信息安全的风险与防卫对策研究
来源:用户上传
作者:
【摘要】随着经济的全球化和信息技术的迅猛发展,信息系统在各个领域应用的日益广泛,整个社会对与信息系统的依赖性也与日剧增,对于信息系统的安全问题的研究具有十分重要的意义。
【关键词】信息安全;风险;防卫对策
引言
目前,随着经济的不断发展和科技的不断进步,人类生活在一个崭新的全球化信息时代,信息技术已经在各个领取得到了十分广泛的应用。然而,人们在享受信息带来的巨大便利的同时,也承受着信息影响和控制。信息的支撑社会经济生活的重要战略资源之一,是一个国家各领域活动开展的前提条件。随着社会发展人们对信息和信息系统的依赖程度越来越高,电力、电信、交通等和国计民生具有密切关系的主要信息系统在受到传统的物理性破坏的同时又面临新兴的虚拟化的攻击,信息系统的安全正面临着巨大的威胁。信息系统随时面临遭受到有意或者无意的破坏,对人们的财产安全和生命安全造成了巨大的威胁,甚至会对整个国家的安全造成危害。信息系统的安全问题已经成为关系国家安全的战略性问题,受到世界范围内的高度重视。
如今,我国信息安全正面临着十分严峻的考验,加强维护国家信息安全具有十分重要的意义。国外敌对势力对我国重要信息系统的渗透和颠覆活动从未停止并且日趋严重;国内外反动势力在国外敌对势力的支持下,对重要信息系统不断的进行攻击和破坏;我国的网络违法犯罪率迅速升高,网络窃密现象较为普遍,计算机病毒传播和网络非法入侵的情况十分严重,犯罪分子利用信息系统的安全漏洞进行违法犯罪活动,给用户的财产和安全造成严重的,由此引发了一系列的社会问题;对于信息系统安全管理不合理,安全措施不完善,经常会发生信息系统运行事故,信息系统风险已经成为一个亟待解决的问题。
1相关理论基础
1.1信息安全的含义和目标
信息安全是指信息网络的硬件、软件和系统中的数据受到保护,不会由于偶然的或者恶意的原因而遭到破坏、更改或者泄露,可以保证系统连续、可靠、正常的运行,并且信息服务不中断。信息安全要实现的目标主要有以下七个方面:(1)保密性;(2)完整性;(3)可用性;(4)真实性;(5)不可抵赖性;(6)可审查性;(7)可控制性。
1.2风险和信息风险的含义
通常情况下,风险的是指损失的不确定性。这种不确定性的范围包括风险是否发生、发生时间、发生过程、发生结果等的不确定。因为不同的学者对与风险的理解和认识程度存在较大的差别,对风险的研究的角度也不尽相同,他们对风险概念有着不同的解释,因此,从理论角度对风险下一个科学的定义具有较大的难度,但可以归纳为以下三种代表性观点 (l)风险是指损失发生的不确定性;(2)风险是指损失的大小和产生风险的可能性;(3)风险是在风险构成要素相互作用下形成的。
在信息安全中的风险是指安全风险。信息安全风险是指由于人或者自然的威胁利用信息系统及其管理体系中存在的薄弱点,导致信息安全事件发生的可能性及其对组织活动和所属资产造成影响的结合。概括起来说,信息安全风险是指信息系统安全事件发生的可能性及其发生后所带来的影响,事件发生的可能性越大,信息风险就越高;财产受到的影响与损失越大,风险也就越高。
2信息安全风险的防卫对策
2.1信息系统动态风险管理模型与对策
(1)基于态势评估的风险防卫对策
对于安全态势值的计算是实时的,也能起到实时监控的作用。通过评估己经可以得到过去和当前的信息系统安全状况,可以给信息系统管理者预警。通过建立基于灰色理论的风险态势评估模型,并且借以对系统的未来行为进行预测与评估。这些使得信息系统管理员可以明确获知信息系统攻击的威胁程度,对信息系统安全状态有一个清晰的把握,从而对信息系统现实的情况进行相应的防为和控制。
(2)基于ART-BP神经网络的模糊专家系统风险防卫对策
为适应网络规模的不断扩大和网络复杂性的不断增加,需要引入专家系统与神经网络等有效手段,来提高动态风险管理的智能化水平,增强管理自动化程度。因为模糊逻辑与神经网络相结合的方法具有明显的优点,考虑到专家系统进一步发展的需要和网络管理专家系统的具体特点,本文提出了一种提高动态风险管理水平的方案,采用自适应谐振理论ART与BP神经网络相结合的ART-BP混合神经网络,建立起基于ART-BP神经网络的动态风险管理模型。充分利用其在处理不确定性知识和模糊神经网络在模糊推理、自动学习和并行处理等方面的优点,进而克服传统专家系统的缺点。
2.2信息系统人因失误风险防卫对策
(1)建立完善的管理制度
完善的管理制度是做好一切工作的前提条件,也是实现管理工作制度化、规范化的基础。完善的管理制度要具有很强的可操作性,可以最大限度地调动人的积极性,引导人自觉的遵守相关的制度。
(2)加强组织文化的建设
组织文化是指组织经过长时间的管理和运作对员工的精神层面产生影响并通过员工的个人行為所表现出来的文化现象,组织文化是组织活动创造的生产及劳动保护的观念、行为、意识、环境、物态条件的总和。组织文化主要包括安全文化、个人对安全的意识和态度和领导层对安全的态度等三个方面。
(3)加强安全教育与培训
我们应该通过安全教育和培训使人员自觉遵守安全法规,提高安全意识,养成严谨的工作作风,提高对于危险事故的判断和处理能力,进而有效减少由于人为原因所产生的失误。要加强对于信息安全知识的宣传,进而营造出一个良好的信息安全管理环境。安全教育主要包括以下四个方面:(1)加强安全意识的教育;(2)加强安全培训;(3)培养人员的安全习惯;(4)自主安全管理。
2.3信息系统安全管理体系的建设的对策
从目前信息系统的安全实践的角度来看,在信息系统方面存在很多潜在的风险。这些潜在的风险属于信息安全管理的问题。进行信息系统风险评估能够有效识别需要保护的对象,明确了保护对象,就会保护对象的特点和属性等内容进行分析,分析保护对象在管理和技术等方面存在的不足,在此基础之上有针对性地选择控制措施来防卫具体的风险,特别是对于管理方面的不足,可以通过制定相应的策略和程序来进行防范和控制,这解决信息系统中存在的信息安全问题具有十分重大的意义。
3结束语
本文对信息安全和信息风险的含义进行了分析,在此基础上针对信息安全风险的防卫问题提出了几点行之有效的对策,对信息安全风险的保障具有一定的指导意义。
参考文献
[1] 曹阳.基于三视图框架的分布式信息系统体系结构研究.国防科技大学学位论文.2002.10.
[2] 蔡卫.信息系统安全管理中鱼待解决的若干问题.信息安全与通信保密.2002NQ7:19-21.
[3] AndersonRJ.信息安全工程.蒋佳北京:机械工业出版社.2003:2-8.
[4] 沈昌祥.信息安全工程导论.北京:电子工业出版社.2003:1-53.
[5] 中国信息安全产品测评认证中心.信息安全工程与管理.北京:人民邮电出版社,2003:l,3451-69.
转载注明来源:https://www.xzbu.com/1/view-14919401.htm
