信息系統(tǒng)風(fēng)險(xiǎn)分析與安全防護(hù)研究

信息系統(tǒng)風(fēng)險(xiǎn)分析與安全防護(hù)研究

　　我們使用系統(tǒng)的過程中，伴隨而來的是各種各樣的安全風(fēng)險(xiǎn)，如果我們存有置之不理、掉以輕心或者僥幸心理，這些風(fēng)險(xiǎn)將誘發(fā)各種安全事件，將可能帶給我們難以估量的損失。如何做好系統(tǒng)的風(fēng)險(xiǎn)分析及安全防護(hù)，對(duì)我們系統(tǒng)的安全使用將起著至關(guān)重要的作用。

　　【摘要】隨著信息化的發(fā)展，信息系統(tǒng)已遍及我們的生活及工作學(xué)習(xí)中，給我們帶來了翻天覆地的變化。本文針對(duì)信息系統(tǒng)存在的風(fēng)險(xiǎn)進(jìn)行分析，并提出相應(yīng)的安全防護(hù)措施，在系統(tǒng)的整個(gè)生命周期過程中通過人防、物防、技防、制防等安全措施來保證系統(tǒng)在使用過程中的安全，讓信息系統(tǒng)的使用給我們帶來更美好的生活享受與工作學(xué)習(xí)體會(huì)，同時(shí)減少或消除系統(tǒng)的安全風(fēng)險(xiǎn)帶來的各種影響，供大家一起討論。

　　【關(guān)鍵詞】信息系統(tǒng);信息安全;安全風(fēng)險(xiǎn);安全防護(hù)

　　1信息系統(tǒng)風(fēng)險(xiǎn)分析的重要性

　　信息系統(tǒng)的風(fēng)險(xiǎn)存在于系統(tǒng)的整個(gè)生命周期過程中，共包括五個(gè)階段：系統(tǒng)規(guī)劃和啟動(dòng)、設(shè)計(jì)開發(fā)或采購、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄。在《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)中對(duì)風(fēng)險(xiǎn)分析在信息系統(tǒng)生命周期中的規(guī)范要求進(jìn)行了充分的闡述，如在設(shè)計(jì)階段要進(jìn)行風(fēng)險(xiǎn)分析以確定系統(tǒng)的安全目標(biāo);在建設(shè)驗(yàn)收階段要進(jìn)行風(fēng)險(xiǎn)分析以確定系統(tǒng)的安全目標(biāo)達(dá)到與否;在運(yùn)行維護(hù)階段要不斷進(jìn)行風(fēng)險(xiǎn)分析以確定系統(tǒng)安全措施的有效性，確保安全保障目標(biāo)始終如一得以堅(jiān)持。在系統(tǒng)規(guī)劃和啟動(dòng)階段，主要是提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求，通過風(fēng)險(xiǎn)分析可用于確定信息系統(tǒng)的安全需求。在設(shè)計(jì)開發(fā)或采購階段，主要是進(jìn)行信息系統(tǒng)設(shè)計(jì)、購買、開發(fā)或建造。

　　通過風(fēng)險(xiǎn)分析可為信息系統(tǒng)的安全分析提供支持，這可能會(huì)影響到系統(tǒng)在開發(fā)過程中要對(duì)體系結(jié)構(gòu)和設(shè)計(jì)方案進(jìn)行權(quán)衡。在集成實(shí)現(xiàn)階段，信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測試并得到驗(yàn)證。通過風(fēng)險(xiǎn)分析可支持對(duì)系統(tǒng)實(shí)現(xiàn)效果的評(píng)價(jià)，考察其是否能滿足要求，并考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。有關(guān)風(fēng)險(xiǎn)的一系列決策必須在系統(tǒng)運(yùn)行之前做出。在運(yùn)行和維護(hù)階段，信息系統(tǒng)開始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機(jī)構(gòu)的運(yùn)行規(guī)則策略或流程等。通過風(fēng)險(xiǎn)分析可對(duì)系統(tǒng)進(jìn)行重新評(píng)估，或者做出重大變更，以更好得保證系統(tǒng)能滿足需求的進(jìn)行穩(wěn)定運(yùn)行或使用。

