信息安全風(fēng)險(xiǎn)評估論文

時(shí)間:2022-05-25 03:58:50

導(dǎo)語:信息安全風(fēng)險(xiǎn)評估論文一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

信息安全風(fēng)險(xiǎn)評估論文

1高校信息安全風(fēng)險(xiǎn)評估現(xiàn)狀分析

我國的信息安全標(biāo)準(zhǔn)化制定工作比歐美國家起步晚。全國信息化標(biāo)準(zhǔn)制定委員會(huì)及其下屬的信息安全技術(shù)委員會(huì)開展了我國信息安全標(biāo)準(zhǔn)方面工作,完成了許多安全技術(shù)標(biāo)準(zhǔn)的制定,如GB/T18336、GB17859等。在信息系統(tǒng)的安全管理方面,我國目前在BS7799和ISO17799及CC標(biāo)準(zhǔn)基礎(chǔ)上完成了相關(guān)的標(biāo)準(zhǔn)修訂,我國信息安全標(biāo)準(zhǔn)體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問題所產(chǎn)生的損失、危害不斷加劇,信息系統(tǒng)的安全問題越來越受到人們的普遍關(guān)注,如今國內(nèi)高校已經(jīng)加強(qiáng)關(guān)于信息安全管理方面的研究與實(shí)踐。

2高校信息安全風(fēng)險(xiǎn)評估模型

2.1信息安全風(fēng)險(xiǎn)評估流程

[2]在實(shí)施信息安全風(fēng)險(xiǎn)評估時(shí),河南牧業(yè)經(jīng)濟(jì)學(xué)院成立了信息安全風(fēng)險(xiǎn)評估小組,由主抓信息安全的副校長擔(dān)任組長,各個(gè)相關(guān)單位和部門的代表為成員,各自負(fù)責(zé)與本系部相關(guān)的風(fēng)險(xiǎn)評估事務(wù)。評估小組及相關(guān)人員在風(fēng)險(xiǎn)評估前接受培訓(xùn),熟悉運(yùn)作的流程、理解信息安全管理基本知識,掌握風(fēng)險(xiǎn)評估的方法和技巧。學(xué)院的風(fēng)險(xiǎn)評估活動(dòng)包括以下6方面:建立風(fēng)險(xiǎn)評估準(zhǔn)則。建立評估小組,前期調(diào)研了解安全需求,確定適用的表格和調(diào)查問卷等,制定項(xiàng)目計(jì)劃,組織人員培訓(xùn),依據(jù)國家標(biāo)準(zhǔn)確定各項(xiàng)安全評估指標(biāo),建立風(fēng)險(xiǎn)評估準(zhǔn)則。資產(chǎn)識別。學(xué)院一卡通管理系統(tǒng)、教務(wù)管理系統(tǒng)等關(guān)鍵信息資產(chǎn)的標(biāo)識。威脅識別。識別網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)病毒、人為錯(cuò)誤等各種信息威脅,衡量威脅的可發(fā)性與來源。脆弱性識別。識別各類信息資產(chǎn)、各控制流程與管理中的弱點(diǎn)。風(fēng)險(xiǎn)識別。進(jìn)行風(fēng)險(xiǎn)場景描述,依據(jù)國家標(biāo)準(zhǔn)劃分風(fēng)險(xiǎn)等級評價(jià)風(fēng)險(xiǎn),編寫河南牧業(yè)經(jīng)濟(jì)學(xué)院信息安全風(fēng)險(xiǎn)評估報(bào)告。風(fēng)險(xiǎn)控制。推薦、評估并確定控制目標(biāo)和控制,編制風(fēng)險(xiǎn)處理計(jì)劃。學(xué)院信息安全風(fēng)險(xiǎn)評估流程圖如圖1所示:

