信息系统安全风险评估研究综述
“柠檬柠檬”通过精心收集,向本站投稿了6篇信息系统安全风险评估研究综述,以下是小编为大家准备的信息系统安全风险评估研究综述,仅供参考,欢迎大家阅读。
篇1:信息系统安全风险评估研究综述
信息系统安全风险评估研究综述
风险评估是信息系统安全保证的关键技术.笔者对国内外现有的信息安全风险评估方法与技术进行归纳和系统的评述.回顾了信息安全风险评估的理论框架与现有的评估标准;在此基础上,比较了包含FTA,FMECA,HAZOP等在内的传统风险评估技术和以CORAS为代表的现代风险评估技术;肯定了现代风险评估技术在利用统一建模语言进行半形式化表述方面的先进性以及根据信息系统生命周期的各个阶段特点选用适宜的风险评估方法的灵活性;同时指出该现代风险评估技术在动态识别、评估安全风险方面的'不足;提出了一种改进和完善现代风险评估技术的方法,即利用Markov链形式化描述并分析信息系统,确保了分布式信息系统风险评估的需要.此外,针对信息安全风险的不确定性,提出了通过模糊集理论丰富现代风险评估方法的研究方向.
作 者:李鹤田 刘云 何德全 LI He-Tian LIU Yun HE De-quan 作者单位:北京交通大学电子信息工程学院,北京,100044 刊 名:中国安全科学学报 ISTIC PKU英文刊名:CHINA SAFETY SCIENCE JOURNAL 年,卷(期): 16(1) 分类号:X913.2 关键词:信息系统 安全 风险评估 马尔科夫链 模糊集?篇2:农业气象灾害风险评估研究综述
农业气象灾害风险评估研究综述
综述了农业气象灾害风险评估的.国内外研究现状,总结了前人风险评估中的优点和缺点,并对农业气象灾害风险评估的研究方向提出一些建议.
作 者:李明志 臧俊岭 焦仁庆 作者单位:李明志(河南省新蔡县气象局,河南新蔡,463500)臧俊岭(平舆县气象局)
焦仁庆(兰考县气象局)
刊 名:现代农业科技 英文刊名:XIANDAI NONGYE KEJI 年,卷(期): “”(14) 分类号:S165+.25 关键词:农业气象灾害 风险评估 研究现状 存在问题 发展方向篇3:公司信息系统安全风险评估与管控的论文
公司信息系统安全风险评估与管控的论文
当前,信息安全风险管理已成为企业信息化工作的关键,而信息系统安全风险已经成为企业信息化运营风险中最为重要的组成部分。信息系统风险管理是内控框架中的核心内容,并已成为判定企业成熟度的一项重要指标。信息系统安全风险评估是安全风险管理的基础和重要内容,既是企业信息安全体系建设的起点,也将覆盖其全生命周期。如何持续提升信息安全风险评估意识和能力,妥当开展信息系统安全风险评估及风险管控,是企业信息安全工作的重中之重,本文就此进行探讨研究。
一、评估目的、原则及方式
1.1 评估的目的。企业进行信息系统安全风险评估,是为了提高信息安全保障体系的有效性,主要包括:发现现有基础信息网络和重要信息系统的安全问题和隐患,提出针对性改进措施;识别在用系统和在建系统在生命周期各个阶段的安全风险;分析现有与信息安全相关的组织管理机构、管理制度和管理流程的缺陷与不足;评价已有信息安全措施的适当性、合规性等。
1.2 评估的原则。进行信息系统安全风险评估,要遵循以下原则:
(1)整体性。系统安全风险评估应从企业实际需求出发,不局限于网络、主机等单一的安全层面,而是从业务角度进行评估,包括技术、管理和业务运营的安全性。
(2)动态性。风险评估应是动态、阶段性重复的,并非一次评估即可解决所有问题。每次评估应达到有限的目标,并依据评估的动态特性考虑再次评估的时机,形成良性的评估生命周期。
(3)适当性。选择恰当的评估对象、评估范围、评估时机,评估对象要有代表性,确定评估范围的恰当性、可行性等情况。
(4)规范化。应严格规范评估过程和成果文档,便于项目跟踪和控制。
(5)可控性。评估过程和所使用的工具应具有可控性。评估所采用的工具必须经过实践检验,可根据企业实际现状与需求进行定制。
(6)最小影响。评估工作应充分准备,精心筹划,事先预见可能发生的情况并制定应急预案,不能对网络和信息系统的运行及业务的正常运作产生影响。
