风险评估在信息安全中的有效运用论文

　　摘要:信息化时代在加快人们获取资源速度的同时，也带来了极大的弊端，由于现今人们对网络的依赖程度越来越高，使网络平台变得越来越复杂，很多企业都将自身的机密保留在网络中，一旦受到了恶意侵犯，将直接会为企业带来巨大的损失。因此为了避免该问题的发生，在信息化时代研究出了信息安全风险评估，其在极大程度上降低了网络遭遇侵袭的几率。基于此，本文着重从三个方面讲述了信息安全中风险评估的应用，随后对其关键技术进行了研究分析，以此来供相关人士交流参考。

　　关键词:风险评估;信息安全;关键技术;探究应用

　　信息安全风险评估是基于信息遭到恶意侵袭而研究出来的一种可以对风险发生可能性进行分析的一种评估方法。其最早出现在上世纪中期，由于评估方法多样且均存在有一定的局限性，因此在使用评估方法进行评估时，就需要结合实际的情况对现有的评估方法进行改进，并对其关键技术进行研究，以保证评估方法可以有效发挥自身的作用，降低信息安全的风险。

　　1信息安全中风险评估的原则及工具

　　1.1保密原则

　　使用风险评估对信息安全进行评估时，一定要进行严格的保密，可以采取提前签署保密协定的方式或是利用保密监视的手段对评估进行保密。除此之外，还要将该评估直接添加到安全监管体系中，避免又有新的风险出现在评估过程中。

　　1.2标准型原则

　　进行信息安全风险评估时，一定要结合相关的标准进行评估，做到有据可依。此外，在进行风险计算时，可以使用科学合理的数学模型来计算，同时还要确保整个工作均有与标准相符的评价指标，以使本次评估更具有可信度，增强整个评估过程的有效性以及科学性。

　　1.3主动型评估工具

　　对于主动型评估工具，其是通过人工编制而成的，在对信息安全风险进行评估时，采取的是主动评估的方式，直接对计算机的防火墙进行扫描，从而找出系统正常运行过程中程序内部存在的潜在威胁。

　　1.4被动型评估工具

　　被动型评估工具与主动型评估工具在评估时恰好相反，其在对风险评估时，主要是通过守株待兔的方式有效地守住数据的关卡，对所有流入计算机的数据进行检测，如果捕捉到了较为敏感的数据，直接就会对其分析。此外，该类型的评估工具有着极为明显的优点，其可以对系统在运行阶段的安全情况进行准确的监控。但是如果流入系统的数据存在潜在威胁，该类型的评估工具在评估准确度上便不如主动型评估工具。

　　1.5管理型评估工具

　　该类型的评估工具主要是管理整个评估的过程，其可以有效与前两种评估工具相结合，同时也可以利用研究分析而成的风险管理模型对整个安全系统进行管理。

　　2信息安全风险评估关键技术研究

　　2.1威胁分析技术

　　信息安全中无时无刻都存在有潜在的威胁，如果不能及时发现，就会对资产或者组织带来潜在的损害，其可以通过动机、途径、主体以及资源等途径实现，就威胁而言，其主要分为人为因素以及环境因素两种，就环境因素来讲，分为物理因素以及不可抗因素。人为因素分为恶意因素以及非恶意因素。具体的评估步骤如下所示：

　　2.1.1识别威胁

　　研究人员需要根据信息资源的实际情况以及当前环境结合自身的经验对其可能面对的威胁进行评估，由于潜在的威胁形式多样，所以需要结合具体的威胁采取针对性的方式识别。

　　2.1.2评估威胁

　　待对威胁识别完成之后，紧接着研究人员就需要对威胁可能发生的几率进行评估，其需要结合威胁来源以及种类将威胁划分成不同的级别，然后依照类别的不同对可能性进行定义，即威胁的等级越高，就说明威胁发生的可能性越大。

　　2.2资产管理技术

　　资管管理技术主要应用于对价值较高的信息资源的风险评估，具体的形式包括有硬件、文档以及部分服务、形象等。在进行信息安全风险评估时，首先要进行的就是资产评估，此外，在评估的过程中还要遵循风险评估的保密原则，具体的评估方法如下：