久久久久无码精品,四川省少妇一级毛片,老老熟妇xxxxhd,人妻无码少妇一区二区

信息系統(tǒng)風(fēng)險分析與安全防護(hù)研究

時間:2024-08-24 01:25:08 碩士論文 我要投稿

信息系統(tǒng)風(fēng)險分析與安全防護(hù)研究

  我們使用系統(tǒng)的過程中,伴隨而來的是各種各樣的安全風(fēng)險,如果我們存有置之不理、掉以輕心或者僥幸心理,這些風(fēng)險將誘發(fā)各種安全事件,將可能帶給我們難以估量的損失。如何做好系統(tǒng)的風(fēng)險分析及安全防護(hù),對我們系統(tǒng)的安全使用將起著至關(guān)重要的作用。

信息系統(tǒng)風(fēng)險分析與安全防護(hù)研究

  【摘要】隨著信息化的發(fā)展,信息系統(tǒng)已遍及我們的生活及工作學(xué)習(xí)中,給我們帶來了翻天覆地的變化。本文針對信息系統(tǒng)存在的風(fēng)險進(jìn)行分析,并提出相應(yīng)的安全防護(hù)措施,在系統(tǒng)的整個生命周期過程中通過人防、物防、技防、制防等安全措施來保證系統(tǒng)在使用過程中的安全,讓信息系統(tǒng)的使用給我們帶來更美好的生活享受與工作學(xué)習(xí)體會,同時減少或消除系統(tǒng)的安全風(fēng)險帶來的各種影響,供大家一起討論。

  【關(guān)鍵詞】信息系統(tǒng);信息安全;安全風(fēng)險;安全防護(hù)

  1信息系統(tǒng)風(fēng)險分析的重要性

  信息系統(tǒng)的風(fēng)險存在于系統(tǒng)的整個生命周期過程中,共包括五個階段:系統(tǒng)規(guī)劃和啟動、設(shè)計(jì)開發(fā)或采購、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄。在《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007)中對風(fēng)險分析在信息系統(tǒng)生命周期中的規(guī)范要求進(jìn)行了充分的闡述,如在設(shè)計(jì)階段要進(jìn)行風(fēng)險分析以確定系統(tǒng)的安全目標(biāo);在建設(shè)驗(yàn)收階段要進(jìn)行風(fēng)險分析以確定系統(tǒng)的安全目標(biāo)達(dá)到與否;在運(yùn)行維護(hù)階段要不斷進(jìn)行風(fēng)險分析以確定系統(tǒng)安全措施的有效性,確保安全保障目標(biāo)始終如一得以堅(jiān)持。在系統(tǒng)規(guī)劃和啟動階段,主要是提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求,通過風(fēng)險分析可用于確定信息系統(tǒng)的安全需求。在設(shè)計(jì)開發(fā)或采購階段,主要是進(jìn)行信息系統(tǒng)設(shè)計(jì)、購買、開發(fā)或建造。

  通過風(fēng)險分析可為信息系統(tǒng)的安全分析提供支持,這可能會影響到系統(tǒng)在開發(fā)過程中要對體系結(jié)構(gòu)和設(shè)計(jì)方案進(jìn)行權(quán)衡。在集成實(shí)現(xiàn)階段,信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測試并得到驗(yàn)證。通過風(fēng)險分析可支持對系統(tǒng)實(shí)現(xiàn)效果的評價,考察其是否能滿足要求,并考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。有關(guān)風(fēng)險的一系列決策必須在系統(tǒng)運(yùn)行之前做出。在運(yùn)行和維護(hù)階段,信息系統(tǒng)開始執(zhí)行其功能,一般情況下系統(tǒng)要不斷修改,添加硬件和軟件,或改變機(jī)構(gòu)的運(yùn)行規(guī)則策略或流程等。通過風(fēng)險分析可對系統(tǒng)進(jìn)行重新評估,或者做出重大變更,以更好得保證系統(tǒng)能滿足需求的進(jìn)行穩(wěn)定運(yùn)行或使用。

