黃杰生

（廣州奧格智能科技有限公司，廣東 廣州 510663）

信息技術(shù)的發(fā)展，在根本上改變了傳統(tǒng)的生活形態(tài)和生產(chǎn)方式，但對于信息擁有者來說，信息資源又是最活躍和關(guān)鍵的因素，容易產(chǎn)生各種風(fēng)險(xiǎn)。目前信息系統(tǒng)建設(shè)得越來越復(fù)雜，而信息資源的安全又很難得到有效保障，因此，需要采用恰當(dāng)、科學(xué)的方式對信息安全風(fēng)險(xiǎn)進(jìn)行管理，確保信息處于安全的狀態(tài)。信息安全風(fēng)險(xiǎn)管理主要包括信息安全風(fēng)險(xiǎn)評估和信息安全風(fēng)險(xiǎn)控制兩方面。

1 信息安全風(fēng)險(xiǎn)評估

1.1 評估方法

為了全面掌握信息安全的風(fēng)險(xiǎn)程度，需要通過恰當(dāng)?shù)姆绞綄︼L(fēng)險(xiǎn)進(jìn)行識別評估。評估方法主要包括以下幾種：（1）模型分析法。根據(jù)應(yīng)用場景建立風(fēng)險(xiǎn)模型，并對實(shí)際環(huán)境信息進(jìn)行采集，然后將信息安全標(biāo)準(zhǔn)和實(shí)際情況進(jìn)行對比與分析，識別出風(fēng)險(xiǎn)隱患。（2）經(jīng)驗(yàn)分析法。在識別評估信息安全風(fēng)險(xiǎn)的過程中，可以通過經(jīng)驗(yàn)分析的方式找出風(fēng)險(xiǎn)隱患。此風(fēng)險(xiǎn)評估方式并不需要太多時(shí)間、精力和資源，僅需要在完成環(huán)境信息的采集以后，對其進(jìn)行集中分析，結(jié)合工作人員所積累的經(jīng)驗(yàn)找出風(fēng)險(xiǎn)點(diǎn)。（3）定量分析法。根據(jù)對數(shù)據(jù)對象分析所獲得的結(jié)果，對風(fēng)險(xiǎn)進(jìn)行評估，并將其轉(zhuǎn)化為財(cái)務(wù)風(fēng)險(xiǎn)分析、資產(chǎn)風(fēng)險(xiǎn)分析。采用這一方式能夠?yàn)樾畔碛姓咛峁└泳唧w、直觀的數(shù)字化結(jié)論，便于對風(fēng)險(xiǎn)程度的量化掌握，從而制定更加有效的治理措施。但是該方式較依賴主觀判斷，且計(jì)算方式較為復(fù)雜，目前并沒有形成標(biāo)準(zhǔn)統(tǒng)一的體系。

1.2 計(jì)算方法

在信息安全評估的過程中，對風(fēng)險(xiǎn)的量化計(jì)算是評估的主要手段，主要計(jì)算方式包括：（1）風(fēng)險(xiǎn)等級劃分。首先，分析各種風(fēng)險(xiǎn)對信息安全造成的具體影響，結(jié)合其造成破壞的程度實(shí)現(xiàn)劃分等級的目的；其次，根據(jù)風(fēng)險(xiǎn)的級別，對風(fēng)險(xiǎn)發(fā)生的概率進(jìn)行全面分析，并通過計(jì)算將風(fēng)險(xiǎn)影響值轉(zhuǎn)化為量化值；最后，根據(jù)量化值建立“信息資產(chǎn)—風(fēng)險(xiǎn)威脅—風(fēng)險(xiǎn)程度”之間的邏輯關(guān)系，全面掌握各種風(fēng)險(xiǎn)的具體影響程度。（2）風(fēng)險(xiǎn)結(jié)構(gòu)化分析法。首先，確定信息資產(chǎn)、業(yè)務(wù)流程中所包含的風(fēng)險(xiǎn)種類及其影響，然后以層次分析的方式生成各種風(fēng)險(xiǎn)的結(jié)構(gòu)化指標(biāo)。在結(jié)構(gòu)化分析的過程中，需要保證所有相關(guān)人員均參與其中，以提高分析結(jié)構(gòu)的客觀性、全面性和準(zhǔn)確性，但需要投入更多的資源和人力。與之相比，非結(jié)構(gòu)化風(fēng)險(xiǎn)的計(jì)算，工作量相對較少，且具有較強(qiáng)的靈活性，但風(fēng)險(xiǎn)評估的結(jié)果缺乏準(zhǔn)確性和全面性[1-2]。

