淺析信息系統(tǒng)風(fēng)險(xiǎn)管理

淺析信息系統(tǒng)風(fēng)險(xiǎn)管理摘要：隨著網(wǎng)絡(luò)化的不斷擴(kuò)大，信息系統(tǒng)安全問題已成為國(guó)際、國(guó)家、社會(huì)、企業(yè)各領(lǐng)域關(guān)注的問題。信息系統(tǒng)安全問題在很大水平上由于風(fēng)險(xiǎn)的存在，因而，風(fēng)險(xiǎn)管理是確保信息系統(tǒng)安全的最主要因素。本文重要對(duì)信息系統(tǒng)動(dòng)態(tài)風(fēng)險(xiǎn)管理模型、信息系統(tǒng)人為因素導(dǎo)致的風(fēng)險(xiǎn)的管理和基于風(fēng)險(xiǎn)評(píng)估和等級(jí)保衛(wèi)的信息安全管理體系建設(shè)進(jìn)行分析。信息系統(tǒng)風(fēng)險(xiǎn)管理必需根據(jù)實(shí)際情況來進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)防止，進(jìn)而確保信息系統(tǒng)的安全性，進(jìn)而為企業(yè)安全運(yùn)行提供了基礎(chǔ)保障。本文關(guān)鍵詞語：信息系統(tǒng)；風(fēng)險(xiǎn)；風(fēng)險(xiǎn)評(píng)估；風(fēng)險(xiǎn)防止信息系統(tǒng)是企業(yè)實(shí)現(xiàn)信息化的最要標(biāo)準(zhǔn)，信息系統(tǒng)的建立為企業(yè)的經(jīng)營(yíng)帶來了很大的便捷。然而信息系統(tǒng)安全問題一直是阻礙企業(yè)實(shí)現(xiàn)信息化的主要因素。信息系統(tǒng)具有下面特點(diǎn)：信息系統(tǒng)很軟弱，容易被攻擊；不能夠及時(shí)地發(fā)現(xiàn)和防止攻擊發(fā)生；無論是在數(shù)量上還是在質(zhì)量上，入侵都呈現(xiàn)快速增加趨勢(shì)；網(wǎng)絡(luò)在規(guī)模和復(fù)雜水平上在不斷地進(jìn)行擴(kuò)展，而在其經(jīng)過中很好考慮安全問題；沒有充足看重信息系統(tǒng)安全導(dǎo)致的宏大損失等等。恰是由于信息系統(tǒng)本身的這些特點(diǎn)，進(jìn)而引發(fā)了許多風(fēng)險(xiǎn)，為信息系統(tǒng)的安全埋下了許多隱患。1.信息系統(tǒng)動(dòng)態(tài)風(fēng)險(xiǎn)管理模型1.1基于態(tài)勢(shì)評(píng)估的風(fēng)險(xiǎn)預(yù)警、防備與控制態(tài)勢(shì)評(píng)估值能夠反映系統(tǒng)安全與否，可以以反映出信息系統(tǒng)威脅水平，對(duì)信息系統(tǒng)的威脅的嚴(yán)重水平能夠通過當(dāng)下態(tài)勢(shì)值和正常狀態(tài)下態(tài)勢(shì)值的產(chǎn)值來進(jìn)行判定。由于計(jì)算安全態(tài)勢(shì)值是實(shí)時(shí)的，因而，其也能夠起到實(shí)時(shí)監(jiān)控。過去和當(dāng)下的信息系統(tǒng)安全狀態(tài)能夠通過評(píng)估來判定，而且能夠?yàn)樾畔⑾到y(tǒng)管理者提供預(yù)警機(jī)制。通過態(tài)勢(shì)評(píng)估，信息系統(tǒng)管理員能夠清楚地獲得到信息系統(tǒng)攻擊的威脅水平，將信息系統(tǒng)安全狀況能夠清楚的把握好，進(jìn)而為其做出相應(yīng)的防備辦法提供根據(jù)?