  在廢棄階段,主要涉及對信息、硬件和軟件的廢棄。這些活動可能包括信息的轉(zhuǎn)移、備份、丟棄、銷毀以及對軟硬件進(jìn)行的密級處理。通過風(fēng)險分析,在廢棄或替換系統(tǒng)組件時,能確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置,且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理,并且能確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。

  2信息系統(tǒng)的安全風(fēng)險及影響

  系統(tǒng)的安全風(fēng)險在信息系統(tǒng)生命周期的各個階段都存在,在系統(tǒng)規(guī)劃和啟動,如果未對系統(tǒng)進(jìn)行全面的安全方案設(shè)計(jì)及詳細(xì)方案設(shè)計(jì),從系統(tǒng)的數(shù)據(jù)安全及功能服務(wù)進(jìn)行統(tǒng)籌考慮分析,可能導(dǎo)致系統(tǒng)在設(shè)計(jì)上存在安全隱患及漏洞,可能在系統(tǒng)投入運(yùn)行之后暴露出各種風(fēng)險或問題,如設(shè)備性能的不合理配置、系統(tǒng)功能的不合理設(shè)置、數(shù)據(jù)庫表結(jié)構(gòu)的不合理設(shè)計(jì)等都可能導(dǎo)致系統(tǒng)出現(xiàn)響應(yīng)緩慢、數(shù)據(jù)出錯等問題。在設(shè)計(jì)開發(fā)或采購階段,如果不按照當(dāng)初的規(guī)劃及需求開展系統(tǒng)設(shè)計(jì)開發(fā)或采購,存在隨意變更修改等行為,將導(dǎo)致系統(tǒng)的功能等無法滿足當(dāng)初的設(shè)計(jì)需求或規(guī)劃,或因?yàn)榉桨傅牟缓侠碜兏鼘?dǎo)致系統(tǒng)無法滿足原有的功能需求,從而給系統(tǒng)維護(hù)及使用者帶來更多的不穩(wěn)定因素。在集成實(shí)現(xiàn)階段,如果不按照已審定并允許實(shí)施的方案進(jìn)行系統(tǒng)建設(shè),可能導(dǎo)致系統(tǒng)的功能及性能造成偏差,或者帶來人力、財(cái)力或物力上的浪費(fèi)及損失。

  同時未按方案進(jìn)行建設(shè),可能導(dǎo)致系統(tǒng)存在未知的安全漏洞或隱患,給系統(tǒng)的使用造成潛在的安全影響。在運(yùn)行和維護(hù)階段,如果未按照管理規(guī)定或操作使用說明書對系統(tǒng)軟硬件進(jìn)行維護(hù)使用,將容易對系統(tǒng)硬件設(shè)備設(shè)施造成損壞,同時造成系統(tǒng)被攻擊破壞等風(fēng)險。如設(shè)備的開關(guān)機(jī)、日常維護(hù)等未按規(guī)定進(jìn)行操作,導(dǎo)致設(shè)備易損壞,影響設(shè)備使用壽命。如系統(tǒng)軟件的使用、升級更新等未按各安全管理制度進(jìn)行落實(shí),導(dǎo)致系統(tǒng)易被攻擊,易被非授權(quán)使用等。在廢棄階段,如果未按照相關(guān)要求對系統(tǒng)軟硬件進(jìn)行處理,可能導(dǎo)致設(shè)備或系統(tǒng)中的重要或敏感數(shù)據(jù)泄露,可能給系統(tǒng)維護(hù)或使用者帶來嚴(yán)重影響,如果有些敏感數(shù)據(jù)被惡意向社會公開或泄露,可能帶來社會的不良影響。

