| 案 例 简 介 |
信息系统的安全风险,是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。信息安全风险评估(本文以下简称“风险评估”),则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。
风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据。分析网络信息系统的安全需求,找出目前的安全策略和实际需求的差距,为保护信息系统的安全提供科学依据。通过合理步骤制定适合系统具体情况的安全策略及其管理和实施规范,为安全体系的设计提供参考。
风险评估是一个组织机构实现信息系统安全的必要的、重要的步骤,可以使决策者对其业务信息系统的安全建设或安全改造思路有更深刻的认识。通过风险评估,他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点;哪些威胁出现的可能性较大,造成的影响也较大,哪些威胁出现的可能性较小,造成的影响可以忽略不计;通过保护哪些资产,防止哪些威胁出现,如何保护和防止才能保证系统达到一定的安全级别;提出的安全方案需要多少技术和费用的消耗;更进一步,还会分析出信息系统的风险是如何随时间变化的,将来应如何面对这些风险。
风险评估为后期进一步安全防护措施的实施提供了严谨的安全理论依据,为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。 |
.gif)
