">
1信息系统安全风险影响因素分析
通过对以上信息系统安全风险管理标准和研究成果的分析,信息系统安全风险的影响因素应包含以下几个方面【1-8】。(1)物理环境安全性:主要是指信息系统的硬件部分的可靠性。信息系统安全首要问题是必须保证计算机硬件的可靠性。信息都是以ASCII码的形式存储在计算机上面的,一旦计算机物理硬件出现问题,很多信息将会丢失,所以必须保证信息系统存储硬件的可靠性,同时,计算机硬件对设备存放的环境也很重要,必须保持计算机周围的散热和通风效果较好,减少机房灰尘,这样能有效保证计算机设备的寿命和安全,减少计算机等硬件设备的损坏机率。(2)网络运行安全性:主要是信息系统在进行收集、储存、整理和发掘过程中的信息保存和传输的安全性。信息系统的正常运行和信息的存储与挖掘是需要在信息系统之间进行的,这就必须保证信息的安全和传输网络的可靠。为了避免信息损失或丢失,应该做好信息的及时备份;其次是应该做好防毒工作,如今的病毒隐藏越来越深,对数据的破坏程度也越来越严重,所以必须做好病毒防范措施;再次就是保证信息系统在信息传输过程中的网络通信协议安全,这样能避免信息数据被其他人截获和利用。所以,做好网络运行安全措施,是避免信息系统安全风险的有效措施。(3)信息保密状况:主要是对信息系统使用过程中的保密措施。要做到信息不被其他人盗取和利用,必须做好信息数据的保密工作,应该根据不同职位级别制定不同的信息使用和访问权限,不仅要有专用的使用者身份鉴别、访问控制等,还必须进行电磁泄密防护,做好抗抵赖性和入侵检测,保证信息系统的信息数据的保密工作,有效降低信息系统的安全风险。(4)安全管理能力:信息系统中信息的收集和管理都是有管理人员参与的,基于人性的不确定性和功利性,信息数据很容易被泄密,所以必须加强管理层的保密工作和安全防范意识。在对信息数据进行管理的时候,必须建立专人专责的管理制度,对管理人员加强安全保密意识的培养,同时对于信息系统的不同级别的密码和密匙要分开管理,将信息系统的安全威胁系数降到最低。(5)威胁对抗能力:随着黑客数量的逐渐增加,黑客已经渗透到各行各业,一些企业或组织的信息系统的机密数据从而成为黑客的攻击对象,这就要求信息系统构建中必须具有较好的威胁对抗能力,不仅能有效将黑客攻击抵挡在信息系统之外,还应该具有攻击追踪和反馈能力,对威胁来源进行分析,为寻找威胁提供有用信息。通过以上的分析可以看出,在对信息系统安全风险评价的时候,主要是从物理环境安全性、网络运行安全性、信息保密状况、安全管理能力、威胁对抗能力五个方面来进行评价最为合适。
2评价标度的选择与评价方法研究
2.1评价标度的选择问题研究
信息系统风险评价过程中,通过对信息系统风险评价指标的分析可以看出,这些指标都是很难定量计算的,同时在对信息风险评价过程中存在一定的不确定性和模糊性,故在对信息系统风险评价标度的选择过程中,应该选择不确定性评价标度。基于不确定性评价指标,在评价的时候,基于人的意识的模糊性和直观性,专家更习惯于给出诸如“好”、“很好”之类的语言评价标度【9】,综合考虑以上因素,在对信息系统安全风险评价过程中,选择评价标度为语言评价标度,并将语言标度和模糊数对应,形成模糊语言评价标度。在对信息系统安全风险评价的时候,因为自身专业知识的有限性或是进行实际调查中存在的不确定性因素,参与评价的专家往往不可能对所评价组织或企业的信息系统安全风险管理情况完全了解,这样,专家所给出的评价信息就存在一定的不可靠性,为了能使得最终的评价结果更为科学、可信,最好的解决方法就是专家在给出评价值的同时也将其对该方面了解知识的程度也标注出来,这样的结果更为科学,决策者在获得评价结果的同时还能明白专家是在掌握多少知识的情况下给出的评价。考虑到灰色系统中的灰度主要用来反映信息未知量的多少【10】,对于灰度为0则认为专家给出的评价信息是在完全掌握信息量的情况下给出的,如果灰度为1,则认为专家给出的评价值是在专家没有掌握任何信息量的情况下给出的,因此,在对信息系统安全风险评价过程中,应该将反应专家掌握信息量多少的灰度引入评价标度中。综合以上分析,在对信息系统安全风险评价标度的选择上,应该选择由模糊数和灰度构成的有序对(S,G)作为评价标度,其中S表示语言评价标度,其对应一个确定的模糊数,G代表掌握信息量多少的灰度,其中G∈[0,1]。
