安全風險評估
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇安全風險評估范文,相信會為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
安全風險評估范文第1篇
隨著城市化進程的逐漸加快,電梯的使用數量逐漸增多。在現(xiàn)代化的城市建設中,電梯的使用為人們的日常工作和生活提供了極大的便利。而隨著電梯使用年限的增長,老舊電梯中經常會在使用中出現(xiàn)一些故障,甚至會由于管理和維護不當而產生安全事故,為人們的生活和安全產生了較大的影響。在電梯業(yè)界中,老舊電梯的使用安全成為了主要的問題,如何及時地發(fā)現(xiàn)其中存在的風險并進行解決已經成了安裝企業(yè)的重要任務之一。針對電梯的使用進行風險管理就是指企業(yè)為實現(xiàn)一定的目標進行管理,保證公共利益和人身使用安全。
1.電梯安全風險評估概述
電梯安全風險評估是指采用定性的方法對電梯中存在的危險因素進行有效的識別、判斷和及時的評價。在進行電梯安全風險評估時,主要針對電梯在使用中的安全系數和可靠度為主要對象,綜合采用紅外線熱像儀、故障診斷檢測儀燈對電梯使用中的控制和驅動系統(tǒng)進行監(jiān)測和危險因素的有效識別,采用綜合的評價方式進行安全風險的確定。在進行危險因素的確定時主要采用定期的檢測和監(jiān)控技術進行分析,對其中存在的風險源以及其產生的部位、產生的數量和嚴重程度進行有效的評估,同時采用相應的措施進行治理,減少其危險因素對于正常使用的影響。對老舊電梯進行及時的安全風險評估能夠有效消除安全隱患,減少安全事故的產生,加大對于老舊電梯使用的監(jiān)督和管理,實現(xiàn)節(jié)能減耗的目的。
在進行電梯安全風險評估的過程中主要包括以下幾個環(huán)節(jié):
1.1.準備階段
在此階段中需要針對電梯的損壞程度和各個零部件的老化程度進行準確的評估,制定出相應的評估措施,明確評估目的 ,對于電梯使用中的故障記錄和維修記錄進行收集,為維修和檢測提供有效的參考依據。
1.2.風險種類的判斷和風險源的確定
針對要進行評估的電梯系統(tǒng)的整體情況確定出各個不同的評估單元,找出電梯中存在的風險源,對電梯中易產生老化和損壞的部件進行檢測,排除其中存在的危險因素。在進行判斷的過程中要積極借助先進的檢測儀器確定存在風險的部位,事故產生的原因和事故存在的規(guī)律。
1.3.針對存在的風險進行定性和定量評估
在進行電梯的有害因素的確定后,采用正確的評判的方法ui零部件的損壞和產生事故的可能性進行定性和定量的評估。
1.4.提出相對應的安全措施
在進行安全結果的判定后要根據產生的危險因素提出相應的改進技術和管理措施,建立起完善的應急方案,降低在事故發(fā)生后造成的損失。
1.5.形成正確的評估結果和評估建議
針對電梯中存在的主要危險因素進行有效的分析和指出,并強調重大的危險因素,針對電梯中不同的部位制定相應的預防措施。
1.6.生成評估報告
在進行風險評估后要生成相關的評估報告,為電梯的使用單位和管理單位提供方風險治理對策和參考。
2.老舊電梯安全風險評估的作用
對老舊電梯部件和使用過程中的安全等級進行準確地判斷,采用相應的措施進行有效的防治能夠顯著降低使用中的安全風險。
2.1.有效提高老舊電梯的使用安全性和節(jié)能性
針對老舊電梯進行安全風險評估,需要使用先進的技術,采取相應的有效措施,降低使用中的安全風險,提高電梯的安全使用性能,進一步降低老舊電梯在使用的能耗,具有較強的社會效益和經濟效益。在老舊式電梯中采用的控制技術較為落后,因此可以將老舊電梯進行集中的梯群的控制方式,也可以使用單雙層的控制方式,能夠有效降低電梯在使用中產生的能耗。在電梯的拖動方式中可以使用變片調速式改造,將減速裝置轉變?yōu)橥揭芬龣C方式,采用這種方法能夠有效降低電梯在使用中產生的能耗。
2.2.協(xié)調使用老舊電梯
在進行老舊電梯的安全風險評估后,能夠為電梯的進一步改造和維修提供可靠的意見。在進行電梯的維修和改造的過程中由于具有較強的專業(yè)性,因此就需要采用專業(yè)的技術,這樣就容易造成維修單位和管理單位之間產生不必要的經濟糾紛。在對老舊電梯進行風險評估后能夠出具相關的評估報告,較具有權威性,為電梯的使用和維修提供可靠的依據,減少各方之間矛盾的產生。
