信息安全风险评估范文
时间:2023-03-13 11:06:39
引言:寻求写作上的突破?我们特意为您精选了4篇信息安全风险评估范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
篇1
随着社会经济快速发展,信息传递无论是速度还是容量均不断创造新的高度。信息传递方式与人们的生活、工作、学习息息相关。信息产业发展蒸蒸日上,建立在信息技术基础上的信息系统存在一定风险,易受到黑客攻击,且信息系统充斥各种病毒,系统运行过程存在一定风险。基于此必须做好信息系统安全建设,进行安全风险评估,奠定安全基础。
1 风险评估概述
互联网快速发展极大提高人们的生活、工作、学习效率,与此同时发来一系列安全隐患。人们通过互联网可实现信息有效获取,信息传递过程中仍旧可能出现信息被第三方截取情况,信息保密性、完整性、可靠性等均收到影响。网络环境虽然方便信息处理方式,但也带来一系列安全隐患。
从信息安全角度而言,风险评估就是对信息系统自身存在的的种种弱点进行分析,判断可能存在的威胁、可能造成的影响等。综合风险可能性,便于更好展开风险管理。风险评估是研究信息安全的重要途径之一,属于组织信息安全管理体系策划过程。
风险评估主要内容包括:识别信息系统可能面对的各种风险、风险出现的概率、风险可能导致的后果、风险消除策略、风险控制策略等。信息系统构成极为复杂,因此信息系统安全风险评估是一项综合性工作,其组织架构较为繁杂,主要包括技术体系、组织结构、法律体系、标准体系、业务体系等。
20世纪八十年代,以美国、加拿大为代表的发达国家已建立起风险评估体系。我国风险评估体系建立较晚,至今只有十几年时间。目前我国安全风险评估已得到相关部门高度重视,为其快速发展奠定坚实基础。
网络环境虽然带来无穷便利,却也带来各种安全隐患。互联网环境下信息系统易被黑客攻击。一切社会因素均与信息系统联系在一起,人们生活在同一信息系统下总是希望自身隐私得到保护,因此在建设信息系统是必须做好信息安全风险评估,规避信息系统存在的各种风险,提高信息系统安全性,让人们生活在安全信息环境中。
2 信息安全风险评估方法
网络的出现对人们的生活和思维方式带来极大变革,信息交流更加方便,资源共享程度无限扩大,但是网络是一个较为开放的系统,对进入网络系统的人并未有一定约束,因此必然导致安全隐患的出现。随着信息系统建设不断深入,信息系统必将对社会经济、政治、文化、教育等造成巨大影响。基于此需要提升信息系统安全风险评估合理性,降低安全隐患,让人们在安全的信息环境下生活和工作。
2.1 定性评估方法
定性评估是信息安全风险评估使用最频繁的方法,此法基于评估者通过特有评估方法,总结经验、历史等无法量化 因素对系统风险进行综合评估,从而得出评估结果。该中方法更注重安全风险可能导致的后果,忽略安全时间可能发生的概率。定性评估中有很多因素无法量化处理,因此其评估结果本身就存在一定不确定性,此种评估方法适用于各项数据收集不充分情况。
定性评估虽然在概率上无法保障,但可挖掘出一些较为深刻的思想,其结论主观性较强,可预判断一些主观性结论。基于此需要评估人员具较高职业素养,不受限与数据及经验的束缚。典型定性评估方法有逻辑评估法、历史比较法、德尔菲法。
德尔菲法是定性评估中较为常见评估方法之一,经过多轮征询,将专家的意见进行归结,总结专家预测趋势,从而做出评估,预测未来市场发展趋势,得出预测结论。从本质上来说,德尔菲法是一种匿名预测函询法,其流程为:征求专家匿名意见――对该项数据进行归纳整理――反馈意见给专家――收集专家意见――…――得出一致意见。德尔菲法是一种循环往复的预测方法可逐渐消除不确定因素,促进预测符合实际。
2.2 定量评估方法
定量评估与定性评估是相互对立的,此种方法需要建立在一切因素均标准化基础上。定量评估首先需要收集相关数据,且需保证数据准确性,之后利用数学方法建立模型,验证各种过程从而得出结论。定量评估需要准备充足资料,是一种利用公式进行结果推到的方法。从本质上来说定量评估客服定性评估存在的不足,更具备客观性。定量评估可将复杂评估过程量化,但该种方法需要建立在准确数据基础上。定量评估方法主观性不足,其结论不够深刻具体。定量评估方法中具有代表性的方法为故障树评估法。