　　在廢棄階段，主要涉及對(duì)信息、硬件和軟件的廢棄。這些活動(dòng)可能包括信息的轉(zhuǎn)移、備份、丟棄、銷毀以及對(duì)軟硬件進(jìn)行的密級(jí)處理。通過風(fēng)險(xiǎn)分析，在廢棄或替換系統(tǒng)組件時(shí)，能確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置，且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理，并且能確保系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。

　　2信息系統(tǒng)的安全風(fēng)險(xiǎn)及影響

　　系統(tǒng)的安全風(fēng)險(xiǎn)在信息系統(tǒng)生命周期的各個(gè)階段都存在，在系統(tǒng)規(guī)劃和啟動(dòng)，如果未對(duì)系統(tǒng)進(jìn)行全面的安全方案設(shè)計(jì)及詳細(xì)方案設(shè)計(jì)，從系統(tǒng)的數(shù)據(jù)安全及功能服務(wù)進(jìn)行統(tǒng)籌考慮分析，可能導(dǎo)致系統(tǒng)在設(shè)計(jì)上存在安全隱患及漏洞，可能在系統(tǒng)投入運(yùn)行之后暴露出各種風(fēng)險(xiǎn)或問題，如設(shè)備性能的不合理配置、系統(tǒng)功能的不合理設(shè)置、數(shù)據(jù)庫表結(jié)構(gòu)的不合理設(shè)計(jì)等都可能導(dǎo)致系統(tǒng)出現(xiàn)響應(yīng)緩慢、數(shù)據(jù)出錯(cuò)等問題。在設(shè)計(jì)開發(fā)或采購階段，如果不按照當(dāng)初的規(guī)劃及需求開展系統(tǒng)設(shè)計(jì)開發(fā)或采購，存在隨意變更修改等行為，將導(dǎo)致系統(tǒng)的功能等無法滿足當(dāng)初的設(shè)計(jì)需求或規(guī)劃，或因?yàn)榉桨傅牟缓侠碜兏鼘?dǎo)致系統(tǒng)無法滿足原有的功能需求，從而給系統(tǒng)維護(hù)及使用者帶來更多的不穩(wěn)定因素。在集成實(shí)現(xiàn)階段，如果不按照已審定并允許實(shí)施的方案進(jìn)行系統(tǒng)建設(shè)，可能導(dǎo)致系統(tǒng)的功能及性能造成偏差，或者帶來人力、財(cái)力或物力上的浪費(fèi)及損失。

　　同時(shí)未按方案進(jìn)行建設(shè)，可能導(dǎo)致系統(tǒng)存在未知的安全漏洞或隱患，給系統(tǒng)的使用造成潛在的安全影響。在運(yùn)行和維護(hù)階段，如果未按照管理規(guī)定或操作使用說明書對(duì)系統(tǒng)軟硬件進(jìn)行維護(hù)使用，將容易對(duì)系統(tǒng)硬件設(shè)備設(shè)施造成損壞，同時(shí)造成系統(tǒng)被攻擊破壞等風(fēng)險(xiǎn)。如設(shè)備的開關(guān)機(jī)、日常維護(hù)等未按規(guī)定進(jìn)行操作，導(dǎo)致設(shè)備易損壞，影響設(shè)備使用壽命。如系統(tǒng)軟件的使用、升級(jí)更新等未按各安全管理制度進(jìn)行落實(shí)，導(dǎo)致系統(tǒng)易被攻擊，易被非授權(quán)使用等。在廢棄階段，如果未按照相關(guān)要求對(duì)系統(tǒng)軟硬件進(jìn)行處理，可能導(dǎo)致設(shè)備或系統(tǒng)中的重要或敏感數(shù)據(jù)泄露，可能給系統(tǒng)維護(hù)或使用者帶來嚴(yán)重影響，如果有些敏感數(shù)據(jù)被惡意向社會(huì)公開或泄露，可能帶來社會(huì)的不良影響。