；趹B(tài)勢(shì)評(píng)估的風(fēng)險(xiǎn)預(yù)警、防備與控制模型如此圖1所示。圖1基于態(tài)勢(shì)評(píng)估的風(fēng)險(xiǎn)預(yù)警、防備與控制1.2基于ART-BP神經(jīng)網(wǎng)絡(luò)的模糊專家系統(tǒng)風(fēng)險(xiǎn)管理隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，動(dòng)態(tài)風(fēng)險(xiǎn)管理的智能化水平以及管理自動(dòng)化水平需要提升，此處重要是對(duì)基于ART-BP神經(jīng)網(wǎng)絡(luò)的模糊專家系統(tǒng)進(jìn)行分析。ART-BP神經(jīng)網(wǎng)絡(luò)的基本工作原理是：對(duì)于外面環(huán)境的輸入，網(wǎng)絡(luò)承受了，接著對(duì)新來的樣本和網(wǎng)絡(luò)所有存儲(chǔ)的形式之間的類似度進(jìn)行計(jì)算，然后再閾值檢查輸入樣本和網(wǎng)絡(luò)存儲(chǔ)形式，選擇與輸入樣本最類似的作為輸入樣本的形式類，通過一定的學(xué)習(xí)規(guī)則對(duì)所對(duì)應(yīng)的連接權(quán)重進(jìn)行調(diào)整，確保最終得到更大的類似度。對(duì)于閾值要求，假如輸入樣本與所有存儲(chǔ)形式之間都不能知足的話，則輸入至BP神經(jīng)網(wǎng)絡(luò)進(jìn)行并發(fā)故障與新故障的分離，假如是新故障，則需要將一新形式節(jié)點(diǎn)設(shè)置在輸出端。2.信息系統(tǒng)人為因素導(dǎo)致的風(fēng)險(xiǎn)的管理人是影響信息系統(tǒng)安全的最大因素。信息系統(tǒng)的開發(fā)是由人來實(shí)現(xiàn)的，其開發(fā)的最終目的還是效勞與人。隨著信息化的發(fā)展，人為因素對(duì)系統(tǒng)的影響非但沒有減弱，反而變得越來越主要。由于社會(huì)上的各種原因，人存在一些固有弱電和不確定性，同時(shí)其可塑性也較強(qiáng)，進(jìn)而使得控制和管理的具有一定的難度。信息系統(tǒng)固然實(shí)現(xiàn)了自動(dòng)化，但是其根本還是由人來操控。由此，人為因素就成為了信息系統(tǒng)安全的重要成因。由于人為因素的導(dǎo)致風(fēng)險(xiǎn)，這種現(xiàn)象是經(jīng)常存在的，而且也是最基本的，人為因素的重要特征表如今下面幾個(gè)方面：〔1〕反復(fù)性。人因失誤經(jīng)常在不同條件下做同一操作?！?〕潛發(fā)性。人為因素引發(fā)的事故可能是潛在的。〔3〕可修復(fù)性。有人為因素導(dǎo)致的故障能夠通過系統(tǒng)恢復(fù)的可能性較大。人為因素風(fēng)險(xiǎn)管理形式是一項(xiàng)牽涉多方面的綜合性工作形式，如此圖2所示。圖2人為因素風(fēng)險(xiǎn)管理形式人為因素分為技術(shù)因素和非技術(shù)因素，其中非技術(shù)因素占領(lǐng)主要地位，組織管理因素就占一半以上，可見組織管理因素是非常主要的。加強(qiáng)信息系統(tǒng)的組織管理重要從下面幾個(gè)方面來進(jìn)行。〔1〕管理制度的建立。管理工作制度化和規(guī)范化的需要前提就是對(duì)管理制度進(jìn)行完善，而且完善的管理制度也是做好一切工作的保障。完善的管理制度必需具有較強(qiáng)的可操作性，它能夠引導(dǎo)人自發(fā)遵照制度。另外，必需嚴(yán)肅處理違背制度的行為，做到賞罰清楚。