(一)档案信息制度不健全带来的隐患
在档案信息化突飞猛进的背景下,相关的档案信息安全管理制度却未及时地建立起来,给别有用心的人窃取和不当利用档案信息以可乘之机,严重危害着档案信息的安全。比如,有的档案管理单位解答了档案利用者的问题,因为认为该问题具有代表性,就将该问题放入常见问题资讯库中。若该档案管理单位缺乏档案信息的保护制度和保密意识,没有对咨询人的个人信息进行必要的屏蔽和处理,可能会造成用户信息的泄露,侵犯档案利用者的隐私权。再比如,有的地市住房公积金管理网络系统由于缺乏相应的安全制度和技术保障措施,只需要输入公积金缴存人的姓名就可以查阅到其工资水平和住房公积金缴纳情况,而个人的收入状况属于个人不愿向外界透漏的的隐私,这就造成了个人档案信息的泄露。
(二)档案网络化管理带来的信息安全隐患
网络化管理给档案管理工作带来便利。但是,计算机感染木马病毒和遭受黑客恶意攻击的风险给档案信息的安全性带来隐患。木马程序一旦侵入档案管理系统,很可能会破坏档案信息数据,甚至会采取篡改、盗窃、销毁档案数据的破坏手段,造成档案管理的混乱,给档案数据的安全性带来致命损害。另外,以光盘、硬盘等存储介质为载体的电子数据档案有其自身不可克服的缺点,如信息数据不够稳定、易于损坏和难以固定保存等,加之档案存储设备更新速度很快,若不对档案存储设备以及相关的计算机硬件和软件及时更新,解决数字档案的格式转换等问题,极易造成档案数据丢失、毁损或无法顺利读取等情况发生。
(三)档案管理造成的信息安全隐患
档案信息化对档案管理人员的素质提出了更高的要求,要求档案管理人员不但要精通档案管理知识,还要精通互联网知识、计算机和相应档案管理软件的操作方法。但是,当前档案管理人员的年龄结构存在普遍偏大的状况。有些年龄较大的档案管理人员知识更新不够及时,仍然拘泥于传统的档案管理模式,对信息化的档案管理可能会感觉力不从心。因为对档案管理设备和档案管理软件研究不够深入,操作熟练程度不够等原因,在管理过程中容易造成档案数据意外删除等丢失毁损情况,构成档案信息的安全隐患。
二、加强档案信息安全的举措
(一)加强制度建设,提高档案安全管理意识
首先,单位领导要充分认识到档案信息安全管理的重要性,制定相应的档案信息安全管理制度,与档案管理人员签订档案安全管理责任承诺书,安排专门档案管理人员对所有档案信息进行保密管理,规范档案信息的保密审查程序和公开程序,确保做到公开的档案信息不,的档案信息不公开。同时,要完善档案信息安全防范机制,严格禁止其他计算机对档案管理系统网络的接入和访问,的档案信息不允许与互联网联接,的计算机要设置专用密码,在转为非计算机时要按照《保密法》的规定对存储硬盘进行拆除。
(二)不断提高档案安全管理技术,做好电子档案的异质备份工作
首先,提升档案安全管理技术是保障档案信息安全的有效途径,要定期对管理档案的计算机设备进行杀毒软件的升级,及时对病毒进行扫描和查杀,避免木马程序和黑客恶意侵入档案管理系统。同时,定期对档案管理设备如计算机设备、打印机、复印设备等进行检查,确保各种档案管理设备的正常使用。其次,承载电子数据档案的存储设备有别于传统的档案载体文件,对它的读取必须依靠必要的硬件设备和阅读软件才能够实现,对这些电子文件档案同时转化为其他类型的载体就成为必要。做好电子档案的异质备份工作,就可以防止随着技术的发展出现现有的电子档案因为缺乏相应的阅读设备和软件而不能顺利读取的尴尬局面。;将纸质文档通过扫描等手段转换成电子文档;将现有的电子照片通过拷贝等形式制作成多份备查等。
(三)优化档案管理人员结构,提高档案安全防范意识
档案管理的信息化对档案管理人员的素质提出了更高要求,要优化档案管理人员结构,建立形成梯队的复合型档案管理队伍。档案管理人员不但要熟悉档案管理方面的业务知识以及相关的档案管理法规,还要对计算机操作、互联网知识等现代化的科技知识做到熟练掌握。这就要求我们必须要建立健全档案管理人员的管理制度,对档案管理人员的配备、流入流出等规定严格的程序,明确各类管理人员的工作职责和违反规定造成档案安全信息不当泄露应承担的责任。要定期对档案管理人员进行业务知识和档案信息安全管理方面的培训,提高他们的安全防范意识和防范技能水平。
三、结语
