信息安全风险评估_信息安全的风险评估及其应用分析

【 摘 要 】 在信息时代的大环境背景下，社会经济科技文化方面都有了飞速发展。但是接踵而来的却是信息安全方面的严峻挑战。据统计，仅仅在互联网领域，每年因信息安全问题造成的损失为数千亿美元。而涉及国防军事领域，信息泄露等信息安全问题所造成的损失更是难以简单用金钱来进行计算的。21世纪是蓝色海洋的时代，海军的发展已经成为军队建设的重中之重。舰船本身属于高度电子化和信息化的武器装备，其装备信息安全的研究是当前的迫切需要。本文将着重介绍舰船装备信息的安全风险评估及其应用。【 关键词 】 信息安全；安全保障；风险隐患；风险评估Analysis of Information Security Risk Assessment and its ApplicationLiao Bo-tao（434 Factory Military Representative Office In Liuzhou GuangxiLiuzhou 545006）【 Abstract 】 In the environmental context of the information age， socio-economic， technological and cultural aspects have made rapid development. The ensuing severe challenges of information security， according to statistics， only in the Internet field， the annual losses caused due to the issue of information security amounting to one hundred billion U.S. dollars. Involved in the field of defense and military information leaked information security problems caused by the loss more difficult to simply use money to be calculated. The 21st century is the era of the blue sea， the Navy"s development has become the top priority of the army building. The ship itself is highly electronic and information technology weaponry， the security of its equipment is of an urgent need. This article focuses on the information security risk assessment of ship equipment and its application.【 Keywords 】 information security； security risks； hidden risk ；assessment1 信息安全风险评估及其应用分析的意义进入到21世纪，国际格局发生了深刻的变革，在国防军事领域也在发生着了重大的革命。我军的战略规划，也转变为了打赢一场复杂电磁环境条件和信息化条件下的战争。这就对装备技术的信息化水平提出了更高的要求。与之相对应的是在信息战、情报战急剧发展的今天，对装备信息安全进行风险评估，提升装备信息的安全程度，已经成为了一件刻不容缓的事。1.1 信息安全的风险评估及其应用的必要性信息安全的风险评估是信息安全保障的重要环节。信息安全的风险评估将对安全环境的有效性和适应性进行验证，对于维持整个信息安全管理体系的正常运作有着重要作用。在新世纪环境下，美国率先建立了网络司令部，以完善其整个信息战、网络战、情报战的多维立体作战网络。现代武器装备信息化程度高，一旦装备信息安全无法保障，那么整个部队的战斗力就没有办法得到保障。而且信息系统本身就是一个十分复杂容易出现问题的系统，外部威胁的不断加大和内部系统的不确定性，使得我们有必要进行装备信息安全的风险评估。1.2 国外信息安全的风险评估发展情况美国一直以来是信息技术的主导者，自从上世纪70年代计算机运用于军队之后，美军就格外注重军队装备信息的安全保障工作，并且发展了信息安全风险评估，使之成为安全管理制度的重要组成。1979年，美国国家标准局颁布了第一个风险评估标准《自动数据处理系统风险分析标准》。之后美国的军事理论部门和专家学者们不断完善相关的风险评估理论。现在，从武器装备研发生产到装备的实际应用，美军都建立起了一套完整的装备信息安全风险评估体系。2 信息安全风险评估理论与方法信息安全风险评估工作是一项专业系和系统性很强的工作。在实际的操作中没有依据专门的方法和流程的话很有可能引入新的风险，导致整个风险评估工作陷入彻底的失败。