信息技术领域中的风险问题

信息技术领域中的风险问题


发布日期: 2016-10-24 更新日期: 2016-12-12 编辑:zhangxiang 浏览次数: 4066

标签:

摘要: 信息技术领域中的风险问题 信息技术领域中的风险问题 信息是对于客观事物存在方式和运动状态的反映。眼、耳、鼻、舌、皮肤是人类天然的信息器官。人脑是自然界最高级、最复杂、最精致的信息处理系统。凡是能扩展人的信息功能的技术,都可以称之为信息技术(inform...

信息技术领域中的风险问题

信息是对于客观事物存在方式和运动状态的反映。眼、耳、鼻、舌、皮肤是人类天然的信息器官。人脑是自然界最高级、最复杂、最精致的信息处理系统。凡是能扩展人的信息功能的技术,都可以称之为信息技术(informationtechnology,IT)。具体来讲,IT是指与信息的生产、处理、存储、通信、交换、传播或利用相关的各种技术。

IT有“传统”和“现代”之分。例如,电报、模拟电话、传真机、模拟电视等属于传统IT范畴;计算机系统、遥感技术、数字电视等则属于现代IT范畴。国际互联网络也是一种计算机系统。现代IT的两大特征:一是以数字技术为基础;二是使用了微处理芯片。

传统IT风险是一个IT物理系统被损伤的未来情景。其风险源,主要是相关元器件老化失效或受到外力打击而被破坏。

现代IT不仅有传统IT的风险问题,而且更多的是信息安全问题。

所谓信息安全,是指计算机系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不意外中断。

信息安全风险,也称IT风险,是指计算机系统出现不符合安全要求的未来情景。病毒感染、骇客攻击、人为错误、疏于管理等是主要的风险源。中国人寿保险股份公司首席信息官刘安林曾于2007年初总结出6种IT风险:①治理不到位管理风险;②资源不到位运维风险;③人员不到位道德风险;④教育不到位素质风险;⑤认识不到位决策风险;⑥环境不到位技术风险。

在IT领域中,描述风险情景主要涉及五个方面:起源、方式、途径、受体和后果。它们的相互关系可表述为:风险的一个或多个起源,采用一种或多种方式,通过一种或多种途径,侵害一个或多个受体,造成不良后果。风险评估是信息安全的投资的依据,是信息安全措施的选择依据,是信息安全保障体系建设的依据。信息安全等级保护工作是国家对信息系统信息安全等级的强制性规定,信息安全风险评估工作是设定安全等级、评价等级、等级调整的重要方法和手段。

IT风险评估的重点已从操作系统、网络环境发展到整个管理体系。模型也从借鉴其他领域的模型发展到开发出适用于风险评估的模型。风险评估方法的定性分析和定量分析不断被学者和安全分析人员完善与扩充。最主要的是,风险评估的过程逐渐转向自动化和标准化。在信息安全、安全技术的相关标准中,风险评估均作为关键步骤进行阐述。国内主要采用定性与定量相结合的方法对IT风险进行评估,层次结构模型、树形结构模型、概率论与数理统计及模糊数学方法应用较多,而且,通常是由专家对相关的不确定性做出评估。

目前最为成功的IT风险评估工具仍然是计算机系统漏洞扫描工具。通过漏洞扫描发现系统存在的漏洞、不合理配置等问题;根据漏洞扫描结果提供的线索,利用渗透性测试分析系统存在的风险。

关注公众号
获取免费资源

随机推荐


Copyright © Since 2014. 开源地理空间基金会中文分会 吉ICP备05002032号

Powered by TorCMS

OSGeo 中国中心 邮件列表

问题讨论 : 要订阅或者退订列表,请点击 订阅

发言 : 请写信给: osgeo-china@lists.osgeo.org