資源描述:
《風(fēng)險(xiǎn)評估論文高校信息安全風(fēng)險(xiǎn)評估論文》由會(huì)員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1�����、高校信息安全風(fēng)險(xiǎn)評估論文1信息安全風(fēng)險(xiǎn)評估的含義、方法及模型1.1信息安全風(fēng)險(xiǎn)評估的含義信息安全風(fēng)險(xiǎn)評估是從風(fēng)險(xiǎn)管理角度出發(fā)�����,構(gòu)建風(fēng)險(xiǎn)評估模型����,建立風(fēng)險(xiǎn)評估體系,運(yùn)用風(fēng)險(xiǎn)評估方法�����,系統(tǒng)地分析信息系統(tǒng)所面臨的風(fēng)險(xiǎn)威脅及系統(tǒng)的脆弱性/漏洞�����,評估風(fēng)險(xiǎn)發(fā)生帯來的危害程度�,提出應(yīng)對風(fēng)險(xiǎn)的安全控制措施,規(guī)避和控制信息安全風(fēng)險(xiǎn)���,降低風(fēng)險(xiǎn)發(fā)牛?的概率,將風(fēng)險(xiǎn)控制在可承受的范圍����,為信息安全風(fēng)險(xiǎn)評估提供科學(xué)依據(jù)。1.2信息安全風(fēng)險(xiǎn)評估的方法隨著信息安全風(fēng)險(xiǎn)評估研究工作的不斷深入,形成了多種不同的信息安全風(fēng)險(xiǎn)評估方法��,這些方法的出現(xiàn)大大縮短了信息安全風(fēng)險(xiǎn)
2�、評估的時(shí)間,節(jié)省了大雖的資源�����,提高了信息安全風(fēng)險(xiǎn)評估的效率和準(zhǔn)確性�,為防范信息安全中出現(xiàn)的風(fēng)險(xiǎn)提供了理論依據(jù)[3]。冃前���,常用的信息安全風(fēng)險(xiǎn)評估的方法冇定量評估方法�����、定性評佔(zhàn)方法和定性與定量相結(jié)合的綜合評估方法��。具小���,定量評估方法是根據(jù)信息系統(tǒng)屮風(fēng)險(xiǎn)相關(guān)數(shù)據(jù),利用具體的評估算法計(jì)算出評估結(jié)來��,并對結(jié)果進(jìn)行分析���,它能夠總觀地反應(yīng)評估結(jié)果��,更容易被人們接受����。但是該方法主要依賴于數(shù)學(xué)模型來描述風(fēng)險(xiǎn),在量化的過程中將原本復(fù)雜的事物理想化��,一般適用于風(fēng)險(xiǎn)評估材料齊全且數(shù)學(xué)理論基礎(chǔ)較好的情況���,常見的定最評估方法有Markov分析法����、聚類分析方法
3�����、�、決策樹分析方法、風(fēng)險(xiǎn)審計(jì)技術(shù)等�����。定性評估方法是評估者利用自己擁有的專業(yè)知識和積累的經(jīng)驗(yàn)對信息系統(tǒng)存在的風(fēng)險(xiǎn)進(jìn)行識別和評價(jià)�����,并提出應(yīng)對風(fēng)險(xiǎn)的安全控制措施����。它對評估者知識和經(jīng)驗(yàn)的要求較高,一般適用于風(fēng)險(xiǎn)評估數(shù)據(jù)不全或者數(shù)學(xué)理論基礎(chǔ)較為薄弱的情況����,常見的定性評佔(zhàn)方法冇故障樹分析法(FTA)、故障模式影響及危害性分析方法(RMECA)��、徳爾菲法(Delphi)等�����。在風(fēng)險(xiǎn)評估的實(shí)際過程中��,釆用較多的是定性與定量相結(jié)合的綜合風(fēng)險(xiǎn)評估方法����,該方法可以將復(fù)雜問題按照層次化結(jié)構(gòu)分解成多個(gè)簡單的問題進(jìn)行分析,大大節(jié)省了評估時(shí)間��、人力和費(fèi)用����,提高了風(fēng)險(xiǎn)
4���、評估的準(zhǔn)確性和效率,常見的定性與定蜃相結(jié)合的綜合評估方法有層次分析法�。1.3信息安全風(fēng)險(xiǎn)評估的模型[4]信息安全風(fēng)險(xiǎn)評估模型是信息安全風(fēng)險(xiǎn)評估的理論棊礎(chǔ),是提高信息安全風(fēng)險(xiǎn)評估準(zhǔn)確性和效率的重要前捉�����。信息安全風(fēng)險(xiǎn)評佔(zhàn)模型如圖1所示����,造成信息安全風(fēng)險(xiǎn)的主要因索有威脅、信息資產(chǎn)����、信息系統(tǒng)的脆弱性及漏洞和未被控制的殘余風(fēng)險(xiǎn),信息系統(tǒng)的威脅越大����、脆弱性越眾露、漏洞越多��、信息資產(chǎn)的價(jià)值越人�、未被控制的風(fēng)險(xiǎn)越多���,則信息系統(tǒng)而臨的風(fēng)險(xiǎn)也越多,風(fēng)險(xiǎn)越多�,信息系統(tǒng)的安全性越低�����。業(yè)務(wù)系統(tǒng)主要依賴于服務(wù)器和軟件等信息資產(chǎn)�,業(yè)務(wù)系統(tǒng)越關(guān)鍵,對服務(wù)器等硬件和