2.2基于模糊灰度的信息系统安全风险评价方法研究
在对信息系统安全风险评价过程中,为了避免单一决策者的评价带有个人偏见,一般采用的是聘请不同方面的专家构成评审团队来对信息系统安全风险进行评价,设最终聘请K个专家对信息系统安全风险进行评价,评价标度选择以前文讨论所得的模糊灰度评价标度,其中语言标度与模糊数的对应关系如表1。在给出评价矩阵后,考虑到每个专家的重要性不同,且每个指标的重要性不同,所以还需要确定出专家的权重和评价指标的权重,在确定指标权重和专家权重时,考虑到模糊数不便于计算和比较,故利用下式将模糊数(al,am,ar)转换成便于比较的实数。
3实证研究
顾客知识信息不仅能为企业的产品创新和研发给出指导方向,还是企业产品营销中分析顾客群的有效知识。很多企业从顾客知识的管理和挖掘中获得较大利益,因此,基于顾客知识信息的信息系统对企业的可持续发展具有重要作用。其信息系统的安全风险问题是企业必须注重的,定期的信息系统安全风险评价是大型企业进行信息系统管理中必不可少的一步。某大型企业为了掌握其客户管理信息系统安全风险的现状,聘请6位专家对该企业信息系统的安全风险进行评价,采用模糊灰度评价标度,得到语言评价矩阵如表3所示。通过最大隶属度原则,可以看出,在对该企业信息系统安全风险管理的评价中,说明该企业在对企业安全风险管理上做的“较好”,且该综合评价信息是在群体平均信息掌握量为0.2568的情况下给出的。综合这些信息得到该企业信息系统安全风险的综合评价结论。(1)通过群组专家在对企业信息系统进行调查分析,在较充分掌握信息系统运行情况和管理信息的情况下,对企业的信息系统安全风险做出的最终评价结果为:该企业信息系统安全风险管理方面做的“较好”。(2)通过对该企业信息系统安全风险评价结果可以看出,该企业信息安全风险的管理方面还存在一定的提升空间,但是考虑到评审团队对该评价结果不是在完全掌握企业信息系统安全风险管理的情况下做出的,所以可能存在一定的偏差,但是该偏差是较小的,作为最终的决策者,对企业信息系统安全风险更为了解,可以通过对群组专家评价结果的借鉴来对企业信息系统安全风险管理和预防方面做出科学的决策。
4信息系统安全风险防范对策
信息系统安全风险的主要影响因素为物理环境安全性、网络运行安全性、信息保密状况、安全管理能力、威胁对抗能力五个方面。为了保证信息系统的有效运行,防止信息系统被破坏,应该做好如下几个方面:(1)建立健全信息系统安全风险防护框架。主要是针对企业信息系统构建的实际情况,及信息系统的需求和使用情况,根据不同使用权限和安全强度进行分层、分区授权和管理,对信息系统的实时控制区等关键区进行重点防护和监测。(2)加强信息安全专业技术的应用。主要是在对信息系统安全管理过程中,加强利用专业信息安全技术进行安全保密,如引入最新的身份认证系统进行操作和使用者的访问权限监测,对于接入网络的系统要设置防火墙,防止计算机病毒或其他威胁的入侵,并对信息系统进行网络检测和系统日志审计,监测是否有非法活动,及时发现问题并解决问题,保证信息系统的正常运行。(3)完善信息系统管理制度。很多信息系统更多的是人为因素造成的,而且人为因素导致的风险还具有隐蔽性,所以要加强对信息系统管理制度的建立和完善,建立严格的信息系统管理和使用制度,明确各管理人员的职责分工,要对管理人员和使用人员进行定期的保密培训和专业技术培训,避免错误操作,对信息系统进行有效的保护。
5结语
信息系统安全风险评价是对信息系统管理和风险预测中必不可少的一部分,科学合理的信息系统风险评价方法是有效避免信息系统遭受损伤的关键一环。本文充分考虑信息系统安全风险评价中的不确定性和模糊性,提出利用反映信息量多少的灰度对专家评价值进行标示,从而利用模糊数和灰度相结合的有序对作为评价标度来对信息系统安全风险进行评价,构建了信息系统安全风险评价模型,并实例验证了该方法的可行性和可操作性。本文所建立的基于模糊灰度信息系统安全风险评价体系对信息系统安全风险评价的理论探讨具有一定的借鉴作用。
作者:王帆 霍明奎 王晓婷 单位:长春理工大学 经济管理学院