1.3 信息安全風(fēng)險(xiǎn)模型化定位

信息安全風(fēng)險(xiǎn)管理對于數(shù)字化信息高效傳輸也非常重要，也是我國信息傳輸產(chǎn)業(yè)獲得更長遠(yuǎn)發(fā)展的保障。因此，除了加強(qiáng)信息系統(tǒng)的內(nèi)在安全性，也要做好對信息傳輸應(yīng)用環(huán)境風(fēng)險(xiǎn)模型化定位的進(jìn)一步解析。例如：在數(shù)字化程序信息傳輸?shù)幕A(chǔ)上，運(yùn)用大數(shù)據(jù)資源庫，形成信息傳輸三維坐標(biāo)定位分析結(jié)構(gòu)，結(jié)合遠(yuǎn)程信息控制體系，與數(shù)字化信息傳輸節(jié)點(diǎn)相連接，當(dāng)系統(tǒng)傳輸信息借助外部遠(yuǎn)程空間定位時(shí)，空間信號模型就能夠直接進(jìn)行信息傳輸?shù)娘L(fēng)險(xiǎn)性評估，保障主體部分信息傳輸?shù)陌踩浴＿@一信息安全風(fēng)險(xiǎn)模型化定位方式，是信息安全風(fēng)險(xiǎn)管理的有效措施。

2 信息安全風(fēng)險(xiǎn)控制

2.1 計(jì)算機(jī)系統(tǒng)安全防護(hù)

由于信息管理主要依賴計(jì)算機(jī)系統(tǒng)，為了實(shí)現(xiàn)有效的信息安全風(fēng)險(xiǎn)管理，需要針對計(jì)算機(jī)系統(tǒng)相關(guān)組件建立全面的安全防護(hù)措施，主要對象包括基礎(chǔ)設(shè)備、數(shù)據(jù)儲(chǔ)存、信息傳輸通道等。主要有以下幾種系統(tǒng)安全防護(hù)措施：（1）在計(jì)算機(jī)中設(shè)置安全防火墻，從而有效控制網(wǎng)絡(luò)訪問行為，通過此方式可以在很大程度上降低信息被非法訪問的可能性。（2）利用入侵檢測技術(shù)，計(jì)算機(jī)可以自動(dòng)監(jiān)控訪問者的行為動(dòng)態(tài)，一旦訪問者的操作不符合安全標(biāo)準(zhǔn)，或者存在越權(quán)的操作行為，計(jì)算機(jī)都會(huì)自動(dòng)對其屏蔽，避免信息泄露。（3）利用電子簽名與數(shù)據(jù)加密技術(shù)，可以在很大程度上避免信息被假冒偽造或被竊取。（4）采用嚴(yán)密的用戶認(rèn)證與權(quán)限控制的方式，降低系統(tǒng)被非法入侵的風(fēng)險(xiǎn)。（5）重視查毒技術(shù)和防毒軟件的應(yīng)用，應(yīng)及時(shí)對計(jì)算機(jī)系統(tǒng)進(jìn)行病毒查殺以及補(bǔ)丁升級，不斷增加計(jì)算機(jī)系統(tǒng)的健壯性。（6）重視數(shù)據(jù)的容災(zāi)備份，以合理的頻率和范圍對數(shù)據(jù)進(jìn)行備份，并應(yīng)該保證可以將數(shù)據(jù)無損地恢復(fù)至任意時(shí)間點(diǎn)。

2.2 基礎(chǔ)環(huán)境保護(hù)