故障树评估法采用逻辑思维进行风险评估,其特点是直观明了,思路清晰。是一种演绎逻辑推理方法,其推理过程由果及因,即在推理中由结果推到原因,主要运用于风险预测阶段,得出风险发生具体概率,并以此为基础得出风险控制方法。
2.3 定性评估与定量评结合综合评价方法
由前文可知定性评估和定量评估各自存在优缺点。定性评估主观性较强,客观性不足。定量评估主观性不足,客观性较强。因此将二者结合起来便可起到互补不足的效果。定性评估需要耗费少量人力、物力、财力成本,建立在评估者资质基础上。定量评估运用数学方法展开工作,预测结果较为准确,逻辑性较强,但成本较高。从本质上来看,定性为定量的依据,定量是对定性的具体化,因此只有将二者结合起来才能实现最佳评估效果。
3 信息安全风险评估过程
信息安全风险评估建立在一定评估标准基础上,评估标准是评估活动开展的基础和前提。信息安全风险评估过程需要评估技术、工具、方法等全面支持,在此基础上展开全面风险评估,结合实际情况选择合适评估方法。正确的评估方法可提高信息安全风险评估结果准确性,这就要求评估过程中需建立正确评估方法,克服评估过程存在的不足,从而取得最佳结果。
4 结束语
当今信息系统不断发展完善,为保证信息系统运行环境的安全性必须对信息系统进行安全风险评估。信息安全风险评估具有多种方法,实际评估中应该结合实际情况选择合适方法,提高信息安全风险评估结果准确性,为建立安全信息环境奠定坚实基础。
参考文献
[1]应力.信息安全风险评估标准与方法综述[J].上海标准化,2014(05):34-39.
[2]张玉清.信息安全风险评估综述[J].通信学报,2015(02):45-53.
篇2
信息安全风险评估
在实践中可以发现,凡是和信息有关的人、事、物都有可能成为风险源,因此评估针对的对象也就包含了和信息相关的各种要素,也可以视为广义上的信息系统。信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
风险评估各要素关系
现实世界中影响风险评估的各种要素相互影响、相互作用。关系错综复杂。《信息安全风险评估指南》用图来描述其关系。
图中这些要素之间存在着以下关系:业务战略依赖于资产去完成-资产拥有价值,单位的业务战略越重要,对资产的依赖度越高,资产的价值则就越大;资产的价值越大则风险越大;风险是由威胁发起的,威胁越大则风险越大,并可能演变成安全事件,威胁都要利用脆弱性,脆弱性越大则风险越大,脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险・资产的重要性和对风险的意识会导出安全需求,安全需求要通过安全措施来得以满足,且是有成本的;安全措施可以抗击威胁,降低风险,减弱安全事件的影响。风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险一部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。
数字档案馆信息安全风险评估流程
数字档案馆风险评估过程就是在评估标准的指导下,综合利用相关评估技术,评估方法、评估工具,针对数字档案馆展开全方位的评估工作的完整过程。对数字档案馆进行风险评估,首先应确保风险分析的内容与范围应该覆盖数字档案馆的整个体系。应包括:数字档案馆基本情况分析、基本安全状况调查、安全组织、政策情况分析、弱点漏洞分析等。风险评估具体评估过程如下:
1 确定资产。资产是数字档案馆实现组织目标的物质基础,威胁都是针对于资产存在的,确定资产是我们分析威胁、存在脆弱性的必要条件,如果这个问题没有解决好,必然影响分析评估的后续工作。这一步首先要明确信息资产有哪些,并在此基础上确定资产价值,这里研究的价值是强调对数字档案馆完成目标的重要程度,越重要价值越高。资产的范围很广,一切需要加以保护的东西都算作资产,包括:信息资产、纸质文件、软件资产、物理资产、人员、形象和声誉、服务等。资产的评估应当从关键业务开始,最终覆盖所有关键资产。
2 识别威胁和脆弱性。资产面临的风险是由于资产存在脆弱性,而客观上又存在着利用这些脆弱性阻碍数字档案馆目标实现的威胁造成的。所以要分析风险就要辨别清楚有什么可供利用的弱点,什么样的人或事会利用这些弱点。明确了以上问题,进行评估才能有的放矢。能对资产造成威胁的因素包括人、事、物,而脆弱性则可以从管理、技术等方面来检视。
