互联网快速发展极大提高人们的生活、工作、学习效率,与此同时发来一系列安全隐患。人们通过互联网可实现信息有效获取,信息传递过程中仍旧可能出现信息被第三方截取情况,信息保密性、完整性、可靠性等均收到影响。网络环境虽然方便信息处理方式,但也带来一系列安全隐患。
风险评估主要内容包括:识别信息系统可能面对的各种风险、风险出现的概率、风险可能导致的后果、风险消除策略、风险控制策略等。信息系统构成极为复杂,因此信息系统安全风险评估是一项综合性工作,其组织架构较为繁杂,主要包括技术体系、组织结构、法律体系、标准体系、业务体系等。
网络环境虽然带来无穷便利,却也带来各种安全隐患。互联网环境下信息系统易被黑客攻击。一切社会因素均与信息系统联系在一起,人们生活在同一信息系统下总是希望自身隐私得到保护,因此在建设信息系统是必须做好信息安全风险评估,规避信息系统存在的各种风险,提高信息系统安全性,让人们生活在安全信息环境中。
2信息安全风险评估方法
网络的出现对人们的生活和思维方式带来极大变革,信息交流更加方便,资源共享程度无限扩大,但是网络是一个较为开放的系统,对进入网络系统的人并未有一定约束,因此必然导致安全隐患的出现。随着信息系统建设不断深入,信息系统必将对社会经济、政治、文化、教育等造成巨大影响。基于此需要提升信息系统安全风险评估合理性,降低安全隐患,让人们在安全的信息环境下生活和工作。
2.1定性评估方法
定性评估虽然在概率上无法保障,但可挖掘出一些较为深刻的思想,其结论主观性较强,可预判断一些主观性结论。基于此需要评估人员具较高职业素养,不受限与数据及经验的束缚。典型定性评估方法有逻辑评估法、历史比较法、德尔菲法。
德尔菲法是定性评估中较为常见评估方法之一,经过多轮征询,将专家的意见进行归结,总结专家预测趋势,从而做出评估,预测未来市场发展趋势,得出预测结论。从本质上来说,德尔菲法是一种匿名预测函询法,其流程为:征求专家匿名意见――对该项数据进行归纳整理――反馈意见给专家――收集专家意见――…――得出一致意见。德尔菲法是一种循环往复的预测方法可逐渐消除不确定因素,促进预测符合实际。
2.2定量评估方法
故障树评估法采用逻辑思维进行风险评估,其特点是直观明了,思路清晰。是一种演绎逻辑推理方法,其推理过程由果及因,即在推理中由结果推到原因,主要运用于风险预测阶段,得出风险发生具体概率,并以此为基础得出风险控制方法。
2.3定性评估与定量评结合综合评价方法
由前文可知定性评估和定量评估各自存在优缺点。定性评估主观性较强,客观性不足。定量评估主观性不足,客观性较强。因此将二者结合起来便可起到互补不足的效果。定性评估需要耗费少量人力、物力、财力成本,建立在评估者资质基础上。定量评估运用数学方法展开工作,预测结果较为准确,逻辑性较强,但成本较高。从本质上来看,定性为定量的依据,定量是对定性的具体化,因此只有将二者结合起来才能实现最佳评估效果。
3信息安全风险评估过程
信息安全风险评估建立在一定评估标准基础上,评估标准是评估活动开展的基础和前提。信息安全风险评估过程需要评估技术、工具、方法等全面支持,在此基础上展开全面风险评估,结合实际情况选择合适评估方法。正确的评估方法可提高信息安全风险评估结果准确性,这就要求评估过程中需建立正确评估方法,克服评估过程存在的不足,从而取得最佳结果。
4结束语
当今信息系统不断发展完善,为保证信息系统运行环境的安全性必须对信息系统进行安全风险评估。信息安全风险评估具有多种方法,实际评估中应该结合实际情况选择合适方法,提高信息安全风险评估结果准确性,为建立安全信息环境奠定坚实基础。
参考文献
[1]应力.信息安全风险评估标准与方法综述[J].上海标准化,2014(05):34-39.
[2]张玉清.信息安全风险评估综述[J].通信学报,2015(02):45-53.