铁路投产运行的信息系统很多,有的系统按照等级保护要求确定了安全等级并建立了安全系统;有的系统在设计中考虑了安全等级,但在建设过程中并未按设计要求实施安全方案;还有的系统没有考虑安全措施。针对铁路信息系统投产运行后的实际情况,铁路总公司有必要组织内外部测评队伍,根据国家和总公司对信息安全的建设要求,对信息系统开展技术和管理两方面的现状评估,检查信息系统在物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理上与相应安全等级标准的差距,进行差距分析,提出建设整改意见。
2安全等级测评
在信息系统等级保护安全建设完成和投产之前,首先组织内部测评队伍对安全建设情况进行效果测评,发现不符合性提出整改建议。内部测评结束及整改验收后,再聘请有第三方测评资质的测评机构进行等级测评,验证与国家及行业等级保护标准的符合性。通过总公司内部和专业测评机构的两级测评,可有效地推进国家及行业信息安全标准在全路的落实完善。按照GB/T22239-2008《信息安全技术—信息系统安全等级保护基本要求》中的等级测评要求,信息系统在运行过程中,等级保护测评工作要定期开展,其中三级系统每年要测评一次,四级系统每半年要测评一次。根据该要求,结合每年铁路安全大检查工作的需要,制定每年的安全大检查计划,组织内外部专业测评队伍,对三级及以上的信息系统开展安全等级测评工作。
3安全建设整改
3.1机房物理环境整改
按照《铁路行业信息机房设计及建设规范》、《铁路行业信息机房管理规范》的要求,完善机房环境、设备管理、电源管理、安全管理和资料管理,并从防雷、防火、防水、防静电、防盗窃、防破坏、电力供应、机房电源及环境监控等方面对机房环境进行改造。
3.2安全域划分
按照《铁路行业信息系统安全体系总体设计方案》,根据信息系统的安全等级,采用交换机划分VLAN、设置访问控制策略、部署防火墙等技术措施对信息系统进行安全域划分。
3.3边界网络防护
明确总公司信息网络、业务专网和互联网的网络边界,对网络边界部署内、外部网络访问控制策略、入侵检测等多项防护措施,并加强网络边界的监测。
3.4主机安全加固
遵照《铁路行业信息系统安全加固实施指南》,通过配置安全策略、安装安全补丁、修补系统漏洞、强化身份鉴别等方法对各类主机设备的操作系统、数据库、中间件等及时进行策略配置和加固。
3.5应用及数据安全防护
依照国家和行业标准,从用户身份认证、访问控制、数据加密、容错能力、日志审计等方面进行应用系统安全改造和建设。在数据安全防护方面,采用有效的数据备份策略对重要数据进行定期和增量备份,采用安全移动存储介质进行必要的数据交换。
3.6强化信息安全队伍建设
从安全管理、运行、监督、技术支持等方面加强行业内信息安全队伍建设,确保安全责任落实。做好总公司、铁路局两级和一线服务、二线运维、三线技术支持安全运维服务队伍,负责各系统日常安全运行维护工作。
3.7完善信息安全管理工作
为切实做好信息安全管理工作,总公司需要结合信息安全管理体系建设项目,以等级保护为抓手,将等级保护与信息安全日常管理紧密结合,将信息安全管理全面纳入铁路运输安全生产管理体系,按照“谁主管谁负责、谁运行谁负责”和属地化管理原则,逐级落实信息安全责任,建立与总公司信息化发展相适应的信息安全监督机制、应急机制、故障通报与处理机制、事件责任追究机制和风险管理机制。总公司在加强信息系统建设管理方面,需制定一系列的规章制度,包括《铁路行业信息系统上下线管理规范》和《铁路行业计算机应用软件通用安全要求》等,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、验收交付、等级测评、安全服务等管理内容。
4安全措施落实
4.1建立铁路信息系统安全技术体系
研究建立“一个中心(安全管理中心),三重防护(计算环境、区域边界、信息网络)”的铁路信息系统安全纵深防护和主动防御的技术体系,按总公司、铁路局、站段三级管理模式和信息系统运输生产专网、内部服务网、外部服务网三网的特点,实现运输组织及客货营销类信息系统“分级分区、专网专用、横向隔离、纵向认证”的安全策略,经营管理类信息系统“三级成域、主动防御、内外兼防”的安全策略。
4.2建设铁路信息安全综合管理平台
