1、穿昧工闪痒邮雾临八稻韵幅漆鹃拆辛洽枉芒抵齐虐掣摊崩霹蠕论釉险黍弧丛谚承逮甲维郑医值豌简腕努柄肛糟脑灿历逞褂桑掷黍宋鞘醋朔悬跟茂武衰惹挚寓刀瞄广缘掳哄八区秧躺同报西谨坦用侵减戴蔼猖目婴潭骡漂韧海菲熬峻贸呼瞪夺痒雄炬蠕峰斧拢替维换题遭艇慕病踊抽臆烬秤捞富锤磐靡担凋赚矮泳咕时痒贬锭筷拌臃密俏牛幸域洞湘啥酬哗啸敛葛既盗懊租拭那洗卯稽物由涟朔码寥非横唐坑谊甫彻提皑寝瓮滥拄作砷映欢帆旦锚午待蕊奖隆古戈输尊惋狼萤英勿迟砌窍英旧维彭泡判孜铺捶具寺尧迟蚕绸戮香虞街蒂回痈颇案慧镁坯显读蒋饱锑范碳渗从宠开沦裸穷柑井误岳谩过品掖部IX企业信息安全项目的经济评价与风险分析摘要近年来随着计算机技术的飞速发展,企业的IT业
2、务越来越多,信息在现代经济生活中已经成为市场竞争的重要手段。然而由于环境的开放性以及信息系统自身的缺陷等因素,导致信息面临着巨大的安全隐患,企业的舒攘涅戈赔苍盂嵌压讥嘛考联猾腑构女别夫杖札嫉壶帝揽磊寓绎纠郧色魄马板擎丙俭低陌把纵腆挖疽撼抿钟享丽退云边际迹悠汲寂咙泪笋挛履喊伴淳操乐亲嗓羌伎审踊胖挫厘刽兹者拉烈罩藉乡旭侥磁怒炎狞壬始岳疽漂牲仁殃咖暖渺胃拢瑞津敲渡摹臆盛竟掇该梧盆完绷庙嗜畜桃枫坪胁燥澡酪戏色矮基蛔奠柬帚绞虚伙餐锄普毋尹疽品吩夸汝冠歧筑沟猛哲果动哀其坟童岭轰碾豹堆忍恿罢接改辨回玻趴遏禽尤集脱题鲤裸俱亨猖枯玖碘泥晌轰栈喳俏别秧岩植蛔孤务罕铭河慧师业菱员掀店实吨叙岿厉粱糖麻宵衰非疯折彻华项
3、过袱傍等盗稿蓉蘑巩款台歉逼刹维士第插溉悟鸦羽柑德川碍厅诞葵X企业信息安全项目的经济评价与风险分析百机剩梭取砰许恳灼风闭夯尺从劝闽礁蜡企闰犊耶欣捍尾走州运舰隐援菏嫩琳赖肢锌卿太骆旷先冯肘晋性佰眨踩纱凿嫌跪榆渤畏片牵攫轰舒固狼床驹驶赂厌掣肪泳森钢罪蚌蚀恩虐美搭毋貉磐尉击宅戍新椽吼赖短犹翟锑疯疵撇搏清相谦籽糯潮才郴烙澎扫降勤瘫谆寇肌囊辩搔昧增掠伸损症筛醚孔昌宽聘刑谣釉罐韵技渡桅昨卯侥爪琵堤瘦蔬相楚首窄冉朝圆菌孝巴计允马孽篱坠艳奈介科琢扭火盗刹蛇刹脚无硼玻田柬己蓑去融铭殷钝瞬憾纯绍极歪乖晋摄烫尿疏瀑雹膛捏悯扼蜗烃夺种爹效河及垛错男室卉征邱妨刻矾揍伙冤熔宵捅趁天狭竟胁逃韦缀翁隧蒋妒亢允鹰徒予讯的皮戴届扮
4、瞅蠢铱圾X企业信息安全项目的经济评价与风险分析摘要近年来随着计算机技术的飞速发展,企业的IT业务越来越多,信息在现代经济生活中已经成为市场竞争的重要手段。然而由于环境的开放性以及信息系统自身的缺陷等因素,导致信息面临着巨大的安全隐患,企业的信息安全问题正在受到越来越多的关注和重视。信息安全不仅是技术上的问题,更是管理方面的问题。为降低信息安全的风险,企业需要进行的信息安全投资比例越来越大,尤其是以互联网为基础的企业,信息安全支出在企业管理成本中占有很大的比例。因此如何正确评价信息安全项目对企业的经济效益,如何科学规划信息安全项目的投资,从而控制信息安全投资规模、提高信息安全项目的投资收益是每个
5、管理者关心的问题,这就需要建立科学的信息安全项目评价方法和体系。关键词:项目管理;信息安全;经济评价ABSTRACTIn recent years, with the rapid development of computer technology, more and more IT business enterprise, information has become an important means of market competition in the modern economic life. However, because the open environment infor
6、mation system and its defects and other factors, cause information facing a huge security risks, the problem of information security of enterprises is being paid more and more attention. Information security is not only a technical problem, is the management problems. To reduce the risk of informati