  如上所述,安全風(fēng)險在信息系統(tǒng)的整個生命周期中都存在,在各個階段所存在的安全風(fēng)險也不盡相同,因此造成的影響也根據(jù)系統(tǒng)特性的不同、系統(tǒng)周期的不同而有所區(qū)別。在《計(jì)算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)中根據(jù)信息系統(tǒng)安全保護(hù)能力的不同劃分了5個等級,分別為用戶自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級及訪問驗(yàn)證保護(hù)級。每個級別所需達(dá)到的安全防護(hù)能力也各不相同,用戶可根據(jù)系統(tǒng)的重要程度采取不同的安全防護(hù)能力。對應(yīng)這個系統(tǒng)的等級劃分準(zhǔn)則,在《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T22240-2008)中根據(jù)系統(tǒng)受到破壞時侵害的客體(國家安全、社會秩序/公共利益、公民/法人和其他組織的合法權(quán)益)和對客體造成侵害的程度(特別嚴(yán)重?fù)p害、嚴(yán)重?fù)p害、一般損害),從數(shù)據(jù)安全及服務(wù)安全兩方面將系統(tǒng)進(jìn)行了5級劃分,從一級到五級逐級遞增。

  同時在《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T22240-2008)已對這些的影響進(jìn)行了系統(tǒng)的描述,如在國家安全層面的影響包括影響國家政權(quán)穩(wěn)固和國防實(shí)力,影響國家統(tǒng)一、民族團(tuán)結(jié)和社會安定,影響國家對外活動中的政治、經(jīng)濟(jì)利益,影響國家經(jīng)濟(jì)競爭力和科技實(shí)力等;在社會秩序?qū)用娴挠绊懓ㄓ绊憞覚C(jī)關(guān)社會管理和公共服務(wù)的工作秩序,影響各種類型的經(jīng)濟(jì)活動秩序,影響各行業(yè)的科研、生產(chǎn)秩序等;在公共利益層面的影響包括影響社會成員使用公共設(shè)施,影響社會成員獲取公開信息資源,影響社會成員接受公共服務(wù)等;在公民、法人和其他組織的合法權(quán)益層面的影響包括影響法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會權(quán)利和利益。

  3信息系統(tǒng)安全防護(hù)

  信息系統(tǒng)在使用過程中存在著各種網(wǎng)絡(luò)攻擊、信息泄露等風(fēng)險,如用戶標(biāo)識截取、偽裝、重放攻擊、數(shù)據(jù)截取、非法使用、病毒、拒絕服務(wù)、數(shù)據(jù)庫文件丟失、系統(tǒng)損壞、系統(tǒng)源文件泄露、管理賬戶口令暴漏、惡意代碼攻擊等。針對信息系統(tǒng)存在的這些風(fēng)險,我們應(yīng)采取各種防護(hù)及加固措施將風(fēng)險控制在可控范圍內(nèi),為系統(tǒng)的安全穩(wěn)定運(yùn)行提供保障。在《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)中根據(jù)《定級指南》中的系統(tǒng)級別,明確了各級別系統(tǒng)滿足相應(yīng)等級安全要求的基本條款。

  在《基本要求》中,從人防、物防、技防、制防等方面對系統(tǒng)的運(yùn)行維護(hù)提供了參考標(biāo)準(zhǔn),基本涵蓋了系統(tǒng)的整個生命周期。為保障系統(tǒng)的安全穩(wěn)定運(yùn)行使用,主要包括技術(shù)和管理兩方面。在技術(shù)層面,主要包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等;在管理層面,主要包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等。結(jié)合這兩方面內(nèi)容,我們可從人防、物防、技防、制防等方面對系統(tǒng)進(jìn)行安全防護(hù)及加固。人防,在系統(tǒng)的整個生命周期中,人起著最重要的作用,也是最核心的一個因素。