2.3.有效彌補現(xiàn)行的安全技術和規(guī)范中存在的不足
針對老舊電梯進行有效的風險評估能夠有效確定電梯使用中產生的不確定危險因素,同時做出風險等級的判斷,采取相應的措施進行治理和防護,對電梯的安全使用進行有效監(jiān)督采取預防為主的措施,提高電梯的安全使用性能。為老舊電梯的報廢提供可靠的技術支持,提高電梯的使用安全性。
3.老舊電梯安全風險評估和防治
3.1.安全風險識別
電梯企業(yè)在發(fā)展的過程中,要加強對于電梯安全使用的重視程度,加強使用中的風險評估和風險管理,對于其中存在的風險因素進行及時的確定,同時制定出相應的風險報告,制定嚴格的風險防范措施,降低風險造成的損失。隨著電梯使用數量的逐漸增加,電梯的使用安全也成了備受關注的問題之一,尤其是隨著電梯使用安全事故的不斷出現(xiàn),要求在電梯的設計、安裝和使用過程中提高風險意識,減少安全事故的產生。
安全風險評估范文第2篇
關鍵詞:政府網絡安全;網絡安全;風險評估;應用模型;電子政務
中圖分類號:TP393.08
在新的發(fā)展環(huán)境下,開放和互聯(lián)的網絡時代給各種信息資源的流通帶來了便利的同時,也帶來了安全隱患。尤其是政府部門的電子政務信息資產,若是受到非法使用,不但會對政府部門造成資源損失,甚至會威脅到國家、單位部門和個人的安全。因此,對政府網絡系統(tǒng)進行安全風險評估,不但能夠有效地預防和解決潛在的威脅,而且能夠保障整個政府網絡系統(tǒng)的安全,促進政府網絡建設的發(fā)展。
1 政府網絡安全風險評估的方法
在電子政務信息系統(tǒng)的建設和運行過程中,需要進行網絡安全防御的相關措施,以防止系統(tǒng)中存在的漏洞、隱患,以及人為或非人為因素引起的風險對系統(tǒng)的影響。因此,采取安全風險評估的方法,通過安全風險評估的相關技術的支持,對系統(tǒng)的設備及數據進行分析、確定等級和檢查,是有效防范這些情況發(fā)生的重要措施。
政府網絡安全風險評估的方法主要有安全風險分析、安全等級評估和安全檢查評估等三種。
1.1 安全風險分析。在進行政府網絡安全風險評估的前期工作中,主要是通過建立評估數據模型的方式進行安全風險分析。其中,主要是根據概率分布、外推法、矩陣圖分析、風險發(fā)展趨勢評價方法、假設前提評價及數據準確度評估等方法,并通過專家評估預測和相關歷史數據對指標的選取和數據的采集,估算政府網絡安全系統(tǒng)所存在的風險。
1.2 安全等級評估。在此階段,主要是在政府的電子政務系統(tǒng)建成或是運行的過程中,由第三方權威機構采取強制或非強制的方式,對政府網絡安全進行定期安全等級評估,從而確定政府網絡系統(tǒng)在建成后,或是在系統(tǒng)更新后是否達到防范風險的可靠級別。
1.3 安全檢查評估。在此階段,主要采用專門的模擬攻擊、漏洞掃描等方式,對政府電子政務(包括網絡設備、服務器、客戶機、數據庫和應用系統(tǒng)等)進行安全檢查,找出其中可能存在的安全隱患并提供掃描后的相關數據,給予政府電子政務安全檢查評估。在安全檢查評估中,主要運用到基于主機的(硬件系統(tǒng))和基于網絡的(軟件系統(tǒng))兩種技術。通過安全檢查評估,能夠起到預防網絡系統(tǒng)中存在的隱患的作用,并提供科學有效的解決措施,從而更進一步提高網絡安全的整體水平。
2 政府網絡安全風險評估的模型與應用
2.1 安全風險評估應用模型三階段。在電子政務系統(tǒng)建設的實施過程,主要分為規(guī)劃與設計階段、建設與實施階段、運行與管理階段等三個階段。其中,安全風險分析主要作用于規(guī)劃與設計階段,安全等級評估主要作用于建設與施工階段,安全檢查評估主要作用于運行與管理階段。
安全風險分析,主要是利用風險評估工具對系統(tǒng)的安全問題進行分析。對于信息資產的風險等級的確定,以及其風險的優(yōu)先控制順序,可以通過根據電子政務系統(tǒng)的需求,采用定性和定量的方法,制定相關的安全保障方案。