铁路信息安全综合管理平台是为总公司及下属单位开展与信息安全管理相关工作的综合工作平台,功能将覆盖总公司及其下属单位的信息安全管理工作的主要内容,并支持等级保护管理工作。
(1)以信息系统定级、备案、整改、测评和检查等规定步骤为主线,实现等级保护工作任务的下发、执行、进度监控和督办;
(2)风险管理、应急管理、安全检查和事故通报等专项管理功能;
(3)日常办公的综合管理、培训教育、标准管理等。
4.3建设铁路信息安全一体化运行监控平台
铁路信息安全一体化运行监控平台是集综合网管、应用防护、IT运维、机房监控为一体的信息系统安全运行监控管理平台,实现网络监控、主机监控、机房监控、边界防御、桌面终端安全的全方位监控功能。
4.4开展国产化和自主可控技术研究
在信息安全越来越重视国产化的大技术背景下,开展铁路行业的信息安全国产化和自主可控技术的研究尤为重要。在国产化方面,紧紧围绕铁路网络安全自主可控战略目标,根据国产产品成熟情况,结合铁路业务发展、业务需求,按照“统筹规划、分步实施,应用牵引、平台重构,项目推动、保障”的工作思路,采取“直接采用、对等替换、平台替换”技术策略,进行信息系统国产化改造和构建铁路信息安全等级保护技术体系的积极探索。在自主可控方面,通过统一标准、自主研发、自主实施、产权管理、风险评估、安全测评、安全管控、安全巡检等手段实现信息系统全生命周期各阶段的安全可控。
4.5开展基于云计算的安全技术探索
云计算已成为信息技术的重要发展方向,建立铁路云应用平台将对铁路信息化应用技术产生深远影响。云计算环境下的信息安全问题是信息安全技术领域面临的一个新课题,在开展铁路云应用平台研究的同时,同步开展云安全应用技术的研究和探索,使基于云计算的铁路应用平台在设计、建设、投产3个环节将信息安全同步纳入。
4.6建立铁路信息安全评测体系与技术督查体系
采用安全检查、风险评估、内外评测、安全运维等管理和技术手段,建立有效的安全测评与技术督查体系。通过在重要时间节点(如春运、暑运等)开展安全检查和自查工作,使路局、站段管理人员保持安全意识;按照等级保护标准要求定期开展风险评估、等级评测等工作,确保等级保护安全手段能贯穿重要信息系统的始终;通过完善铁路两级三线安全运维服务体系,建立总公司、铁路局两级信息安全技术督查工作机制,将信息安全技术和管理有机结合起来,实现安全管理、运维、督办相辅相成、相互监督的局面。
4.7等级保护示范工程仿真实验环境及试点工程建设
企业办公的信息系统是基于公司防火墙、服务器、访问web、邮件、公司内部网络、办公pc机、数据库、互联网技术及相应的辅助硬件设备组成的,是一个综合管理系统。从安全形势来看,企业办公的信息系统存在着严重的威胁。信息设备提供了便捷及资源共享,但同时在安全方面又是脆弱和复杂的,对数据安全和保密构成威胁。;破坏信息的完整性:数据未经非授权被增删、修改或破坏而受到损失;拒绝服务:对信息或其他资源的合法访问被无条件地阻止;非授权访问:某一资源被某个非授权的人,或以非授权的方式使用;窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息;业务流分析:通过对系统进行长期监听,利用统计分析方法对某些参数进行研究,从中发现有价值的信息和规律;假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者小的用户冒充成为大的用户的目的。黑客大多是采用假冒攻击;旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱获得非授权的权利;授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”;特洛伊木马:软件中含有一个觉察不出的有害的程序段,当其被执行时,会破坏用户的安全;陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略;抵赖:这是一种来自用户的攻击,如否认自己曾经过的某条消息、伪造一份对方来信等;重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送;计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序;人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人;媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得;物理侵入:侵入者绕过物理控制而获得对系统的访问;窃取:重要的安全物品,如令牌或身份卡被盗;业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等。