信息安全风险评估
风险评估各要素关系
现实世界中影响风险评估的各种要素相互影响、相互作用。关系错综复杂。《信息安全风险评估指南》用图来描述其关系。
图中这些要素之间存在着以下关系:业务战略依赖于资产去完成-资产拥有价值,单位的业务战略越重要,对资产的依赖度越高,资产的价值则就越大;资产的价值越大则风险越大;风险是由威胁发起的,威胁越大则风险越大,并可能演变成安全事件,威胁都要利用脆弱性,脆弱性越大则风险越大,脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险资产的重要性和对风险的意识会导出安全需求,安全需求要通过安全措施来得以满足,且是有成本的;安全措施可以抗击威胁,降低风险,减弱安全事件的影响。风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险一部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。
数字档案馆信息安全风险评估流程
1确定资产。资产是数字档案馆实现组织目标的物质基础,威胁都是针对于资产存在的,确定资产是我们分析威胁、存在脆弱性的必要条件,如果这个问题没有解决好,必然影响分析评估的后续工作。这一步首先要明确信息资产有哪些,并在此基础上确定资产价值,这里研究的价值是强调对数字档案馆完成目标的重要程度,越重要价值越高。资产的范围很广,一切需要加以保护的东西都算作资产,包括:信息资产、纸质文件、软件资产、物理资产、人员、形象和声誉、服务等。资产的评估应当从关键业务开始,最终覆盖所有关键资产。
2识别威胁和脆弱性。资产面临的风险是由于资产存在脆弱性,而客观上又存在着利用这些脆弱性阻碍数字档案馆目标实现的威胁造成的。所以要分析风险就要辨别清楚有什么可供利用的弱点,什么样的人或事会利用这些弱点。明确了以上问题,进行评估才能有的放矢。能对资产造成威胁的因素包括人、事、物,而脆弱性则可以从管理、技术等方面来检视。
3识别当前控制措施。当我们建立了数字档案馆之后,或多或少会有一些相应的规章制度或技术手段来维护信息本身。已经采取的措施对于我们评估风险也是必要的,首先需要了解已经采取何种措施,并要进一步分析这些措施是否完备、是否合理、是否得到了充分执行。已采取的措施合理、有力,就可以降低资产面临的风险,如果没有措施或虽有措施却形同虚设则使得资产完全暴露在威胁之前,没有任何屏障。自然风险很高。
4确定发生安全事件的可能性和损失。存在脆弱性和威胁并不等于就一定会有风险,因为脆弱性是明确的而威胁却是潜在的。潜在的威胁可以转变成为现实安全事件,也可以消亡。损失只有在威胁转变成为安全事件之后才会出现,为此必须以当前的控制措施作为前提分析安全事件发生的可能性,可能性判断的准确与否直接影响着对风险程度大小的判断。
5确定风险大小。在前面工作的基础上,确定风险就是较为简单的工作了。根据安全事件发生会造成的损失和发生的概率,就可以知道我们面临的风险。
6决策。明确了风险大小之后管理者需要做出决定,目前的风险水平是否可以接受如果不能接受,则要仔细分析为了减小风险需要做的投入。加强各种安全防范措施是需要成本的,要在成本和风险程度之间做好权衡。面对前面工作的成果,管理者需要决定下一步采取何种措施。在分析和决策过程中,要尽可能多地让更多的人参与进来,从管理层的代表到业务部门的主管,从技术人员到非技术人员。
数字档案馆信息安全风险评估要素识别
风险分析中要涉及资产、威胁、脆弱性三个基本要素。识别出三个要素是进行评估的基本条件。
1资产识别
资产是以信息为核心与信息利用有关的一切形式的要素集合。通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。信息资产安全特性的不同也决定了其信息价值的不同,以及存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。数字档案馆中的信息资产可以简要分为以下几类:数据、软件、硬件、服务、文档、设备,人员及其他,其中档案,尤其是某些重要档案是资产中的核心。
2脆弱性识别
脆弱性是资产本身存在的不足,它一旦被利用就会导致损失。值得注意的是,脆弱性虽然客观存在,但它本身不会造成损失,它只有被威胁利用之后,才会带来损害。所以对那些没有安全威胁的弱点可以不需要实施安全保护措施,但他们必须记录下来以确保当环境、条件有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。
