企业信息安全风险控制研究综述.docx

《企业信息安全风险控制研究综述.docx》由会员分享，可在线阅读，更多相关《企业信息安全风险控制研究综述.docx（6页珍藏版）》请在第一文库网上搜索。

1、企业信息安全风险控制研究综述1.1 研究背景及意义1.1.1 研究背景在全球信息化发展进程中，信息技术逐步发展成为促进社会发展的重要动力和全球经济增长的主导因素之一。尤其是以因特网为主要代表的相关信息技术迅速在全球范围内普及并被应用，一方面对人们的生活、工作方式和学习产生很大程度的影响，另一方面使国家军事、经济、政治甚至整个社会越来越依赖于基本的信息系统。然而信息系统的易破坏性将会直接威胁到国家重要的基础设施，信息系统的相关风险性一方面对信息利用的有效性有一定的制约作用，另一方面可能对国家安全、国防安全、经济安全构成相应的威胁，。这一切都表现出信息系统方面的安全问题已成为构成国家安全的重要元素

2、之一，保障了可持续发展和社会信息化的实现。信息系统的安全性是民族与国家的发展的重要保障。信息系统的安全性对于一个国家和民族而言，己经成为了重要的战略目标。对于一个企业而言，信息资源每时每刻都支撑着企业的正常运作，包括知识产权、各种重要数据、信息处理设施、关键人员等。不单单是自身的内部信息，企业还需要各方面的相关信息，如合作伙伴、客户、员工等的信息资料和相关数据，特别是一些服务性组织，如银行、证券公司、电信运营商、保险公司、咨询机构等。信息以及信息支撑运行的系统、网络已经成为了企业的生存和发展不可或缺的重要资产。所以，企业信息安全是企业能够持续运转的基石。1.1.2 研究意义企业信息安全风险问题

3、是企业面临的一个新挑战，尽管信息安全风险在企业中存在普遍性，但是仍然可以针对企业信息安全的风险特点，从技术和管理等方面寻找有关解决手段控制信息安全风险，这是目前企业比较明智的选择。然而，信息安全方面威胁的高难度迫使相关企业解决相关信息安全方面风险威胁时有两种可选方式：重点防范；同时将难以处理的发生性高、处理难度大的信息安全问题作为重点。企业在面对信息安全风险时寻求保障对策，所面临的问题是在资源稀缺有限的条件下进行最优化决策：超强度的防范，可能导致人力财力物力资源的浪费或者使得可用性和系统性能下降；防范不够会导致信息安全失效。针对企业信息安全风险的新特征和信息方面的安全问题的迫切性，许多著名人士

4、纷纷提出新范式以对企业信息方面安全问题的解决进行相关研究。反思信息风险发展历程，能够深刻地了解人类在信息风险概念以及了解程度上的转变进程：较早时期的信息化时代，人们更加注重对数据、软件和硬件可能发生的物理损害的预防；自从出现电子通信以后，逐步形成了相关通信安全理念以保证信息的可用性、完整性和机密性。后来制造了电子计算机，通信安全思想慢慢占据重要地位；相关计算机技术逐渐得到改善将通信与网络相结合。网络安全与通信安全概念逐步融为一体，形成“预防意图超范围访问、泄露、改变或者破坏相关计算机信息”的一系列计算机安全思想。随着通信网络的日益成熟，进一步拓展了信息安全的内涵本质，形成了安全无风险的运行理念

5、，主要目的是确保系统信息资源的正确性和安全性以及系统整体的结构，同时保证运行程序时严格根据相关的要求，从而确保整个系统信息资源、计算机网络和访问者之间正常的关系。具有较完备的信息基本设施和较高信息化程度的美国，在20世纪90年代正式给出了企业信息安全风险控制的概念，促使信息安全无风险的理念转变为“以预防、测试和作出相关反应的能力提升来保证信息系统的不可否认性、可鉴别性、完整性和可用性的全面系统保障阶段”。如果企业的信息安全风险控制仍以风险避免作为保证决策安全性的关键点，那么所谓的信息安全风险相应转变成“0”与“1”之间的一系列问题，之所以是如此改变,是由于风险安全问题的解决最终结果包括两方面：