安全等級評估,主要由自評估和他評估兩種評估方式構成。被評估電子政務系統(tǒng)的擁有者,通過結合其自身的力量和相關的等級保護標準,進行安全等級評估的方式,稱為自評估。而他評估則是指通過第三方權威專業(yè)評估機構,依據已頒布的標準或法規(guī)進行評估。通過定期或隨機的安全等級評估,掌握系統(tǒng)動態(tài)、業(yè)務調整、網絡威脅等動向,能夠及時預防和處理系統(tǒng)中存在的安全漏洞、隱患,提高系統(tǒng)的防御能力,并給予合理的安全防范措施等。若電子政務網絡系統(tǒng)需要進行較大程度上的更新或變革,則需要重新對系統(tǒng)進行安全等級評估工作。
安全檢查評估,主要是在對漏洞掃描、模擬攻擊,以及對安全隱患的檢查等方面,對電子政務網絡系統(tǒng)的運行狀態(tài)進行監(jiān)測,并給予解決問題的安全防范措施。
2.2 安全風險分析的應用模型。在政府網絡安全風險評估工作中,主要是借助安全風險評測工具和第三方權威機構,對安全風險分析、安全等級評估和安全檢查評估等三方面進行評估工作。在此,本文重點要講述的是安全風險分析的應用模型。在安全風險分析的應用模型中,著重需要考慮到的是其主要因素、基本流程和專家評判法。
(1)主要因素
在資產上,政府的信息資源不但具有經濟價值,還擁有者重要的政治因素。因此,要從關鍵和敏感度出發(fā),確定信息資產。在不足上,政府電子政務網絡系統(tǒng),存在一定的脆弱性和被利用的潛在性。在威脅上,政府電子政務網絡系統(tǒng)受到來自內、外部的威脅。在影響上,可能致使信息資源泄露,嚴重時造成重大的資源損失。
(2)基本流程
根據安全需求,確定政府電子政務網絡系統(tǒng)的安全風險等級和目標。
根據政府電子政務網絡系統(tǒng)的結構和應用需求,實行區(qū)域和安全邊界的劃分。
識別并估價安全區(qū)域內的信息資產。
識別與評價安全區(qū)域內的環(huán)境對資產的威脅。
識別與分析安全區(qū)域內的威脅所對應的資產或組織存在的薄弱點。
建立政府電子政務網絡系統(tǒng)的安全風險評估方法和安全風險等級評價原則,并確定其大小與等級。
結合相關的系統(tǒng)安全需求和等級保護,以及費用應當與風險相平衡的原則,對風險控制方法加以探究,從而制定出有效的安全風險控制措施和解決方案。
(3)專家評判法
在建設政府電子政務網絡系統(tǒng)的前期決策中,由于缺少相關的數據和資料,因此,可以通過專家評判的方法,為政府電子政務網絡系統(tǒng)提供一個大概的參考數值和結果,作為決策前期的基礎。
在安全區(qū)域內,根據網絡拓撲結構(即物理層、網絡層、系統(tǒng)層、應用層、數據層、用戶層),應用需求和安全需求劃分的安全邊界和安全區(qū)域,建立起風險值計算模型。通過列出從物理層到用戶層之間結構所存在的薄弱點,分析其可能為資產所帶來的影響,以及這些薄弱點對系統(tǒng)薄弱環(huán)節(jié)外部可能產生的威脅程度大小,進而通過安全風險評估專家進行評判,得到系統(tǒng)的風險值及排序。
在不同的安全層次中,每個薄弱環(huán)節(jié)都存在著不同程度的潛在威脅。若是采用多嵌套的計算方法,能夠幫助計算出特定安全區(qū)域下的資產在這些薄弱環(huán)節(jié)中的風險值。
3 結語
本文主要通過對政府電子政務網絡系統(tǒng)的建設中,所進行的安全風險評估進行研究,分析和探討在規(guī)劃與設計階段、建設與實施階段、運行與管理階段三個階段中政府網絡安全建設的相關問題。并在各階段分別采用安全風險分析、系統(tǒng)建設完成后的安全等級評估。在系統(tǒng)建成后的運行和管理階段,采用的安全檢查評估等方法,保障政府電子政務網絡系統(tǒng)的安全。此外,在安全風險分析中,可操作的方法并不多,需要有關部門加強力度,加以研究和探析。在等級安全評估和安全檢查評估兩個階段,可以充分利用第三方權威機構的評測工具,來加強政府網絡的安全性。
參考文獻:
[1]楊志新.政府網絡安全風險評估[J].系統(tǒng)工程,2005,4.
[2]王繼曄.政府信息網絡的安全措施及技術手段[J].交通與計算機,2003,2.
[3]黃煒.我國政府保護網絡經濟信息安全的現(xiàn)狀和對策[J].華南理工大學,2010,5,6.
[4]夏義,李勇.政府網絡安全問題分析[J].高校圖書情報論壇,2003,2.