為了減少事故的發(fā)生，需要時(shí)能夠動(dòng)用行政手段來進(jìn)行管理。通過建立多重安全管理體系，能夠使以為因素帶來的風(fēng)險(xiǎn)得以減少?！?〕組織文化。組織文化是組織經(jīng)過長(zhǎng)時(shí)間的管理和運(yùn)作影響員工的精神層面并通過員工的個(gè)人行為所表現(xiàn)出來的一種文化現(xiàn)象，是組織活動(dòng)創(chuàng)造的生產(chǎn)及勞動(dòng)保衛(wèi)的觀念、行為、意識(shí)、環(huán)境、物態(tài)條件的總和。重要包含安全文化，個(gè)人對(duì)安全的意識(shí)和態(tài)度以及領(lǐng)導(dǎo)層對(duì)安全的態(tài)度等。(3)教育與培訓(xùn)。來自人因的信息系統(tǒng)安全事故，通常是由于安全意識(shí)淡薄、對(duì)信息安全方針不睬解或?qū)I(yè)技能不足等原因造成的。我們應(yīng)該通過安全教育與訓(xùn)練使人員自發(fā)遵照安全法規(guī)，養(yǎng)成嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)，提升事故的判定、預(yù)測(cè)和處理能力，有效減少人因失誤。要逐步普及信息安全知識(shí)，營(yíng)造一個(gè)良好的信息安全管理環(huán)境。安全教育重要包含下面幾個(gè)方面：1)安全意識(shí)教育。所有的信息系統(tǒng)相關(guān)人員都應(yīng)該承受安全意識(shí)教育，安全意識(shí)教育重要包含:組織安全方針與控制目的；安全職責(zé)、安全程序及安全管理規(guī)章制度等。組織應(yīng)構(gòu)成思想教育、法規(guī)法紀(jì)教育、以安全技術(shù)和勞動(dòng)技能教育為主的崗前、在崗教育，端正與提升安全意識(shí)。2)建立安全培訓(xùn)制度。_對(duì)在崗人員建立并推行系統(tǒng)化的崗前、在崗培訓(xùn)制度，保證在崗工作人員具有崗位所需的工作技能，杜絕因工作能力因素造成的人因事件，同時(shí)提升排除事故隱患，減少事故后果的能力。根據(jù)人員所從事的安全崗位不同，提升相應(yīng)的技能培訓(xùn)。例如，負(fù)責(zé)網(wǎng)絡(luò)安全的人員應(yīng)得到安全技術(shù)、風(fēng)險(xiǎn)評(píng)估方法、相關(guān)標(biāo)準(zhǔn)的選擇與施行等方面的技能培訓(xùn)。3)培養(yǎng)安全習(xí)慣。通過系統(tǒng)化的培訓(xùn)和嚴(yán)格的安全管理，全面構(gòu)成規(guī)范操作、標(biāo)準(zhǔn)化作業(yè)、安全操作程序等安全習(xí)慣，有效預(yù)防違章。4)自立安全管理。建立良好的職業(yè)健康體系，保證在崗工作人員的生理健康情況、心理狀態(tài)堅(jiān)持良好狀況，提倡自我控制和自我防護(hù)，進(jìn)而有效預(yù)防人因失誤。通過對(duì)人為因素操作的失誤進(jìn)行分析，找出其原因，進(jìn)而對(duì)事件的根本誘發(fā)原因進(jìn)行消除，而且采用相應(yīng)的辦法進(jìn)行改良，進(jìn)而保證信息系統(tǒng)的安全運(yùn)行。3.基于風(fēng)險(xiǎn)評(píng)估和等級(jí)保衛(wèi)的信息安全管理體系建設(shè)3.1風(fēng)險(xiǎn)評(píng)估與等級(jí)保衛(wèi)的關(guān)系安全等級(jí)保衛(wèi)能夠?qū)π畔⑾到y(tǒng)要保衛(wèi)的對(duì)象、范圍和水平進(jìn)行確定。