1.引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
2、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
3、安全风险评估方法
3.1定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
3.2安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
3.3多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
3.4敏感性分析
3.5评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
4、风险评估的过程
4.1前期准备阶段
4.2中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
4.3后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
5.风险评估的错误理解
(1)
不能把最终的系统风险评估报告认为是结果唯一。
(2)不能认为风险评估可以发现所有的安全问题。
(3)
不能认为风险评估可以一劳永逸的解决安全问题。
(4)不能认为风险评估就是漏洞扫描。
(5)不能认为风险评估就是IT部门的工作,与其它部门无关。
(6)
随着我国经济发展及社会信息化程度不断加快,网络得到了迅速的发展,并且在人们的生活、学习及工作中的作用越来越大,同时伴随而来的网络信息安全问题也越来越多了,这给人们不仅给人们的生活带来了不便,还会造成经济损失,对信息安全进行风险评估还是很有必要的。
1.信息安全风险评估概述
2.信息安全的风险评估原则、风险计算模型及评估方法
2.1信息安全的风险评估原则
2.2信息安全风险计算模型
风险计算模型所指的是对风险进行分析及计算风险值过程的抽象,包括脆弱性评估、威胁评估、资产评估及风险分析,如图所示。
风险计算模型图
风险计算过程为:对资产进行识别,且对资产进行赋值;对威胁分析且对其威胁的可能性给予赋值;对资产的脆弱性进行识别,且对其严重程度给予赋值;依据脆弱及威胁性来计算安全事件会发生的可能性;同时依据资产重要性来评估发生安全事件的风险值;通过指标体系中的指标风险值进行定性及定量的评估方法来综合分析,从而得出信息安全风险的评估值。
3.信息安全风险评估方法
3.信息安全分风险评估的发展方向
3.1由单纯技术风险评估向一体风险评估的转变以及基于知识和模型评估的重视
3.2运用信息安全风险评估的辅助工具来加速评估的进程
在风险评估工具运用之前,所采用的是手工劳动,劳动量大并且易出现纰漏,而且还不可避免的带有风险评估人员的主观性,风险评估工具的运用有效地解决了手工评估所带来的局限性,像英国的CRAMM评估能够用于商业影响评估及识别、资产的建模、威胁与弱点的评估、安全需求的定义、风险等级的评估等。COBRA风险评估工具,它所依据的是专家系统及知识库问卷系统,能够有效地对脆弱点及威胁点的相对重要性进行评估,且给出相应的解决方案,风险评估工具还有很多,在进行信息安全的风险评估时,要运用多种辅助工具来加速评估的进程。
4.总结
参考文献:
[1]沈吉锋,张永志,潘军.信息安全风险评估分析方法简述[J].电脑知识与技术,2010(05)
基金项目:郑州科技学院大学生创新创业训练计划项目:电子商务信息安全风险评估关键技术及应用(编号:DCY2019007)
2.电子商务系统中存在的信息安全问题及现状
一般来说,电子商务的信息安全是指在电子商务交易的过程中双方使用各种技术和法律手段等确保交易不会因为意外,恶意或者披露这些不利要求而受到损害的信息安全。在21世纪初叶,我国金融系统中的计算机犯罪率一直在不断地增加,我国金融网络信息安全形势非常严峻,需要加强改善。下面就电子商务网络中的信息安全问题做一个简要介绍,主要涉及以下几个方面:
(1)由于编写的电子商务系统软件可以使用不同的形式,因此在实际应用过程中难以避免的会留下安全漏洞。例如,网络操作系统本身会存在一些安全问题,例如非法访问I/0,这些不完全的调解和混乱的访问控制会造成数据库安全漏洞,而这些漏洞严重影响了电子商务系统的信息安全性.特别是在设开始设计之前就没有考虑TCP/IP通信协议的安全性,这一切都表明当前的电子商务系统网络软件中有一些可以避免或不可避免的安全漏洞。此外信息共享处理带来也存在风险。在信息的传递过程中,需要不断地对信息源进行加工和重现,截取有用信息,不可避免会出现信息转化方面的风险。尤其是在当下“社交+商务”的模式下,一条消息可能瞬间在社交网站上转载数万次或者更多,一旦在信息转载中出现误差,影响非常大,风险应当给予重视。