 、偃艘邆湎鄳(yīng)的技術(shù)技能,在系統(tǒng)整個過程中解決處理發(fā)生的各種情況,充足的理論知識結(jié)合豐富的處理能力,能給系統(tǒng)的穩(wěn)定運(yùn)行帶來事半功倍的效果。②人在系統(tǒng)的運(yùn)維過程中,需嚴(yán)格按照相關(guān)的規(guī)章制度進(jìn)行操作,并能生成各類記錄,同時重大的操作需有詳細(xì)的操作方案或步驟及回退措施,且方案需通過審定確認(rèn)。③對運(yùn)維人員的管理及培訓(xùn),各重要信息運(yùn)維人員需簽署保密協(xié)議及安全責(zé)任書,并定期或不定期得開展各類培訓(xùn)以提高技術(shù)技能,從而滿足系統(tǒng)的維護(hù)需要。

  在此,還有一個重要的先決條件,就是單位的負(fù)責(zé)人要對系統(tǒng)的安全重視,能支持各崗位工作人員的工作,把信息安全當(dāng)作一件重大事情對待。只有領(lǐng)導(dǎo)的充分重視與關(guān)注,各人員的工作才能得到充分得支持,才能更有利得維護(hù)系統(tǒng)安全穩(wěn)定運(yùn)行。物防,信息系統(tǒng)的運(yùn)行離不開各種軟硬件設(shè)施設(shè)備,從基礎(chǔ)的機(jī)房設(shè)施設(shè)備,到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、應(yīng)用軟件及各種輔助軟件、線路線纜等。

  因此一個完整的運(yùn)行環(huán)境是系統(tǒng)得以穩(wěn)定運(yùn)行的大提前,機(jī)房的設(shè)計(jì)及建設(shè)可根據(jù)系統(tǒng)的需求按照國家的機(jī)房建設(shè)標(biāo)準(zhǔn)進(jìn)行建設(shè)。網(wǎng)絡(luò)及設(shè)備的部署需采用冗余方式進(jìn)行落實(shí),提供設(shè)備及線路的硬件冗余,同時需配備各類相應(yīng)的安全防護(hù)設(shè)備及軟件,從防火墻、WAF、IDS/IPS、防毒墻、惡意代碼防范軟件、機(jī)房監(jiān)控平臺、網(wǎng)絡(luò)主機(jī)監(jiān)控平臺等。一定需求的軟硬件產(chǎn)品部署能給系統(tǒng)保駕護(hù)航,能滿足系統(tǒng)的穩(wěn)定運(yùn)行。

  信息系統(tǒng)的安全穩(wěn)定運(yùn)行離不開各設(shè)備的支持,“巧婦難為無米之炊”,如果沒有合理的設(shè)備配置,再好的管理和技術(shù)也無法保障系統(tǒng)的安全穩(wěn)定運(yùn)行。技防,設(shè)備的投入需要合理的安全策略部署,才能起到安全防護(hù)作用。因此在配備了相應(yīng)安全設(shè)備的同時,我們需要根據(jù)系統(tǒng)的需求設(shè)置合理的安全策略,如合理的訪問控制策略、路由策略、升級更新策略、惡意代碼查殺策略、數(shù)據(jù)備份策略、安全訪問規(guī)則等。策略結(jié)合設(shè)備才能起到關(guān)鍵的防護(hù)作用,給系統(tǒng)的穩(wěn)定運(yùn)行提供保障。同時策略要結(jié)合系統(tǒng)運(yùn)行的環(huán)境及情況進(jìn)行設(shè)置,包括網(wǎng)絡(luò)環(huán)境、使用環(huán)境等。如網(wǎng)絡(luò)出入的流量及帶寬限制要考慮系統(tǒng)的日常訪問量及網(wǎng)絡(luò)的帶寬等。最合理的策略才是最重要的,要系統(tǒng)的應(yīng)用與安全相結(jié)合,應(yīng)能保證系統(tǒng)即可用又安全。