安全風險評估范文第3篇
關鍵詞 風險管理;檔案安全;風險評估
按照風險管理的視角對電子檔案的安全管理進行透視分析,具有極為重要的現(xiàn)實意義。明確風險管理和安全管理二者之間的辯證統(tǒng)一關系,才能對醫(yī)院檔案安全管理有更加清晰的認識。風險管理作為安全管理的核心內容,貫穿于安全管理的全過程。應用風險管理理論對醫(yī)院檔案安全管理體系進行評估分析,針對結論采取針對性措施,對于確保檔案資料作用的充分發(fā)揮具有極為重要的保障作用。
風險管理與檔案安全之間的關系
“安全”的基本內涵是沒有危險、沒有損失、沒有威脅。“風險”主要內涵為危險、傷害以及遭受損失的可能性,二者之間具有極為密切的關系。但是,風險并非意味著不安全。“風險”重點強調“可能性”,其具體含義為可能引起或者不會引起安全問題,風險不是絕對的。“風險”同時具有威脅與機會的雙重含義,其中的威脅是消極的,而機會則是積極的。此處的威脅不同于傳統(tǒng)含義的威脅,其關鍵點在于如何平衡安全、成本和效率,如何將威脅轉換為機會。在醫(yī)院的檔案管理中,盡管電子檔案更加便捷、易于管理,但其所存在的風險遠遠大于紙質檔案的風險,可是,不能由于這種風險的存在就不再采納電子檔案。
風險管理的基本內容為對可能遇到的風險情況全過程進行計劃、識別、評估、應對、監(jiān)控等。對風險大小的正確識別,必須依靠準確的風險評估。進行評估后,再采取對應而適當的控制方式,對目標風險進行有效控制,根據實際情況制定針對性的信息安全管理方式,才可以確保將安全風險發(fā)生率降低到可控水平范圍內。風險管理是安全管理的核心內容,貫穿于安全管理的始終。風險管理具有雙重意義,既可指導安全管理,又能應用于安全工作實踐。只有在正確地了解和認識到存在的安全、風險后,才可以更加全面地、準確地理解風險管理,才可以從安全風險的角度出發(fā)制定出合理而完善的決策,正確開展安全體系建設以及安全管理投資等。以風險管理的視角對安全管理進行透視,必須始終堅持將風險管理貫穿于安全管理體系。建成的風險管理安全管理體系并不表示可以完全消除安全風險,但這種體系的完全實施,將可以確保安全風險盡量減少到最低水平,最終實現(xiàn)安全風險、安全成本與安全效率之間的有效平衡。
檔案安全風險評估的必要性和作用
醫(yī)院的檔案管理與其他行業(yè)領域的檔案管理工作一樣,存在著較大的安全隱患問題,這些安全隱患成為誘發(fā)檔案安全事故的潛在威脅。加之檔案管理工作人員的基本素質與業(yè)務素養(yǎng)存在著較大的差異,其認識上表現(xiàn)為不一致性。①不少檔案管理部門以及檔案管理人員尚未形成風險管理意識。工作人員期望實現(xiàn)檔案的絕對安全,但實際上絕對安全是不存在的。即便是對隱患進行認真排查或對風險進行有效控制,都只能實現(xiàn)檔案的相對安全,隨著環(huán)境的變化,其安全問題依然存在。和檔案資料安全的相對性相比,檔案資料的風險卻表現(xiàn)為絕對性,不管采用何種方法進行控制預防,風險始終一直存在。正是由于上述關系,檔案管理部門以及工作人員必須牢固樹立對檔案安全以及風險管理和控制的正確意識,始終緊繃安全這根弦,一直致力于檔案安全管理。②部分檔案管理工作人員的風險意識比較淡薄,其麻痹思想嚴重。在工作過程中,存在僥幸心理,自己認為不會出問題。③部分檔案管理人員沒有對檔案工作的重要性引起足夠的重視。檔案資料具有保密性、完整性、實用性以及真實性,其業(yè)務內容相對復雜。因此,要始終堅持形成檔案安全風險評估機制,且努力將這一機制認真貫徹實施。
開展檔案安全風險評估,能夠幫助檔案管理工作人員對檔案管理中存在的全隱患和問題進行及時的排查,排查后,才能確保對安全隱患進行排除。及時進行安全隱患的排查,雖然不能徹底避免安全事故,但可以有效降低安全事故的發(fā)生率。開展安全風險評估,有助于檔案工作人員在提升檔案資料安全性的同時進一步熟悉基本情況,做到心中有數。進行安全風險評估,能夠促進檔案管理工作人員根據相應的規(guī)定制定出具有針對性的檔案管理評估標準,進一步提升檔案管理的水平。
安全風險評估范文第4篇
從企業(yè)內部業(yè)務出發(fā),優(yōu)化信息安全風險評估基本模型,設計了一個企業(yè)信息安全風險自評估實施模型,并深入分析了該模型的內容,使其適用于企業(yè)依托自身力量來有效開展自評估活動,從而提高企業(yè)信息安全風險防護能力。
關鍵詞:
