信息系統信息安全風險管理的發展趨勢分析與方法

【摘要】隨著社會不斷的發展，信息技術已成為當今社會發展最為重要的經濟動力之一。但是信息系統的安全風險的薄弱性對國家社會存在著威脅，因此，信息系統的信息安全風險管理已經成為社會關注和發展的基礎。本文主要探討了信息系統信息安全風險管理的發展歷程和趨勢，以及風險管理的方法分析。

【關鍵詞】信息系統；信息安全；風險管理；發展歷程；分析方法；發展趨勢

0.前言

隨著社會不斷的發展，信息技術已成為當今社會發展最為強勁的因素，是世界經濟增長的強勁動力。計算機在全球范圍內的普及，不僅為人類的生活、工作和學習上帶來了很大的影響，同時也使很多國家的經濟、軍事、政治上也帶來影響，所以說，對于計算機網絡信息系統的依賴性是越來越大。但是，信息系統在信息安全上還是很脆弱的，存在著很大的風險，這將會給整個社會中的關鍵設施造成嚴重的威脅。所以，信息安全風險管理作為實現全社會可持續發展和信息化的保障，已經成為社會關注信息系統的重點之一。

風險管理的理論是一項為了市場競爭策略的定制和經濟戰略發展，而由西方資本主義國家提出的方法、措施及理論。風險管理具有廣泛適用性的特點，這就造就風險管理被廣泛的應用在了國家的建設、安全，社會與經濟的發展，公共和信息安全等眾多的方面。風險管理是在20世紀60年代應用于信息系統的信息安全方面上的。本文主要探討了信息系統信息安全風險管理的發展歷程和趨勢，以及風險管理的方法分析。

1.信息系統信息安全風險管理發展的歷程

1.1在理論基礎上的研究

在20世紀60年代中，隨著早期的計算機網絡系統和計算機資源共享系統的出現，計算機信息安全也存在著問題。在1967年11月，美國委托全球多個相關企業以及研究機構，主要針對計算機系統的安全問題，開啟了歷史上第一次針對計算機遠程終端及大型機的研究評估，并且在1970年初，《計算機安全控制》出版，該報告全文長達數百頁。而該報告也為全球研究信息系統安全風險拉開序幕。

1.2在理論深入上的研究

在社會不斷發展的同時，也帶動了計算機信息技術的飛速進步，也使之在網絡上得到廣泛的應用。在1989年，美國建立計算機應急組織，也是全球最早；隨后，1990年，建立應急論壇；1994年，作為美國聯合委員會之一的安全組織，強調要在信息安全風險管理的基礎上建立美國信息系統，1996年4月，美國國會提出“加強信息安全，降低信息戰略威脅”，美國總審局為響應號召，對國防系統信息安全做了首次風險評估，之后的1996年，發表了《信息安全：針對國防部的計算機攻擊正構成日益增大的風險》的報告。

故而國際化組織在1996年就制定了《信息技術信息安全管理指南》，這項規定分成了《信息安全管理技術》、《信息安全管理和規劃》以及《網絡安全管理指南》等等幾個部分。而這個階段的風險管理的時間和理論的特點是：從只注重信息系統信息上的單機安全問題轉變成為可以同時注重網絡、數據以及操作系統方面的安全問題；在根據安全評測和安全質量的保證來進行對系統安全的保障。

1.3在理論深入上進行實踐基礎的研究

由于20世紀90年代以來，很多國家信息網絡都是局限于國內方面，隨著移動通信、因特網等方面的快速發展，信息網路與國土疆域的網絡界限連成一體了，很多發達的國家在經濟、政治、軍事以及社會活動上都對信息系統的依賴性達到了很高的尺度。但是，在當前的社會中出現了很多的黑客，信息系統的安全受到了很大程度的攻擊，促使了信息戰的理論正走向一種新型的、成熟的作戰模式，信息系統信息安全風險問題得到了全球范圍內的重視和挑戰。

