钟涌生 黄佳伟 李尧
广东电网有限责任公司揭阳揭东供电局 广东省揭阳市 522000
摘要:伴随着当前我国信息化技术的快速发展,信息技术以及系统的安全性逐渐引起了人们的关注,从信息系统中找到其中潜在的安全风险,并解决其安全问题,成为当前信息安全管理的重要内容。信息安全以及风险评估是信息安全基础保障的核心,从管理风险的角度可以看到,分析信息系统中的安全风险以及威胁,并可以针对其评估的对象,以及具体目的进行分析,并对信息系统的全周期开展风险评估,当然风险评估的基本原则都一样,需要针对不同的对象进行评估。
关键词:信息系统运维;信息安全风险评估;技术研究
引言: 针对当前信息技术的快速应用,系统的安全性已经得到了人们的广泛关注,对于信息系统进行风险管理,是维护信息系统安全性的基础保障,对于信息系统进行安全评估,对于后续的风险管理有着直接的影响,信息的管理与风险评估,将直接影响到信息的安全性,必须引起相关主体的重视,本文从信息系统运维阶段的安全风险评估展开研究与分析,并进行提出相应的策略提升信息安全风险评估的水平,希望能对信息系统的安全性提供帮助。
一、信息系统运维中进行安全风险评估的意义
信息安全主要指的是在网络信息化系统中,相关数据,以及软件以及硬件的保护状况,以及对于外部潜在风险的低于措施等等。从关于信息系统运维评估的角度来看,信息的安全性是一种相对的安全,并非是某一技术就能够确保长久的安全性,也没有绝对层面上的信息安全。对于系统的安全进行评估,主要指的是管理者利用整体和系统性的分析,判断信息系统中的潜在威胁,利用全新的技术方法以及系统的方案,对于安全系统中可能造成的隐患以及损失等等,制定出有针对性的防护措施,从而控制信息的安全风险,将风险控制在自身能够保障的范围以内,减少和降低信息系统的隐患,确保信息的安全性[1]。系统的安全性以及信息的资产价值,体现了信息所具有的价值,这也是资产敏感程度和重要性的直接表现,反映了资产的基本属性,这也是资产评估中的核心内容。
信息系统在韵味阶段进行风险评估所需要经过不同的阶段,首先是风险的评估与准备阶段,在这一过程中,要明确评估的范围,并选择评估的团队、评估的方法以及数据来源,制定整体的信息系统评估方案等等。其次是系统评估阶段,在这一阶段中,风险评估具有重要的比重,要对系统中的数据进行识别,判断不同数据和不同信息的重要性,通过脆弱性的识别,确保系统的安全性工作。另外从系统的分析以及具体的管理来看,在实现了对于信息的识别以后,明确相应的安全措施,使用恰当的方法,找到可能存在的安全隐患,并且从中找到问题发生以后可能会造成的严重后果,分析系统数据出现问题以后对于主题造成的影响,将风险的结果分等级,根据等级结果,对于风险进行控制和管理,根据风险分析的解决,明确要达到的风险系数,根据风险制定相应的计划,最大限度的降低风险。
二、信息系统运维信息风险评估的内容
信息系统运维中的相关信息安全风险评估,包含有资产的薄弱性以及安全性,对当前的风险进行评估与分析,其中信息资产对于系统数据有着直接的影响,也是信息安全管理与评审中的核心要素,包含有硬件、软件以及信息、人力等等因素,根据资源的紧密型、完整性以及操作性等等[2]。