　　如上所述，安全風(fēng)險(xiǎn)在信息系統(tǒng)的整個(gè)生命周期中都存在，在各個(gè)階段所存在的安全風(fēng)險(xiǎn)也不盡相同，因此造成的影響也根據(jù)系統(tǒng)特性的不同、系統(tǒng)周期的不同而有所區(qū)別。在《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)中根據(jù)信息系統(tǒng)安全保護(hù)能力的不同劃分了5個(gè)等級(jí)，分別為用戶自主保護(hù)級(jí)、系統(tǒng)審計(jì)保護(hù)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)及訪問驗(yàn)證保護(hù)級(jí)。每個(gè)級(jí)別所需達(dá)到的安全防護(hù)能力也各不相同，用戶可根據(jù)系統(tǒng)的重要程度采取不同的安全防護(hù)能力。對(duì)應(yīng)這個(gè)系統(tǒng)的等級(jí)劃分準(zhǔn)則，在《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008)中根據(jù)系統(tǒng)受到破壞時(shí)侵害的客體(國家安全、社會(huì)秩序/公共利益、公民/法人和其他組織的合法權(quán)益)和對(duì)客體造成侵害的程度(特別嚴(yán)重?fù)p害、嚴(yán)重?fù)p害、一般損害)，從數(shù)據(jù)安全及服務(wù)安全兩方面將系統(tǒng)進(jìn)行了5級(jí)劃分，從一級(jí)到五級(jí)逐級(jí)遞增。

　　同時(shí)在《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008)已對(duì)這些的影響進(jìn)行了系統(tǒng)的描述，如在國家安全層面的影響包括影響國家政權(quán)穩(wěn)固和國防實(shí)力，影響國家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定，影響國家對(duì)外活動(dòng)中的政治、經(jīng)濟(jì)利益，影響國家經(jīng)濟(jì)競爭力和科技實(shí)力等;在社會(huì)秩序?qū)用娴挠绊懓�括影響國家機(jī)關(guān)社會(huì)管理和公共服務(wù)的工作秩序，影響各種類型的經(jīng)濟(jì)活動(dòng)秩序，影響各行業(yè)的科研、生產(chǎn)秩序等;在公共利益層面的影響包括影響社會(huì)成員使用公共設(shè)施，影響社會(huì)成員獲取公開信息資源，影響社會(huì)成員接受公共服務(wù)等;在公民、法人和其他組織的合法權(quán)益層面的影響包括影響法律確認(rèn)的并受法律保護(hù)的公民、法人和其他組織所享有的一定的社會(huì)權(quán)利和利益。

　　3信息系統(tǒng)安全防護(hù)

　　信息系統(tǒng)在使用過程中存在著各種網(wǎng)絡(luò)攻擊、信息泄露等風(fēng)險(xiǎn)，如用戶標(biāo)識(shí)截取、偽裝、重放攻擊、數(shù)據(jù)截取、非法使用、病毒、拒絕服務(wù)、數(shù)據(jù)庫文件丟失、系統(tǒng)損壞、系統(tǒng)源文件泄露、管理賬戶口令暴漏、惡意代碼攻擊等。針對(duì)信息系統(tǒng)存在的這些風(fēng)險(xiǎn)，我們應(yīng)采取各種防護(hù)及加固措施將風(fēng)險(xiǎn)控制在可控范圍內(nèi)，為系統(tǒng)的安全穩(wěn)定運(yùn)行提供保障。在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)中根據(jù)《定級(jí)指南》中的系統(tǒng)級(jí)別，明確了各級(jí)別系統(tǒng)滿足相應(yīng)等級(jí)安全要求的基本條款。

　　在《基本要求》中，從人防、物防、技防、制防等方面對(duì)系統(tǒng)的運(yùn)行維護(hù)提供了參考標(biāo)準(zhǔn)，基本涵蓋了系統(tǒng)的整個(gè)生命周期。為保障系統(tǒng)的安全穩(wěn)定運(yùn)行使用，主要包括技術(shù)和管理兩方面。在技術(shù)層面，主要包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等;在管理層面，主要包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等。結(jié)合這兩方面內(nèi)容，我們可從人防、物防、技防、制防等方面對(duì)系統(tǒng)進(jìn)行安全防護(hù)及加固。人防，在系統(tǒng)的整個(gè)生命周期中，人起著最重要的作用，也是最核心的一個(gè)因素。