6、要不彻底清除风险，要不变成另外一种情况一未完全清除。但是在当分散的、系统复杂独特的结构条件下，不管采取的信息风险规避手段如何有效，都不能完全确保系统的安全，整个过程总会出现一些问题，因此信息系统的安全性不能依赖于风险消除的彻底性，比较合适的方式是在信息风险问题预防过程中引进以风险为基础的安全思想，密切关注信息系统可能出现的风险以及寻找相应的解决措施。信息安全控制不能保证系统完全无风险，经常出现例如黑客采用不正当手段获取相关的权限损坏乃至破坏系统安全性能，然而这种方法是将威胁出现次数以及引发的一系列后果控制在可预防和可解决界限之内。因此风险控制主要表现了采用动态手段管理信息系统安全风险相对比较连

7、续全面的过程，可达到集合一系列风险预防方式的终极目标，是为了通过相关安全计划的制定降低系统的风险程度，使风险可控制，并不是彻底消除威胁。在进行风险控制的前提下，信息安全不可能达到完全无风险的目标，然而需要确保各类要求是否能够满足，为系统安全性奠定基础；信息威胁不可能完全避免，然而需要确保风险出现时能够有相应的解决措施,最终管理和限制在可接受范围之内。与此同时，信息安全风险不再是企业被动地和响应性地接受风险和威胁，取而代之的是进行前瞻性地和主动地管理控制，进而很大程度地、较快地避免风险的发生，另外选择主动出击的方式达到预防风险的目的。1.2 国内外研究现状1.2.1 国内研究进展一般普遍认为信息

8、系统类的风险控制应针对全部可能存在的风险因素，在整个系统开发过程中动态的、连续不断的识别和跟踪风险的变化，并在考虑成本及收益的基础上有选择的采取相应措施，成为一项常规性的管理活动。有针对集团系统的，有针对部门系统的，近期也有关注维护相关系统软件过程步骤的，认为系统软件维护在系统运营过程中面临着很大程度的相异性，在进行系统软件维护过程中引发更加频繁的风险，其来源也相对更多。风险控制是指企业根据风险评估结果选择实施合适的安全措施，风险控制的基本目标是将风险控制在组织可以接受的范围内，达到减少信息安全意外事件的发生、降低堤外事件发生后的扩散影响的目的1。信息安全管理国际标准I0S27000系列分别在

9、I0S27001的附录A和I0S27002的正文中给出了风险控制的11个控制域、39个安全类别、133个控制要素（对应于133项控制措施）的描述2。2010年，黄水清和任妮根据数字图书馆自身的特点和现实需要，以IS027002的通用准则为标准，总结适合于数字图书馆信息安全管理的控制措施，帅选出数字图书馆信息安全核心控制要素与参考控制要素，从组织控制和信息控制两个方面对数字图书馆进行风险控制3。周新杰通过对战略信息管理风险控制提出的背景、概念与IT治理的关系以及IT治理四种模式进行了尝试性的阐述，对建立企业战略信息管理风险控制框架进行初步研究和探索402011年，田波等为解决航空公司信息安全风险

10、中的决策风险，建立了信息安全管理系统。他们分析了国内大中型航空公司信息安全存在的问题，建立了由信息分析、收集子系统，人工神经网络（ANN）子系统和李信息子系统构成的信息安全管理系统，并分析了信息风险控制体系所具备的相关功能作用。另外为了确保信息风险控制体系运行的安全性，根据有效规范和技术研究两部分建立了信息风险控制系统5。2008年，程建华、靖继鹏探讨了信息安全风险的宏观和微观结构特征，信息威胁微观系统主要由、包括资源威胁、业务是否连续、使用威胁、设备威胁，、第三方威胁和威胁控制有效性六个部分，同时明确提出应用威胁检测所得到的最终结果是威胁管理控制以及解决方式选择的重要依据，也是系统安全的整体

11、方向的理念6o国航是第一个荣获国家信息安全许可证的企业，从获得认可年限开始在信息风险管理控制方面注入了大量资金以及人力，将整个企业不同部门信息风险威胁纳入考虑范围，根据企业高层工作人员所说，信息风险控制管理在企业发展过程中发挥越来越重要的作用7o2008年，任伟指出，信息资产是相关钢铁业的重要资产。因此如果企业面临的重大问题之一为信息安全风险难以控制，那么按照钢铁公司信息以及组织系统的构造方式，以信息安全风险控制以及评估理论为依据，提出了集成管理与技术的多级控制信息安全风险的系统框架，为对信息安全风险进行管理提供了支持8。2009年，王浩和顾志伟阐述了建立地区级供电企业计算机网络信息安全风险检