2企业办公中的信息安全策略
2.1保护网络安全
网络安全是为保护企业内部各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:全面规划网络平台的安全策略;制订网络安全的管理措施;使用防火墙;尽可能记录网络上的一切活动;注意对网络设备的物理保护;检验网络平台系统的脆弱性;建立可靠的鉴别机制。
2.2保护应用安全
保护应用安全,主要是针对特定应用(如Web服务器、数据库服务器、ftp服务器等)所建立的安全防护措施,这种安全防护措施于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。由于应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决企业信息系统的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
2.3保护系统安全
保护系统安全,是指从整体信息系统的角度进行安全防护,与网络系统硬件平台、操作系统、各种应用软件等互相关联,其安全策略包含下述一些措施:①在安装的软件中,检查和确认未知的安全漏洞;②技术与管理相结合,使系统具有最小穿透风险性。③建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
2.4加强员工的信息安全培训
(一)观念意识淡薄
网络是新生事物,很多人在利用网络学习、工作和娱乐的时候,常常忽略网络信息是否安全,他们不仅没有认识到信息安全不足的事实,还普遍存在安全意识淡薄的问题。与此同时,网络经营者在安全领域的投入远远不足,他们注重的都是网络的效应。在面对电子政务信息安全风险时,意识不到存在的风险才是真正最难解决的问题。值得庆幸的是,在发展过程中还是清楚的意识到安全问题的存在,只是使用者对自我信息安全保护还缺乏敏感的意识。
(二)管理体系不完善
田敏达在《电子政务信息安全策略研究》的论文中认为,电子政务信息安全不是单纯的技术问题。如果缺乏行之有效的安全检查保护措施,无法从技术、人员以及管理制度上建立电子政务信息安全防范,即使是再好的设备和技术也无法保证信息的安全。谭晓在《电子政务信息安全系统的设计与实现技术》中提出,管理体系也是电子政务安全体系的重要组成部分。管理作为网络安全的核心,要实现信息安全的有效管理,不仅需要技术手段的维护,还需要制定合理的管理制度,如日常系统操作及维护制度、审计制度、文档管理制度、应急响应制度等,这样才能发挥有效的作用。
(三)技术存在缺陷
田敏达在《电子政务信息安全策略研究》中也提出了存在的一些问题,包括我国网络安全技术落后、技术优势与相关行业脱节研究、计算机系统本身的脆弱性、我国对发达国家信息设备和信息技术存在着很强的依赖性。技术问题是支持电子政务信息系统稳定高效运行的关键手段,技术的问题是可以控制的,但是开发技术,实现高超的技术水平却是困难的。
(四)法律不健全
孟薇《电子政务信息安全研究》提出尽管一些既有的法律法规的出台和实施对于我国电子政务信息的安全起到相当积极的作用,但仍难以适应电子政务发展的需要,信息安全立法还存在相当多的盲区。在法律方面,基本的法律法规对电子政务信息安全有一定的约束作用,但是目前法律法规还存在不健全、覆盖有盲点、制度不协调等问题,这些为钻法律空缺的违法者提供了“正当”理由。
二、我国电子政务信息安全的防范策略
(一)增强部门的管理功能
对电子政务信息安全管理方面进行全方面的研究要从安全审计、数据库、电子邮件系统、浏览器、认证中心、安全产品的安全以及防火备份的安全管理等方面。通过建立和完善管理部门功能,增强管理业务操作,防范与避免不法分子对信息管理系统的侵犯。