(7)保密性。参与评估的工作人员应签署保密协议,明确要求在评估过程中对所有的相关数据、信息严格保密,不得将评估中的任何数据用于与评估以外的任何活动。
1.3 评估方式。风险评估的方式可分为自评估、检查评估、委托评估三种。自评估是由企业自身实施,以发现现有信息技术设施和信息系统的弱点、实施安全管理为目的的评估方式。检查评估是由主管部门发起,对下级单位的安全风险管理工作进行检查而实施的评估活动。委托评估是指企业委托具有风险评估能力和资质的专业评估机构实施的评估活动。
企业信息管理部门应定期或在重大、特殊事件发生时组织进行风险评估,识别和分析风险,实施控制措施,确保信息安全和信息系统的稳定安全运行。
1.4 评估时机。企业信息系统风险评估应贯穿于系统的整个生命周期,方可做好风险管控。在系统规划设计阶段,通过风险评估明确系统建设的安全目标;在系统建设阶段,通过风险评估确定系统的安全目标是否达到;在系统运行维护阶段,实施风险评估识别系统面临不断变化的风险和脆弱性,从而确定安全措施的有效性,确保信息系统安全运行;在系统废弃阶段,确保硬件和软件等资产的残留信息得到适当的处置,确保废弃过程在安全的状态下完成。
二、评估方法
企业信息系统的安全风险评估大致可分为三个阶段:计划准备阶段、现场评估阶段、分析报告阶段。三个阶段的工作内容和步骤如图 1 所示。
2.1 计划准备阶段。在进行安全风险评估之前,充分的准备工作是评估工作成功的基础。在计划准备阶段,需要开展以下工作:
(1)制定项目计划。确定评估目标、范围和对象;明确评估人员组织,包括项目领导小组、项目负责人、项目技术顾问组、风险评估小组、被评估单位项目协调人和项目配合人员;制定项目进度计划;明确项目沟通与配合制度。(2)召开项目启动会。进行评估前的项目动员。
(3)收集相关信息。收集所有评估对象资产信息;收集文档信息,包括安全管理文档、技术设施文档、应用系统文档和机房环境文档等。
2.2 现场评估阶段。现场评估阶段包含文档审阅、问卷调查、脆弱性扫描、本地审计、渗透测试、现场观测和人员访谈等工作内容。
(1)文档审阅。通过文档审阅了解评估对象的基本信息(包括安全需求),了解各评估对象已被发现的问题、已实施的安全措施,确定需要通过访谈了解的信息和澄清的`问题,以便尽量缩减人员访谈沟通时间,降低评估工作对相关人员正常业务工作的影响。
(2)问卷调查。由一组相关的封闭式或开放式问题组成,用于在评估过程中获取信息系统在各个层面的安全状况,包括安全策略、组织制度、执行情况等。
(3)脆弱性扫描。利用技术手段对信息系统组件进行脆弱性识别,收集各信息系统组件可能存在的技术脆弱性信息,以便在分析阶段进行详细分析。
(4)本地审计。本地审计与脆弱性扫描互补,收集各信息系统组件可能存在的技术脆弱性信息,以便在分析阶段进行详细分析。
(5)渗透测试。利用模拟XX攻击方式发现网络、系统存在的可利用弱点,目的是检测系统的安全配置情况,发现配置隐患。主要通过后门利用测试、DDos 强度测试、强口令攻击测试等手段实现。需要注意,渗透测试的风险较其它几种手段要大得多,在实际评估中需要慎重使用,未必每次评估都要进行渗透测试。
(6)现场观测。主要通过现场巡视和观察等方法,观察与应用系统、机房环境等有关的管理制度、安全运维相关的机制、系统配置现状(如系统现有账号、日志功能等),了解制度实际执行情况,保留检查证据(截图,日志文件等)并填写现场观测结果。
(7)人员访谈。访谈的对象包括:信息系统管理人员、应用系统相关人员、网络及设备负责人和机房管理人员。主要涉及信息系统控制环境评估,包括安全策略、组织安全、人员、资产管理、风险管理、法律法规符合性等;信息系统通用控制评估,包括程序开发设计、变更管理、程序和数据访问控制、投产上线、系统运维等;应用系统的安全性评估,包括身份认证、标识与授权、会话管理、系统配置、日志与审计、用户账户管理、输入控制、异常处理、数据保护和通信等;应用控制评估,包括业务操作、权限管理、职责分离、业务流程、备份等。
2.3 分析报告阶段。分析报告阶段的主要工作是整理现场评估获得的数据、资料,进行综合分析以及生成最终评估报告。