2.2基于PDCA循環(huán)的信息安全風(fēng)險(xiǎn)評估模型

PDCA(策劃—實(shí)施—檢查—措施)經(jīng)常被稱為“休哈特環(huán)”或者“戴明環(huán)”,是由休哈特(WalterShewhart)在19世紀(jì)30年代構(gòu)想,隨后被戴明(EdwardsDeming)采納和宣傳。此概念的提出是為了有效控制管理過程和工作質(zhì)量。隨著管理理念的深入,該循環(huán)在各類管理領(lǐng)域得到廣泛使用,取得良好效果。PDCA循環(huán)將一個(gè)過程定義為策劃、實(shí)施、檢查、措施四個(gè)階段,每個(gè)階段都有階段任務(wù)和目標(biāo),如圖2所示,四個(gè)階段為一個(gè)循環(huán),一個(gè)持續(xù)的循環(huán)使過程的目標(biāo)業(yè)績持續(xù)改進(jìn),如圖3所示。

3基于PDCA循環(huán)模型的信息安全風(fēng)險(xiǎn)評估的實(shí)現(xiàn)

[3-5]河南牧業(yè)經(jīng)濟(jì)學(xué)院信息系統(tǒng)安全風(fēng)險(xiǎn)評估的研究經(jīng)驗(yàn)積累不足,本著邊實(shí)踐邊改進(jìn),逐步優(yōu)化的原則,學(xué)院決定采用基于PDCA循環(huán)的信息安全評估模型。信息安全風(fēng)險(xiǎn)評估模型為信息安全風(fēng)險(xiǎn)評估奠定了理論依據(jù),是有效進(jìn)行信息安全風(fēng)險(xiǎn)評估的前提。學(xué)院擁有3個(gè)校區(qū),正在逐步推進(jìn)數(shù)字化校園的建設(shè)。校園網(wǎng)一卡通、教務(wù)、資產(chǎn)、檔案等管理系統(tǒng)是學(xué)院網(wǎng)絡(luò)核心業(yè)務(wù)系統(tǒng),同時(shí)各院系有自己的各類教學(xué)系統(tǒng)平臺,由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性,經(jīng)常會(huì)監(jiān)控到信息系統(tǒng)受到內(nèi)外部的網(wǎng)絡(luò)攻擊,信息安全防范問題已經(jīng)很突出。信息安全風(fēng)險(xiǎn)評估小組依據(jù)自行研發(fā)的管理系統(tǒng)對學(xué)院各類信息系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)評估(圖4),以便下一步對存在的風(fēng)險(xiǎn)進(jìn)行有效的管理,根據(jù)信息系統(tǒng)安全風(fēng)險(xiǎn)評估報(bào)告,提出相應(yīng)的系統(tǒng)安全方案建議,對全院信息系統(tǒng)當(dāng)前突出的安全問題進(jìn)行實(shí)際解決。

3.1建立信息安全管理體系環(huán)境風(fēng)險(xiǎn)評估(P策劃)

風(fēng)險(xiǎn)規(guī)劃是高校開展風(fēng)險(xiǎn)評估管理活動(dòng)的首要步驟。學(xué)院分析內(nèi)外環(huán)境及管理現(xiàn)狀,制定包括準(zhǔn)確的目標(biāo)定位、具體的應(yīng)對實(shí)施計(jì)劃、合理的經(jīng)費(fèi)預(yù)算、科學(xué)的技術(shù)手段等風(fēng)險(xiǎn)評估管理規(guī)劃。風(fēng)險(xiǎn)規(guī)劃內(nèi)容包括確定范圍和方針、定義風(fēng)險(xiǎn)評估的系統(tǒng)性方法、識別風(fēng)險(xiǎn)、評估風(fēng)險(xiǎn)、識別并評價(jià)風(fēng)險(xiǎn)處理的方法。信息安全評估風(fēng)險(xiǎn)評估管理工作獲得院領(lǐng)導(dǎo)批準(zhǔn),評估小組開始實(shí)施和運(yùn)作信息安全管理體系。

3.2實(shí)施并運(yùn)行信息安全管理體系(D實(shí)施)