12、测评估模型的重要性，并通过研究国内外风险评估及信息安全理论，论述了一种以业务系统为主导的，结合相关的等级保护制度、信息安全管理系统、国家级电网公司有关总体防护的计划方案，对供电企业的计算机网络信息安全风险检测评估模型十分适用。通过对浙江省部分地区电力局的风险检测评估，详细介绍了该模型的系统全面的实施过程。2008年，张琨分析了信息化发展到一定阶段,发电企业所面临的信息安全问题,提出了改进企业信息安全风险的状态，防范信息风险,提升信息系统安全保护等级的技术控制策略和管理控制策略。102008年，马国庆、李伟按照信息安全管理相关标准的规定要求提出了构建电力企业计算机网络信息安全风险检测评估指标系统

13、,采用燧权法明确评价指标权重，同时将其设置为BP网络输入的初始指标权重,构建了BP网络计算机网络信息安全风险检测评估模型,根据仿真结果表示,评价结果相对比较令人满意。112007年，王桢珍等研究信息安全问题管理的两个重要方面，风险评估和风险控制，文中阐述了信息化安全风险管理的概念和通用的国际标准，介绍了目前在风险评估和风险控制领域的主要方法和需要进一步研究的方向。122010年，王军英和马国青分析了企业所勉励的信息安全风险，从管理和技术等方面提出了相应的对策。13企业自从建立了信息安全风险体系之后,信息化程度日益增加,信息系统在企业日常经济业务往来中发挥日益重要的作用，随之而来的是信息安全的防

14、护，由于网络的开放性导致企业信息会存在不同程度的安全风险,如何有效的实现风险防控,保证网络基础设施与信息系统的安全、可靠运行是每一个大型企业都要面临的考验,2012年，王伟和唐骏结合大型企业面临的信息安全风险现状进行风险分析，进行了具有实践意义的信息安全风险防控研究。14在市场经济体制促进下，电网企业的信息安全管理体制迎来了新发展。2012年，蒋友志、阐述了ISO/IEC27001标准下电网企业信息安全风险内控管理需要的内容与体系，并通过某地级市的电网企业为研究对象，构建出科学合理的信息安全管理体系,对使用中出现的问题提出了合理建议。15随着计算机技术和网络技术的飞速发展，各种信息化技术在供电

15、企业中得到了广泛应用，而在信息化水平日益提高的情况下,信息系统安全却成了供电企业最为担心的问题。2012年，段鹏飞根据当前供电行业信息系统安全现状,分析了电力信息系统的风险,并在此基础上提出了相应的对策建议。162008年，刘莹和顾卫东介绍了风险评估的理论基础、评估模型、发展历程等相关基础理论，通过对各国在信息安全风险检测评估方面的相关技术发展情况进行一系列比较，对可进行信息安全风险检测评估的工具和方法进行了研究。相关研究表明，我国在计算机网络信息安全风险检测评估领域，仍然存在评估方法可处理性差、评估标准相对不规范等问题。因此我国应充分认识理解并借鉴国外相对较成熟的评估经验，按照完整系统的国际

16、标准体术对我国风险检测评估标准进行完善，采用最新的OCTAVE模型框架改善现有的风险检测评估方法。171.2.2国外研究进展除了美国和英国较为类似以外，国家和地区的不同导致研究偏向程度的不同。英国注重于建立相应的应用规范，并且称之为模型，但是对传统常规的数理方法的引用不太看重。然而北欧相对比较重视在软件风险安全管理中引入组织理论和决策理论等有关理论，同时认为注重特定任务的实施方法会发生错误的指示，由于应用环境的相异性，所以开始时必须把运行环境、系统环境和组织环境作为着手点。然而在我国较为注重对数理方法的应用。Neghina.D(2013)认为网络攻击可以显著影响一个组织的IT环境,导致严重的运营中断,从简单的破坏性的第一层的IT安全到身份盗窃,数据泄漏,打破网络。此外,通过电流的网络攻击危险行为影响组织呈现出的发展趋势更迅速,决策者可以评估他们，寻找对策。因为网络威胁是有点新这样的重要来源,风险