综合分析根据收集到的各种信息,整理出系统 / 资产脆弱性,并对脆弱性进行威胁分析,包括分析威胁发生的可能性、产生的后果,判定风险级别,以及制定风险处理计划。综合分析对分析人员的能力要求较高。主导综合分析和报告生成的人员必须参与过信息系统风险评估的各阶段,对被评估系统有基本的了解,熟悉风险评估的方法、手段、过程,掌握风险计算方法,了解风险评估基本理论,具备较强的文字功底。
最终编写的风险评估报告是风险评估重要的结果文件,是企业实施风险管理的主要依据,是对风险评估活动进行评审和认可的基础资料。风险评估报告通常应包括以下内容:
(1)概述。简要描述被评估系统的基本情况,包括功能用途、系统体系结构以及风险评估所使用的评估方法、评估过程等。
(2)评估综述。对被评估系统及其支撑平台已经实施的安全措施、评估发现的风险进行综合评价。
(3)评估详述。概要描述评估过程所发现的被评估系统存在的风险、以及不同级别的风险数量和比例;针对被评估系统及其支撑平台的每一个风险点,进行威胁分析、现有或计划实施的安全措施分析、风险评价等。
(4)整改建议。综合以上分析,说明被评估系统及其支撑平台需要采取的安全整改措施。
(5)附件。说明风险评估过程中主要访谈的人员和审阅的文档、脆弱性-风险对应表、控制措施-风险对应表等。
三、风险控制措施
风险评估的目的在于控制和规避风险。风险控制报告包括安全管理策略和风险控制措施,要依据通过审批的风险控制报告,落实控制措施。
控制信息安全风险的重要措施是实施信息系统安全等级保护,而等级保护的基本前提是信息系统等级的划分。企业要根据公安部等四部委联合发布的《关于信息安全等级保护工作的实施意见》,结合企业实际情况和国内相关领域专家的建议,确定信息系统安全保护等级,实施相应的等级保护,有效控制信息安全风险,支撑企业业务的连续运行。
四、风险控制实施的监督与跟踪
风险评估通常还包括一个至关重要的跟踪过程,即对执行与落实整改建议的情况进行监督与跟踪,必要时再次进行评估。
要充分利用风险评估管理信息系统作为基础性必备工具,实现对资产信息、安全威胁信息、脆弱性信息、评估结果的统一管理,以提升评估结果的可用性。
监督与跟踪主要工作包括建立监督与跟踪机制、制定跟踪计划、执行主动监督与报告等三个步骤:
(1)企业各级信息管理部门指定专门人员,建立监督与跟踪机制以跟踪安全整改建议的实施和效果。
(2)对关键的、意义重大而且至关紧要的安全整改措施,制定并实施跟踪计划,包括实施计划、预计实施时间、事项清单、验收方法与过程等。
(3)实施单位主动监督并报告整改实施的进度与状态,并对所有要求的整改采取跟踪行动,直到实施完成。执行监督与跟踪可以包括一个再评估过程,也可以采用风险评估管理信息系统来评估结果。
篇4:电子政务网信息安全风险评估研究论文
一、研究的意义
伴随着计算机通信技术的广泛应用,信息化时代迅速到来。社会信息化给政府事务管理提出了新的要求,行政管理的现代化迫在眉睫。电子政务在发达国家取得长足进展,为了提高政府的行政效能和行政管理水平,我国正在加快对电子政务网的建设。在新的时代条件下,开放和互联的发展带来信息流动的极大便利,同时,也带来了新的问题和挑战。电子政务系统上所承载的信息的特殊性,在网络开放的条件下,尤其是公共部门电子政务信息与资产,如果受到不法攻击、利用,则有可能给国家带来损失,也可能危及政府、企业和居民的安全。作为政府信息化工作的基本手段,电子政务网在稳定性、安全性方面,比普通信息网要求更高。对信息安全风险进行评估,是确定与衡量电子政务安全的重要方式。研究确定科学的安全风险评估标准和评估方法及模型,不仅有助于维护政府信息安全,也有助于防止现实与潜在的风险。
二、国内外研究状况
当前,国内外尚未形成系统化的电子政务网络信息安全的评估体系与方法。目前主要有风险分析、系统安全工程能力成熟度模型、安全测评和安全审计等四类。