3 识别当前控制措施。当我们建立了数字档案馆之后,或多或少会有一些相应的规章制度或技术手段来维护信息本身。已经采取的措施对于我们评估风险也是必要的,首先需要了解已经采取何种措施,并要进一步分析这些措施是否完备、是否合理、是否得到了充分执行。已采取的措施合理、有力,就可以降低资产面临的风险,如果没有措施或虽有措施却形同虚设则使得资产完全暴露在威胁之前,没有任何屏障。自然风险很高。
4 确定发生安全事件的可能性和损失。存在脆弱性和威胁并不等于就一定会有风险,因为脆弱性是明确的而威胁却是潜在的。潜在的威胁可以转变成为现实安全事件,也可以消亡。损失只有在威胁转变成为安全事件之后才会出现,为此必须以当前的控制措施作为前提分析安全事件发生的可能性,可能性判断的准确与否直接影响着对风险程度大小的判断。
5 确定风险大小。在前面工作的基础上,确定风险就是较为简单的工作了。根据安全事件发生会造成的损失和发生的概率,就可以知道我们面临的风险。
6 决策。明确了风险大小之后管理者需要做出决定,目前的风险水平是否可以接受?如果不能接受,则要仔细分析为了减小风险需要做的投入。加强各种安全防范措施是需要成本的,要在成本和风险程度之间做好权衡。面对前面工作的成果,管理者需要决定下一步采取何种措施。在分析和决策过程中,要尽可能多地让更多的人参与进来,从管理层的代表到业务部门的主管,从技术人员到非技术人员。
7 执行。最后的步骤是安全措施的实施。实施过程要始终在监督下进行,以确保决策能够贯穿于工作之中。在实施的同时,要密切注意和分析新的威胁并对控制措施进行必要的修改。在信息系统的运行过程中,绝对安全的措施是不存在的:攻击者不断有新的方法绕过或扰乱系统中的安全措施;系统的变化会带来新的脆弱点;实施的安全措施会随着时间而过时等等,所有这些表明,信息系统的风险评估过程是一个动态循环的过程,应周期性地对信息系统安全进行重新评估。
数字档案馆信息安全风险评估要素识别
风险分析中要涉及资产、威胁、脆弱性三个基本要素。识别出三个要素是进行评估的基本条件。
1 资产识别
资产是以信息为核心与信息利用有关的一切形式的要素集合。通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。信息资产安全特性的不同也决定了其信息价值的不同,以及存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。数字档案馆中的信息资产可以简要分为以下几类:数据、软件、硬件、服务、文档、设备,人员及其他,其中档案,尤其是某些重要档案是资产中的核心。
2 脆弱性识别
脆弱性是资产本身存在的不足,它一旦被利用就会导致损失。值得注意的是,脆弱性虽然客观存在,但它本身不会造成损失,它只有被威胁利用之后,才会带来损害。所以对那些没有安全威胁的弱点可以不需要实施安全保护措施,但他们必须记录下来以确保当环境、条件有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。
对于数字档案馆来说,存在的脆弱性主要是以下几点:缺乏足够的信息安全技术人才,信息工作管理不规范,相关管理者缺乏进行信息安全风险评估的意识;具体工作人员信息技能不高。
篇3
1.引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
2、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
网络信息安全具有如下6个特征:(1)保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法控制。
(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
网络信息安全的风险因素主要有以下6大类:(1)自然界因素,如地震、火灾、风灾、水灾、雷电等;(2)社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;(3)网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;(4)软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;(5)人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;(6)其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