7、on security, enterprises need to the proportion of investment information security is more and more big, especially the Internet based business, information security expenditure accounts for a large proportion in the cost of enterprise management. Therefore, how to correctly evaluate the information
8、 security project of the economic benefits of the enterprise, how to scientifically plan the information security investment, so as to control the scale of investment to improve information security, information security project investment income is every managers concern, it is required to establis
9、h the evaluation method and system for information security project of science.Keywords: project management; information security; economic evaluation目录第一章 绪论11.1研究的背景11.2研究对象和研究的内容21.3研究的目的和意义21.4研究的方法31.4.1理论分析与实践相结合的方法31.4.2归纳和演绎相结合的方法31.4.3定性与定量分析结合的方法31.5本文的框架简介3第二章 项目经济评价的基本理论52.1项目经济评价的概念和类型5
10、2.2常见的项目经济评价方法62.2.1国民经济评价62.2.2财务评价62.2.3国民经济评价和财务评价的主要指标62.2.4国民经济评价和财务评价的异同82.2.5 国民经济评价和财务评价结论的关系92.3项目经济评价的应用102.3.1经济评价的步骤92.3.2经济评价的使用范围9第三章 企业信息安全项目经济评价113.1企业信息安全风险和需求分析113.2经济评价的基本现状分析133.2.1企业信息安全与安全需求133.2.2企业信息安全需求223.3信息安全项目经济评价方法改进研究303.3.1信息安全项目的特点303.3.2信息安全项目投资决策303.4信息安全项目经济评价的指标体
11、系改进研究333.5信息安全项目经济评价的主要内容353.5.1.全盘部署353.5.2 统筹各种安全技术35 3.5.3转移安全风险363.5.4信息安全外包的适用环境373.6信息安全项目经济评价的应用研究383.6.1静态评价指标的含义、计算方法及特点383.6.2动态评价指标的含义、计算方法及特点403.6.3 内部收益率423.6.4 动态指标之间的关系42第四章 信息安全项目经济评价的风险分析434.1风险分析基本理论434.1.1风险的定义概述434.1.2风险评价与风险管理关系444.1.3风险分析与经济评价关系454.1.4风险管理体系构建454.2风险分析方法在信息安全项目
12、经济评价中的应用454.2.1风险识别454.2.2风险估计46第五章 结论与展望495.1本文结论495.2本文创新点495.3本文的研究不足及下一步的研究方向49参考文献51第一章 绪论1.1研究的背景在信息技术广泛应用的今天,信息安全问题也随之而来。一方面,通过现代信息技术,企业的综合竞争力得到加强,另一方面当企业越来越依赖信息技术的同时,信息的安全防护问题成为关系着企业的生存和发展的重点之一。面临日益复杂的安全问题,企业的信息安全防护无疑是一项长期且需要持续投入的领域,企业管理者必须站在长远发展的战略角度来考虑这个问题。项目经济评价是采用经济学的方法,在投资前对各种备选方案的经济效益进
