立即注册
 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

CopyRight 2012-2014 DS文库版权所有
管理信息系统风险评估及安全防范探讨
(0 次评价)78 人阅读0 次下载
1 管理信息系统风险评估及安全防范探讨 华能南京电厂、王锋 摘 要:信息安全已经成为当前各行业所面临的一个重要问题。以数据库为基础的发电企业管理信息系统其安全性 更是直接关系到用户数据的安全,对企业的利益有很大的影响。为了有效地保护发电企业管理信息系统的安全,本文以 华能南京电厂管理信息系统为研究对象,采取信息系统风险评估分析法对发电企业管理信息系统进行了评估分析,并根 据风险分析结果制定了相应的安全防范策略,使发电企业管理信息系统得到了较好的安全保障。 关键词:管理信息系统;风险评估;安全策略 随着发电企业信息化建设步伐的加快,越来越多的发电企业开发了管理信息系统,然而管理信息系统在 给人们带来各种便利的同时,其脆弱的安全性也同时带来了烦恼。如入侵者窃取管理信息系统中的数据使企 业的一些商业秘密被公开等。如何提高企业管理信息系统的安全性,保护企业的信息安全,已经成为一个紧 迫的任务。本文主要采用信息系统风险评估分析法对发电企业管理信息系统进行了评估分析,并根据风险分 析结果,针对不同的影响因素和不同的资产制订了相应的安全防范策略,有效地提高了管理信息系统的安全 性。 1、 风险评估要素关系、原理和过程 在进行发电企业管理信息系统风险评估前需要先熟悉风险评估要素、关系、原理及风险评估过程。 风险评估的基本要素包括:资产、安全措施、脆弱性、威胁、风险等,见图1中方框部分,这些要素具有 许多相关属性,见图1中的椭圆部分,这些要素之间存在一些关系,见图1中一些连线。它们之间的主要关系 表现为: (1)业务管理依赖于资产去完成;资产拥有价值,业务管理越重要,对资产的依赖度越高,资产的价值 则就越大; (2) 资产的价值越大则风险越大; 风险是由威胁发起的, 威胁越大则风险越大, 并可能演变成安全事件; 威胁都要利用弱点,弱点越大则风险越大; (3)弱点使资产暴露,是未被满足的安全需求,威胁要通过利用弱点来危害资产,从而形成风险;资产 的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的; (4)安全措施可以抗击威胁,降低风险,减弱安全事件的影响; (5)风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险;一部分残余风险来自 于安全措施可能不当或无效,在以后需要继续控制这部分风险, 另一部分残余风险则是在综合考虑了安全的成 本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的; (6)残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。 在风险评估中,最主要一个计算模型是风险计算模型,见从图 2 所示,其主要计算过程包括: (1)对资 产进行识别,并对资产的价值进行赋值;(2)对威胁进行识别,并对威胁出现的频率赋值;(3)对脆弱性 进行识别,并对具体资产的脆弱性的严重程度赋值; (4)根据威胁及威胁利用脆弱性的难易程度判断安全事 件发生的可能性; (5) 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失; (6) 根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。

打分:

0 星

用户评论:

电力科技在线 (英文缩写etmtch) 在广大电力企事业单位的支持下,无疑更将电力科技的作用与价值推向更深、更高和更广。作为电力行业科技领域的专业媒体《电力科技在线》(www.etmtch.org.cn)更须肩负责任,进一步完成建设沟通和推广平台的同时,树立更有深意的目标,发挥推动电力科技在创新体制、制度、思维、技术以及成果应用的现实作用,为电力产业的智能化未来贡献更大的价值。

合作方式