3、安全风险评估方法
3.1定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
3.2安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
3.3多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
3.4敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
3.5评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
4、风险评估的过程
4.1前期准备阶段
主要任务是明确评估目标,确定评估所涉及的业务范围,签署相关合同及协议,接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。
4.2中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
4.3后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
5.风险评估的错误理解
(1)
不能把最终的系统风险评估报告认为是结果唯一。
(2)不能认为风险评估可以发现所有的安全问题。
(3)
不能认为风险评估可以一劳永逸的解决安全问题。
(4)不能认为风险评估就是漏洞扫描。
(5)不能认为风险评估就是IT部门的工作,与其它部门无关。
(6)
篇4
随着我国经济发展及社会信息化程度不断加快,网络得到了迅速的发展,并且在人们的生活、学习及工作中的作用越来越大,同时伴随而来的网络信息安全问题也越来越多了,这给人们不仅给人们的生活带来了不便,还会造成经济损失,对信息安全进行风险评估还是很有必要的。
1. 信息安全风险评估概述
信息安全风险评估所指的是信息系统因为自身存在着安全弱点,当在自然或者自然的威胁之下发生安全问题的可能性,安全风险是指安全事件发生可能性及事件会造成的影响来进行综合衡量,在信息安全的管理环节中,每个环节都存在着安全风险。信息安全的风险评估所指的是从风险管理的角度看,采用科学的手段及方法,对网络信息系统存在的脆弱性及面临的威胁进行系统地分析,对安全事件发生可能带来的危害程度进行评估,同时提出有针对的防护对策及整改措施,从而有效地化解及防范信息安全的风险,或把风险控制在能够接受的范围内,这样能够最大限度地为信息安全及网络保障提供相关的科学依据。
2. 信息安全的风险评估原则、风险计算模型及评估方法
2.1 信息安全的风险评估原则
信息安全的风险评估原则主要包括可控性、保密性、最小影响及完整性四个原则。可控性原则包含人员、项目过程及工具的可控性,人员的可控性是指凡是参与信息的安全评估人员都应该资格的审查及备案,要对职责进行明确的分工,当人员的工作岗位发生变更时,要严格执行审批手续,从而确定人员的可控;项目过程的可控是指要运用项目管理的方法学进行项目管理的评估,并重视项目管理中的沟通管理,从而有效地实现项目过程的可控;工具的可控是指对风险评估工具应运用多方的性能比对及精心挑选,同时要取得相关部门及相关专家的论证及认证。保密原则所指的是要跟相关的评估对象签订非侵害行为协议及保密协议。最小影响原则所指的是通过工具技术及项目管理层面对信息系统进行风险评估,从而将影响正常运行的影响降到最低。完整性原则所指的是严格依照委托单位的制定范围及评估要求进行有效地全面评估服务。
2.2 信息安全风险计算模型
风险计算模型所指的是对风险进行分析及计算风险值过程的抽象,包括脆弱性评估、威胁评估、资产评估及风险分析,如图所示。
风险计算模型图