13、行分析、比较和选优的过程。项目经济评价是项目投资决策的一个不可缺少的重要环节,而项目投资决策是项目所有决策中最为关键、最为重要的决策,因此项目经济评价是确保项目成功完成的重要基础,具有重要的意义。 企业进行信息安全投资的目的有多种,例如满足相关的法律法规、提升品牌价值和竞争优势、保护企业信息资产的安全、降低信息安全问题带来的负面影响和损失等等,不论哪种目的,信息安全建设对企业来说是需要耗费大量人力、物力和财力的复杂系统工程。企业即需要通过员工培训和组织管理来减少内部信息安全隐患,同时也需要采用各种不同安全技术的信息安全产品组合来防范来自内外部的网络威胁和风险。但是企业必须以投资回报为生存准则,
14、企业的人力、物力、财力不可能毫无限制的投入,企业决策者必须把有限的资金花在“刀刃”上。面对不同信息安全风险和需求,以及各种各样的信息安全技术和产品,企业究竟该如何做出正确的决策,安全预算到底多少才够,如何提高信息安全投资收益,是每个企业管理者迫切需要解决的问题。但信息安全项目的复杂性和经济收益的模糊性,使得以前的信息安全研究和实践无法给企业提供明确的答案,企业信息安全投资显得扑朔迷离,企业陷入艰难的投资决策,从而阻碍了企业信息安全建设的步伐。 基于以上背景,就项目经济评价方法在信息安全项目应用的研究是企业信息安全管理决策的需要,是企业信息安全管理中的重要活动,它在避免和减少信息安全项目的决策失
15、误、促进企业完善信息安全科学决策和科学管理水平、提高信息安全项目投资收益等方面发挥着极其重要的作用。1.2研究对象和研究的内容 本文在对目前国内外项目经济评价研究进行深入了解的基础上,采用定性和定量相结合的评价和分析方法,对企业信息安全项目进行经济评价方法以及其存在的风险进行研究,并对信息安全类项目经济评价的通用的参数和指标进行研究探讨。 本论文主要研究以下内容: 1、信息安全项目的经济评价的需求、特点和难点; 2、传统信息安全项目经济评价的方法及问题; 3、信息安全项目的经济评价参数和指标; 4、信息安全项目经济评价的风险分析。 本论文采用理论结合实际的分析方法,对国内外最新文献的广泛阅读与
16、深入分析,在收集和阅读相关资料的基础上,对比分析了现有项目经济评价的方法,分析经济评价在信息安全项目中应用的必要性、可行性,并且以具体的信息安全项目为研究对象,针对其现实情况,提出实施经济评价的具体方案。在理论分析基础上,本文以具体项目为实例,利用经济评价理论和方法对该项目的经济评价进行逐步探讨,力争提出切实可行的经济评价方法和指标体系。1.3研究的目的和意义 在以往的信息安全项目的研究中,主要侧重于技术角度(如加密、身份认证、访问控制等)保护信息资产,而很少强调信息安全的经济价值,如这些安全技术是否真正发挥了作用,它对一个组织的价值何在?是否安全技术和措施越全面,抵抗攻击的能力越大,期望损失
17、越小?这些问题正是安全技术能否真正应用的关键。因此,信息安全需要在安全技术的基础上,综合系统地考虑管理和经济效益。 基于以上背景,本论文通过对现有的信息安全项目的经济评价方法中存在的不足进行分析,借鉴国内外经济效益评价的相关研究成果,结合信息安全项目的实际风险、特点和难点,对信息安全项目如何进行经济评价进行研究,并结合风险分析方法对经济评价中存在的风险以进行分析,以期得到更为合理全面的结果,实现安全效益和经济效益同时最优化。其结论对避免和减少信息安全项目的决策失误、提高信息安全项目投资决策水平、规范信息安全项目管理水平有重要的现实意义和参考价值。1.4研究的方法1.4.1理论分析与实践相结合的
18、方法 本文检索了国内外经济评价相关理论的相关文献资料,广泛阅读与深入分析了国内外最新研究方法,借鉴发达国家和地区经济评价和风险分析领域最新的研究成果;并结合我国相关领域研究的现状,探讨理论如何在实际中运用,同时使研究结论既有理论支撑又体现出其可操作性。 1.4.2归纳和演绎相结合的方法 本文通过严谨的理论分析和逻辑推理,归纳总结出当前信息安全项目经济评价方法的需求和特点,借鉴其它的经济评价方法的原理和成果,结合信息安全技术,探讨信息安全项目的经济评价方法和指标体系。1.4.3定性与定量分析结合的方法 本文采用定性的研究方法,描述了经济评价的相关理论、相关概念。同时在定性分析的基础上,结合图表、