(2)随着网络技术的广泛应用,计算机病毒带来的问题越来越广泛,压缩文件,电子邮件已经成为计算机病毒传播的主要途径,因为这些病毒的种类非常多样化,破坏性极强,使得计算机病毒的传播速度大大加快了。近年来,新病毒种类的数量迅速增加,互联网为这些病毒的传播提供了良好的媒介。这些病毒可以通过网络大量传播任何粗心大意都会造成无法弥补的经济损失。此外还有信息传递过程所带来的风险。信息是一种重要的资源,良好的流动性能實现信息价值的最大化,但是在信息的传递过程中需要经过许多路径,而在这过程中往往存在一些不安全因素,给信息安全带来一定的风险。
3.电子商务信息安全风险评估存在的问题
3.1欠缺对电子商务信息安全风险评估的认识
3.2缺乏信息安全风险评估方面的专业技术人才
首先,信息安全风险评估的技术内容要求非常高,它要求员工具有很高的技术水平,现在很多公司都将通用信息用作风险评估技术人员。其次,信息安全风险评估是一项集综合性,专业性于一体的工作,不仅涉及公司的所有业务信息,也涉及人力,物力和财力的方方面面,因此需要各部门之间相互配合,现在大多数公司仅依靠信息部门,独立的参与信息安全风险评估毫无争议他们要想完成信息安全风险评估工作是非常艰难的。综上所述,培养信息安全风险评估专业技术人员是今后信息技术方面发展的方向。
3.3风险评估工具相对缺乏
当前,除专家系统外,其他分析工具相对来说都比较简易,除此之外还缺乏实用的理论基础。此外,这种信息风险评估工具在应用中的发展呈现的现状。表明国内和外部失衡,在中国相对落后。可见解决信息安全问题的关键在于有成熟的风险评估工具。
4.防范电子商务信息安全及风险的建议
4.1增强电子商务信息安全和风险评估的意识
企业应该加大力度保障网络通信操作时信息的机密性和完整性,加强密钥管理,提高应对网络攻击能力,采取措施避免越权或滥用,消除用户在交易中的风险。在信息安全风险控制中必须由内到外地保护内部系统环境、网络边界、骨干网安全。为网络信息系统建立完善的管理系统,并提供全面的安全保障。运用端到端策略。对于移动电子商务中用户终端设备种类繁多,安全环境复杂难以控制的问题,必须做好数据传输中的重要环节中的身份鉴定。通过人脸识别、指纹识别等技术有效提高用户访问身份鉴别能力,极大地提高账户的安全性,确保数据传输的安全性,确保交易的真实有效。
4.2提供专业的技术培训,提高专业人员的技能
4.3提升对信息安全防范技术的研究和应用
一、研究的意义
伴随着计算机通信技术的广泛应用,信息化时代迅速到来。社会信息化给政府事务管理提出了新的要求,行政管理的现代化迫在眉睫。电子政务在发达国家取得长足进展,为了提高政府的行政效能和行政管理水平,我国正在加快对电子政务网的建设。在新的时代条件下,开放和互联的发展带来信息流动的极大便利,同时,也带来了新的问题和挑战。电子政务系统上所承载的信息的特殊性,在网络开放的条件下,尤其是公共部门电子政务信息与资产,如果受到不法攻击、利用,则有可能给国家带来损失,也可能危及政府、企业和居民的安全。作为政府信息化工作的基本手段,电子政务网在稳定性、安全性方面,比普通信息网要求更高。对信息安全风险进行评估,是确定与衡量电子政务安全的重要方式。研究确定科学的安全风险评估标准和评估方法及模型,不仅有助于维护政府信息安全,也有助于防止现实与潜在的风险。
二、国内外研究状况
当前,国内外尚未形成系统化的电子政务网络信息安全的评估体系与方法。目前主要有风险分析、系统安全工程能力成熟度模型、安全测评和安全审计等四类。
三、研究的难点及趋势
作者:郭玮单位:西安邮电大学
[1]陈涛,冯平,朱多刚.基于威胁分析的电子政务信息安全风险评估模型研究[J].情报杂志,2011,8:94~98
[2]雷战波,胡安阳.电子政务信息安全风险评估方法研究[J].中国信息界,2010,6
[3]余洋.电子政务系统风险评估模型设计与研究[D].成都理工大学,2008
[4]周伟良,朱方洲,电子政务系统安全风险评估研究[J].电子政务,2007,29:67~68
[5]赵磊.电子政务网络风险评估与安全控制[D].上海交通大学,2011
