信息安全的風險與防衛對策研究

來源:用戶上傳      作者:

　　【摘要】隨著經濟的全球化和信息技術的迅猛發展，信息系統在各個領域應用的日益廣泛，整個社會對與信息系統的依賴性也與日劇增，對于信息系統的安全問題的研究具有十分重要的意義。
　　【關鍵詞】信息安全;風險;防衛對策
　　引言
　　目前，隨著經濟的不斷發展和科技的不斷進步，人類生活在一個嶄新的全球化信息時代，信息技術已經在各個領取得到了十分廣泛的應用。然而，人們在享受信息帶來的巨大便利的同時，也承受著信息影響和控制。信息的支撐社會經濟生活的重要戰略資源之一，是一個國家各領域活動開展的前提條件。隨著社會發展人們對信息和信息系統的依賴程度越來越高，電力、電信、交通等和國計民生具有密切關系的主要信息系統在受到傳統的物理性破壞的同時又面臨新興的虛擬化的攻擊，信息系統的安全正面臨著巨大的威脅。信息系統隨時面臨遭受到有意或者無意的破壞，對人們的財產安全和生命安全造成了巨大的威脅，甚至會對整個國家的安全造成危害。信息系統的安全問題已經成為關系國家安全的戰略性問題，受到世界范圍內的高度重視。
　　如今，我國信息安全正面臨著十分嚴峻的考驗，加強維護國家信息安全具有十分重要的意義。國外敵對勢力對我國重要信息系統的滲透和顛覆活動從未停止并且日趨嚴重;國內外反動勢力在國外敵對勢力的支持下，對重要信息系統不斷的進行攻擊和破壞;我國的網絡違法犯罪率迅速升高，網絡竊密現象較為普遍，計算機病毒傳播和網絡非法入侵的情況十分嚴重，犯罪分子利用信息系統的安全漏洞進行違法犯罪活動，給用戶的財產和安全造成嚴重的，由此引發了一系列的社會問題;對于信息系統安全管理不合理，安全措施不完善，經常會發生信息系統運行事故，信息系統風險已經成為一個亟待解決的問題。
　　1相關理論基礎
　　1.1信息安全的含義和目標
　　信息安全是指信息網絡的硬件、軟件和系統中的數據受到保護，不會由于偶然的或者惡意的原因而遭到破壞、更改或者泄露，可以保證系統連續、可靠、正常的運行，并且信息服務不中斷。信息安全要實現的目標主要有以下七個方面：（1）保密性;（2）完整性;（3）可用性;（4）真實性;（5）不可抵賴性;（6）可審查性;（7）可控制性。
　　1.2風險和信息風險的含義
　　通常情況下，風險的是指損失的不確定性。這種不確定性的范圍包括風險是否發生、發生時間、發生過程、發生結果等的不確定。因為不同的學者對與風險的理解和認識程度存在較大的差別，對風險的研究的角度也不盡相同，他們對風險概念有著不同的解釋，因此，從理論角度對風險下一個科學的定義具有較大的難度，但可以歸納為以下三種代表性觀點 （l）風險是指損失發生的不確定性;（2）風險是指損失的大小和產生風險的可能性;（3）風險是在風險構成要素相互作用下形成的。
　　在信息安全中的風險是指安全風險。信息安全風險是指由于人或者自然的威脅利用信息系統及其管理體系中存在的薄弱點，導致信息安全事件發生的可能性及其對組織活動和所屬資產造成影響的結合。概括起來說，信息安全風險是指信息系統安全事件發生的可能性及其發生后所帶來的影響，事件發生的可能性越大，信息風險就越高;財產受到的影響與損失越大，風險也就越高。
　　2信息安全風險的防衛對策
　　2.1信息系統動態風險管理模型與對策
　?。?）基于態勢評估的風險防衛對策
　　對于安全態勢值的計算是實時的，也能起到實時監控的作用。通過評估己經可以得到過去和當前的信息系統安全狀況，可以給信息系統管理者預警。通過建立基于灰色理論的風險態勢評估模型，并且借以對系統的未來行為進行預測與評估。這些使得信息系統管理員可以明確獲知信息系統攻擊的威脅程度，對信息系統安全狀態有一個清晰的把握，從而對信息系統現實的情況進行相應的防為和控制。