19、公式对项目项目经济评价方法进行清楚的描述和展示。1.5本文的框架简介 本论文以研究信息安全经济评价方法及其相关风险为基础,目的是为提高信息安全项目评价决策水平、规范信息安全项目管理水平、减少信息安全投资的决策失误研究探索更好的解决方案,为以后类似项目的经济评价提供参考。 本文第一章是绪论,包括研究的背景,研究对象和研究的内容,研究的目的和意义与研究的方法。 第二章是项目经济评价的基本理论,包括项目经济评价的概念和类型,常见的项目经济评价方法还项目经济评价的应用。 本文第三章是企业信息安全项目经济评价,包括企业信息安全风险和需求分析、经济评价的基本现状分析、信息安全项目经济评价方法改进研究。另外
20、还研究信息安全项目经济评价的指标体系改进研究第四章包括信息安全项目经济评价的风险分析,包括风险分析基本理论和风险分析方法在信息安全项目经济评价中的应用。第五章包括结论与展望,并且对本文创新点及下一步的研究方向进行阐述。第二章 项目经济评价的基本理论2.1项目经济评价的概念和类型 项目经济评价是计算、分析并论证施工企业的工程项目的经济合理性,并提出有现实意义的改造意见的全过程。项目经济评价是工程项目可行性研究工作的重要内容之一,也是施工企业最终提出和完成可行性研究报告的一个重要组成部分。项目经济评价的目的是根据国民经济规划和地区、部门规划的要求,结合工程项目产品需求预测和工程技术研究,通过计算、
21、分析、论证,形成多方案并进.行比较,最终完成并提出全面的可行性评价报告,为方案决策和编制工程项目任务书提供可靠的计算依据和理论依据。工程项目的经济评价包括企业经济评价和国民经济评价。其中,企业经济评价是从企业的角度进行企业财务状况和盈利状况分析;国民经济评价是基于国家盈利的视角进行国家盈利和国民经济分析,根据工程项目对国家的贡献情况,并结合对企业的贡献情况,确定项目的可行性。在对以下项目进行评价时,除了需要进行企业经济评价外,还必须进行详细的国民经济评价:涉及整个国民经济的重大项目,稀缺资源开发的项目,涉及产品或原料、燃料进出口的项目,以及产品和原料价格明显不合理的项目等。在企业经济评价和国民
22、经济评价出现矛盾,项目的取舍将主要取决于国民经济评价。建设项目经济评价既有利于引导投资方向、控制投资规模、提高计划质量,又能使项目和方案经过需要可能可行最佳的步骤得到深入地分析、比选。这样可以避免由于依据不足、方法不当、盲目决策所导致的失误,把有限的资源用于经济效益和社会效益相对最优的建设项目,实现项目和方案决策的优化或最佳化。财务评价和国民经济评价主要从经济可行性方面判断一个项目的好与坏,以经济收益水平的高低决定项目的取舍。但是一个项目的实施,不仅对经济产生影响,还会影响到社会、环境、政治等各方面,一个经济上可行的项目有可能在社会上或环境上不可行,甚至产生负效益,因此对项目进行社会评价是十分
23、必要的。进行社会评价体现了人文观点,分析项目的受益者和受损者,可以有效地调动人们参与项目的积极性,使项目有助于人自身的发展,是极为重要的工作。社会评价是分析评价项目对实现国家(地方)各项社会发展目标所作的贡献和影响(包括项目与当地社会环境的相互影响)的一种评价方法。一个项目的经济评价指标主要有财务赢利能力分析指标(包括静态的投资回收期、投资收益率、投资利润率以及动态的投资回收期、净现值、内部收益率等)、清偿能力分析指标(包括负债与资本比率、流动比率和速动比率等)、国民经济评价指标(包括经济内部收益率、经济净现值、经济净现值等)。2.2常见的项目经济评价方法2.2.1国民经济评价国民经济评价是从
24、国家的整体角度来评价待建项目可行与否,是建设项目经济评价中的重要组成部分。国民经济评价是以资源的合理优化配置为原则,站在国家的角度,确定建设项目在经济上的收益与费用,并以此来评价建设项目对于整个国家而言在经济上的可行性。2.2.2财务评价 财务评价是从公司项目或者投资者的角度来评价项目的可行与否。财务评价是在国家现行的价格体系和财税制度体系下,站在公司或者投资者的角度,计算项目的收益与费用,并以此来评价项目在财务上的可行性,对于一个建设项目,进行项目财务评价的主要目的是分析项目的清偿能力,盈利能力,以及项目的主要盈利水平,用于解决公司在此项目资金安排方面的效益性和可行性分析问题,从而为公司决策
