|
企业办公自动化信息安全风险评估研究介绍了一种企业办公自动化风险评估体系,逐步了分析企业办公自动化信息安全风险评估的流程。
(一)引言 办公自动化(Office Automation,简称OA)是指利用计算机技术、通信技术、系统科学、管理科学等先进的科学技术,不断使人们的部分办公业务活动物化于人以外的各种现代化的办公设备中,最大限度地提高办公效率和改进办公质量,改善办公环境和条件,缩短办公周期,并利用科学的管理方法,借助于各种先进技术,辅助决策,提高管理和决策的科学化水平,以实现办公活动的科学化和自动化。而信息安全风险评估是信息系统安全工程的重要组成部分,是信息安全建设的基础和起点。当前,各个企业在大力进行办公自动化建设的同时,信息安全问题也变得日益突出。企业内部的各种信息安全隐患会给企业办公自动化的信息安全保密工作带来各种威胁。尽管杀毒软件、防火、入侵检测系统、漏洞扫描等安全技术的使用在一定程度上提高了系统的安全性,然而,由于众多安全设备产生了海量的安全事件,管理人员难以通过人工的方式对这些信息进行有效的管理,因而无法获得系统全局的安全态势。而管理人员缺乏对系统全局风险状况的了解又使得各种安全措施与其实际所防护的业务无法有效的关联,安全预警、安全保护、应急响应等各子系统难以取得预期的效果。使得整个安全体系抗攻击的能力较弱。 如何利用各种安全技术将信息系统面临的风险控制在可接受的范围内,是保证企业办公自动化信息系统处于较高安全水平的关键。而信息安全风险评估,则是控制风险,安全管理信息系统的一个较好解决方法。 (二)企业OA 信息安全风险评估概述 1.什么是信息安全风险评估 所谓信息安全风险评估, 就是依照国家有关信息安全技术标准,从风险管理的角度,运用定性、定量的科学分析方法和手段,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性进行科学评价的过程,它系统的分析评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁利用后产生的负面影响, 并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 2.信息安全风险评估的形式 信息安全风险评估主要包括自评估和检查评估两种形式。自评估是指各信息系统使用单位发起的对本单位信息系统进行的安全信息风险评估。检查评估是指由保密部门或信息系统使用单位的主管部门发起的安全信息风险评估。自评估的优点是可经常实施,能够及时发现问题并做出整改;缺点是客观性、公正性比较差,评估水平比较低;检测评估的优点是专业机构实施,能够保证客观性和公正性,评估的水平较高;缺点是受各种条件制约不能经常实施。我们应把两者结合起来将自评估作为风险评估的主要方式经常实施,并把检测评估作为风险评估的重要手段定期进行。 3.信息安全风险评估的作用意义 通过进行风险评估工作,运用专门的技术手段和检测设备,可以及时发现信息安全可能存在的各种问题,找到解决问题的方法,及早化解风险,提高信息安全性。风险评估是信息安全建设的基础和起点,只有对系统信息安全进行正确而全面的风险评估后,才能够在控制风险、减少风险、转移风险之间做出正确的判断,采取适当的措施去化解、控制风险。 (三)企业办公自动化信息安全风险评估的现状分析 企业办公自动化的信息系统涉及到了企业安全生产的问题,属于涉密信息系统。加之目前我国的信息化建设在关键技术、关键设备上还受制于人。因而企业办公自动化的信息安全防护工作还任重道远,只有认真分析企业办公自动化在安全风险评估方面的状况,才能更好的依靠信息安全风险评估为信息安全建设打下坚实基础。 目前企业办公自动化的信息安全风险评估还存在着一些问题,主要体现在以下几点:第一,对风险评估的重要性认识不够,防护手段单一,认为只要有了防火墙、杀毒软件等安全防护产品就够了;第二,基本没有进行过自评估,不能及时发现系统存在的隐患;第三,缺乏风险评估方面的专门人才;第四,即使对风险评估有一定认识,但由于标准技术的滞后,无法做出规范有效的评估;第五,风险评估的角色、责任混乱;第六,有些企业虽然进行了风险评估,但在风险评估结束后没有对评估结果采取任何对策,仅仅是为了评估而评估。 (四)企业办公自动化信息安全风险评估体系结构 下面我们根据企业办公自动化的自身特点,介绍一种可操作的基于模型的信息安全风险评估体系。根据我国《信息安全风险评估指南》及其它国内外风险评估相关标准,信息安全风险与信息资产、威胁、脆弱性以及安全控制措施等诸多要素有关。我们制定出风险评估实施步骤的总体流程框图,如图1 所示。
整个实施流程又大体分为准备阶段、识别阶段、分析阶段和验收阶段四个阶段。 责编:赵新娜 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|