　?。?）基于ART-BP神經網絡的模糊專家系統風險防衛對策
　　為適應網絡規模的不斷擴大和網絡復雜性的不斷增加，需要引入專家系統與神經網絡等有效手段，來提高動態風險管理的智能化水平，增強管理自動化程度。因為模糊邏輯與神經網絡相結合的方法具有明顯的優點，考慮到專家系統進一步發展的需要和網絡管理專家系統的具體特點，本文提出了一種提高動態風險管理水平的方案，采用自適應諧振理論ART與BP神經網絡相結合的ART-BP混合神經網絡，建立起基于ART-BP神經網絡的動態風險管理模型。充分利用其在處理不確定性知識和模糊神經網絡在模糊推理、自動學習和并行處理等方面的優點，進而克服傳統專家系統的缺點。
　　2.2信息系統人因失誤風險防衛對策
　　（1）建立完善的管理制度
　　完善的管理制度是做好一切工作的前提條件，也是實現管理工作制度化、規范化的基礎。完善的管理制度要具有很強的可操作性，可以最大限度地調動人的積極性，引導人自覺的遵守相關的制度。
　　（2）加強組織文化的建設
　　組織文化是指組織經過長時間的管理和運作對員工的精神層面產生影響并通過員工的個人行為所表現出來的文化現象，組織文化是組織活動創造的生產及勞動保護的觀念、行為、意識、環境、物態條件的總和。組織文化主要包括安全文化、個人對安全的意識和態度和領導層對安全的態度等三個方面。
　　（3）加強安全教育與培訓
　　我們應該通過安全教育和培訓使人員自覺遵守安全法規，提高安全意識，養成嚴謹的工作作風，提高對于危險事故的判斷和處理能力，進而有效減少由于人為原因所產生的失誤。要加強對于信息安全知識的宣傳，進而營造出一個良好的信息安全管理環境。安全教育主要包括以下四個方面：（1）加強安全意識的教育;（2）加強安全培訓;（3）培養人員的安全習慣;（4）自主安全管理。
　　2.3信息系統安全管理體系的建設的對策
　　從目前信息系統的安全實踐的角度來看，在信息系統方面存在很多潛在的風險。這些潛在的風險屬于信息安全管理的問題。進行信息系統風險評估能夠有效識別需要保護的對象，明確了保護對象，就會保護對象的特點和屬性等內容進行分析，分析保護對象在管理和技術等方面存在的不足，在此基礎之上有針對性地選擇控制措施來防衛具體的風險，特別是對于管理方面的不足，可以通過制定相應的策略和程序來進行防范和控制，這解決信息系統中存在的信息安全問題具有十分重大的意義。
　　3結束語
　　本文對信息安全和信息風險的含義進行了分析，在此基礎上針對信息安全風險的防衛問題提出了幾點行之有效的對策，對信息安全風險的保障具有一定的指導意義。
　　參考文獻
　　[1] 曹陽.基于三視圖框架的分布式信息系統體系結構研究.國防科技大學學位論文.2002.10.
　　[2] 蔡衛.信息系統安全管理中魚待解決的若干問題.信息安全與通信保密.2002NQ7：19-21.
　　[3] AndersonRJ.信息安全工程.蔣佳北京：機械工業出版社.2003：2-8.
　　[4] 沈昌祥.信息安全工程導論.北京：電子工業出版社.2003：1-53.
　　[5] 中國信息安全產品測評認證中心.信息安全工程與管理.北京：人民郵電出版社，2003：l，3451-69.
轉載注明來源:http://www.hailuomaifang.com/1/view-14919401.htm