33/30#初阶-信息系统安全风险评估#30天专注橙长计划

安全

        随着信息化的普及，人们已经认识到，业务应用信息系统越来越庞大，越来越复杂，涉及到经济、社会、生活的各个方面，各种先进技术，随着网络的延伸，处理信息的种类增多，但是随之而来的“麻烦”也越来越多，越来越厉害，使得我们不得不考虑系统建设好后能正常健康地运营而建造一个安全保障系统。

       在业务应用信息系统建造之前，能否准确地把影响业务应用信息系统正常运营的“安全威胁”找出来，成为至关重要的头等大事。否则，设计的再好，设备再先进，一投入运营就垮台或造成重大经济、政治损失，这是所有建设者都不希望的。

       另外，由于现在业务应用信息系统庞大、复杂、持久，任何运营的“信息（数据）”差错造成的后果都是巨大的。因此人们开始从单纯的关心“故障”转化为关心有形和无形的资产维护问题上来。

       那什么是“有形资产”和“无形资产”呢？一般“有形资产”指例如银行的账户、存折、信用卡；商家的商品；证券商的证券、债券、股票；保险公司的保单；生产厂家的产品和产品生产的工艺流程、工艺参数等。“无形资产”指的是诚信、可靠的信誉，以及产品的商品、商家的专利、知识产权等。一般“无形资产”都是在“有形资产”破坏之后才引发的结果。因此，信息安全保障系统首要考虑“有形资产”的保护。

       本小节是上一小节的延续，属于信息安全的范畴。也是我准备项目管理基础知识的最后一部分。

一、信息安全与安全风险

为一个还没有建立的新系统定身打造信息安全保障系统的方法：就是对信息应用系统进行安全风险分析、识别、评估，并为之制定防范措施。

业务应用信息系统与信息安全、信息安全与安全风险之间的关系：

1、目标：拟定新系统的功能；

2、风险识别：现有系统（业务流程）分析；

3、风险评估：对识别出的风险预估出可能的后果；

4、控制风险：按照风险的大小和主次、设计相应的对策；

5、对设计对策进行投入产出评估；

6、可行转入7，不可行返回1；

7、设计；

8、实施；

二、安全风险识别

1、安全威胁的分类：

1）从风险性质来分：

静态风险：人们的错误判断和错误行为造成的风险；

动态风险：人们欲望的变化，生产方式和生产技术的变化产生的风险；

2）从风险结果来分：

纯粹风险：仅仅会造成损害的风险，成为纯粹风险；

投机风险：可能造成利润也可能造成损失的风险；

3）从风险源划分：

①自然事件风险；

②人为风险；

⊙意外的人为事件风险；

⊙有意的人为事件威胁；

-内部窃密和破坏；

-恶意的黑客行为；

-工（商）业间谍；

-恶意代码；

-侵犯个人隐私；

-其他有意的人为事件威胁：截收，冒充，破坏系统的可用性，重放，抵赖；

③软件风险：⊙兼容风险；⊙维护风险；⊙使用风险；

④软件过程风险：

⊙软件需求阶段风险:

首先，要保证软件需求的变化不会持续蔓延，而使系统无法按期完成，另一方面，要保证开发能够为用户所接受；

⊙设计阶段的风险：

设计阶段的主要任务：一方面，要完成系统体系结构的定义，使之能够完成需求阶段既定目标；另一方面，检验需求的一致性和需求分析的完整性和正确性。

设计本身的风险：一种来自于系统分析人员；另一种是来自于设计文档；

⊙实施阶段的风险：

本阶段的风险来源：源代码书写的规范性、可读性。（源代码是文档的一部分，又是计算机系统的实体）

⊙维护阶段的风险：

软件维护的两个阶段：

第一、试运行阶段维护，目的是发现测试阶段未发现的错误；

第二、软件升级或移植维护；

⑤项目管理风险：

项目管理风险的来源：

⊙应用软件产品的不可预见性；

⊙软件的生产过程不存在绝对正确的过程形式；

⊙信息系统应用项目的独特性；

⑥应用风险：

应用相关的风险：⊙安全性；⊙未授权访问或修改数据；⊙未授权远程访问；⊙不精确的信息；⊙错误或虚假信息的输入；⊙授权的终端用户滥用；⊙不完整的处理；⊙重复数据处理；⊙不及时处理；⊙通信系统失败；⊙不充分的测试；⊙不充分的培训；⊙不充分的支持；⊙不充分的文档；

⑦用户风险：包括

⊙不充分的使用资源；⊙不兼容的系统；⊙冗余系统；⊙无效的应用；⊙职责不分明；⊙需求分析不全面；

⊙非授权访问数据或程序；⊙侵犯版权；⊙病毒破坏信息；

三、风险识别与风险评估的方法

1、风险识别常用的方法有：

⊙问询法（头脑风暴法、面谈法）；

⊙财务报表法（各种财务报表和记录）；

⊙流程图法（网络法或WBS法）；

⊙现场观察法；

⊙历史资料（索赔记录及其他风险信息）；

⊙环境分析法（相关方和社会环境变化趋势，可能变更的法律法规）等；

⊙类比法；

⊙专家咨询；

2、风险评估常用的方法：

⊙概率分布（专家预测）；

⊙外推法（使用历时数据）；

⊙定性评估；

⊙矩阵图分析；

⊙风险发展趋势评价方法；

⊙项目假设前提评价及数据准确度评估；

      好了，近一个月整理完成项目管理的基础知识，接下来要进行进一步的组合分析，更加精进。

打卡