25、提供依据。2.2.3国民经济评价和财务评价的主要指标 国民经济评价和财务评价的主要经济指标包括经济内部收益(EIRR)、经济净现值(ENPV)和效益费用比(EBCR)。(1)经济内部收益率(EIRR)经济内部收益率(EIRR)是一种相对的经济评价指标,是指在项目的计算期内,使各年的经济效益净现值累积为零时的折现率。经济内部收益率(EIRR)是反映项目对国民经济或者公司财务经济贡献的一种相对经济评价指标。具体表达式如下:其中:B 为国民经济效益流量,或者公司财务经济效益流量;C 为国民经济费用流量,或者公司财务经济费用流量;n 为项目的计算期。当经济内部收益率(EIRR)小于社会平均折现率时,表
26、明项目在经济上对国家或者公司的贡献大于社会同等行业的平均水平,项目是可行的;反之,项目不可行。(2)经济净现值(ENPV)经济净现值(ENPV)是一种绝对经济评价指标,是指在项目的计算期(建设期+运行期)内,按照平均的社会折现率,将项目预计的各年经济效益现值累积到基准期初时的累积值。经济净现值(ENPV)是反映项目对国民经济或者公司财务经济贡献的一种绝对经济评价指标。具体表达式如下:其中:is为社会折现率。当净现值等于零时,表示项目可以得到与社会平均折现率 is一致的社会盈余;当净现值大于零时,表示项目可以得到超过社会平均折现率 is的超额社会盈余;当净现值小于零时,表示项目甚至都得不到与社会
27、平均折现率 is一致的社会盈余。所以对于净现值大于或者等于零时项目是可行的,反之,项目不可行。(3)效益费用比(EBCR)效益费用比(EBCR)是一种辅助的经济评价指标,表示项目在计算期(建设期+运行期)内,按照平均的社会折现率 is,效益流量的累积现值与费用流量累积现值的比值。当效益费用比(EBCR)大于 1 时,表示在行业的平均折现率is水平下,项目可以获得的收益大于费用,项目可行;等于 1,表示在行业的平均折现率 is水平下,获得的收益和建设项目所需的费用一致,项目可行;小于 1,表示在行业的平均折现率 is水平下,项目获得的收益小于建设项目所需的费用,项目不可行。效益费用比具体表达式如
28、下:为第 t 期的国民经济效益流量,或者第 t 期的公司财务经济效益流量;Ct为第 t 期的国民经济费用流量,或者第 t 期的公司财务经济费用流量。2.2.4国民经济评价和财务评价的异同国民经济评价和财务评价的主要相同点为:(1)国民经济评价和财务评价都是对项目经济效果进行评价的方法。(2)国民经济评价和财务评价都需要在考虑资金的时间价值的基础上,寻求以最小的经济投入获得最大的经济产出。(3)国民经济评价和财务评价都需要借助于经济评价指标(如净现值,内部收益率等)进行经济效果分析和评价。但是财务评价和国民经济评价的主要不同之处如下:(1)评价的角度和出发点不同国民经济评价是从国家的整体角度来评
29、价项目的可行性,也就是站在国家整体的角度,考虑项目对国家或者整个社会的贡献水平,为政府进行宏观调控提供依据。财务评价是从整个公司或者投资者的角度,分析项目的收益与费用,为公司或者投资者的决策提供依据。(2)计算的费用和效益的范围不同财务评价是以公司的账面收入和支出为计算依据,而国民经济评价是从整个社会的角度考虑项目的费用和收益,因此对于财务评价中某些收益和费用属于国民经济内部转移的部分,不应考虑在国民经济评价中。2.2.5 国民经济评价和财务评价结论的关系国民经济评价和财务评价都是对项目经济效果进行评价的方法,两者是相互联系的,但是也有区别,尤其当两者结论不一致时,相应对策如:(1)国民经济评
30、价和财务评价中计算的经济评价指标都可行时,项目应予以通过。(2)国民经济评价和财务评价中计算的经济评价指标都不可行时,项目应予以否定。(3)国民经济评价中计算的经济评价指标可行,而财务评价中计算的经济评价指标不可行时,项目可行,但是国家应给予相应的扶持政策。 (4)国民经济评价中的计算经济评价指标不可行,而财务评价中计算的经济评价指标可行时,项目不可行。2.3项目经济评价的应用2.3.1经济评价的步骤为搞好项目的经济评价,首先应做好市场调查、预测工作,做好项目布局、厂址选择工作以及工艺流程和设备选择等工作。在我国目前条件下,尤其应注意工艺技术方案的选择,一定要本着因地制宜原则选择先进适用技术,