信息安全;自評估;風險評估;模型設計
企業(yè)信息安全風險評估主要有2種模式,即他評估和自評估。相比較而言,自評估展現(xiàn)出越來越多的優(yōu)點,比如外部依賴性小、投入費用低、評估周期短、次生風險低和可以提高內部安全意識等。除此之外,信息安全風險的動態(tài)化決定信息安全評估工作應是長期持續(xù)的,大部分的內部信息安全風險評估內容企業(yè)可采用自評估方式來完成。但信息安全風險評估的專業(yè)性、技術性、標準性比較高,企業(yè)難以掌握復雜的評估技術和方法。本文以企業(yè)業(yè)務為出發(fā)點,對信息安全風險評估基本模型進行優(yōu)化,設計了一個更適用于企業(yè)依托自身力量來有效開展自評估的實施模型,以提高企業(yè)信息安全風險防護能力。
1信息安全風險評估基本模型
對風險評估模型的研究一直是信息安全風險評估領域的研究熱點之一。風險評估基本模型是一種基于資產、威脅和脆弱性的信息安全風險評估模型。其中,資產的評估主要是對資產進行相對估價,估價準則依賴于對其影響范圍的分析;威脅評估是對資產所受威脅發(fā)生可能性和威脅嚴重程度的評估;脆弱性評估是對資產脆弱程度的評估,也是對資產被威脅、利用成功的可能性的評估。信息安全風險評估基本模型的評估過程就是對資產信息、威脅信息和脆弱性信息進行綜合分析評估并且生成風險信息的過程,包含確定評估范圍、資產識別階段、安全威脅/脆弱性評估、風險分析和風險管理等階段。基于信息安全風險評估基本模型,很多學者從不同角度和目的做了優(yōu)化和完善。但是,信息安全風險評估模型的研究還處于探索和完善階段,已有的研究存在一些缺陷,主要表現(xiàn)為以下3點:①缺乏對評估內容的逐層細化,難以評價和量化各要素,可操作性比較差;②缺乏對風險評估基本要素屬性的綜合思考,難以體現(xiàn)評估要素與企業(yè)業(yè)務的關系;③大部分模型比較復雜,評估方法和流程操作起來費時費力,企業(yè)難以采用。
2基于基本模型的企業(yè)信息安全自評估模型
針對信息安全風險評估模型的不足,本文綜合考慮企業(yè)自身的業(yè)務和內部約束條件,在基本模型和相關研究成果的基礎上,提出更加簡單、有效的企業(yè)信息安全風險自評估模型。本文認為,企業(yè)信息安全風險自評估模型應遵循自主、簡單、規(guī)范性、可行性和可擴展性的原則,基本思路是從企業(yè)業(yè)務出發(fā),多角度研究自評估模型中資產、威脅、脆弱性的關系和指標,應用相關統(tǒng)計分析方法統(tǒng)計,運用層次分析法(AHP)評價、量化相關要素和風險,最終構建一個科學、合理、可操作的企業(yè)自評估模型。在此過程中,需要解決3方面的問題:①明確評估的對象、內容和流程;②構建評價方法,統(tǒng)一評估和度量風險基本要素;③統(tǒng)一不同層面、角度的評估結果。
2.1基于AHP的信息安全風險要素度量方法
AHP(AnalyticHierarchyProcess,層次分析法)是一種定性分析與定量分析相結合的多目標決策分析方法,其基本步驟是:①分析問題,建立遞階結構(評價模型);②構造比較判斷矩陣;③層次單排序;④一致性檢驗;⑤層次總排序與一致性檢驗;⑥選擇最優(yōu)的解決方案。資產、威脅、脆弱性作為信息安全風險自評估模型的3個基本要素,需要分別識別和分析,并提煉出各自的評價指標。本文結合已有的理論和實踐成果,從自主性、簡單性、可行性和科學性原則出發(fā),基于相關標準、企業(yè)環(huán)境和企業(yè)業(yè)務影響分析,提出信息資產的評價因素應包含經濟、名譽、法律法規(guī)、業(yè)務運營、社會秩序、商業(yè)利益和個人利益,等等,威脅可能性評價指標應包含威脅攻擊力、威脅動機、資產誘因和威脅頻率等,脆弱性嚴重程度賦值的評價因素應包含可用性、機密性和完整性。根據資產受到損害時對其評價因素帶來的損失為資產價值賦值(比如從1~4取值),數值越大,表明資產價值越高。得到各評價因素的綜合分值后,分值最大的為該資產的價值,即資產價值為A=max(i)。根據威脅評價指標和脆弱性評價因素,利用AHP方法建立威脅、脆弱性評價體系,體系由目標層、準則層和指標層(方案層)構成。為了方便對不同威脅發(fā)生可能性概率、不同脆弱性的嚴重程度進行類比、度量,使用統(tǒng)一的度量標準,采用相對等級的方式處理評價結果(比如從1~4取值),數值越大,威脅發(fā)生的可能性越高,帶來的損害越大。通過AHP用數量形式表達和處理個人主觀判斷結果,采用專家和團隊評分進一步比較各要素的重要性,并做一致性檢驗,最終確定各要素的值。
