信息安全风险控制理论概述.docx

《信息安全风险控制理论概述.docx》由会员分享，可在线阅读，更多相关《信息安全风险控制理论概述.docx（4页珍藏版）》请在第一文库网上搜索。

1、信息安全风险控制理论概述1信息安全概述2.1.1信息1信息是对相关物体运动特点以及整体状态的描述内容。2 .信息相关特点：物质是信息产生的前提条件，然而信息并不完全等价于物质；信息可以从事务变化过程中产生，也能够不依赖于事务而存在；内心是信息产生另一重要基础；信息不能脱离能量单独存在，信息相关的传送以及处理依赖于能量，而能量是否有效管理使用则离不开信息的指引；信息不是抽象的，是实际存在的，能够对此进行提炼、认知、分类，也能够对此进行相关传输、转换、查询、表示等。3 .信息相关特性：客观性；无范围性；可比较性；共享性；可转变性；规范性；可修改性。4 .信息相关作用：信息为生命体成长进化提高理论基

2、础；所有知识的创造依赖于信息；信息是相关决策的重要保障；控制管理的有效性依赖于信息；信息有益于思维的改变进化；所有组织管理的有效性依赖于信息；信息某种程度推动了社会的发展与进步。5 .信息的分类：根据信息自身属性特征主要包括语言意义、语言表述方式和语言作用方面的信息；根据信息产生方式，信息主要包括实在、先验和实得的信息；根据信息来源的本质，信息主要涵盖了数值信息、视频信息、音频信息、文字信息、表演信息等方面；根据信息存储介质的特点，信息主要包括化学信息、生物信息、物理信息等；根据信息传输方式，信息主要包括分散信息、连续信息、半分散半连续信息等。6 .信息定义标准为：根据“物体变化过程”和“物体

3、变化情况”这两个重要部分进行定义。7 .信息技术：随着通信方式改善和计算机网络的成熟，出现了获取、处理、保存、转变以及传送数据、图像等存储介质的技术，称之为信息技术，其中还涵盖了信息服务和基础设施两个重要部分。2.1.2信息系统1安全机制：各种信息风险规避的方法。2 .比较全面系统的信息风险体系通常包括管理控制方法、技术保证以及法律法规限制三方面措施。3 .信息风险技术保证主要包括的方法为：（1）密保口令；（2）防火墙设置；（3）用户识别；（4）权限管理；（5）数据存储；（6）完整性保护；（7）病毒预防技术；（8）网络控制管理。2.1.3信息安全1信息安全：相关企业与组织应管理控制企业日常经济

4、活动信息风险问题，从而达到预防相关入侵者的不合法破坏和信息完整性破坏，避免企业信息失真不能使用的问题，保证企业在利用信息的同时不招致损失或减少损失。2.信息安全相关特性：可控制性；可使用性；密封性；确定性；系统性。2.1.4安全威胁1 .应用系统信息风险：系统所提供的服务威胁以及用户访问系统威胁。2 .通常情况下，网络破坏方式主要包括风险扫描、窃听方式以及密码破译等方式。3 .常见的风险问题：（1）信息泄漏；（2）破坏信息的完整性；（3）拒绝服务；（4）非法使用；（5）窃听；（6）分析业务流（7）假冒；（8）旁路控制；（9）授权侵犯；（10）木马破坏；（11）陷阱门；（12）抵赖；（13）重放

5、；（14）入侵病毒；（15）工作人员管理不当；（16）媒体破坏；（17）基础设施损坏；（18）经济活动欺诈。2风险控制概述2.2.1风险评估电力系统的信息安全风险通常包括：信息体系本身的不足和安全的易破坏性引发的安全问题；有的来自外界计算机网络的安全风险；来自电力企业组织的安全问题。网络安全一般根据以下五个部分进行检测：1基础设施的安全程度；2平臼的风险性；3体系的风险性；4相关使用过程的安全性；5控制管理过程的安全程度。根据不同信息风险的特点，需要与企业计算机网络的整体状况相结合，对网络的安全风险进行全面客观的评估。企业在进行信息威胁评估时，一般推选各个单位和部门的代表人员来组建一个评估和预

6、防风险的小组，各自负责与本部门有关的评估风险事项，同时还要对相关共性问题展开更深一步的讨论。整个小组选出一名组长，控制风险评估全局以及协调组员之间的关系。在进行评估风险之前，针对小组以及有关成员的培训是必不可少的，注重对企业运行过程和安全标准的熟悉程度，另外还需要保证对相关信息风险基本理论的熟知以及对威胁检测方面手段和技术的了解。比较全面系统的威胁检测流程，一般涵盖了：(1)事前了解。事前调查分析，了解风险相关标准要求；(2)进行相关项目的制定实施。明确风险评估的对象和范围；(3)实施方案。简要概括组织的内部状况，制定威胁分析的标准，组织分析小组,组员训练，相应地提供相关资源，制作适合的报表等

7、，确定实施方案；(5)分析威胁。(6)分析缺陷。的后果；(7)分析风险。险报告；(4)统计企业全部资产。主要包括相关信息的标志及分析。确定风险的类型、来源以及可发性。对不同环节以及信息自身的不足进行分析，了解这些缺陷可能导致针对威胁情况进行阐述，进行威胁类型的分类，分析风险，编制风(8)解决风险问题。根据以上环节所得到的的信息，制定并实施风险问题解决方案。活动进程如图2所示：图2风险评估实施流程2.2.2风险控制的一般过程框架随着技术进步和信息安全需求的提高，越来越多企业注重信息安全风险控制，信息安全风险控制一直伴随着企业的整个经营过程。目前，国外和国内的部分企业在各种模式下，在信息安全风险控

8、制方面做得较好，但也有部分企业，由于缺乏信息安全风险控制人才和经验，在信息安全风险控制上刚刚起步或尚未起步，更谈不上利用风险控制技术来控制信息安全风险。对某个组织而言，为了有效规避信息风险，威胁检测手段的选择是一个重要的环节，一般国家相关标准也是如此要求的。常规威胁检测的手段主要包括定性手段和定量手段，通常情况下对经过许可的项目而言，定性手段相对比较客观系统。方案执行者根据自己所在企业的性质，一般威胁检测手段极具企业理念，例如很多涉及生产配件方面的相关组织，由于在实行相关质量管理体制时，通常会选择FMFA方法，只要保证在信息安全方面采用了一系列专业术语，即可以被转嫁过来使用。故障树状分析法是采

9、用演绎方式分析风险的方法，其树顶为系统整个的风险情况。根据对会引起信息威胁的不同类型因素以及相互之间的联系和区别的分析，编绘出风险树状图。相关组织或者风险分析部门以该树状图为依据，分析并确定安全风险时间发生的缘故和概率。同时根据这个参考标准，对信息威胁问题可能引发的后果进行全面分析，找到信息安全体系风险系数高的环节、重要部分、对应的解决方式、对系统风险系数的规定标准等。风险树状图一般适用于符合相关要求的具体化评估，本文主要针对这类风险采用风险树状图进行分析，相互之间的联系和区别如图3所示：服务与访问控飙泮估企业风龄状比评估税统信息安全评估信息安全事件管理企业业务连博性管理企业安全策略iMS要安全窗机制信息安全独立评审外部修风检控制安全聚略复费产信息分类将用控制设色安全评估环境安全评估客户往来安全风估第三g务交付管理道俏安全普电T商务H务风险评估fi控业务费性风险ts-O图3BS7799故障树