風險評估關鍵技術(shù)研究[J].網(wǎng)絡安全技術(shù)與應用,2017(07):72-72.

　　[4]王榮斌,吳茵,周黎輝.基于云平臺的信息安全保障及安全風險評估方法的研究[J].網(wǎng)絡安全技術(shù)與應用,2017(05):80-81.

【風險評估在信息安全中的有效運用論文】相關文章：

信息安全的風險評估論文08-10

信息安全風險評估模型在制造業(yè)企業(yè)中的運用05-19

信息安全技術(shù)風險評估的理論與方法的論文10-07

信息安全風險評估綜合管理系統(tǒng)設計的論文06-21

有關風險管理在電力安全生產(chǎn)管理中的運用的論文09-28

電力企業(yè)信息安全風險評估的方法論文06-25

關于模糊綜合的信息安全風險評估07-13

產(chǎn)科護理中護理風險管理的運用效果的論文07-08

PKI在電子信息安全中的有效應用論文10-24

幼兒游戲在幼兒教育中的有效運用論文09-24