  在當(dāng)前現(xiàn)狀下,各種網(wǎng)絡(luò)攻擊防不勝防,只要我們能結(jié)合各安全設(shè)備,充分利用各設(shè)備的安全防護(hù)能力,遵循最小授權(quán)原則、最小服務(wù)原則,關(guān)閉多余的服務(wù)和端口,設(shè)置合理的安全策略,就能將安全風(fēng)險降到最低,保持在可控范圍內(nèi)。制防,沒有規(guī)矩不成方圓,信息安全管理制度的制定及完善是系統(tǒng)穩(wěn)定運(yùn)行的一道關(guān)口。我們的操作行為應(yīng)嚴(yán)格按照相關(guān)制度及規(guī)章規(guī)程執(zhí)行。因此制度的合理及可執(zhí)行將顯得尤其重要。在整個制度體系中,應(yīng)建立由信息安全方針策略、安全管理制度及操作規(guī)章規(guī)程構(gòu)成的體系化的制度。各方針策略、制度及操作規(guī)章規(guī)程需由相關(guān)負(fù)責(zé)人員討論審定通過,并通過PDCA循環(huán)不斷得修訂及完善,應(yīng)保證整個體系文件適用系統(tǒng)的運(yùn)行維護(hù)需求。一旦制度確定落實(shí),各人員將必須嚴(yán)格遵從執(zhí)行。

  通過制度管理人的方式將我們的運(yùn)維工作規(guī)范落實(shí),以防工作人員按各自處事習(xí)慣進(jìn)行運(yùn)維工作,給系統(tǒng)帶來不確定的隱患。一套完整的適用的制度是需要通過幾年實(shí)踐才逐步完善的,只有適用的、真正落實(shí)到地的制度才能給系統(tǒng)的安全穩(wěn)定運(yùn)行帶來保障,制度不應(yīng)停留于紙面,用于對付各類檢查。只有將制度真正貫穿在整個系統(tǒng)管理過程中,才能真正看到制度所帶得的真實(shí)意義所在。在人防、物防、技防、制防中,各個環(huán)節(jié)是相輔相成的,彼此穿插,從制度落實(shí),由人將設(shè)備及技術(shù)相結(jié)合,以保證系統(tǒng)的穩(wěn)定運(yùn)行,降低安全風(fēng)險系數(shù),讓風(fēng)險在可控范圍之內(nèi)。

  4結(jié)束語

  信息系統(tǒng)的安全風(fēng)險是客觀存在的,只要我們做好風(fēng)險的控制,就能確保系統(tǒng)穩(wěn)定安全的運(yùn)行。本文針對信息系統(tǒng)的安全風(fēng)險進(jìn)行了描述分析,并結(jié)合風(fēng)險提出了安全防護(hù)的描述,通過人防、物防、技防、制防等方式加強(qiáng)系統(tǒng)的穩(wěn)定運(yùn)行,希望各信息系統(tǒng)能更安全穩(wěn)定的運(yùn)行,同時給我們的生活、工作及學(xué)習(xí)帶來更多的便捷及享受。

  參考文獻(xiàn)

  [1]《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》(GB/T20984-2007)[S].

  [2]《計(jì)算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)[S].

  [3]《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T22240-2008)[S].

  [4]《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T22239-2008)[S].

【信息系統(tǒng)風(fēng)險分析與安全防護(hù)研究】相關(guān)文章:

我國壽險公司風(fēng)險評估的相關(guān)研究分析03-24

企業(yè)內(nèi)控管理及資金風(fēng)險把控研究分析02-21

從大壩設(shè)計(jì)和風(fēng)險分析看大壩安全論文02-26

調(diào)度數(shù)據(jù)網(wǎng)安全防護(hù)新策略分析論文02-25

稅收籌劃風(fēng)險研究11-16

籌資風(fēng)險管理研究03-28

ICU噪聲危害與防護(hù)措施的研究11-21

風(fēng)險投資公司的風(fēng)險來源分析11-18

機(jī)械安全生產(chǎn)分析與研究開題報(bào)告12-07

  • 相關(guān)推薦