安全與風(fēng)險(xiǎn)是一對(duì)矛盾體，信息系統(tǒng)能否安全由風(fēng)險(xiǎn)的大小決定。能夠承受的風(fēng)險(xiǎn)就屬安全，否則，不安全。因而，風(fēng)險(xiǎn)的減小是保障安全的主要辦法。安全等級(jí)保衛(wèi)考慮問題是從安全保衛(wèi)的角度來進(jìn)行的，風(fēng)險(xiǎn)評(píng)估考慮問題是從信息系統(tǒng)不安全的角度或者從安全保衛(wèi)的效果來進(jìn)行。信息系統(tǒng)的安全性由風(fēng)險(xiǎn)評(píng)估來進(jìn)行判定，對(duì)系統(tǒng)的保衛(wèi)能否到位是由安全等級(jí)保衛(wèi)來進(jìn)行判定，因此二者是統(tǒng)一的關(guān)系。信息系統(tǒng)安全等級(jí)劃分就是對(duì)有關(guān)數(shù)據(jù)信息的安全性來判定。也就是說，安全保衛(wèi)等級(jí)施行的目的就是使風(fēng)險(xiǎn)得以減少或者避免。信息系統(tǒng)安全等級(jí)確定的根據(jù)就是信息系統(tǒng)的主要性和信息系統(tǒng)資源被毀壞后的后果；安全辦法確實(shí)定就是柑橘信息和信息系統(tǒng)面臨的風(fēng)險(xiǎn)來確定的。安全等級(jí)是信息系統(tǒng)對(duì)各安全性的要求水平。安全等級(jí)的目的就是確定在不同水平上避免不同水平的風(fēng)險(xiǎn)。安全辦法必需具有一定的針對(duì)性。由此可見，信息系統(tǒng)施行的安全辦法與信息系統(tǒng)面臨的詳細(xì)風(fēng)險(xiǎn)有親密關(guān)系。3.2信息系統(tǒng)安全管理體系的建設(shè)從當(dāng)前國(guó)內(nèi)外信息系統(tǒng)的安全理論來看，信息系統(tǒng)存在許多的風(fēng)險(xiǎn)。這些潛在的風(fēng)險(xiǎn)都是在信息安全管理范圍內(nèi)。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的施行能夠確定所保衛(wèi)的對(duì)象，對(duì)保衛(wèi)對(duì)象的特點(diǎn)、屬性進(jìn)行分析，分析保衛(wèi)對(duì)象需要保衛(wèi)的原因，即面臨的安全威脅，進(jìn)而能夠制訂出有針對(duì)性的風(fēng)險(xiǎn)辦法，尤其對(duì)于管理軟弱性，對(duì)其控制能夠通過制訂相應(yīng)的策略和程序來進(jìn)行，進(jìn)而能夠更好的解決信息系統(tǒng)存在的安全問題。基于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的信息安全保障體系的構(gòu)建，不僅能夠有效地控制信息系統(tǒng)的安全風(fēng)險(xiǎn)，而且更主要的是保障信息系統(tǒng)的正常運(yùn)行。4.結(jié)束語信息系統(tǒng)風(fēng)險(xiǎn)管理必需運(yùn)用風(fēng)險(xiǎn)管理手段和方法來進(jìn)行。本文重要提出了智能化發(fā)展需要的信息系統(tǒng)動(dòng)態(tài)風(fēng)險(xiǎn)管理模型、人為因素風(fēng)險(xiǎn)管理進(jìn)行了分析，并提出了詳細(xì)的辦法。信息安全是一個(gè)隨時(shí)都在發(fā)生變化的，因而，必需對(duì)信息系統(tǒng)風(fēng)險(xiǎn)管理進(jìn)行實(shí)時(shí)研究，積極探