银行业信息安全风险评估研究.pdf

安全防范 73 FINANCIAL COMPUTER OF HUANAN． 2009 年3 月10 日第3 期 银行业信息安全风险评估研究 ■ 中国人民银行湘潭市中心支行 颜 琳 当今社会，银行信息化、电子化程度越来越高， 威胁的防护对策和整改措施。 信息技术已经成为推动银行业发展的一股重要力 （二）风险评估的意义和作用 量。与此同时，网络与信息系统自身存在的缺陷、脆 1. 风险评估是信息系统安全的基础性工作，它 弱性以及面临的威胁，使信息系统的运行客观上存 是一个持续的工作。 在潜在的风险，阻碍了银行信息化的发展。因此,如 2. 风险评估是分级防护和突出重点的具体体 何保证信息系统和网络安全有效地运行，成为当前 现。分级保护的出发点就是要突出重点，要突出重 亟待解决的问题。在经历大量实践之后，人们认识 点要害部位，分级负责，分层实施。 到信息系统的安全是一个非常复杂问题，任何单一 3. 加强风险评估工作是当前信息安全工作的 层次上的安全措施都不可能提供真正的全方位的 客观需要和紧迫需求。信息系统安全风险评估的总 安全。我们必须从风险分析入手，获悉信息系统的 体目标是认清信息安全环境及形势，以达成公式， 安全状态，对信息系统受到的威胁进行客观科学的 明确责任，采取或完善安全保障措施，使其更加经 分析和评估，才能为信息系统的安全保护提供坚实 济有效，并保持策略的一致性和持续性。 的基础。 二、银行风险评估方法 一、风险评估及信息安全风险评估的概念 信息安全风险评估的研究工作取得突飞猛进， （一）什么是风险评估 各种评估方法层出不穷, 大大缩短了评估所花费的 风险评估是指在风险事件发生之后，对于风险 时间、资源,提高了评估的效率，改善了评估的效果。 事件给人们的生活、生命、财产等各个方面造成的 常用的评估方法有层次分析法、德尔斐法、故障树 影响和损失进行量化评估。它是对信息资产面临的 法等。这些方法基本上都遵循了风险评估流程，只 威胁、存在的弱点、造成的影响，以及三者综合作用 是在具体实施手段和风险计算方面有所不同。根据 而带来风险的可能性的评估。作为风险管理的基 计算方法的不同评估方法可分为定性风险评估和 础，风险评估是组织确定信息安全需求的一个重要 定量风险评估及定性与定量相结合的评估。 途径。 （一）定性评估方法 信息安全风险评估是指从风险管理角度，依据 定性风险评估一般是根据评估者的知识、经验 国家有关信息安全技术标准和准则，运用科学的方 对信息系统存在的风险进行分析、判断和推理,采用 法和手段，对信息系统及处理、传输和存储信息的 描述性语言描述风险评估结果。定性方法较为粗 保密性、完整性及可用性等安全属性进行全面科学 糙，但在数据资料不够充分或分析者数学基础较为 地分析；对网络与信息系统所面临的威胁及存在的 薄弱时适用。 脆弱性进行系统的评价；对安全事件一旦发生可能 （二）定量评估方法 造成的危害程度进行评估，并提出有针对性地抵御 定量风险评估是针对信息系统中风险的相关 73