2.2企業(yè)信息安全自評估風險計算
在對資產價值、威脅、脆弱性分析和量化后,還要確定各要素之間的組合方式和具體的計算方法。《信息安全風險評估規(guī)范》(2007)對風險值的計算提出了如下函數:風險值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va)).(1)式(1)中:R為安全風險計算函數;A為資產;T為威脅;V為脆弱性;L為威脅利用資產的脆弱性導致安全事件的可能性;F為安全事件發(fā)生后造成的損失;Ia為安全事件所作用的資產價值;Va為脆弱性嚴重程度。信息安全風險值的計算方法主要有矩陣法、相乘法和預先價值矩陣查表法等,并且可以將多種方法結合使用。因為相乘法操作簡單,所以,在風險分析中的應用比較廣泛。該方法是一種定量的計算方法,主要思路是利用2個相關要素值的乘積計算出結果要素的值。按照簡單性、科學性原則,對于企業(yè)自評估,本文認為,相乘法比較適合企業(yè)使用,但不限于該方法。根據相乘法,企業(yè)信息安全風險值的計算過程是:①計算威脅利用資產的脆弱性導致安全事件的可能性,即L=L(T,V)=T×V;②計算安全事件發(fā)生后造成的損失,即F=F(Ia,Va)=Ia×Va;③計算風險值,即R=R(L,F(xiàn))=L×F.
2.3企業(yè)信息安全自評估模型和流程設計
企業(yè)信息安全風險自評估的基本目的是依據企業(yè)自身業(yè)務,識別出信息系統(tǒng)中存在的主要安全風險,并排列優(yōu)先級,為風險信息計算提供數據支撐,進而為提出風險應對措施提供建議。基于上述方法,本文提出了企業(yè)信息安全風險自評估模型,如圖1所示。企業(yè)信息安全風險自評估模型的實施分為范圍確定、資產識別與量化、威脅分析、脆弱性分析、風險分析與計算、風險應對建議6個階段,每個階段的具體任務如圖2所示。本文提出的自評估模型綜合了企業(yè)自評估的約束條件、風險評估的基本原理、關鍵環(huán)節(jié)與流程、基本要素度量等,具有以下5個特點:①模型提供了統(tǒng)一的資產、威脅、脆弱性3個基本要素的度量和評價方法,依據模型中的評價指標可以進行量化和排序。②模型將企業(yè)業(yè)務與風險評估結合起來,體現(xiàn)了IT服務企業(yè)、服務業(yè)務的理念,在一定程度上反映出了信息安全風險評估對業(yè)務的影響程度和對企業(yè)的價值。③模型滿足信息安全的動態(tài)性要求,適應企業(yè)業(yè)務不斷發(fā)展和調整的需要。當業(yè)務調整時,企業(yè)僅需分析業(yè)務信息流,識別出相關資產、威脅和脆弱性等。④模型滿足信息安全的持續(xù)性要求,企業(yè)可建立相關制度,將自評估設立為日常性工作。當業(yè)務無法調整時,自評估活動僅需識別和分析新的脆弱性和威脅信息,從而節(jié)省大量資源。⑤模型具有較強的適應性,適用于不同類型的企業(yè),企業(yè)可根據實際情況裁減和優(yōu)化,根據各自的偏好選擇風險計算方法。
3結束語
安全風險評估范文第5篇
關鍵詞:信息安全;風險評估;教學
信息安全風險評估是進行信息安全管理的重要依據,通過對信息系統(tǒng)進行系統(tǒng)的風險分析和評估,發(fā)現(xiàn)存在的安全問題并提出相應的措施,這對于保護和管理信息系統(tǒng)至關重要。目前國內外都高度重視信息安全風險評估工作。美國政府2002年頒布《聯(lián)邦信息安全管理法》,對信息安全風險評估提出了具體的要求;歐盟國家也把開展信息安全風險評估作為提高信息安全保障水平的重要手段;2003年7月23日,國家信息中心組建成立“信息安全風險評估課題組”,提出了我國開展信息安全風險評估的對策和辦法。2004年,國務院信息辦研究制訂了《信息安全風險評估指南》和《信息安全風險管理指南》兩個風險評估的標準;2006年又起草了《關于開展信息安全風險評估工作的意見》[1]。這些工作都對信息安全人才的培養(yǎng)提出了更高的要求,同時也為《信息安全風險評估》課程的開設和講授提供了必要的基礎和條件。《信息安全風險評估》課程教學,是信息安全專業(yè)一門重要的專業(yè)課程,能全面培養(yǎng)學生綜合運用專業(yè)知識,評估并解決信息系統(tǒng)安全問題的能力,是培養(yǎng)符合國家和社會需要的信息安全專業(yè)人才的重要課程之一。《信息安全風險評估》課程本身的理論性與實踐性都很強,課程發(fā)展十分迅速,涉及的學科范圍也較廣,傳統(tǒng)的教學的模式不能使該課程的特點很好地展示出來,無法適應社會經濟發(fā)展對信息安全從業(yè)人員的新要求,教學改革勢在必行。