(一)国外研究现状。在风险评估标准方面,1993年,美、英、德等国国家标准技术研究所与各国国家安全局制定并签署了《信息技术安全通用评估准则》。形成了信息安全通用准则2.0版,形成了CC2.1版,并被当作国际标准(150/IEC15408)。CC分为EALI到EAL7共7个评估等级,对相关领域的研究与应用影响深远。之后,风险评估和管理被国际标准组织高度重视,作为防止安全风险的手段,他们更加关注信息安全管理和技术措施,并体现在相继于和发布的《信息技术安全管理指南》(150/IECTR13335标准)和《信息技术信息安全管理实用规则》(150/IEC177799)中。与此同时,全球在信息技术应用和研究方面较为发达的国家也纷纷研发符合本国实际的风险管理标准。如美国国家标准与技术局自1990年以来,制定了十几个相关的风险管理标准。进入二十一世纪初,美国又制定发布了《IT系统风险管理指南》,细致入微地提出风险处理的步骤和方法。与,美国防部相继公布了《信息(安全)保障》指示(8500l)及更加完备的《信息(安全)保障实现))指令(55002),为国家防务系统的安全评估提供了标准和依据。随着信息安全标准的广泛实施,风险评估服务市场应运而生。继政府、社会研究机构之后,市场敏锐的产业界也投入资金出台适应市场需求风险评估评估体系和标准。例如美国卡内基梅隆大学的OCTAVE方法等。在风险评估方法方面,目前许多国内外的学者运用神经网络、灰色理论、层次分析法、贝叶斯网络、模糊数学、决策树法等多种方法,系统研究并制定与开发了不同类型、不同用途的风险评估模型,这些模型与方法虽然具备一定的科学依据,在不用范围和层面的应用中取得一定成果,但也存在不同程度的不足,比如计算复杂,成本高,难以广泛推广。
(二)国内相关研究现状。我国的研究较之国外起步稍晚,尽管信息化浪潮对各国的挑战程度不同,但都深受影响。20世纪90年代末,我国信息安全标准和风险评估模型的研究已广泛开展。但在电子政务网上的应用却是近几年才开始引发政府、公众及研究机构的关注。任何国家都十分重视对信息安全保障体系的宏观管理。但政府依托什么来宏观控制和管理呢?实际上就是信息安全标准。所以在股价战略层面看,用哪个国家的标准,就会带动那个国家的相关产业,关系到该国的经济发展利益。标准的竞争、争夺、保护,也就成为各国信息技术战场的重要领域。但要建立国内通行、国际认可的技术标准,却是一项艰巨而长期的任务。我国从20世纪80年代开始,就组织力量学习、吸收国际标准,并逐步转化了一批国际信息安全基础技术标准,为国家安全技术工作的发展作出了重要贡献。信息安全技术标准的具体研究应用,首先从最直接的公共安全领域开始的。公安部首先根据实际需要组织制定和颁布了信息安全标准。19颁布了《计算机信息系统安全保护等级划分准则》(GB17859一);援引CC的GB/T18336一,作为我国安全产品测评的标准;在此基础上,20完成了《风险评估规范第1部分:安全风险评估程序》、《风险评估规范第2部分:安全风险评估操作指南》。同时,公安部以上述国家标准为依据,开展安全产品功能测评工作,以及安全产品的性能评测、安全性评测。在公安部的带动下,我国政府科研计划和各个行业的科技项目中,都列出一些风险评估研究项目,带动行业技术人员和各部门研究人员加入研究行列,并取得一些成果。这些成果又为风险评估标准的制定提供了丰富的材料和实践的依据。同时,国家测评认证机构也扩展自己的工作范围,开展信息系统的安全评测业务。204月15日,全国信息安全标准化技术委员会正式成立。为进一步推进工作,尽快启动一批信息安全关键性标准的研究工作,委员会制定了《全国信息安全标准化技术委员会工作组章程(草案)》,并先后成立了信息安全标准体系与协调工作组(WG1)、内容安全分级及标识工作组(WG2)等10个工作组。经过我国各部门和行业的长期研究和实践,积累了大量的成果和经验,在现实需求下,制定我国自己的风险评估国家标准的条件初步成熟。,国信办启动了我国风险评估国家标准的制定工作。该项工作由信息安全风险评估课题组牵头制定工作计划,将我国风险评估国家标准系列分为三个标准,即《信息安全风险管理指南》、《信息安全风险评估指南》和《信息安全风险评估框架》。每个标准的内容和规定各不相同,共同组成国家标准系列。《信息安全风险管理指南》主要规定了风险管理的基本内容和主要过程,其中对本单位管理层的职责予以特别明确,管理层有权根据本单位风险评估和风险处理的结果,判断信息系统是否运行。《信息安全风险评估指南》规定,风险评估包括的特定技术性内容、评估方法和风险判断准则,适用于信息系统的使用单位进行自我风险评估及机构的评估。《信息安全风险评估框架》则规定,风险评估本身特定的概念与流程。