基礎(chǔ)環(huán)境是導(dǎo)致信息安全風(fēng)險(xiǎn)的重要因素，應(yīng)采用恰當(dāng)?shù)姆绞竭M(jìn)行控制預(yù)防，其中以辦公場所、物理設(shè)備、通信網(wǎng)絡(luò)為主要控制對象。控制的方式主要包含以下幾點(diǎn)：（1）應(yīng)用門禁系統(tǒng)。通過該系統(tǒng)的應(yīng)用，加強(qiáng)對涉密人員的管理和權(quán)限控制。在此基礎(chǔ)上，還需要在內(nèi)部安裝監(jiān)控設(shè)備，主要將其置于服務(wù)器機(jī)房、辦公區(qū)域中，進(jìn)行實(shí)時(shí)的環(huán)境監(jiān)控。（2）對于物理設(shè)備而言，應(yīng)禁止服務(wù)器、涉密計(jì)算機(jī)等關(guān)鍵設(shè)備接入非涉密外掛設(shè)備，特別是可移動(dòng)存儲(chǔ)設(shè)備?？梢酝ㄟ^建立內(nèi)部涉密網(wǎng)絡(luò)的方式實(shí)現(xiàn)對涉密計(jì)算機(jī)的控制與管理，不僅能實(shí)現(xiàn)信息共享，還可以避免信息泄露或遭受破壞。內(nèi)部的涉密網(wǎng)絡(luò)與外部網(wǎng)絡(luò)必須嚴(yán)格分離。（3）對不同的網(wǎng)絡(luò)用戶進(jìn)行分組，如研發(fā)組、行政組、維護(hù)組等，根據(jù)分組之間的差異設(shè)置具體的網(wǎng)絡(luò)控制規(guī)則，并通過統(tǒng)一的網(wǎng)絡(luò)控制設(shè)備來控制不同分組的網(wǎng)絡(luò)社會(huì)。（4）對社交通信行為（如微信、QQ等）進(jìn)行必要的限制和過濾審查，避免內(nèi)部信息的泄露，提高信息保密性[3]。

另外，對于信息底層傳輸通道的安全風(fēng)險(xiǎn)管理，可以通過進(jìn)一步介入監(jiān)測信息傳輸渠道實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)控制。即對于通過傳輸渠道傳輸?shù)拇罅繑?shù)據(jù)信息，可通過本次傳輸信號對應(yīng)的安全保護(hù)代碼的監(jiān)測和控制，將數(shù)據(jù)傳輸圈定在安全范圍內(nèi)，當(dāng)安全保護(hù)代碼發(fā)現(xiàn)傳送到外部空間的信息數(shù)據(jù)內(nèi)容超越安全范圍時(shí)，系統(tǒng)就會(huì)阻止信息傳輸，避免信息傳輸風(fēng)險(xiǎn)。但我們進(jìn)行這種介入控制時(shí)，必須同時(shí)保證信息傳輸?shù)姆€(wěn)定性，然后再建立信息安全風(fēng)險(xiǎn)控制框架，否則，就會(huì)在信息傳輸期間，出現(xiàn)內(nèi)部信息互相干擾導(dǎo)致錯(cuò)亂的情況。此時(shí)，保護(hù)數(shù)據(jù)非但不會(huì)對原始信息起到安全防護(hù)的作用，反而會(huì)造成原始信息丟失。

2.3 動(dòng)態(tài)信息病毒審查系統(tǒng)