风险计算过程为:对资产进行识别,且对资产进行赋值;对威胁分析且对其威胁的可能性给予赋值;对资产的脆弱性进行识别,且对其严重程度给予赋值;依据脆弱及威胁性来计算安全事件会发生的可能性;同时依据资产重要性来评估发生安全事件的风险值;通过指标体系中的指标风险值进行定性及定量的评估方法来综合分析,从而得出信息安全风险的评估值。
3.信息安全风险评估方法
信息安全的风险评估方法有很多,按照计算方法可以分为三种,定量、定性及定量和定性相结合的风险评估方法。定量风险评估方法是一种较为精确的风险评估法,常用数学形式来进行表达,当风险对信息会带来较大的危险或者资料比较充足时,可运用定量风险进行评估。进行定量评估的优点是能够用较为直观的数据进行表述,这样评估的结果较为客观,研究结果更为科学;其缺点是在量化中,一些较为复杂的事物被模糊及简单化了,一些风险因素可能被曲解或者误解,再加上资产价值及发生概率量化较为困难,这种方法使用起来其难度是比较高的,定量评估法中的分析方法有回归模型、聚类分析法、因子分析法、决策树法、时序模型及等风险图法等。定性风险评估法是指根据研究者的经验、知识、政策走向、特殊变例及历史教训等非量化的资料对系统的风险状况作出相应判断的过程。主要对调查对象进行深入访谈并作出个案记录作为基本的资料,运用理论对分析框架进行推导演绎,并编码整理资料,以作出结论。定性分析法有历史比较法、因素分析法、德尔菲法及逻辑分析法。这种方法的优点是所需要的时间、人力资源及费用比较少,缺点是主观性太强,往往不太准确。在进行风险评估中,一些评估的要素是能够用量化形式进行表达的,有些要素用量化是比较困难的,在信息安全的风险评估中一味地用量化是不准确科学的,定量风险分析是进行定性风险分析的前提和基础,定性分析是灵魂,需要在定量分析之上来揭示客观事物的规律,在进行信息安全的风险评估时,不应该将定量分析及定性分析简单割裂,而是将这两种评估方法有机的结合起来,进行定量与定性的综合评估。按照实施手段可以区分为动态系统技术和基于树的技术,动态系统技术有马尔可夫分析方法、尝试法、动态事件树的分析法及动态事件逻辑分析法等,其中马尔可夫分析法还可以称为马尔可夫转移矩阵法,所指的是在马儿可夫的过程之下,运用随机变量的变化情况对变量的未来变化情况进行预测的一种方法。基于树技术的方法主要有事件树分析法、故障树分析法及因果树分析法等。
3. 信息安全分风险评估的发展方向
3.1 由单纯技术风险评估向一体风险评估的转变以及基于知识和模型评估的重视
单纯技术评估所强调的是组织技术中的脆弱性,信息安全的一体化风险评估拓展了技术风险评估的范围,它所强调的是业务风险分析方法,其核心是业务过程层次中的风险识别,能够有效地保证业务组织的持续性,一体化风险评估所着眼的是组织和安全相关的风险,主要包含内外部环境风险源、组织结构及技术基础,并基于信息及人的风险,并按照目标或者组织业务影响的大小来对安全风险排序。基于知识风险评估的方法是指依照安全专家处所获得的经验对相似场景进行解决的风险评估,这种风险评估方法能够更直接地提供所推荐的结构框架、实施计划及保护措施。基于模型风险评估的方法是指能够对信息系统中的内部机制所涉及的危险因素和当系统跟外界交互时产生的不正常有害行为给予建模,从而对信息系统的安全威胁及系统弱点进行定性分析,注重模型评估及知识风险评估是很有必要的分析方法。
3.2 运用信息安全风险评估的辅助工具来加速评估的进程
在风险评估工具运用之前,所采用的是手工劳动,劳动量大并且 易出现纰漏,而且还不可避免的带有风险评估人员的主观性,风险评估工具的运用有效地解决了手工评估所带来的局限性,像英国的CRAMM评估能够用于商业影响评估及识别、资产的建模、威胁与弱点的评估、安全需求的定义、风险等级的评估等。COBRA风险评估工具,它所依据的是专家系统及知识库问卷系统,能够有效地对脆弱点及威胁点的相对重要性进行评估,且给出相应的解决方案,风险评估工具还有很多,在进行信息安全的风险评估时,要运用多种辅助工具来加速评估的进程。
4. 总结
对信息安全进行风险评估是对信息安全的有效保障,进行风险评估不仅能够提高相关人员的信息安全的风险意识及防范措施,还能够运用分先评估进行信息系统的等级建设及保护性能的技术支持,对信息安全中的不确定性因素进行风险评估,并采取不同的措施进行处理,从而保证信息系统的安全有效运行。
参考文献:
[1]沈吉锋,张永志,潘军.信息安全风险评估分析方法简述[J].电脑知识与技术,2010(05)
