風險評估與預防周克松廣西百色銀海鋁業有限責任公司533000摘要：信息技術的迅速發展，為人們的生活帶來了許多的方便。近年來，信息安全遭受危害的事件時有發生，信息安全成了國內外普遍關注的話題。嚴峻的形勢告訴我們，必須要采取相應的措施來防止信息安全遭到危害。本文詳細介紹了信息安全風險評估的工具、方法、過程，以及評估中存在的問題，并對如何預防危害信息安全事件的發生提出了簡單的建議。關鍵詞：信息安全風險評估預防信息安全風險在人們的日常生活中，信息的作用逐漸凸顯。信息產業的發展情況成為新時期國家綜合國力的標志。但是，信息安全成為了信息技術發展中需要迫切解決的一個難題。做好信息安全風險評估工作，是維護信息系統安全的基本保證。一、 信息安全風險評估概述信息安全風險是信息的安全遭受危害的可能性，是利用信息系統本身的弱點和缺陷主動引起的安全性問題，受損的一般是較為的重要信息，這些信息的受損，對相關機構造成了巨大的損害。信息安全風險評估是按照國家頒布的關于信息安全技術的準則和標準，采取相應的科學辦法，對信息的完整性、可用性和保密性做出的全面具體的分析研究，對信息系統將要面對的威脅和存在的弱點進行全面的評價，對可能面臨危害安全事件的破壞程度做出的具體評估，并針對性的提出相應的防御措施和改革對策。信息安全風險評估的主要目的就是要預防和解決安全風險，最大限度的降低風險造成的危害，為保證信息和網絡的安全提供可靠科學的依據。對信息安全的風險評估就是將傳統的風險理論應用于信息系統中，了解信息系統在哪方面存在風險，做好信息風險的識別工作，科學全面的分析信息系統在各個方面所面臨的具體風險，根據實際情況選擇具體的控制方法。完整的信息安全風險評估應該涵蓋與之相關的法律規范、技術體系、基本框架、標準體系。二、 信息安全風險評估的主要方法隨著近年來對信息安全風險評估的深入研究，出現了多種多樣的風險評估方法，這些方法的出現提高了評估的效率，使得風險評估工作的開展更加便捷、高效。常用的評估方法主要有德爾斐法、故障樹法、層次分析法等等，雖然每種方法的具體實施不盡相同，但是其主要的操作流程大體相似。在此，我們可以按照不同的計算方法將其分為定量風險評估和定性風險評估。定性風險評估就是針對信息系統中的風險而采取的一系列的判斷和分析，主要是依據評估人員的經驗和專業知識來進行風險的評估，再對評估的具體結果進行詳細的描述。這種風險評估方法較為粗略，適用于數學基礎不強的數據分析人員在信息資料不是特別完善的情況下進行風險評估工作。定量風險評估指的是利用公示對信息系統內存在的風險進行具體評估，并用數據的形式來展現評估結果。相對于定性評估而言，定量評估較為煩雜，需要評估者具有良好的數學基礎，評估過程對中人力、物力、財力的消耗較大，因此如今我們更多的是采用定性與定量相結合的風險評估方法進行信息安全風險評估。不管是定性還是定量，都需要運用數學知識。定性是定量的基礎和依據，定量是更加具體化的定性，二者互相補充，只有把二者有效的結合在一起，才能在更好的完成信息安全風險評估。三、 信息安全風險評估工具風險評估工作十分復雜，龐大的工作量對評估工具提出了較高的要求，評估工具要具有很強的實用性弱點評估工具弱點評估工具在評估工作中較為注重對系統硬件和軟件中存在漏洞的發現。根據安全漏洞的易受侵害程度，明確信息系統中較為脆弱的部分，并最終制定有效的安全方略。作為如今應用范圍最廣的風險評估工具，弱點評估工具主要有測試性工具和掃描性工具。綜合評估管理工具綜合評估管理工具的較為注重的是安全管理。全面分析系統存在的安全風險，并制定出相應的解決策略和方法。目前應用較多的綜合評估管理工具主要有cobra和cramm。風險評估的輔助工具輔助工具較為注重對評估所需信息的收集。主要的風險評估輔助工具有入侵檢測工具、安全審計工具、人員訪談、資產信息調查表等。四、 信息安全風險評估過程所謂信息安全評估過程就是依據國內外的評估準則，采用相關的評估方法和手段，選用適當的評價工具，進行全面評估工作的整個過程。必須要做到對整個信息系統全面的進行評估，不能漏掉系統中的某個部分。下面對評估的具體工程做簡單的介紹：明確資產首先要清楚地知道整個系統的資產是多少，并準確分析信息資產的價值，其中資產價值是依靠各個利益方對整個信息系統性能的影響來進行度量的。資產就是所有要求被保護的事物，其包含的范圍較為廣泛，涉及的內容較為豐富。公司的形象、軟件硬件資產、信息資產等都屬于資產的范疇。對資產進行有效評估要做到抓住關鍵點，首先解決關鍵資產的評估。分析資產面臨的威脅在確定資產之后要對資產進行全面的科學分析，找出資產中的薄弱點，以及針對薄弱點可能造成的危害，準確估算危害的發生概率及帶來的損失。針對危害制定有效的措施準確分析所面臨的的威脅之后，就要努力的消弱威脅帶來的影響，通過各種有效手段把風險降到最低。不必進行決策工作，只需擬定各種安全措施并估算所需費用。安全措施必須科學全面，能夠從根本上解決問題，并且要有很強的針對性。科學決策 應從轉移風險、接受風險、避免風險這三個角度科學合理的進行決策。同時要注意對殘余風險考慮。決策過程中，要爭取更多相關人員的參與，為決策過程提供自己的意見和建議。監督實施制定科學有效的決策之后，就要按照決策組織實施安全措施，實施的工程中要進行嚴格的監督，保證整個實施過程按照據側開展。在實施的過程中也要做好隨時應對新威脅的準備，并且根據新威脅對決策進行改正和完善。此外，由于信息系統始終處在變化之中，要根據具體的變化對信息安全進行準確快速的評估，保證將信息安全風險降到最低。五、 信息安全風險評估中存在的問題分析雖然目前我國的信息安全風險評估有了一定的進步和發展，但是尚且處于發展的初級階段，各方面都存在著一些問題。人才的緊缺。目前在我國專業的評估人員較為缺乏，評估工作的開展受到了很大的阻礙。評估方法不具備較強的可操作性，目前還沒有形成較為完善、系統的風險評估工具。信息安全風險評估的標準各異，在評估時不知道按照哪個標準開展評估工作，致使評估工作不能得到順利的開展，風險評估不能達到應有的效果。管理者的風險意識不強。六、信息安全的預防針對信息安全所面臨的的威脅，主要從“人”和“網”兩個方面采取預防措施，防止危害信息安全的事件發生。首先，要加強對員工的管理。嚴令禁止員工在工作期間訪問一些賭博、色情、病毒網站，防止這些網站中的病毒對企業信息造成危害；不得下載未經安全檢測的軟件；不能占用較大的寬帶。這些措施在財務和管理部門的實施要更為嚴格。其次，加強網絡安全管理建設。雖然混合網絡能大幅度節省企業的開支，但出于安全考慮，企業最好將公共網絡與內網進行分離。總結：信息技術的發展，促進了社會的進步。但是我們要正視信息安全面臨的一些問題，并做好信息安全的風險評估和預防工作。信息安全在某種程度上說是不可避免的，因此我們要做好信息安全風險評估工作，將信息安全事件帶來的影響降到