原创《一种企业信息安全风险评估模型》:该文是关于风险评估论文范文,为你的论文写作提供相关论文资料参考。
摘 要: 随着企业系统的信息化程度不断加深,企业信息安全风险评估迎来了新的挑战.针对当前评估方法指标单一且缺乏直观性特点,该文设计了一种企业信息安全风险评估模型,该模型依据信息安全风险评估流程对信息系统进行风险评估,从系统安全事件的损失和资产价值两个方面描述系统的风险情况,并在二维坐标系上对系统进行划分,直观地描述了系统的风险情况.
关键词:企业信息安全;风险评估;破坏程度;资产价值
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)25-0032-02
Abstract: With the enhancing degree of information technology to of enterprise systems, the enterprise information security risk assesent will be in face of challenges. Because of the single index and lack of intuitive features of the current evaluation methods, we design an enterprise information security risk assesent model, which assesses risks of information systems according to the information security risk assesent process. It describes the system from two respects, the extent of damage about security events and asset value, and classify systems in the two-dimensional coordinate to intuitively describe the risk situation of the system.
Key words: enterprise information security; risk assesent; damage extent; asset value
隨着计算机技术高速发展,企业办公的信息化程度也在不断加深.从纸质化办公到企业信息系统的大规模使用,安全问题伴随着信息化而来,如何对企业信息安全风险进行评估是一个必须要考虑的问题.依据国标GB/T20984-2007中的定义,信息安全风险评估是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学定量评价的过程[1].
目前信息安全风险评估研究很多,文献[2]介绍的层次分析法是一种定性与定量相结合的多层次交叉分析方法,该方法要求将企业系统分为多个决策对象,将这些决策对象与事先制定的决策标准依次进行两两比较,用这些比较结果进行归一化处理后求和的值来进行风险评估.层次分析法要求对系统进行分割,这增加了方法的复杂性.文献[3]和文献[4]分别采用的基于信息资产和基于安全事件的风险评估方法,文献[3]中风险评估矩阵对信息资产划分不够细致,文献[4]中所采用的系统风险评估方式只有考虑了风险值,较为单一不够全面.
本文所提出的企业信息安全风险评估模型,按照信息安全风险评估流程进行风险评估,从系统安全事件的损失和资产价值两个方面描述系统的风险情况,并在二维坐标系上对系统风险进行划分.文章第1节介绍信息资源的分类以及如何赋值,第2节介绍信息资源脆弱性以及安全威胁识别与评估,第3节介绍企业信息安全风险评估模型,第4节是结束语.
1 企业信息资源分类与赋值
资源调查主要完成资源识别、资源价值计算等工作,是风险评估的基础.资源是指对企业有用的信息或资源,是安全策略保护的对象.资源的存在形式是多种多样的,可以是有形的、无形的,也可以是两者组合形成的信息服务,包括硬件、软件、文档、数据、服务、人员等.由于资源实现了信息相关业务,而资源面临的威胁会导致资源的保密性、可用性、完整性受损,从而造成安全风险事件.
1.1 信息资源分类
企业或机构的信息资源通常会分散存在于各类不同的系统之中,比如人力资源系统、财务统计系统,办公系统等,而对于具有多种业务的企业或机构,各业务部门对应的系统数量可能还会更多.这时首先需要对不同系统之中的信息资源进行恰当分类,基于此才能进行下一步的风险评估工作.对于实际项目中的具体信息资源分类方法,需要评估人员依据企业或机构的具体状况灵活处理.
由于不同类型的资源涉及的属性不同,资源识别的活动需要依据资源分类而开展,依照资源的每个分类,分别调查属于此类的所有资源的相关属性信息.
1.2 信息资源赋值
资源赋值是对资源安全重要性进行的估值.在对企业或机构信息系统的资源进行估值的过程中,除了需要统计信息资源的成本价值之外,更需要考虑该信息资源对于机构或企业信息系统安全的重要性.由于信息资源重要性描述带有主观性,为了保证信息资源赋值的准确性和一致性,需要建立一套统一的信息资源估值标准.
对资源进行估值的过程,也就是分析各类安全事件对其保密性、完整性和可用性影响的过程.安全事件包括人为或突发性引起的对资源破坏,这些破坏可能会导致某些资源毁灭,危及信息系统并使其丧失保密性、完整性和可用性,最终导致经济损失.一般情况下,安全事件影响主要从以下几方面来考虑:(1)违反相关规章制度或法律;(2)影响正常业务进行;(3)造成人员人身伤害;(4)造成企业机密外泄.
通过对信息资源的保密性、完整性和可用性三个安全属性的考察分析,能够基本反映出该资源的价值,最终资源的安全重要性估值是依据上述三个安全属性的赋值级别通过综合评定得出.依据经验,三个安全属性之中,属性值最大的一个对最终的资源估值影响最大,较高的属性值具有较大的权重,资源的整体安全属性赋值与三个安全属性值并不是线性关系,因此采用以下基于对数的经验公式来计算信息资源的安全价值V:
风险评估论文参考资料:
结论:一种企业信息安全风险评估模型为适合风险评估论文写作的大学硕士及相关本科毕业论文,相关风险评估开题报告范文和学术职称论文参考文献下载。