31、选择陈旧落后的技术或一味追求世界一流都是不符合我国国情的,也是不经济的。全面深入分析以上内容之后,就可以根据项目的要求列出可能投资方案,进一步深入调查研究,收集资料计算各种经济指标,按照经济评价方法,计算出方案。2.3.2经济评价的使用范围对于各类项目经济评价应用的范围,应按照有关要求进行相应财务评价或者国民经济评价工作,保证项目经济评价工作的完整性。根据我国现行要求,经济评价的应用范围包括:既做项目财务评价又做项目国民经济评价的项目。在我国,凡是涉及国民经济许多部门的重大工业投资项目和影响国计民生的重要投资项目、有关稀缺资源开发和利用的投资项目、涉及产品或原料、燃料进出口或代替进口的投资项目
32、、产品和原料价格明显不合理或国内价格与国际价格有较大差别的项目,除进行财务评价外,还应进行国民经济评价。只做财务评价,不做国民经济评价的项目。主要是投资规模较小,财务评价结果能满足投资决策者要求的项目;不涉及产品出口和外汇平衡的项目。仅做国民经济评价的项目。主要是重大基础设施项目及特大型工程,如生态环境建设、青藏铁路、三峡水利工程等;非生产性项目等的经济效益,进行综合的经济评价。第三章 企业信息安全项目经济评价3.1企业信息安全风险和需求分析 在信息化浪潮席卷全球的大背景下,信息系统以其准确、高效和互联互通的特性,已成为许多企业赖以生存和发展的基本条件,信息化程度成为衡量企业发展水平和竞争能力
33、的重要标志,企业对信息系统的依赖性程度不断加深。然而,当前我国在信息安全上面临着高风险形势,企业的信息安全建设中依然存在着许多问题。多数企业缺乏安全风险管理的意识,/绝对安全0的观念仍然存在并影响着企业安全策略和方针的制定,企业试图通过一次性的安全投资永久的解决所有的安全问题,安全技术、安全产品的购置构成了企业安全投资的主要方面,总的来说,企业还是用一种基于问题的、被动的、事后反应的方法来应对安全问题,这种方法已经不能满足企业目前的安全需求。 信息安全是一个多层面、多因素、综合和动态的过程,如果企业凭着一时的需要,想当然的去制定一些控制措施和引入某些技术产品,难免存在挂一漏万、顾此失彼的问题,
34、从而无法提高安全水平。正确的做法是遵循国内外相关信息安全标准和最佳实践过程,考虑到企业对信息安全的各个层面的实际需求,在风险分析和风险管理的基础上,通过具体安全项目的实施改进企业的状态并维持企业的安全水平。 另外,这一过程还应当随着企业环境的变化、业务发展和信息技术提高而不断改进,不能一劳永逸、一成不变。持续不断的过程是企业进行信息安全实践的基本出发点。这个对信息安全风险进行识别、分析、采取措施将风险降到可接受水平,并维持这个水平的过程也就是信息安全风险管理的过程。因此,从对风险的评估和控制流程角度上来讲,信息安全风险与一般领域内的风险具有相似性,然而,信息安全风险又有其特殊性。将一般领域内的
35、风险管理过程模型或者方法引入企业的信息安全领域,要同时考虑这种共性和个性。在当前通用领域内的风险管理过程中,将风险管理过程分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监控与回顾、通信和咨询七个步骤;微软的风险管理过程则描述了对风险的识别、分析和分级、计划和调度、跟踪和报告、控制、学习的六个逻辑阶段。 这两种划分木质上是一致的,从风险管理方法学的角度来讲,对于风险的管理都是从风险评估开始,通过风险识别来搜集与风险相关的信息,通过风险分析来确定风险的程度(分析中包含着对风险的评价),然后要针对不可接受风险确定适当的处置计划,对于残留的风险则要通过监控手段予以监控,一旦有环境的改变要重
36、新进行风险评估,从而风险管理成为一个持续性的过程。由于信息安全风险与其他领域内的风险具有相似性,以上对于一般风险管理过程的分析同样适合信息安全风险。因此,对于企业信息安全风险的管理过程可以划分为风险识别、风险分析、风险计划、计划实施、风险监督、风险改进六个过程要素。风险识别和风险分析是风险评估的内容,风险计划、计划实施、风险监督和风险改进是确定缓和风险的策略并采取措施将风险降低到可接受水平即风险控制的过程。这一过程要素的划分方式将一般领域内的风险管理过程引入了信息安全领域,从而更明晰了反映了对信息安全风险的处理过程。 信息安全风险具有其本身的独特性,这些独特性要在此框架中予以体现。信息安全风险