　　①人要具備相應(yīng)的技術(shù)技能，在系統(tǒng)整個(gè)過程中解決處理發(fā)生的各種情況，充足的理論知識(shí)結(jié)合豐富的處理能力，能給系統(tǒng)的穩(wěn)定運(yùn)行帶來事半功倍的效果。②人在系統(tǒng)的運(yùn)維過程中，需嚴(yán)格按照相關(guān)的規(guī)章制度進(jìn)行操作，并能生成各類記錄，同時(shí)重大的操作需有詳細(xì)的操作方案或步驟及回退措施，且方案需通過審定確認(rèn)。③對(duì)運(yùn)維人員的管理及培訓(xùn)，各重要信息運(yùn)維人員需簽署保密協(xié)議及安全責(zé)任書，并定期或不定期得開展各類培訓(xùn)以提高技術(shù)技能，從而滿足系統(tǒng)的維護(hù)需要。

　　在此，還有一個(gè)重要的先決條件，就是單位的負(fù)責(zé)人要對(duì)系統(tǒng)的安全重視，能支持各崗位工作人員的工作，把信息安全當(dāng)作一件重大事情對(duì)待。只有領(lǐng)導(dǎo)的充分重視與關(guān)注，各人員的工作才能得到充分得支持，才能更有利得維護(hù)系統(tǒng)安全穩(wěn)定運(yùn)行。物防，信息系統(tǒng)的運(yùn)行離不開各種軟硬件設(shè)施設(shè)備，從基礎(chǔ)的機(jī)房設(shè)施設(shè)備，到網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、應(yīng)用軟件及各種輔助軟件、線路線纜等。

　　因此一個(gè)完整的運(yùn)行環(huán)境是系統(tǒng)得以穩(wěn)定運(yùn)行的大提前，機(jī)房的設(shè)計(jì)及建設(shè)可根據(jù)系統(tǒng)的需求按照國家的機(jī)房建設(shè)標(biāo)準(zhǔn)進(jìn)行建設(shè)。網(wǎng)絡(luò)及設(shè)備的部署需采用冗余方式進(jìn)行落實(shí)，提供設(shè)備及線路的硬件冗余，同時(shí)需配備各類相應(yīng)的安全防護(hù)設(shè)備及軟件，從防火墻、WAF、IDS/IPS、防毒墻、惡意代碼防范軟件、機(jī)房監(jiān)控平臺(tái)、網(wǎng)絡(luò)主機(jī)監(jiān)控平臺(tái)等。一定需求的軟硬件產(chǎn)品部署能給系統(tǒng)保駕護(hù)航，能滿足系統(tǒng)的穩(wěn)定運(yùn)行。

　　信息系統(tǒng)的安全穩(wěn)定運(yùn)行離不開各設(shè)備的支持，“巧婦難為無米之炊”，如果沒有合理的設(shè)備配置，再好的管理和技術(shù)也無法保障系統(tǒng)的安全穩(wěn)定運(yùn)行。技防，設(shè)備的投入需要合理的安全策略部署，才能起到安全防護(hù)作用。因此在配備了相應(yīng)安全設(shè)備的同時(shí)，我們需要根據(jù)系統(tǒng)的需求設(shè)置合理的安全策略，如合理的訪問控制策略、路由策略、升級(jí)更新策略、惡意代碼查殺策略、數(shù)據(jù)備份策略、安全訪問規(guī)則等。策略結(jié)合設(shè)備才能起到關(guān)鍵的防護(hù)作用，給系統(tǒng)的穩(wěn)定運(yùn)行提供保障。同時(shí)策略要結(jié)合系統(tǒng)運(yùn)行的環(huán)境及情況進(jìn)行設(shè)置，包括網(wǎng)絡(luò)環(huán)境、使用環(huán)境等。如網(wǎng)絡(luò)出入的流量及帶寬限制要考慮系統(tǒng)的日常訪問量及網(wǎng)絡(luò)的帶寬等。最合理的策略才是最重要的，要系統(tǒng)的應(yīng)用與安全相結(jié)合，應(yīng)能保證系統(tǒng)即可用又安全。