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点,它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定,以成本一效益平衡的原则,通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性,并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
2.网络信息安全的内容和主要因素分析
3.安全风险评估方法
3.5集中化决策管理
安全风险评估需要具有多种知识和能力的人参与,对这些能力和知识的管理,有助于提高评估的效果。集中化决策管理,是评估项目成功的保障条件之一,它不仅是项目管理问题,而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人,去执行相应的关键任务。如控制台审计和渗透性测试,由不具备攻防经验和知识的人执行,就达不到任何效果。
3.6评估结果管理
4.风险评估的过程
5.风险评估的错误理解
(1)不能把最终的系统风险评估报告认为是结果唯一。
(2)不能认为风险评估可以发现所有的安全问题。
(3)不能认为风险评估可以一劳永逸的解决安全问题。
(4)不能认为风险评估就是漏洞扫描。
(5)不能认为风险评估就是IT部门的工作,与其它部门无关。
(6)不能认为风险评估是对所有信息资产都进行评估。
6.结语
总之,风险评估可以明确信息系统的安全状况和主要安全风险。风险评估是信息系统安全技术体系与管理体系建设的基础。通过风险评估及早发现安全隐患并采取相应的加固方案是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求,但是,信息安全评估工作的实施也存在一定的难题,涉及信息安全评估的行业或系统各不相同,并不是所有的评估方法都适用于任何一个行业,要选择合适的评估方法,或开发适合于某一特定行业或系统的特定评估方法,是当前很现实的问题,也会成为下一步研究的重点。
[1]刚,吴昌伦.信息安全风险评估的策划[J].信息技术与标准化,2004,(09)
[2]贾颖禾.信息安全风险评估[J].中国计算机用户,2004,(24)
[3]杨洁.层次化的企业信息系统风险分析方法研究[J].软件导刊,2007,(03)
一、引言
二、网络审计与历史财务报表审计的风险评估比较
(三)风险评估内容广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
三、网络审计与信息安全管理的风险评估比较
二、协议风险分析
协议的不安全及对协议的不正确处理是目前安全漏洞经常出现的问题,此外,在网络攻击中攻击者往往把攻击的重点放在对网络协议的攻击上,因此,网络风险分析的的主要任务是协议风险的分析。进行协议风险分析时我们首先要理顺协议风险要素之间的关系。
三、网络协议风险综合计算模型――多种方法加权计算
风险计算的结果将直接影响到风险管理策略的制定。因此,在进行网络协议风险分析后,根据网络协议本身特性及风险评估理论,选取恰当的风险计算方法是非常重要的。本文在风险计算方法的选取时,采用多种风险计算方法加权综合的策略。它是多种风险分析方法的组合,每种方法分别设定权值。权值的确定是根据该方法对评估结果影响的重要程度由专家给出,或通过经验获得。基于上述思想,在对网络协议进行风险评估时根据网络协议的特点我们主要采用技术评估方法来实现。基于网络协议的风险评估示计算如图2。
四、协议风险评估流程
按照风险评估原理和方法,在对风险进行详细分析后,选取适当的方法进行风险计算,最后得出风险评估结果。对协议风险评估可以按照图3所示模型进行。
五、总结
为了规避风险,网络安全管理人员必须制定合适的安全策略,风险评估的目的就是为安全策略的制定提供依据。本文所提出的协议风险评估,为网络管理人员更好地制定安全策略提供了强有力的支持。
参考文献:
[1]BedfordT,CookeR.ProbabilisticRiskAnalysis[M].CambridgeUniversityPress,2001
[2]PeltierTR.InformationSecurityRiskAnalysis[M].AuerbachPublishtions,2001