該階段的任務(wù)是管理運(yùn)作適當(dāng)?shù)膬?yōu)先權(quán),執(zhí)行選擇控制,以管理識別的信息安全風(fēng)險(xiǎn)。學(xué)院通過自行研發(fā)的信息安全風(fēng)險(xiǎn)管理工具,將常見的風(fēng)險(xiǎn)評估方法集成到軟件之中,包括有信息資產(chǎn)和應(yīng)用系統(tǒng)識別、風(fēng)險(xiǎn)識別與評估、風(fēng)險(xiǎn)處置措施及監(jiān)測、風(fēng)險(xiǎn)匯總與報(bào)告生成等功能。通過使用信息安全風(fēng)險(xiǎn)管理工具,安全風(fēng)險(xiǎn)評估工作都得到了簡化,減輕人員的工作量,幫助信息安全管理人員完成復(fù)雜的風(fēng)險(xiǎn)評估工作,從而提高學(xué)院的信息安全管理水平。

3.3監(jiān)視并評審信息安全管理體系(C檢查)

檢查階段是尋求改進(jìn)機(jī)會(huì)的階段,是PDCA循環(huán)的關(guān)鍵階段。信息安全管理體系分析運(yùn)行效果,檢查到不合理、不充分的控制措施,采取不同的糾正措施。學(xué)院在系統(tǒng)實(shí)施過程中,規(guī)劃各院系的信息安全風(fēng)險(xiǎn)評估由本系專門人員上傳數(shù)據(jù),但在具體項(xiàng)目實(shí)施中,發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰,嚴(yán)重影響學(xué)院整體信息系統(tǒng)安全評估的可靠性,為了強(qiáng)化人員責(zé)任意識,除了加強(qiáng)風(fēng)險(xiǎn)評估的培訓(xùn)外,還制定相應(yīng)的懲罰獎(jiǎng)勵(lì)制度,實(shí)時(shí)進(jìn)行監(jiān)督檢查,盡最大可能保證風(fēng)險(xiǎn)評估數(shù)據(jù)的準(zhǔn)確性[6]。

3.4改進(jìn)信息安全管理體系(A措施)

經(jīng)過以上3個(gè)步驟之后,評估小組報(bào)告該階段所策劃的方案,確定該循環(huán)給管理體系是否帶來明顯的效果,是繼續(xù)執(zhí)行,還是升級改進(jìn)、放棄重新進(jìn)行新的策劃。學(xué)院在項(xiàng)目具體實(shí)施后,信息安全狀況有了明顯的改善,信息管理人員安全責(zé)任意識明顯提升,遭受到的內(nèi)外網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒等風(fēng)險(xiǎn)因素能及時(shí)發(fā)現(xiàn)處理。評估小組考慮將成果具體擴(kuò)大到學(xué)院其他的部門或領(lǐng)域,開始了新一輪的PDCA循環(huán)持續(xù)改進(jìn)信息安全風(fēng)險(xiǎn)評估。

4結(jié)語

信息安全的風(fēng)險(xiǎn)評估的因素是動(dòng)態(tài)、不確定的,且往往是隨機(jī)的。研究基于信息安全風(fēng)險(xiǎn)評估PDCA循環(huán)模型,針對學(xué)院存在的不確定信息安全風(fēng)險(xiǎn)因素,進(jìn)行收集整理,形成分類、量化、系統(tǒng)的信息安全風(fēng)險(xiǎn)評估數(shù)據(jù)信息,為高校提供了信息安全風(fēng)險(xiǎn)管理決策依據(jù),將被動(dòng)、零散、無序應(yīng)對信息資產(chǎn)安全風(fēng)險(xiǎn)方式轉(zhuǎn)變成主動(dòng)、系統(tǒng)、連續(xù)有效地管理風(fēng)險(xiǎn),為高校信息化的建設(shè)保駕護(hù)航。

作者:張淋江劉志龍單位:河南牧業(yè)經(jīng)濟(jì)學(xué)院數(shù)字化管理中心