2.1 信息安全风险评估策略和原则对敏感装备进行安全风险评估一定要十分小心谨慎，因为对其进行风险评估本身就是一个风险，因此，再进行信息安全风险评估的时候必须要遵守一定的原则和策略，保证信息安全风险评估工作顺利有效的完成。2.1.1 标准性原则对于装备的信息安全风险评估必须严格依据国内或者国外的相关标准。运用合理科学的数学模型进行风险计算，风险评估工作要有完善的体系和符合标准的评价指标。这是为了保证评估结果的有效性和科学性。2.1.2 保密原则 在评估过程中和结束之后要进行严格保密，采取坚定保密协定和采取保密监视等方法保证信息安全风险评估中的保密性。要将信息安全风险评估纳入安全监管体系中去，防止在评估出现新的风险。2.2 信息安全风险评估基本流程信息安全风险评估的基本流程，如图1所示。2.2.1资产识别资产即是有价值的信息资源，也就是我们所要评估的对象。资产识别就是对资产的使用情况和价值进行确定和整理。这是整个风险评估的基础。2.2.2 危险识别危险识别是对现有系统的弱点和系统可能遭受外来危险进行分析。可以借助风险评估工具。该环节包括两个层次；一个对于当前安全系统弱点的分析；另一个层次是对该资产所有可能遭受的威胁进行分析和整理，然后两者结合，得出该资产的脆弱性评价。2.2.3 已有安全措施的确认信息安全风险评估是验证在现有安全措施下，系统所遭遇的风险大小。通过对已有安全措施的确认可以对现有安全措施进行改进和增补，控制装备信息安全的所遭受的可能风险。2.3 信息安全风险评估常用工具对于装备信息要想进行准确科学的安全风险评估，就要借助信息安全风险评估工具。正确地使用评估工具将大大减轻风险评估的时间成本和人力成本，让最终的安全评估结果更为准确。安全风险评估工具根据应用方式的不同大致可分为三类。2.3.1 主动型评估工具主动型评估工具由人工操作指令编制而成，采取对于评估对象主动“询问”的方式来评估安全风险。使用主动型评估工具扫描防火墙，系统运行程序能够发现许多潜在的威胁。2.3.2 被动型评估工具被动型评估工具并不主动“询问”评估对象，而是采取守株待兔的方式把守数据关卡，检测所有流经的数据。在捕获了一些敏感数据之后，在对其进行分析。被动型评估工具的优势在于能够及时有效地监控系统安全情况，但是对于一些潜伏性的威胁程序，不及主动型评估工具更为精准。2.3.3 管理型评估工具是对整个风险评估过程进行管理的工具，管理型工具甚至可以结合主动型评估工具和被动型评估工具，可以运用风险管理模型管理整个安全系统。3 信息安全风险的管理与控制在舰船的装备信息安全风险评估中，可以将整个舰船系统分为三大指标体系：舰船装备信息的软件安全，舰船装备信息的硬件安全，舰船装备信息的安全管理机制。下面就将介绍舰船装备信息风险管理和控制的重点目标，同时这些也是进行信息安全风险评估的重要指标。3.1 舰船装备信息的软件安全3.1.1 信息管理系统对信息管理系统进行安全管理和风险监测是十分重要的。信息管理系统是装备信息系统中的薄弱环节，黑客们善于利用信息系统的安全漏洞来窃取相关信息。诸如美国的情报网络就曾经被高中生攻破，导致机密信息泄露。信息管理系统的自主研发性是风险评估的一个重要依据，引进的管理系统容易被人利用已知的固有漏洞破解。对信息管理系统要重点评估防病毒程序的防火墙的安全系数。在实际的管理中可引入数字签名工具提升整个系统的安全性。3.1.2 信息恢复措施信息数据要做好信息备份工作，使信息数据在遭到破坏时或者系统遭到入侵自毁后能得到恢复。备份的保存应该和原数据分开保存，并且采取和原数据相同安全等级的保管措施。因为数据备份实质上就相当于一份原文件，所以对于备份数据的评估和安全控制也是整个安全管理体系的一个重要指标。3.1.3 人员素质水平风险评估在这里主要考察人员的专业素质水平和人员的安全意识，用以评估装备信息的安全风险。作为装备的使用者和装备信息的安全监管者，相关人员的管理一向是装备信息安全体系的弱点。且人员的活动具有更大的未知性和不确定性，更大大加深了安全控制和风险评估的难度。3.2 舰船装备信息的硬件安全3.2.1环境安全环境安全是安全管理系统最基本的一项指标。应该对整个舰桥安全和信息安全环境进行评估。舰桥是整艘舰船控制指令发出的地方，舰桥的安全不仅关系到整个装备信息的安全，更是整艘舰船的安全所在。要评估舰桥日常操作方式对于装备信息安全的影响。从舰桥我们还可以评估该舰船对于其装备信息安全的控制能力。4 结束语装备信息安全的风险评估是一项很系统很复杂的工作，在实际的操作中我们要实地分析，根据实际需要熟练运用各种风险评估方法和风险评估工具来评估各项指标，最终保证装备信息的安全。在未来信息化的作战环境下，谁掌握的信息的主导权，谁就掌握了战争的主导。切实加强装备信息风险评估在实际舰船安全管理的应用，能成为舰船战斗力的牢固保障。参考文献[1] ISO/IEC TR 13335：Information technology-Guidelines for the management of IT Security.作者简介：廖波涛（1965-），男，广西人，驻柳州434厂军事代表室，高级工程师；研究方向：舰船电子工程。

推荐访问:信息安全 及其应用 风险评估 分析