信息安全風(fēng)險(xiǎn)控制工作的有效實(shí)施，也需要加強(qiáng)對信息傳輸過程的動(dòng)態(tài)性特征的監(jiān)測控制。當(dāng)前，基于網(wǎng)絡(luò)平臺之上的信息安全防護(hù)管理工作，都是將本次傳輸?shù)男畔?，“固定”在某一時(shí)間點(diǎn)上，然后分段進(jìn)行信息傳輸?shù)陌踩Ｗo(hù)。但如果在網(wǎng)絡(luò)信息傳輸過程中有病毒入侵，只要侵入一個(gè)信息點(diǎn)，就會(huì)導(dǎo)致信息整體癱瘓。而使用動(dòng)態(tài)信息病毒審查系統(tǒng)，可以將傳統(tǒng)的節(jié)點(diǎn)分段式病毒防護(hù)方式轉(zhuǎn)化為動(dòng)態(tài)病毒審核方法，一旦審查系統(tǒng)在傳輸信息節(jié)點(diǎn)中發(fā)現(xiàn)病毒并發(fā)出警報(bào)信號，系統(tǒng)將終止本次信息傳輸，并將受感染的信息進(jìn)行集中銷毀，從而保障信息傳輸?shù)陌踩浴?/p>

2.4 完善管理機(jī)制

構(gòu)建完善的信息安全管理制度，并確保在工作中落實(shí)，真正起到監(jiān)督與規(guī)范工作人員行為的作用。在對相關(guān)人員的權(quán)限進(jìn)行設(shè)置時(shí)，需要全面深入進(jìn)行調(diào)研和規(guī)劃，包括不同角色可以訪問的信息類別和網(wǎng)絡(luò)區(qū)域。要注意對重要的機(jī)密信息進(jìn)行隔離和單獨(dú)管理；對于非機(jī)密的信息，可以結(jié)合工作人員的崗位實(shí)施授權(quán)管理的方式，有效提高信息的共享和可利用程度。還可以實(shí)行多人協(xié)同、互相監(jiān)督的管理方式，定期輪換信息管理崗位，避免集中管理所造成的風(fēng)險(xiǎn)。

另外，人員素質(zhì)能力是造成信息安全風(fēng)險(xiǎn)的重要因素之一，要注重培養(yǎng)工作人員的安全意識和安全管理能力，其重要性甚至超過對技術(shù)能力的要求。特別對于信息安全管理人員，更加要注重加強(qiáng)培養(yǎng)和監(jiān)督，并應(yīng)具備如下能力：（1）信息安全管理人員需要具有較強(qiáng)的權(quán)威，并能夠在發(fā)生信息安全風(fēng)險(xiǎn)時(shí)及時(shí)制定應(yīng)對措施，即需要具備足夠的安全工作能力。（2）信息安全管理人員應(yīng)該掌握、熟悉業(yè)務(wù)流程，能夠主動(dòng)及時(shí)發(fā)現(xiàn)信息安全隱患，并優(yōu)化信息管理工作。（3）信息安全負(fù)責(zé)人要明確自身的職責(zé)，并能夠結(jié)合實(shí)際現(xiàn)狀制定、調(diào)整信息安全管理策略，以身作則在實(shí)際工作中進(jìn)行落實(shí)，并嚴(yán)格指導(dǎo)和規(guī)范他人的信息安全管理工作。

3 結(jié)語

綜上所述，信息資源對于信息擁有者的發(fā)展至關(guān)重要，一旦發(fā)生安全風(fēng)險(xiǎn)將帶來不可估量的損失。因此信息安全管理人員應(yīng)重視安全風(fēng)險(xiǎn)管理，并采取全面可行的策略和方法，對風(fēng)險(xiǎn)進(jìn)行預(yù)先評估，避免風(fēng)險(xiǎn)的發(fā)生，同時(shí)也要建立完善和周密的風(fēng)險(xiǎn)控制和應(yīng)對措施，在風(fēng)險(xiǎn)真實(shí)發(fā)生的時(shí)候可以盡快消除風(fēng)險(xiǎn)并最大限度地減少損失。

[參考文獻(xiàn)]

[1]劉劍.石油企業(yè)IT風(fēng)險(xiǎn)管理體系研究[D].成都：西南石油大學(xué)，2016.

[2]任妮.數(shù)字圖書館信息安全規(guī)范化管理研究[D].南京：南京農(nóng)業(yè)大學(xué)，2016.

[3]孫誼.中國農(nóng)業(yè)銀行廣東省分行信息安全管理研究[D].蘭州：蘭州大學(xué)，2016.