三、研究的难点及趋势
电子政务网的`用户与管理层不一定具备计算机专业的技能与知识,其操作行为与管理方式可能造成安全漏洞,容易构成网络安全风险问题。目前存在的风险评估体系难以适应电子政务安全运行的基本要求,因此结合电子政务网涉密性需求,需要设计一种由内部提出的相应的评估方法和评估准则,制定风险评估模型。当前存在的难点主要有:一是如何建立风险评估模型体系来解决风险评估中因素众多,关系错综复杂,主观性强等诸多问题,是当前电子政务网络信息安全评估研究的重点和难点。二是评估工作存在评估误差,也是目前研究的难点和不足之处。误差的不可避免性,以及其出现的随机性和不确定性,使得风险评估中风险要素的确定更加复杂,评估本身就具有了不确定性。从未来研究趋势看,一是要不断改进风险评估方法和风险评估模型。有研究者认为,要充分借鉴和利用模糊数学的方法,建立OCTAVE电子政务系统风险评估模型。它可以有效顾及评估中的各项因素,较为简易地获得评估结果,并消除其中存在的主观偏差。二是由静态风险评估转向动态风险评估。动态的风险评估能够对电子政务信息安全评估进行较为准确的判断,同时可以及时制止风险进一步发生。在动态模型运用中,研究者主要提出了基于主成分的BP人工神经网络算法,通过对人工神经网络算法的进一步改进,实现定性与定量的有效结合。
参考文献:
[1]陈涛,冯平,朱多刚.基于威胁分析的电子政务信息安全风险评估模型研究[J].情报杂志,,8:94~98
[2]雷战波,胡安阳.电子政务信息安全风险评估方法研究[J].中国信息界,,6
[3]余洋.电子政务系统风险评估模型设计与研究[D].成都理工大学,
[4]周伟良,朱方洲,电子政务系统安全风险评估研究[J].电子政务,,29:67~68
[5]赵磊.电子政务网络风险评估与安全控制[D].上海交通大学,2011
[6]汪洋.自动安全评估系统的分析与设计[D].北京邮电大学,2011
[7]杨瞾喆.云南省电子政务信息安全保障体系研究[D].云南大学,
[8]陈伟奇.政府网络安全风险评估[J].信息安全,,9:144~145
篇5:风险投资项目筛选和价值评估研究综述
风险投资项目筛选和价值评估研究综述
为了推进我国风险投资微观层面的`研究,文章对国内外研究现状及存在的主要问题进行分析和论述,从而为进一步研究风险投资自身运作机制中的投资决策机制,即筛选机制和评估机制打下坚实的理论基础.
作 者:姚丽琼 Yao Liqiong 作者单位:浙江工贸职业技术学院,浙江,温州,325003 刊 名:浙江工贸职业技术学院学报 英文刊名:JOURNAL OF ZHEJIANG INDUSTRY & TRADE POLYTECHNIC 年,卷(期): 5(2) 分类号:F830.59 关键词:风险投资 项目筛选 项目价值评估篇6:电子政务信息安全风险评估方法研究
电子政务信息安全风险评估方法研究
摘要:电子政务信息系统安全的重要性与日俱增,电子政务信息安全风险评估方法层出不穷.本文对目前主要的电子政务信息安全风险评估方法进行了综述性讨论,在分析了几种重要方法的.优、缺点的基础上,提出了基于主成分BP人工神经网络评估模型,将BP神经网络的动态学习性应用于复杂的电子政务信息安全评估.作 者:雷战波 胡安阳 作者单位:西安交通大学,陕西,西安,710049 期 刊:中国信息界 Journal:CHINA INFORMATION TIMES 年,卷(期):2010, “”(6) 分类号:X9 关键词:电子政务信息安全 动态评估 主成分分析 BP神经网络【信息系统安全风险评估研究综述】相关文章:
2.风险评估报告
3.风险评估方案
4.计划书风险评估
7.风险评估报告范文
8.风险评估的报告
文档为doc格式