电力系统中信息安全是企业获得经济效益的前提,对于电力系统来说更是如此。电力系统的信息安全,直接关乎到整个企业的前途和命运。近年来,随着我国经济的进一步的发展,对于电力的需求也越来越大,所以在电力的生产过程当中信息安全管理就越来越重要。长期以来,我国的电力系统对于电力系统的安全管理就非常的重视,但是,从目前情况来看,信息安全管理的水平还远远的达不到我国电网所要求的水平。所以加强电力信息安全管理已是势在必行。本文主要从目前我国电力系统的信息安全管理当中存在的风险入手,对症下药,提出切实可行的对策,促进我国电力系统的发展。
1电力系统生产过程中信息安全存在的风险
2电力系统信息安全风险评估策略
2.1要制定科学合理的信息安全管理方案
作为供电部门,应该对用户用电情况负责。供电部门应该根据不同的客户的需要,然后制定出满足用户用电需求的方案,通过制定规范的方案,使用户在用电的时候能够合理的进行安排,然而,摆在眼前的问题主要是由于用电用户造成的,供电部门在了解一些用户用电出现问题的时候,他们给予了及时解决的办法,供电部门帮助用户把电路接好,但是接好后的电路被一些用户进行改动了,改动后的线路出现了供电线路互相混淆和交叉的现象,这样给用户用电带来了安全隐患。因此用电监察管理部门应该对用户用电线路进行延伸的问题给予制止,避免不安全的事故发生。字监察的过程要要对电气设备的开关、线路,以及保险丝供电过程中的容量,不能够超过其主要的负荷能力。只有用电监察管理部门做好信息安全管理工作,在日常的生活中要做到严格要求自己,同时还要对用户的用电情况进行了解并且掌握,还要找出出现不安全事故的原因,针对事故出现的原因,对电气信息设备进行及时的维修。
2.2坚持创新,提高信息管理水平
随着我国经济的不断发展,电力系统的生产安全管理也应该与时俱进,开拓创新,以此来适应市场经济下的电力系统的发展。从目前情况来看,我国的电力系统的安全管理制度,明显处在一个落后的状态,所以对于管理制度的创新已经是势在必行。第一,要对现行的管理制度进行理论上的创新,要树立一个和市场经济体制下的电力系统的发展相适应的管理理念。第二,要进行制度上的创新,制度创新主要是指通过创设新的、更能有效激励人们行为的制度、规范体系来实现社会的持续发展和变革的创新。针对于电力系统的信息安全管理来说就是,重新制定更有利于电力系统发展的规章制度,来确保电力系统的安全进行,从而达到企业的经济和社会效益的最大化。第三,还要加强地理企业内部的机制创新,机制创新主要是体现在深化企业的内部改革,开展多层次的员工培训,提高员工的整体素质,以便于员工能够更好的适应电力系统的信息安全管理。第四,科学技术是第一生产力,所以必须要时刻坚持科技的创新,在管理的过程当中,要大力的发挥高新技术在信息管理过程当中的应用,完善企业的信息化建设,更好的为电力系统的信息安全管理服务。
2.3加强信息设备管理,建立巡查制度
2.4深入开展反违章活动
在具体的电力系统信息安全管理过程当中,一线的工作人员的习惯性违章,是引发安全事故的最主要的原因。工作人员的习惯性违章主要包括违章操作、违反劳动纪律和违章指挥。习惯性违章具体体现在临时性的作业当中配电工作人员进行无票操作,在操作的过程当中,因为未曾填写修理票而进行修理,导致配电工作人员或群众出现人身触电的事故发生。工作人员的习惯性违章主要是由于管理人员的管理不到位和员工的安全意识较差造成的,所以针对于习惯性违章现象,一是要从领导到基层的安全管理人员严格按照生产管理的规章制度进行操作和管理,对于出现违章的员工一定要按规定进行处理,绝不姑息养奸。二是要树立员工安全意识,彻底杜绝因为一线员工自身原因而引发的信息安全事故。
3结语
信息管理工作不是一成不变的,而是一项长期的与时俱进的工作。只有在电力系统发展的过程当中,不断对对电力系统的信息安全管理制度进行改革和创新,使之更好的适应社会的发展,最终实现安全管理制度的规范化和标准化。针对于目前我国电力系统当中信息安全存在的风险,必须要把改革创新管理制度和加大监察力度统一进行,严格的执行信息安全的奖惩规定,深入开展反违章工作,确保我国电力信息管理的各项工作能够落到实处。
1.2程序编码实现
开始具体的编写程序工作,分别实现各模块的功能,从而实现对目标系统的功能、性能、接口、界面等方面的要求;开发过程中,边开发边测试,系统完工后,通过内部外部测试、模块测试、整体联调等测试方法,验证系统的整体稳定性,不断完善。
1.3具体应用
2平台功能模块
信息安全风险评估平台的开发环境为/MSSQL,基于SOA软件系统架构解决学院各信息系统集成,通过PDCA循环模型具体实施。信息安全风险评估系统平台建设主要包括评估公告、用户管理、指标设置、综合评估、综合查询、报表系统,数据导出七大模块。