评估相关资源的可操作性以及严密性,从而对于系统中相关资产造成影响,其核心在于分析安全风险的等级,并根据不同的等级制定相应的风险要求,降低信息安全潜在的威胁。系统评估是基于资产的识别以后,根据信息的重要性程度,对于信息资产进行识别和分类,并充分考量到系统的安全性以及保密性要求,根据相应的信息管理规范对于系统的完整性以及保密性等等进行分析和优化,基于单位自身的实际情况,对于信息加以赋值。另外还要识别风险评估的相关因素,当然威胁作为一种较为客观的存在,不管是当前信息系统的安全性有多高,都必然会存在着安全的威胁。当前的安全措施可以分为保护性措施以及预防性措施两类。其中预防性措施的主要目标是降低一些出现威胁的几率,而保护性措施则是在问题出现以后能够降低其影响[3]。所以确认安全措施一方面是系统中对于安全产品的配置、方法,另外还要从管理的实践层面对于具体的措施加以明确,兼顾到系统技术的应用,利用物理安全、人员安全、制度以控制等等,明确进入系统的身份,降低一些不必要工作,防止对于系统的安全性造成负面影响。
三、信息系统运维安全风险评估的具体思路
在信息系统运维的安全风险评估,首先要对系统进行定性评估与分析,这种定性的分析在当前的信息安全性中,有着重要的影响,这种信息的管理帮助人们意识到潜在的损失,而对于可能会出现的安全问题缺少应有的关注。所以在对其进行定性的分析过程中,工作人员需要根据修通技术的应用,以及其安全的威胁对安全风险进行评价。在定性与评估的过程中,判断其数据分析的具体要素,从而在系统和风险的管理中,积极的构建和探索相应的信息风险以及信息安全[4]。
信息系统运维中对于系统安全性的评估,需要以体系的方式构建,基于对于相关风险的全面评估。在企业经营与管理的过程中,利用风险对企业的管理进行全面评估。这种方式让信息安全的评估能够以分层次的方法进行评估实现对于风险评估的引导。此外基于系统的威胁性、安全性等等要素,对于潜在的安全风险进行明确,从而确保系统的安全系数能够满足正常使用的标准。定量分析主要应用在可能会出现重要问题和威胁事件等等元素上,利用不同的数据加以综合,从客观的层面上来看,利用定量分析能够明确的判断其信息的登记。伴随着当前信息化技术应用以及往前的网络信息化技术快速发展,其计算的方法往往是先评估资产,然后在根据相应数据做好分析,则在于资产评估的过程中,也可以形成更加全面的信息安全服务。从系统的有效性来看,对于系统的脆弱性进行赋值,可以看到这类脆弱性的问题往往只有在其得到了广泛利用以后,是事物才能够实现安全的目标,并且这种脆弱性还要在评估范围内开展每一项资产的评估,找到错若的自愿性,对于资产的脆弱性有清晰的认识,当然这种较为薄弱的形式需要从技术以及挂历等方面着手,从而基于不同的网络系统,提供出有一定差异化的模式,从具体的实践情况来看,应当在信息管理的过程中,找到自身存在的问题,并有针对性的调整与优化,从而满足当前网络信息技术背景下,人们对于信息技术的关注和重视[5]。
总结:在当前国内的网络信息化技术快速发展背景下,基于信息系统的安全性,利用相应的措施开展信息安全评估,具有非常重要的作用,其重要性应当引起人们的关注。国内信息安全评估与当前国际的先进水平存在着一定的距离,需要投入更多的资源加强信息安全的保护,并以此为核心推动信息产业的发展与建设,确保信息数据的安全性,也能够为社会的发展提供坚实的技术保障和支撑。
参考文献:
[1]张惠.信息系统运维阶段信息安全风险评估工作研究[J].网络安全技术与应用,2018(06):15-17.
[2]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程.北京:电子工业出版社, 2010.
[3]王敏杰,鲁恩琼.信息安全风险评估综述[J].通信管理与技术,2019(06):54-55+59.
[4]王敏杰,鲁恩琼.信息安全风险评估综述[J].通信管理与技术,2019(06):54-55+59.
[5]戴传祇.信息安全风险评估现状及完善对策研究[J].数字通信世界,2020(06):254-255.
广东电网有限责任公司揭阳揭东供电局,职创项目:一种计算机终端合规性快速检测工具的研发项目;