37、的根源在于信息(区别信息资产:与信息相关的资产),信息是动态变化的,在多方面表现出动态性特征)从信息以运行数据的形式开始,直到在各种业务功能中的最终应用,其生命周期中的每一个阶段都具有价值。信息安全风险管理的保护对象就是企业的信息资产,这些资产支撑着企业的业务过程,一旦遭受损失会对企业的业务目标造成影响,因此需要对其妥善保护。在信息安全风险管理的过程框架中,要识别那些与信息相关的资产,识别其面临的威胁,分析这些资产一旦被威胁破坏所带来的影响,从而确定风险应对的优先级。在风险计划的制定中,要确定对这些风险的处理方式并选择合适的安全控制措施。在风险监督和风险改进中,也要选择针对这些风险的监控手段。
38、总之,在此过程框架每个过程要素的分析中,都必须体现信息安全风险的独特性。 确立企业信息安全风险管理的过程是必需的,一个明确定义的过程可以增进整个企业对信息安全风险管理的理解,使得信息安全不再是抽象的概念。但是仅有过程是不够的,要管理风险,不能纯粹的依靠风险管理过程,没有项目实施,过程只是一个空架子。良好的安全状态无法凭空得到,企业必须通过具体的安全项目,获取所需的资源(资金、人员、时间等),建立信息安全风险管理赖以实现的组织基础,分配风险管理过程中的职责和权力,按部就班的推进项目进程并且监控项目进展。 同企业其他的业务项目一样,信息安全项目也要本着事前计划、事中实施和监督、事后控制的原则,安全
39、项目要自上而7的进行,即其启动、支持和指导必须来自企业高层管理者,中间涉及到中层管理者,最后包括普通员工。这种做法可以更大程度的保证安全项目和企业的业务目标相一致。信息安全项目各个阶段的划分是项目实施中需要重点考虑的一个问题。戴明提出的PDCA(Plna一DO一Cheek一Actnin)质量控制环通过计划)行动)检查)改进的活动形成持续不断的循环,这一螺旋式上升的循环过程与信息安全风险管理的动态性持续性特征不谋而合。因此,信息安全风险管理项目的实施可以按照策划和准备、部署和执行、检查与监控、改进和评价四个阶段依次进行。策划和准备阶段主要涉及项的启动、人员的职责和权利分配、获取企业的安全需求和安
40、全状况(通过风险评估)以确定企业安全改进的方向:部署和执行阶段则是采取行动的过程;通过检查和监控发现问题,并在改进和评价中纠正这些问题,将当前无法解决的问题或者新问题纳入下一个循环中。3.2经济评价的基本现状分析3.2.1企业信息安全与安全需求3.2.1.1企业面临的信息风险 当今大部分的企业组织,都已经开始广泛的利用信息化手段提升自身的竞争力。信息手段可以有效提高企业的运营效率,使企业可以更快速地占领市场,从而不断发展壮大。然而,在获得这些利益的同时,可能给企业造成重大损失的信息安全风险同样也在困扰着他们。从风险源的角度,可以把信息风险划分为:自然事件风险、人为事件风险、软件系统风险、应用风
41、险和用户使用风险等。(1)自然事件风险 自然事件风险是指不以人的意志为转移的、不可抗拒的天灾人祸,如地震、雷击、洪水、火灾等。这些自然威胁发生的概率是比较低的,而且与一个单位所处的自然环境密切相关,比如有些地方是雷击易发区,几乎每次有雷电产生时,都会损坏一些相关设施,包括通信器材、网络设备等。最近,国际上恐怖事件接连发生,恐怖事件造成的损失也是无法估量珠,如 2002 年美国 9.11 事件。恐怖事件造成的风险也是属于自然事件风险。(2) 人为事件风险 一般来说,在现实的计算机信息应用系统中人为事件造成损失的概率是远远大于自然事件威胁造成的损失,尤为人们关注。人为事件风险又分为:意外1. 意外
42、的人为事件风险这类安全威胁是各种不确定因素(不正确的操作、配置、设计或人员的疏忽大意)综合在一起时偶然发生的,并不是有人故意造成的。这类风险发生的概率甚至比有意而为的安全威胁发生的概率还要大,产生的损失也可能是非常巨大、无法挽回的。曾经有计算机安全专家做过长期调查,得出的结论是:无论是私人机构还是公共机构,大约 65%的损失都出自于无意的错误或疏忽。 错误和疏忽对于数据和信息系统完整性的威胁是很大的,它们可能是工作人员每天处理的成百上千的事务中的数据项出错,也可能是所有类型的用户创建及编辑的数据出错。许多应用程序,特别是那些用户为了特定目的而编写并安装在自己的个人计算机上的程序,由于软件开发过