(二)加强信息安全专门人才的教育培养
目前,我国信息安全系统及其产品不仅仅依靠向其他国家引进,而更多的是通过、行业以及企业在信息安全领域的投资开发,设计出经济合理以及具有自主知识产权的实用产品和适用技术。因此,建立信息安全产品技术研发的核心,即创造高水平的研究教育环境、培养高素质的信息安全人才以及提高信息安全理论基础知识的研究,另外,科研教育基地的大力支持和投入也为其奠定了基础。
(三)设置技术的远程访问的控制
通过路由访问策略和防火墙技术隔离内网与,在内网与相连通时,必须采取这样的措施才能避免安全隐患的存在。电子政务是开放,但又是封闭的,如何保证相应的客户访问到有权限涉及的资源,又能够保障对其的资料不被访问,就是电子政务的设计人员必须考虑的问题。针对此类问题,可以通过设置鉴别服务器来专门负责远程访问得到控制,至于是否设置鉴别服务器取决于该电子政务系统的规模。
(四)建立技术密钥分配中心
密钥的设立贯穿于网络的各个层次和级别,如负责访问控制以及证书、密钥等安全材料的产生、配置、更换和销毁等相应的安全管理活动,在身份认证机制和信息加密中,都要使用到加密,而无论什么加密都离不开密钥的使用、存储和传输的安全性。因此可以通过建立密钥分配中心负责信息加密、访问控制中心、安排鉴别服务器、授权服务器等活动。
(五)构建完善的安全法律体系
国家的法律要适应社会存在的需求和现实,通过为社会信息化发展提供全方面的指导思想以保障和促进国家的法制建设和信息化立法制度的建设。并且能够通过发展规范程度,继而实现更深层次的进步,同时促进国家信息化安全的环境构筑,为体现信息安全的法制文化做出有效的行动。针对存在缺陷的法律体系构建适合电子政务信息安全发展的法律法规,实现法律的约束。
(六)强化电子政务信息安全法律效率
所谓的档案信息化就是指在实际的档案管理工作中,采用信息化的技术和手段,实现信息的共享,为档案应用着提供便利。同时做好档案的开发和整理工作也是现如今社会发展的重要趋势。网络的高度发达成为档案信息化建设的前提和条件,实现档案管理的信息化和网络化符合社会可持续发展的需求,同时还能够提升社会服务的意识,加强服务力度。在进行档案信息化的过程中需要对相应的制度,管理方式等进行高度重视,同时做好档案安全的防御工作也是一种企业或者是事业单位风险评估的重要表现。保证档案信息的真实性和准确性时提升企业信誉程度,树立形象的重要因素。可见,在现如今的社会中,实现档案管理的信息化,加强保证意识具有一定的重要意义,也具有一定的必然性和可行性。
2档案信息化发展的技术环境和环境
2.1档案信息化发展的技术环境
从档案信息化的进程上看,其技术环境主要是包括计算机网络的普及以及各种办公方式的优化,做好档案信息的收集、整理以及存储和利用工作是实现档案信息管理的重要环节,在各个关节中都需要将先进的信息技术应用到其中。所以说,各种技术设备和方式的共同作用逐渐完善了档案信息化的进程。另外,还需要提供良好的硬件设施,实现档案信息的资源共享工作,同时保证档案信息传递的快速和便捷。
2.2档案信息化发展的环境
由于档案管理的信息化实现给档案管理工作带来较多的便利,因此,国家对这一问题加强了重视。在相关的法律法规中提到了关于档案信息化建设的重要内容。这些举措都是为档案信息化创设一个相对比较公平且开放的环境,使得档案信息能够发挥自身的优势作用,实现全国性和规范性的特点。另外,档案信息的真实性和准确性特点也需要科学的环境作为背景,各级单位或者是机关等都应该充分应用网络的相关资源实现档案管理的高效性。不得不提到的是,档案信息的检索功能越来越受到人们的高度重视,在实际的应用中,需要保证应用的快捷性。
3电子档案信息管理存在的安全问题
档案管理的安全问题直接影响到档案管理机构的机密或者是相应工作的进展。因此,保证档案管理工作的安全性,做好安全保证工作,能够有效的解决电子档案信息管理工作中出现的众多问题。。
3.1物理安全问题