在這一階段的信息系統信息安全風險管理的特點是：信心安全風險管理的對象是信息系統和信息這兩個方面，其中包含了網絡基礎設施、局域計算環境等。同時研究人員與安全專家們達成一致共識，就是從管理、人員和技術這三個方面的能力來對信息系統信息安全風險管理進行管理。而信息安全風險管理的應從檢測、反應、保護和恢復這四個方面的能力進行決策，這樣就可以對信息系統信息安全建立縱深的防御體系保障。因此，風險管理作為一項通用的基礎理論和方法論，廣泛的應用到了信息系統信息安全的實踐基礎工作中。

2.信息系統信息安全風險管理的方法介紹

2.1信息系統信息安全風險管理的故障樹分析法（FTA）

在20世紀60年代，最初的故障樹是為了便于火箭系統進行分析而提出的，到后來這種方法廣泛的應用在電子設備、化學工業、航天工業以及核工業等等方面中的可靠性分析，并且在這些方面中取得很好的成果。目前，故障樹分析法現在主要用在分析一些比較大型復雜系統中的安全性和可靠性，被公認為是一種對復雜系統進行安全可靠上分析的有效方法。同時它還是top-down分析的一種方法，通過對系統中的硬件、軟件和人為因素等方面可能會造成的故障進行分析，總結畫出故障原因的發生概率和各種組合的方式，由總體到部分，呈樹狀的結構模式，進行逐層細化的進行分析。

2.2信息系統信息安全風險管理的失效式及效果/危害程度分析方法（FMECA）

它是由危害性分析和故障模式影響分析兩個部分工作構成的。同時它還是用來分析審查信息系統和設備的一種潛在的故障模式，具有安全性、可靠性、維修性、保障性的特點。還可以確定其對信息系統和設備的工作能力產生的影響，從而發現潛在的薄弱環節，在針對這些問題提出預防改進的措施，來減少和消除信息系統發生故障的可能性，故而提高了信息系統和設備的安全性、可靠性、維修性、保障性的水平。它還是bottom-up分析的一種方法，只要是按照規定記錄產品中可能發生故障的模式，來分析各種故障對信息系統的狀態和工作的影響，并確定其單點的故障，將各種故障按對信息系統的影響的發生概率和程度來進行排序，從而發現潛在的薄弱環節，再根據這些問題提出預防改進的措施，確保了信息系統信息安全的可靠性。

3.信息系統信息安全風險管理的發展趨勢

20世紀90年代，隨著全球經濟化的發展，信息技術也成為世界各國所關注、所需要的重要科技技術之一，而我國在信息產業、技術、網絡上也在不斷的蓬勃發展當中。隨之而來的信息安全風險問題也日益突出，故而，信息風險管理的重要性得到空前的關注。2002年我國首次規劃了關于信息安全風險管理方面的課題—《系統安全風險分析和評估方法研究》。在2003年8月中由國家組織成立了關于信息安全風險評估的課題小組，對信息系統的信息安全管理和評估進行理論上的研究。而我國很多的企業和研究機構都介紹了發達國家在信息安全風險評估、管理上的方法、經驗和理論，為我國在信息安全風險管理領域可以進行研究和探討，同時也是我國應該關注和解決的重要課題。我國信息系統信息安全風險管理研究的時間較短，而（下轉第292頁）（上接第317頁）國外已有的方法和結論，不符合我國信息系統安全保障時間理論和研究成果均比較薄弱的情況；另一方面，傳統的信息安全風險管理的方法和理論，在信息系統規模逐漸擴大和網絡結構越來越復雜的情況下，不再能達到信息系統信息安全的要求。尋求適合我國信息系統信息安全風險管理的理論與方法成為當務之急。

4.結語

綜上所述，信息系統信息安全風險管理在經過一定發展歷程之后，又通過綜合使用各種信息風險管理的分析方法的思路，來克服了信息系統中所存在的各種問題和故障，為以后信息系統信息安全風險管理的發展奠定了基礎。

【參考文獻】

[1]翟雪榮，劉志剛，卞春.信息系統信息安全風險管理的發展趨勢分析[J].農業網絡信息，2007（12）：116-118.

[2]張利，江常青，陳曉樺.傳統風險分析方法在信息系統安全風險管理過程中的應用[J].中國信息協會，45-51.