|
信息安全評(píng)估的模型和方法研究
河南警察學(xué)院 高倩 王彩玲 2016/2/2 20:14:06
(接上頁(yè))全規(guī)劃、安全生產(chǎn)�、安全管理進(jìn)行評(píng)估�����;在技術(shù)評(píng)估上���,要對(duì)信息系統(tǒng)的安全產(chǎn)品的運(yùn)用情況、安全方法的使用以及信息系統(tǒng)的安全防范措施進(jìn)行評(píng)估��。
在具體的安全評(píng)估中���,主要將靜態(tài)評(píng)估����、動(dòng)態(tài)評(píng)估和狀態(tài)評(píng)估三種評(píng)估方法結(jié)合起來(lái)進(jìn)行信息安全的評(píng)估。靜態(tài)評(píng)估包括兩種方式��,問卷調(diào)查和專家評(píng)估����,問卷調(diào)查能夠征集廣大人民的評(píng)價(jià)意見,而專家評(píng)估使得評(píng)估更具有專業(yè)性�����,最后將這兩種評(píng)估方式所得的結(jié)果綜合起來(lái)�����,便是最終評(píng)分���。當(dāng)然�,專家評(píng)估是信息安全評(píng)估方法中比較專業(yè)的一種評(píng)估方法����,是企業(yè)或者其他單位聘請(qǐng)專門的信息安全評(píng)估人員對(duì)本單位內(nèi)部的信息安全進(jìn)行研究,對(duì)信息安全可能存在的風(fēng)險(xiǎn)進(jìn)行識(shí)別�,然后再將所認(rèn)識(shí)到的信息安全風(fēng)險(xiǎn)進(jìn)行分類處理;動(dòng)態(tài)評(píng)估�,包括信息系統(tǒng)運(yùn)行的數(shù)據(jù)記錄����、數(shù)據(jù)統(tǒng)計(jì)和數(shù)據(jù)處理��。對(duì)信息系統(tǒng)的動(dòng)態(tài)運(yùn)行過程進(jìn)行的安全評(píng)估�,主要反映信息系統(tǒng)在數(shù)據(jù)記錄、統(tǒng)計(jì)及處理的過程中的信息安全狀況����。就目前的信息安全評(píng)估方法來(lái)說(shuō),在動(dòng)態(tài)評(píng)估中��,主要包括財(cái)務(wù)報(bào)表分析法��、流程圖法���、環(huán)境分析法和分解分析法��。財(cái)務(wù)報(bào)表分析法是指對(duì)企業(yè)或其他單位內(nèi)部的財(cái)務(wù)報(bào)表信息進(jìn)行研究,從中找出與企業(yè)信息安全相關(guān)的內(nèi)容�����,進(jìn)而進(jìn)行企業(yè)的信息安全評(píng)估的一種方法�。流程圖法,指將企業(yè)或其他單位的生產(chǎn)經(jīng)營(yíng)過程用流程圖的形式表現(xiàn)出來(lái),從中找出可能存在的信息安全風(fēng)險(xiǎn)�����。環(huán)境分析法�����,對(duì)企業(yè)存在的外部和內(nèi)部環(huán)境進(jìn)行分析�,包括自然環(huán)境、經(jīng)濟(jì)環(huán)境��、政府環(huán)境���、投資者環(huán)境����、消費(fèi)者環(huán)境���,內(nèi)部工作環(huán)境���、生產(chǎn)環(huán)境等,將這些環(huán)境因素進(jìn)行分析�����,找出可能存在的信息安全風(fēng)險(xiǎn)。分解分析法����,是將企業(yè)或其他單位的運(yùn)行總體分解成各個(gè)小部門或者子系統(tǒng),然后再對(duì)分解后的小部門或者子系統(tǒng)進(jìn)行信息安全評(píng)估���。狀態(tài)評(píng)估包括漾透測(cè)試和專項(xiàng)測(cè)試����,主要內(nèi)容是模擬黑客的行為��,對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行安全測(cè)試�,并且對(duì)系統(tǒng)的每一個(gè)小點(diǎn)進(jìn)行專項(xiàng)的信息安全測(cè)試,以檢測(cè)信息系統(tǒng)的安全性能���。
結(jié)束語(yǔ):
總之��,信息安全評(píng)估是為了發(fā)現(xiàn)信息系統(tǒng)中的潛在風(fēng)險(xiǎn)而進(jìn)行的對(duì)信息系統(tǒng)的安全性��、機(jī)密性進(jìn)行的評(píng)估。面對(duì)當(dāng)下我國(guó)的信息安全問題���,對(duì)信息系統(tǒng)進(jìn)行安全評(píng)估���,并根據(jù)評(píng)估結(jié)果提前做好改進(jìn)和防范措施��,對(duì)于提高信息系統(tǒng)的安全性有著重要的意義�。就目前而言���,在信息安全評(píng)估的模型中��,包括信息資產(chǎn)評(píng)估��、信息脆弱性評(píng)估�、信息系統(tǒng)安全保護(hù)措施評(píng)估以及信息安全威脅評(píng)估�;而信息安全評(píng)估的方法主要有靜態(tài)評(píng)估、動(dòng)態(tài)評(píng)估和狀態(tài)評(píng)估三種����,并且在評(píng)估時(shí)要進(jìn)行戰(zhàn)略上、管理上����、工程上、技術(shù)上這四方面的評(píng)估��。通過評(píng)估,找出信息安全的風(fēng)險(xiǎn)并進(jìn)行合理防范����,從而提高我國(guó)的信息安全,對(duì)我國(guó)的信息安全建設(shè)具有重要意義����。
參考文獻(xiàn):
[1]李偉,范明鈺.安全評(píng)估中基于互信息的近似約簡(jiǎn)模型[J].控制與決策,2010,(9).
[2]何文才,張川,葉思水等.基于改進(jìn)BP神經(jīng)網(wǎng)絡(luò)的電子政務(wù)內(nèi)網(wǎng)信息安全評(píng)估方法[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014,(5).
[3]林夢(mèng)泉,王強(qiáng)民,陳秀真等.基于粗糙集的網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)估模型研究[J].控制與決策,2007,(8).
[4]陳靜,李華強(qiáng),鄭武等.基于全局模糊指標(biāo)的電力系統(tǒng)在線安全評(píng)估[J].電力系統(tǒng)保護(hù)與控制,2011,(18).
|