物理安全问题是档案信息化中最为主要的问题,所谓的物理安全主要是指档案信息存放的条件以及环境,档案信息多以电子形式保存,因此,保存的温度和湿度等都需要控制在相应的范围内。尽量避免出现消磁,毁坏会这是盗窃的问题。从目前电子档案的管理工作上看,出现破坏的可能性主要有表现在两个方面,第一是计算机自身的软件和硬件方面的问题,另一方面则是人为因素。可见保护电子档案的安全性需要做好辐射的防护,提升工作人员的操作技能等等。
3.2软件安全
软件是计算机系统的重要组成部分,只有保证软件的安全问题才能实现档案信息的正常运行,提升利用程度。软件和硬件都是比较重要的两个方面,要在运行的过程中严格按照相应的标准以及规定来进行,同时对软件的使用权限进行控制,同时还需要对电子档案进行归档和整理,避免黑客对档案信息进行拷贝和篡改。
3.3数据安全问题
数据安全才是档案信息安全的基本,电子信息的保护就是要保证信息不被泄露。同时在电子档案的软硬件共同作用的前提下,需要更加注重对数据安全问题的重视。为了保证安全问题,需要将档案信息进行备份处理。通过科学的介质来进行传递,提高其利用程度。还可以根据档案信息的使用频率来设置权限,这样才能保证档案信息的数据安全问题。
3.4网络安全问题
在计算机系统应用的过程中,可能会受到网络节点的制约,形成一定的破坏性,直接影响到计算机网络的安全性,对于档案信息的安全程度也会产生严重的影响。而且网络问题的出现也会造成其他问题的产生,所以需要根据电子信息档案的相关内容以及应用的特点来设置相应的防火墙结构,做好安全技术的推广,对网络安全问题进行严格地控制。在此过程中需要将网络监管工作落到实处,选择专业的工作人员来进行这一工作。
3.4.1单位的安全防范意识要加强
改进服务的方式增加新的举措,提高创新性,在共享电子档案信息资源的前提下,要加强安全性防范,在共享电子档案信息的同时注意信息流失,除了给计算机各类用户提供计算机网络提供优质服务的同时,在技术时上要加强管理,最终做到信息服务的最优化。
3.4.2重视基础设施的建设提高应用系统的维护
在提供了高效便捷的服务下,我们还要重视基础设施的建设提高应用系统的维护。对那些突发性的灾难,在安全上要有积极的应对措施,并最终达到综合性和智能化的电子档案管理。
4结束语
信息系统的风险性可以分为人为性风险和非人为性风险,非人为性风险主要包括环境和系统风险。信息系统的脆弱性主要包括硬件、软件、管理以及运行环境等四个方向,从硬件方向讲,指硬件设备存在的漏洞和缺陷。从软件方向讲,在信息系统的研发过程中所产生的错误信息,进而导致系统出现漏洞,对安全造成严重危害。从管理方面讲,是指在日常管理和应急预案管理的过程中存在问题。从运行环境方面讲,指的是办公室、计算机房、温度、湿度以及照明条件等情况导致的系统漏洞。
2信息系统管理中信息安全风险评估方法
2.1信息安全风险评估内容
信息安全风险评估的主要内容包括评估资产的威胁性和脆弱性,对已有安全措施进行风险评估分析。信息资产是指对信息资源产生一定利用价值的总称,是信息安全评估中的重点保护对象,主要分为人员、数据、软件和硬件等资源,根据各种资源的完整性、保密性以及可用性进行等级划分,评估组织系统中资产的威胁性,包括直接威胁和间接威胁等,根本目的在于对安全风险需求的分析,建立风险防范措施,有效降低信息安全的威胁性因素。
2.2风险评估方法
信息系统管理中的信息安全风险评估方法较多,本文主要从人工评估法和定性评估法两方面进行分析。人工评估法。又称为手工评估法,是指在整个风险评估的过程中,运用人工作业的形式进行信息安全风险评估,通过对资产、投资成本的风险的安全需求、威胁性、脆弱性以及安全措施等,进行有效评估,根据其风险效益制定出与之相对应的决策。定性评估法。。其他评估方法包括工具辅助评估和定量评估等方法。
2.3层次分析方法
通过运用层次分析法对信息安全的评价体系进行构建,进而对风险进行综合性评价。通过运用层次分析法对信息安全的风险作出评估,评价信息安全风险所涉及到的各个要素间的相对重要的权数,根据各个要素的排序,作出横向比较分析,为信息安全的风险评估提供可靠依据。对信息安全的风险评估中,通过运用层次分析法进行有效评估,进而增强风险评估的有效性。通过分析资产、威胁性、脆弱性以及安全措施的四个评价指标体系,对安全风险进行合理性的分析评估,降低安全风险系数。
3结语
因篇幅问题不能全部显示,请点此查看更多更全内容