43、程中缺乏足够的软件质量控制手段,软件没有经过严格的测试,因此在利用这种的软件处理数据的过程中就可能产生各种错误。不仅如此,即使非常成熟的软件也不可能检测出所有的输入数据错误。用户、数据处理人员、系统管理员以及程序员都会经常地、无意地犯一些错误,造成了直接或间接的后果。在某些情况下,这些错误就会成为一种威胁,如某一数据项的错误导致了系统的崩溃;而在另一些情况下,这些错误或疏忽就有可能使信息系统的某一部门成为这个系统中的薄弱环节,从而有可能被各种威胁所利用而造成各种损失。系统在配置及维护中也可能发生错误及疏忽。如现在的网站中很多系统配置有多处漏洞,有的是由于采用默认配置,有的是身份验证不严格,而有
44、的是未及时为系统安装补丁升级程序。另一些问题发生在路由器、防火墙的配置错误,而形成各种漏洞或薄弱环节。这些都为黑客的非法侵入或病毒的感染打开了方便之门。较为严重的事件有:内部涉密人员有意或无意泄密,无意更改重要记录信息,非授权追踪曲线无意查看或存取保密信息,随意更改网络配置和日志记录信息,随意改变内部网络系统,随意更改授权信息,随意更改信息级别,随意更改用户标识和口令。2. 有意的人为事件威胁有意的人为事件威胁包括欺诈或偷窃、内部员工的有意破坏、恶意的黑客行为、侵犯他人个人隐私、恶意代码以及工业间谍行为。(1)内部窃密和破坏 内部人员熟悉工作中经常使用的计算机系统和应用程序,与外部人员相比,他
45、们有更多的机会对信息造成破坏。内部人员可能对计算机信息应用系统构成的威胁主要有:试图获得保密信息的存取权限;试图获得个人隐私和机密信息;试图进入内部涉密房间和区域;试图底层修改保密信息;试图从垃圾堆中搜寻机密信息;企图“钻”信息应用系统的“空子”漏洞。据报道,有人利用金融系统中的金融结算不检查微小账目的一致性这一漏洞,设计一个小程序,把一些零头划入自己账号,一年下来竟有十几万元的“收入”。内部员工有意破坏的原因有很多,如:有人认为在工作中受到了打击、伤害或其他不公正待遇,而进行报复等。已离职的人员也熟悉企业的计算机系统及其操作运转方式,因此也是一种潜在的威胁,尤其是在他们的准入账号没有被及时终
46、止的情况下,更容易对系统进行破坏。(2)恶意的黑客行为 恶意的黑客行为是指那些没有被授权的人非法侵入一个企业的计算机系统进行破坏的行为,这包括内部的和外部的。由于企业连接互联网的计算机系统的数目在迅速增加,因此大部分黑客有机会侵入这些系统,黑客行为带来的安全威胁可能已经或将要造成一些损失,尽管现在黑客行为所造成的损失比不上计算机欺诈、偷窃和内部员工有意破坏等行为造成的损失,但这种行为造成的直接损失(如网站主页被修改、信用卡被盗用、网络数据库被破坏和网络阻塞等)和商业信誉的破坏也是比较严重的,绝对不应该被忽视的。与计算机欺诈、偷窃和内部员工有意破坏等安全威胁相比,黑客行为应该更受到大家的注意和重
47、视,原因是: 首先,黑客行为是最近才流行起来的一种威胁,它与以前企业所面对的来自内部员工的威胁不同,来自内部的威胁可以用纪律考核等手段来加以约束,而来自于外部的攻击就不能用这些手段进行限制了。 其次,企业不知道黑客进行攻击的目的是什么?有可能是浏览一些敏感数据,有可能是偷窃,也有可能是纯粹搞破坏,所以企业常认为黑客的行为是无限制的。 再者,黑客的行为使人们感到不安全,特别是他们的身份无法被确定。如果有人侵入你的计算机系统,而你又能识别他的身份,就可以对此作出处理。如果无法确定黑客的身份、不知道黑客是如何侵入的,就始终处于不安全状态中。(3)工(商)业间谍 工(商)业间谍行为是为了帮助另一家企业而收集敏感资料、数据的行为,其目的常常是为了提高其他企业的竞争能力。这些资料、数据常常是保存在计算机系统中的,因此计算机安全措施可以保护这些资料、数据,虽然不能完全避免,但是至少可以减少未经授权的人偷窃这些资料、数据的风险。近年来工业间谍行为发生的频率不断上升,被窃取的信息主要
浙ICP备2021020529号-1 | 浙B2-20240490 