2.1评估公告模块
2.2用户管理模块
3.3指标设置模块
指标设置模块主要是依据国家有关信息安全风险评估指标,实现信息系统风险评估的指标体系设置,划分两级指标细化评估体系,一级指标划分为信息资产、威胁性、脆弱性,二级指标从硬件、软件、风险识别等细化指标体系;实现指标库的设置,可以分配不同的被评估单位相应的评价指标。
2.4综合评估模块
2.5综合查询模块
2.6报表系统模块
报表模块实现了不同单位评估次数、评估成绩、各评估对象的柱状图的形式直观展示。
2.7数据导出模块
数据导出模块实现了评估单位当前总成绩或历史评估成绩的数据导出功能,支持PDF、Word、Excel文档格式。
3系统评估操作流程
4平台应用效果
4.1为我国高校的信息系统风险预防和应急处理提供建设性的意见
目前关于我国高校风险评估研究的大多停留在某些具体领域,主要是对宏观风险管理和财务风险状况进行探讨,对信息系统安全的研究较少。信息安全风险评估系统平台对高校信息安全风险进行定量分析评估,为我国高校信息系统风险评估提供了一个重要平台,为高校的信息系统风险预防和应急处理提供一些建设性的意见。
4.2为高校各级信息系统管理者提供了处理信息系统
4.3信息系统安全风险处理更迅速
4.4提高了全校师生网络安全防范和参与意识
通过信息系统安全风险评估平台,全院师生提高了网络安全防范和参与意识,为河南牧业经济学院网络信息化建设出谋划策,促进学校领导和有关职能部门制定和完善网络有关管理制度。
4.5规范了全校师生的上网行为,减少了网络攻击
信息安全风险评估课程是大学信息安全专业的专业必修课程。也是大多数高职高专院校信息安全专业的专业必修课程。“随着国家信息化建设的不断深入,信息安全已与政治安全、经济安全、国防安全等一起成为国家安全的重大战略问题。因此,在信息社会中,对信息安全风险进行系统、科学、合理的评估,有着十分重要的现实意义与应用价值。”[1]这也充分说明当今社会学习信息安全风险评估课程的重要性和必要性。
然而,通过对多届信息安全风险评估课程的教学发现,学生普遍对课程学习没有兴趣,特别是数学基础较差的学生学习感到吃力,常常感到无所适从。如何让学生很好地了解和理解课程的地位、内容、作用和应用,以及知识的应用价值和能力培养等要求,提高学生学习课程的积极性。通过对教学设计进行改革并进行实践和实施,收到了好的教学效果。
1存在的主要问题
笔者在教学中,通过对课程教学的全过程进行跟踪调查与了解,从几个方面问卷调查结果分析显示,学生在专业选择、课程实践、前导课程学习的内容与基础知识掌握等方面普遍存在问题,而教学设计采用的手段基本是满堂讲述,围绕理论讲授的内容占到总课时的99%,学生理解困难,缺乏基本的实验实训环节等问题。
1.1专业选择的盲目性导致学习课程没有兴趣
从问卷调查结果看,学生高考后选择填报专业时,对所选择的专业真正了解的只有约占7%左右。也就是说,学生选择学习信息安全专业带有很大的盲目性。问及为什么选择信息安全专业学习时,回答如下:觉着能够有好的就业的占59%,个人志向和兴趣占7%,父母亲让选择的占28%,讲不出原因或出于好奇的占6%。从调查结果来看,导致学生在真正进入专业课程学习时无所适从,没有明确的学习目标,甚至少数学生学习处于茫然和困惑的状态,学习处于应付课堂考勤和考试也就不言而喻了。如图1所示。
1.2课程实践环节非常少
从目前情况看,学习信息安全风险评估课程,理论讲授内容占到了课程讲授的主体。课程实验和实训内容非常少,有些甚至因为各种原因没而有进行实验和实训的训练,实验和实训的训练只是停留在人才培养方案、实验和实训大纲阶段。从实验和实训的训练对课程学习效果影响的调查显示,学生对开设实验实训课程的期望值几乎是百分之百。其中认为,实验和实训的训练,对课程的理解和能力培养非常重要的占到91%,实验实训可有可无占2%,实验实训的练习只是走过场而已占4%,实验和实训的练习对课程的帮助不大的占的3%。见图2。
1.3前导课程学习不够和自学能力较差
2教学设计改革与对策
信息安全风险评估课程本身的理论性与实践性都很强,发展十分迅速,涉及的学科范围也较广,传统的教学模式不能使该课程的特点很好地展示出来,无法适应社会经济发展对信息安全从业人员的要求,教学改革实在必行。[2]通过调查上述学生在专业选择和课程学习过程中存在的各种问题,笔者认为教学改革首先应从教学设计进行,在教学过程中采用不同的策略,并有效地加以实施。
2.1加强专业教育激发学习兴趣