5��、軟件資源的要求就越高�����,被攻擊的價(jià)值也就越大�,面臨的風(fēng)險(xiǎn)也就越大。資產(chǎn)的價(jià)值和防范風(fēng)險(xiǎn)的意識會(huì)導(dǎo)出信息系統(tǒng)的安全需求�����。當(dāng)信息系統(tǒng)的安全需求被相應(yīng)的安全控制措施滿足時(shí)�����,就會(huì)降低發(fā)牛風(fēng)險(xiǎn)的概率。然而有些風(fēng)險(xiǎn)山于成木過高��、控制難度較人��,往往不進(jìn)行控制��,這部分不被控制的風(fēng)險(xiǎn)具有潛在的威脅,應(yīng)該受到密切監(jiān)視���,它可能會(huì)增加信息系統(tǒng)的風(fēng)險(xiǎn)���。2高校信息安全面臨的風(fēng)險(xiǎn)及應(yīng)對策略分析隨著高校數(shù)字化校園建設(shè)和信息化建設(shè)的不斷推進(jìn),高校業(yè)務(wù)處理對信息系統(tǒng)的依賴性越來越強(qiáng)�。由于部分高校缺乏危機(jī)意識、防范風(fēng)險(xiǎn)的制度和措施�,沒有一套完善的信息系統(tǒng)風(fēng)險(xiǎn)評估體系預(yù)防風(fēng)
6、險(xiǎn)��,當(dāng)遇到信息安全的突發(fā)事件時(shí)�,只能被動(dòng)地采用“救火式”的方法處理風(fēng)險(xiǎn)危機(jī),使得信息系統(tǒng)面臨的風(fēng)險(xiǎn)不斷增加�。為了及時(shí)應(yīng)對信息系統(tǒng)面臨的各種風(fēng)險(xiǎn)威脅,各個(gè)部門�、各個(gè)環(huán)節(jié)應(yīng)密切配合、協(xié)調(diào),對高校信息安全面臨的各種風(fēng)險(xiǎn)及應(yīng)對策略應(yīng)進(jìn)行調(diào)研分析�,建立信息安全的風(fēng)險(xiǎn)評佔(zhàn)體系,實(shí)現(xiàn)風(fēng)險(xiǎn)評估的規(guī)范化和制度化����,逐步形成監(jiān)控風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的有效機(jī)制⑸。2」高校信息安全面臨的風(fēng)險(xiǎn)分析高校信息安全面臨的風(fēng)險(xiǎn)-?般可以分為技術(shù)脆弱性/漏洞風(fēng)險(xiǎn)和非技術(shù)性風(fēng)險(xiǎn)[6]�。2.1.1技術(shù)脆弱性/漏洞風(fēng)險(xiǎn)高校信息系統(tǒng)面臨的技術(shù)性/漏洞風(fēng)險(xiǎn)主要包括數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)、系統(tǒng)權(quán)限
7�、設(shè)置風(fēng)險(xiǎn)���、軟件編碼風(fēng)險(xiǎn)�、硬件設(shè)備風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等����。其屮數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)主要體現(xiàn)在數(shù)據(jù)存儲(chǔ)空間不足、數(shù)據(jù)備份策略不健全��、數(shù)據(jù)庫安全性低容易導(dǎo)致SQL注入篡改數(shù)據(jù)庫小的數(shù)據(jù)���、數(shù)據(jù)不被加密在傳輸過程屮容易被篡改或刪除�、數(shù)據(jù)庫結(jié)構(gòu)不合理等方面�����;系統(tǒng)設(shè)置權(quán)限風(fēng)險(xiǎn)主要體現(xiàn)在訪問控制策略失效、系統(tǒng)訪問權(quán)限過大��、客戶身份認(rèn)證失敗等�;軟件編碼風(fēng)險(xiǎn)主要休現(xiàn)在操作失課、系統(tǒng)漏洞����、系統(tǒng)接口不安全、代碼健壯性差�����、系統(tǒng)運(yùn)行環(huán)境改變等�����;硬件設(shè)備風(fēng)險(xiǎn)主要體現(xiàn)在服務(wù)器配置過低�、物理設(shè)備損壞、網(wǎng)絡(luò)帶寬不足����、網(wǎng)絡(luò)硬件防護(hù)設(shè)備不齊全等;網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要體現(xiàn)在網(wǎng)絡(luò)惡意攻擊使
8�����、網(wǎng)絡(luò)癱瘓、服務(wù)劫持���、拒絕服務(wù)�����、利用端口漏洞破壞系統(tǒng)�����、內(nèi)外網(wǎng)設(shè)置缺陷、網(wǎng)站掛馬��、非法訪問系統(tǒng)�、竊取和篡改網(wǎng)絡(luò)傳輸數(shù)據(jù)等。2」.2非技術(shù)性風(fēng)險(xiǎn)高校信息系統(tǒng)而臨的非技術(shù)性風(fēng)險(xiǎn)主要包括人為疏忽行為���、管理不到位�、技術(shù)失效�、蓄意行為和不可抗拒風(fēng)險(xiǎn)