　　在當(dāng)前現(xiàn)狀下，各種網(wǎng)絡(luò)攻擊防不勝防，只要我們能結(jié)合各安全設(shè)備，充分利用各設(shè)備的安全防護(hù)能力，遵循最小授權(quán)原則、最小服務(wù)原則，關(guān)閉多余的服務(wù)和端口，設(shè)置合理的安全策略，就能將安全風(fēng)險(xiǎn)降到最低，保持在可控范圍內(nèi)。制防，沒有規(guī)矩不成方圓，信息安全管理制度的制定及完善是系統(tǒng)穩(wěn)定運(yùn)行的一道關(guān)口。我們的操作行為應(yīng)嚴(yán)格按照相關(guān)制度及規(guī)章規(guī)程執(zhí)行。因此制度的合理及可執(zhí)行將顯得尤其重要。在整個(gè)制度體系中，應(yīng)建立由信息安全方針策略、安全管理制度及操作規(guī)章規(guī)程構(gòu)成的體系化的制度。各方針策略、制度及操作規(guī)章規(guī)程需由相關(guān)負(fù)責(zé)人員討論審定通過，并通過PDCA循環(huán)不斷得修訂及完善，應(yīng)保證整個(gè)體系文件適用系統(tǒng)的運(yùn)行維護(hù)需求。一旦制度確定落實(shí)，各人員將必須嚴(yán)格遵從執(zhí)行。

　　通過制度管理人的方式將我們的運(yùn)維工作規(guī)范落實(shí)，以防工作人員按各自處事習(xí)慣進(jìn)行運(yùn)維工作，給系統(tǒng)帶來不確定的隱患。一套完整的適用的制度是需要通過幾年實(shí)踐才逐步完善的，只有適用的、真正落實(shí)到地的制度才能給系統(tǒng)的安全穩(wěn)定運(yùn)行帶來保障，制度不應(yīng)停留于紙面，用于對(duì)付各類檢查。只有將制度真正貫穿在整個(gè)系統(tǒng)管理過程中，才能真正看到制度所帶得的真實(shí)意義所在。在人防、物防、技防、制防中，各個(gè)環(huán)節(jié)是相輔相成的，彼此穿插，從制度落實(shí)，由人將設(shè)備及技術(shù)相結(jié)合，以保證系統(tǒng)的穩(wěn)定運(yùn)行，降低安全風(fēng)險(xiǎn)系數(shù)，讓風(fēng)險(xiǎn)在可控范圍之內(nèi)。

　　4結(jié)束語

　　信息系統(tǒng)的安全風(fēng)險(xiǎn)是客觀存在的，只要我們做好風(fēng)險(xiǎn)的控制，就能確保系統(tǒng)穩(wěn)定安全的運(yùn)行。本文針對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行了描述分析，并結(jié)合風(fēng)險(xiǎn)提出了安全防護(hù)的描述，通過人防、物防、技防、制防等方式加強(qiáng)系統(tǒng)的穩(wěn)定運(yùn)行，希望各信息系統(tǒng)能更安全穩(wěn)定的運(yùn)行，同時(shí)給我們的生活、工作及學(xué)習(xí)帶來更多的便捷及享受。

　　參考文獻(xiàn)

　　[1]《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T20984-2007)[S].

　　[2]《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB17859-1999)[S].

　　[3]《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T22240-2008)[S].

　　[4]《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239-2008)[S].

【信息系統(tǒng)風(fēng)險(xiǎn)分析與安全防護(hù)研究】相關(guān)文章：

企業(yè)內(nèi)控管理及資金風(fēng)險(xiǎn)把控研究分析08-04

企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)成分析研究08-04

從大壩設(shè)計(jì)和風(fēng)險(xiǎn)分析看大壩安全論文08-13

文化創(chuàng)意產(chǎn)業(yè)的風(fēng)險(xiǎn)投資分析09-23

高速鐵路電務(wù)人員上道作業(yè)及勞動(dòng)安全風(fēng)險(xiǎn)點(diǎn)研究08-14

高校計(jì)算機(jī)網(wǎng)絡(luò)安全問題及其防護(hù)措施的研究05-29

關(guān)于核電項(xiàng)目現(xiàn)場施工風(fēng)險(xiǎn)分析及應(yīng)對(duì)08-13

股票技術(shù)分析系統(tǒng)的研究與實(shí)現(xiàn)05-08

中藥調(diào)劑的問題分析研究論文06-22

跳水訓(xùn)練中形體訓(xùn)練的研究分析05-18