专业教育不止是大学新生入学后必须进行的项目,它可以向前延伸到高中第三年级阶段,让有志学习计算机专业的学生能够在较早阶段,对学习计算机专业所涉及的内容和专业方向,有一个较为详细的了解。进入大学后,专业教育不能只是在新生入学时,例行公事似的进行一次就告结束。因为就算学生对自己所学专业有些了解,但由于专业学习才刚刚开始,学生对未来专业学习的内容和地位、作用和应用、各个知识点掌握难易程度、个人能力培养等每一个项目,常处在一个想要迫切了解、模糊与好奇和期待解决、不断询问希望得到答复的阶段。因此,专业教育应该贯穿在整个专业学习的每一个阶段。至少,在学生学习的初期和中期是不能缺少的。针对学生在专业学习的每一个阶段答疑解惑。帮助学生建立专业学习的概念,建立专业学习的信心和如何有效的学习专业。专业教育应结合各个阶段课程学习的内容,结合未来在工作中的应用和对个人专业能力的要求进行。除了请有丰富教学经验的在校教师讲解外,更重要的是请有丰富工作经验的行业专家进行专业教育,或不定期地进行专业教育讲座。
当学生对所学专业课程有了较详细的了解后,用工作中的典型案例激发学生学习的积极性。比如讲解硬件设施安全风险涉及到的网络设备,如路由器、交换机、调制解调器等由设计缺陷引起的安全风险,软件设施安全风险涉及到的计算机操作系统、网络操作系统、网络通信协议、网络管理软件通用应用平台等方面产生的诸多风险因素,如缺陷、后门、口令获取、病毒、地址欺骗、路由攻击、逻辑炸弹、恶意代码等等出现的状况,如何运用信息系统安全风险评估手段进行全面系统分析,并学会运用技术手段解决信息安全风险中遇到的问题。通过向学生提出问题,用案例演示启发思维,激发学生学习的兴趣,从而使学生热爱专业学习,激发出学习专业课程的积极性。
2.2把课程实践环节放在必须的地位
实验室工作人员对实验和实训的设备定期维护与保养,对软件的升级与更新,学生在使用实验和实训设备时应有的责任心,也都是正常开展实验和实训的项目练习不可缺少的。
2.3培养学生自主学习和自学能力
为了弥补高职类院校课时数量的不足,而导致有些专业前导课程不能完全开出的情况,对于专业课程中涉及到的知识点和基本概念,可以指导学生结合自己所学的专业,在选择学习专业选修课后加以补上。学校还可以专分业,定期或不定期的举办专业方面的学术讲座。当然,这需要在开学时就已经做好计划,并且能够完全实施,同时也和其它教学资料一起开课时发给学生。
自主学习和学习能力的培养与动手能力的培养一样重要,同样贯穿在整个教学过程和学生整个学习的学习过程中。
虽然学生进入了大学学习,但是在小学和中学长达十二年的学习过程中,学生已经习惯了填鸭式的教育模式。老师讲什么学生听什么,老师提什么问题学生回答什么问题,老师布置什么作业学生做什么作业,学生以一种被动的方式接受学习,基本上习惯了跟着老师的指挥棒转。能够有自己的独立思考,有自己的想法和看法,甚至于有些创新想法的学生几乎是凤毛麟角。
要改变学生的这种惯性思维和被动学习,从等待到主动发起自主学习,根本上是要学生弄清楚被动与主动的表象,产生的根源,如何解决。如何培养自己要求学习的意识。我们除了上述培养学生的学习积极性以外,老师在课堂及实验和实训的教学过程中不断强调,大学学习与中学学习在学习意识上的不同和思考,学习方法上的不同和比较,学习手段的不同和采用,用一种积极向上的态度对待学习,教会学生什么是真正意义上的自主学习,在学习信息安全风险评估课程时,我们不断引导和鼓励学生提出自己的问题,发表自己的建议和意见,让学生打消提出问题时,他人或老师觉着幼稚或是不着边际等各种担心的想法,让学生充分建立自主学习的信心。
自学能力在这里主要是指专业学习能力。有了强烈的自主学习意识,自学能力的培养也将是愿意接受学习的过程。我们指导学生从了解专业课程内容的每一个阶段,制定专业学习计划和目标开始,检查每一个学习阶段,自己是否已经达到目标要求和需要继续努力去做的。学会观察与交流是提高自学能力的重要方法。所谓观察就是学生自己,对同学对老师和一切可以对自己专业学习有所帮助的人行为能力的观察。所谓交流就是学生自己,对同学对老师和一切可以对自己专业学习有所帮助的人的交流。从观察与交流中,比较差异,不断思考,开启思想,获得帮助。同时,我们经常提醒学生,充分利用网络资源、图书馆资源和一切可以利用的教学资源为自己的学习服务。
3教学效果比较
通过对教学设计进行改革,我们对三个班级126位学生调查比较,看到学生在学习信息安全风险评估课程时,在积极性和兴趣、自主学习和自学能力,实验和实训动手能力、考试成绩等方面,有了明显地提高,也为其它专业课程的学习提供了经验。见图3。