一、現(xiàn)狀與存在的問題
信息安全風險評估是從風險管理角度,運用科學的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的安全威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施。它涉及信息系統(tǒng)的社會行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風險評估的結果可以作為信息安全風險管理的指南,用來確定合適的管理方針和選擇相應的控制措施來保護信息資產,全面提高信息安全保障能力[2]。自2001年信息安全專業(yè)建立以來,高校在制訂本科專業(yè)教學培養(yǎng)目標和教學計劃時,側重于具體安全理論和技術的教學和講授,特別是重點強調了密碼學、防火墻、入侵檢測、網絡安全等安全理論與技術的傳授。從目前高校的教學內容看,多數側重于對“信息風險管理”、“風險識別”、“風險評估”和“風險控制”等基本內容的介紹上,而且教學課時數也較少,只有十個學時。當前從《信息安全風險評估》課程的教學情況來看,該課程在信息安全教育教學過程中地位有待提高,實踐教學的建設與研究迫切需要深化。
當前該課程的教學實踐中普遍存在以下幾個方面的問題,嚴重制約了《信息安全風險評估》課程教學質量的提高:
1.本科教學大都以理論內容為主體,實驗和課程設計的學時安排較少。一般高校的《信息安全風險評估》課程主要以理論內容的講授為主,實驗和課程設計的學時較少,實驗內容也大多屬于驗證性質,缺少具有研究和探索性質的信息安全風險評估實踐內容和課程設計;
2.教學方法單一,缺乏激勵學生求知欲的教學方法和手段。當前開設《信息安全風險評估》課程的高校還較少,師資力量相對薄弱,教學經驗也比較缺乏,仍以主要由教師講述的傳統(tǒng)教學方式為主,學生進行具體實踐和操作的課時較少,缺乏創(chuàng)新性的教學和研究,基本沒有具有探索性和創(chuàng)新性特點的教學內容,不利于發(fā)揮學生主觀能動性,提高其創(chuàng)新能力;
3.實驗環(huán)境無法滿足教學需求,缺乏專業(yè)的信息安全風險評估師資。我國信息安全風險評估的研究和教學工作起步晚,缺乏相關的實驗設備;而且受到資金和專業(yè)發(fā)展等多方面因素的制約,難以設立專門的信息安全風險評估實驗室。此外,信息安全風險評估是以計算機技術為核心,涉及管理科學、安全技術、通信和信息工程等多個學科,對于理論和實踐要求都很高。這就要求教師既要學習好各學科的基本知識,又要加強實踐訓練。
二、教學改革與探索
高校計算機相關專業(yè)開設《信息安全風險評估》課程,不是培養(yǎng)網絡信息安全方面的全才或戰(zhàn)略人才,而是培養(yǎng)在實際生活和工作中確實能解決某些具體安全問題的實用型人才。針對《信息安全風險評估》課程的特點和教學中存在的不足,我們從以下幾個方面對該課程的教學改革進行了探索:
1.重新確立課程培養(yǎng)目標。①重點培養(yǎng)學生分析和評估信息安全問題的能力:《信息安全風險評估》課程是一門理論性和實踐性緊密結合的課程,目前開設該課程的高校較少,各學校的教學內容也多種多樣。該課程的教學目標即要培養(yǎng)學生發(fā)現(xiàn)信息系統(tǒng)存在的安全風險,同時也需要培養(yǎng)他們科學地提出解決安全隱患的方案及能力。如何提高學生分析和評估信息安全問題的能力是該課程教學的首要目標。②培養(yǎng)學生實際操作的能力:信息安全風險評估的關鍵是對信息系統(tǒng)的資產進行分類,對其風險的識別、估計和評價做出全面的、綜合的分析。這就要求學生熟練地掌握目標對象的檢測和評估方法,包括使用各種自動化和半自動化的工具,可在模擬實驗里,通過不斷地訓練實現(xiàn)。③培養(yǎng)學生繼續(xù)學習、勇于探索創(chuàng)新的能力:隨著信息化的不斷發(fā)展,信息系統(tǒng)所面臨的安全威脅急劇增加,為此各國政府都不斷提出和完善了各類信息安全測評標準。這就要求我們在教學中不斷地學習、理解和解釋最新的國際、國內以及相關的行業(yè)標準,培養(yǎng)和提高學生繼續(xù)學習的能力。另外,《信息安全風險評估》課程也要求通過課堂教學、課后練習、實驗驗證和考試、考查等教學環(huán)節(jié)培養(yǎng)學生獨力分析信息系統(tǒng)安全的能力,培養(yǎng)學生對信息安全風險評估領域進行探索和研究的興趣,最終使學生掌握信息安全風險評估的知識和技能,能夠解決具體信息系統(tǒng)的安全問題。
