|
信息安全評估的模型和方法研究
河南警察學院 高倩 王彩玲 2016/2/2 20:14:06
摘要:信息安全是我國信息產(chǎn)業(yè)發(fā)展中比較重要的一個問題,它影響著我國信息網(wǎng)絡的發(fā)展前景���。要做好信息安全保護���,必須要進行信息安全評估����。根據(jù)信息安全評估發(fā)現(xiàn)信息安全風險并采取防范措施���,是目前我們研究的重要的信息安全保護手段��。本文主要對信息安全評估及模型進行了分析���,并對信息安全評估方法進行了研究。
關(guān)鍵詞:信息安全���;評估模型�;評估方法
隨著國家經(jīng)濟的發(fā)展��,我國信息網(wǎng)絡技術(shù)也逐漸得到了迅速的發(fā)展��。到目前為止����,我國的信息網(wǎng)絡技術(shù)已經(jīng)在各行各業(yè)都得到了廣泛的應用��。而信息網(wǎng)絡的安全性也成為了人們關(guān)注的重點。雖然我國已經(jīng)制定了相應的信息安全保護法規(guī)����,但是在實踐中,信息安全仍然是一大難題�����。要解決這一問題����,必須要做好信息安全評估,通過評估了解信息安全的現(xiàn)狀����,并據(jù)此制定信息安全管理制度。因此��,信息安全評估的模型和方法便成為了目前的研究重點����。
一、信息安全評估概述
信息安全評估�����,是為了信息系統(tǒng)的安全而進行的風險評估,主要目的是在評估的基礎上找出信息安全風險�����,并進行防范�,使信息系統(tǒng)的安全得到保障,并能夠盡可能長效的運作�����。由于我國經(jīng)濟的發(fā)展���,信息網(wǎng)絡技術(shù)在各行各業(yè)都得到了廣泛的應用�����,比如醫(yī)療�����、衛(wèi)生����、金融����、保險、稅收����、電信、民航�����、證券等行業(yè)���,都離不開信息網(wǎng)絡�����。信息網(wǎng)絡的安全�����,關(guān)系著這些行業(yè)的發(fā)展�����,一旦信息網(wǎng)絡的安全性受到威脅�,便可能給這些行業(yè)帶來巨大的損失。而信息安全評估作為信息安全保障的基礎�,主要對信息中可能存在的風險進行評估,人們根據(jù)評估結(jié)果�����,對信息安全系統(tǒng)采取不同層次的保障措施���,進而維護信息安全���。
二、信息安全評估的模型
根據(jù)國際上的《信息技術(shù)安全管理指南》中的規(guī)定�����,我們可知其中規(guī)定了信息安全評估模型�。其中的信息安全風險的要素包括四種:信息資產(chǎn)評估、信息脆弱性評估����、信息系統(tǒng)安全保護措施評估和信息安全威脅評估。而信息安全評估的模型便是根據(jù)這四要素建立起來的�。信息安全評估是對這些影響要素的內(nèi)因��、外因進行評估,并判斷出內(nèi)外因的影響大小��,進而對信息安全進行評估��。
(一)資產(chǎn)評估
在信息安全評估中��,運用信息網(wǎng)絡的企業(yè)或者其他單位的資產(chǎn)是評估的第一要素�����。所謂資產(chǎn)����,是指企業(yè)或其他單位的固定或不固定的具有價值的需要接受風險評估的并要加以保護的有形的或者無形的東西。在企業(yè)或者其他單位的信息系統(tǒng)中�����,其信息資產(chǎn)有著不同的機密性����、安全性、可用性和完整性���。而安全性與機密性是我們需要考慮的重點因素��。在資產(chǎn)評估中�����,對于信息資產(chǎn)安全性與機密性的評估是信息安全評估的重要方面��。在考慮到信息資產(chǎn)的安全性和機密性后�,才能夠更好的考慮其他因素,如脆弱性���、安全威脅等���。
(二)信息脆弱性評估
信息脆弱性評估,主要是對信息的弱點進行研究和評估�。根據(jù)信息資產(chǎn)的具體使用情況和資產(chǎn)的價值,分析信息資產(chǎn)的脆弱性�。對于信息脆弱性評估,需要工作人員定期更新企業(yè)或者其他單位的信息資產(chǎn)的弱點信息庫��,在此基礎上實現(xiàn)對信息的脆弱性的掌握���。了解其中的弱點����,從而進行風險評估。信息的脆弱性評估�,需要將信息的安全與威脅進行分析,并且要對信息庫進行專門的維護���。
(三)信息系統(tǒng)安全保護措施評估
信息系統(tǒng)安全保護措施評估,是對企業(yè)或其他單位的信息系統(tǒng)的安全保護措施的好壞進行的評估�����。信息系統(tǒng)安全保護措施�,不僅要保護信息的機密性、完整性���,也需要保護信息的可用性��,保證信息系統(tǒng)的所有信息都能夠正常的使用���,不受外界惡意破壞和更改,并且要避免信息系統(tǒng)受到外部黑客或者木馬病毒的攻擊�����。只有保護了信息系統(tǒng)的機密性、可用性和完整性�,信息系統(tǒng)安全保護措施才算達到了信息保護的標準。因此����,在對信息系統(tǒng)安全保護措施進行評估時,需要從這三方面來評估����。
(四)信息安全威脅評估
信息安全威脅,是外界或者內(nèi)界存在的可能對信息安全造成一定不良影響的因素�����。對于信息安全的威脅����,可能是重要信息泄露,或者木馬病毒導致的計算機病毒���,從而導致信息系統(tǒng)癱瘓�,數(shù)據(jù)丟失���;也可能是外界黑客的攻擊����,并竊取重要機密,或者故意破壞信息系統(tǒng)��,導致重要信息丟失或者被改變�����、刪除等等����。一般來說����,信息安全威脅的前提是威脅者找準了信息的脆弱點,并攻擊信息系統(tǒng)的脆弱點�,從而使信息安全受到威脅。信息安全威脅評估��,便是對信息安全可能遭受到的損害進行的評估���。它是為了更好的認識信息脆弱性�����,找準信息安全的弱點��,并及時對威脅因素加以防范�����。
三��、信息安全評估的方法
信息安全評估需要對信息安全進行戰(zhàn)略上���、管理上��、工程上����、技術(shù)上等四個方面的評估�����。在戰(zhàn)略評估上�����,需要對信息安全的當前策略、過渡策略及發(fā)展策略進行評估�����;在管理評估上��,需要對單位的信息安全管理法規(guī)����、管理制度以及安全制度進行評估;在工程評估上����,要對單位信息系統(tǒng)的安(未完,下一頁)
|