校园网站风险评估综述

《信息安全工程》

课 程 设 计

----校园网站风险评估

班级：0430801 学号：08490108 姓名：孔伟栋

校园网站风险评估综述

对于校园网站而言，解决信息安全的关键就是明白网 站面临的风险所在。利用风险评估来识别可能存在的风险 和威胁，对暴露出的问题进行有针对性的防护，这样才能 保证校园网站稳定高效地为师生服务。

一. 信息风险评估的特点和意义

1.1信息安全风险评估的基本意义

信息系统的安全风险是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。 风险评估的重要意义：

1. 风险评估是分析确定风险的过程

系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。

2. 信息安全风险评估是信息安全建设的起点和基础

安全风险评估是风险评估理论和方法在信息系统中的运用，是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险，并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决策的过程。 信息安全建设都应该是基于信息安全风险评估，只有在正确地、全面地理解风险后，才能在控制风险、减少风险、转移风险之间作出正确的判断，决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。

3. 信息安全风险评估是需求主导和突出重点原则的具体体现

说信息安全建设必须从实际出发，坚持需求主导、突出重点，则风险评估（需求分析）就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的。安全是安全风险与安全建设管理代价的综合平衡。

4. 重视风险评估是信息化比较发达国家的基本经验

上个世纪70年代，美国政府就发布了《自动化数据外理风险评估指南》。其后颁布的关于信息安全基本政策文件《联邦信息资源安全》明确提出了信息安全风险评估的要求，要求联邦政府部门依据信息和信息系统所面临的风险，根据信息丢失、滥用、泄露、未授权访问等造成损失的大小，制订、实施信息安全计划，以保证信息和信息系统应有的安全。

所以，总的来说，信息安全风险评估的意义在于为用户提供具有针对性的安全产品和安全技术。给用户提供量化的信息资产价值列表和资产风险列表。可全面和有条理地向管理层反映现有的信息科技安全风险和所需的安全保障措施。为决策和政策考虑提供不同的解决方案，使信息科技安全管理能够从策略性的层面推行 。为日后比较信息科技安全措施的变化提供依据 。

1.2风险评估的基本特点：

（1）决策支持性

所有的安全风险评估都是旨在为安全管理提供支持和服务，无论它发生在系统生命周期的哪个阶段，所不同的只在于其支持的管理决策阶段和内容。

（2）比较分析性

对信息安全管理和运营的各种安全方案进行比较，对各种情况下的技术、经济投入和结果进行分析、权衡。

（3）前提假设性

在风险评估中所使用的各种评估数据有两种，一是系统既定事实的描述数据；而是根据系统各种假设前提条件确定的预测数据。不管发生在系统生命周期的哪个阶段，在评估的时候，人们都必须对尚未确定的各种情况做出必要的假设，然后确定相应的预测数据，并据此作出系统的风险评估。没有哪个风险评估不需要给定假设前提条件，隐词信息安全风险评估具有前提假设性这一基本特征。

（4）时效性

必须及时使用信息安全风险评估的结果，过期则可能出现失效而无法使用，失去风险评估的作用和意义。

（5）主观与客观继集成性

信息安全风险评估是主管假设和判断与客观情况和数据的结合

（6）目的性

信息安全风险评估的最终目的是为信息安全管理决策和控制措施的实施提供支持。

计算机安全的模型包含 4 个主要部分：

策略安全、检测、防护和响应。防护、检测和响应组成了一个完整的、动态的 安全循环，在安全策略的整体指导下保证信息系统的安全。

风险评估主要属于检测范畴，用它找出系统的漏洞，做好防护并为制定安全策略提供指导性意见。校园网服务 对象是全体师生，而学生又是最为活跃的群体，因此在校园网中的信息安全更为突出。新的安全漏洞不断出现，黑客的攻击手法不断翻新，而校园数据中心自身的情况也在不断地发展变化，在完成网站安全防范体系的架设后，必须不断对此网站进行风险评估，及时地维护和更新，才能保证网站的安全。

1.3风险评估的准备

? 确定范围

范围可能是组织全部的信息和信息系统，可能是单独的信息系统，可能是组织的关键业务流程，也可能是客户的知识产权。

? 确定目标

目标基本上来源于组织业务持续发展的需要、满足相关方的要求、满足法律

法规的要求等方面。

? 确定组织结构

组织结构的建立应考虑其结构和复杂程度，以保证能够满足风险评估的范围、目标。

? 确定方法

应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具体开展的程度等因素来确定，使之能够与组织的环境和安全要求相适应。