2.增加信息安全風險評估理論和相關標準的教學。信息安全測評標準和相關法律法規(guī)是進行信息系統(tǒng)安全風險評估的依據和保障。2006年由原國信辦《關于開展信息安全風險評估工作的意見》(國信辦2006年5號文);同時,隨著信息安全等級保護制度的推行,公安部會同有關部門出臺了一系列政策文件,主要包括:《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》等;國家信息安全標準化委員會頒發(fā)了《信息安全風險評估規(guī)范》(GB/T 20984~2007)、《信息系統(tǒng)安全等級保護基本要求》(GB/T 22239-2008)等多個國家標準[3]。為了保證《信息安全風險評估》課程目標的實現(xiàn),我們在教學過程中,增加了《GB/T20984-2007信息安全技術信息安全風險評估規(guī)范》、《GB/Z24364-2009信息安全風險管理指南》、《GB/T
22080-2008信息安全管理體系要求》、《GB/T22081-
2008信息安全管理實用規(guī)則》、《GB/T20269-2006信息系統(tǒng)安全管理要求》、《GB/T25063-2010?搖信息安全技術服務器安全測評要求》、《GB/T 20010-2005信息安全技術包過濾防火墻評估準則》、《GB/T20011-2005信息安全技術路由器安全評估準則》、《GA/T 672-2006信息安全技術終端計算機系統(tǒng)安全等級評估準則》、《GA/T 712-2007信息安全技術應用軟件系統(tǒng)安全等級保護通用測試指南》等相關評估標準和指南的學習,并編制相關的調查、檢查、測試表,重點強調對脆弱性檢測的理論依據的描述,檢測方法及其步驟的詳細記錄。
3.利用各種測評工具,提高學生實踐能力。在信息安全風險評估過程中,資產賦值、威脅量化分析、安全模型的建立等環(huán)節(jié)的教學和實踐對教師和學生都提出了較高的專業(yè)課程要求。我們在《信息安全風險評估》課程實踐中通過使用風險評估工具,并對具體的信息系統(tǒng)進行自動化或半自動化的分析,加深了學生信息安全風險評估的理論知識理解,同時注重培養(yǎng)學生動手實踐能力和探索新知識的能力。我們增加了主動型風險評估工具Tenable掃描門戶網站系統(tǒng)的實踐性教學內容。通過評估,該系統(tǒng)的服務器存在感染病毒的癥狀,其原因是服務器存在特定漏洞。為此我們使用漏洞掃描器對該服務器進行掃描,發(fā)現(xiàn)了“遠程代碼被執(zhí)行”漏洞,而且該漏洞能被蠕蟲病毒利用,形成針對系統(tǒng)的攻擊。通過案例特征提供了的信息,培養(yǎng)學生使用測評工具對具體信息系統(tǒng)進行安全風險評估的能力,并進一步使其認識到主動型評估工具是信息安全風險評估中快速了解目標系統(tǒng)安全狀況不可或缺的重要手段。
筆者結合自己的教學實踐體會,論述了當前《信息安全風險評估》課程中存在的問題以及解決對策。《信息安全風險評估》課程教學改革和建設是一個長期的、系統(tǒng)化的工程,需要不斷地根據信息系統(tǒng)在新環(huán)境下面臨的各種威脅,制定新的評估標準和評估方案,并使得學生在有限的時間和環(huán)境下掌握相應的知識和技能,以滿足社會對信息安全人才的需求。
參考文獻:
[1]付沙.加強信息安全風險評估工作的研究[J].微型電腦應用,2010,26(8):6-8.
[2]楊春暉,張昊,王勇.信息安全風險評估及輔助工具應用[J].信息安全與通信保密,2007,(12):75-77.
[3]潘平,楊平,羅東梅,何朝霞.信息系統(tǒng)安全風險檢查評估實踐教學探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).
