當(dāng)今時(shí)代，信息技巧飛速發(fā)展，信息網(wǎng)絡(luò)廣泛普及，信息已成為事關(guān)全局的一種戰(zhàn)略資源。但信息技巧也是一把雙刃劍，一方面，極大的方便了人類的生產(chǎn)和生活，網(wǎng)絡(luò)技巧的發(fā)展使得地球成為一個(gè)大村：另一方面，由于信息技巧的脆弱性和不完善性，使得在信息的存儲(chǔ)、處理、傳輸過(guò)程中很容易被干擾、遺漏和喪失，甚至被泄漏、竊取、修正和冒充，因此，信息安全成為企業(yè)信息化過(guò)程中不可或缺的要素。

隨著信息化利用的日益廣泛，企業(yè)的信息系統(tǒng)中存儲(chǔ)的大批有價(jià)值的信息和數(shù)據(jù)已成為各種網(wǎng)絡(luò)犯法組織和惡意權(quán)勢(shì)的攻擊目標(biāo)，網(wǎng)絡(luò)非法行動(dòng)日趨復(fù)雜，且更為頻繁，各種攻擊方法相互融合，攻擊手段更為隱秘，損壞性更強(qiáng)，攻擊從網(wǎng)絡(luò)層向利用層遷移。但是，我們也應(yīng)當(dāng)看到，信息安全雖然是由信息技巧問題引起的，但信息安全問題的解決不能夠單純地由技巧問題入手，還得從系統(tǒng)的、管理的角度切入，一個(gè)完善的解決安全問題的技巧計(jì)劃在現(xiàn)實(shí)中是不存在的.而且用信息技巧解決信息技巧的脆弱性和不完善性有可能帶來(lái)另外的脆弱性和不完善性。因此.信息安全中的技巧問題是—個(gè)要害問題，不能解決全部問題。信息安全界有句名言：三分技巧，七分管理，安全和管理是分不開的。即使有再好的安全設(shè)備和系統(tǒng)，而沒有一套良好的安全管理制度、管理方法并貫徹實(shí)行，信息安全問題就是空談。許多呈現(xiàn)信息安全事故的單位，要么是有安全管理制度但沒有履行，要么就是沒有安全管理制度。

一、信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估

所謂信皂系統(tǒng)的安全風(fēng)險(xiǎn)，是指由于系統(tǒng)存在的脆弱性、人為或自然的要挾導(dǎo)致安全事件產(chǎn)生的可能性及其造成的影響。風(fēng)險(xiǎn)評(píng)估是分析分析斷定風(fēng)險(xiǎn)的過(guò)程。任何系統(tǒng)的安全性都可通過(guò)風(fēng)險(xiǎn)的大小來(lái)衡量。

網(wǎng)絡(luò)信息系統(tǒng)得安全建設(shè)應(yīng)當(dāng)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在請(qǐng)求，系統(tǒng)主管部門和運(yùn)營(yíng)、利用單位都必須做好本系統(tǒng)得信息安全評(píng)估工作。只有在建設(shè)的初期，在計(jì)劃的過(guò)程中，就應(yīng)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。信息安全風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)平估理論和方法在信息系統(tǒng)中的應(yīng)用，是科學(xué)分析懂得信息和信息系統(tǒng)在機(jī)密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的預(yù)防、風(fēng)險(xiǎn)的把持、風(fēng)險(xiǎn)的轉(zhuǎn)移、風(fēng)險(xiǎn)的補(bǔ)償、風(fēng)險(xiǎn)的疏散等之間做出決定的過(guò)程。所有信息安全建設(shè)都應(yīng)當(dāng)是基于信息安全風(fēng)險(xiǎn)評(píng)估，只有在正確地、全面地懂得風(fēng)險(xiǎn)后，才干在把持風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)之間做出正確的斷定，決定調(diào)動(dòng)多少資源、以什么樣的代價(jià)、采用什么樣的應(yīng)對(duì)措施去化解、把持風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)評(píng)估中，最終要根據(jù)對(duì)安全事件產(chǎn)生的可能性和負(fù)面影響的評(píng)估來(lái)辨認(rèn)信息系統(tǒng)的安全風(fēng)險(xiǎn)。造成信息安全事件的源頭，可以歸為外因和內(nèi)因。外因?yàn)橐獟�，�?nèi)因則為脆弱性。因此，在風(fēng)險(xiǎn)評(píng)估中要刻意刻畫信息安全事件，就必須對(duì)要挾和脆弱性都有深入懂得，這構(gòu)成了風(fēng)險(xiǎn)評(píng)估工作的要害。

要確保信息網(wǎng)絡(luò)系統(tǒng)得安全高效，就必須建立和完善信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，也就是要構(gòu)建一個(gè)“發(fā)明隱患、制定對(duì)策、進(jìn)步強(qiáng)度、后果認(rèn)證”的封閉式、反饋型、非線性的評(píng)估系統(tǒng)。同時(shí)，信息網(wǎng)絡(luò)在建設(shè)計(jì)劃階段必須進(jìn)行風(fēng)險(xiǎn)評(píng)估以斷定系統(tǒng)的安全目標(biāo)：在工程驗(yàn)收階段必定要進(jìn)行后果認(rèn)證和風(fēng)險(xiǎn)在評(píng)估以判定系統(tǒng)得安全目標(biāo)達(dá)成與否：在運(yùn)行保護(hù)階段要針對(duì)安全形勢(shì)和問題，進(jìn)行制度化的風(fēng)險(xiǎn)評(píng)估工作，以斷定安全措施的有效性和決定是否采用隔離或?qū)嵭猩��?jí)舉動(dòng)，以確保安全保障形勢(shì)始終保持在期望的目標(biāo)程度之上。

信息安全風(fēng)險(xiǎn)評(píng)估有助于信息化建設(shè)的有序開展，增進(jìn)信息安全保障系統(tǒng)得完善，進(jìn)步信息系統(tǒng)的安全防護(hù)才能。其目標(biāo)是借助科學(xué)的評(píng)估系統(tǒng)和技巧方法，弄清本單位信息安全的基礎(chǔ)態(tài)勢(shì)和網(wǎng)絡(luò)環(huán)境安全狀態(tài)，及時(shí)采用或完善安全保障措施，確保信息安全策略和方針在常態(tài)化中得到貫徹與履行。對(duì)于企業(yè)具體涵蓋的內(nèi)容來(lái)說(shuō)，首先要明白企業(yè)的哪些資產(chǎn)需要保護(hù)：企業(yè)必須花費(fèi)時(shí)間與精力來(lái)首先斷定要害數(shù)據(jù)和相干的業(yè)務(wù)支撐技巧資產(chǎn)的價(jià)值。通常，各公司認(rèn)為表述資產(chǎn)的價(jià)值是很容易的，但具體如要按級(jí)別界定就不那么簡(jiǎn)略。對(duì)此，就需要用安全廠商與企業(yè)共同制定規(guī)范以斷定需要保護(hù)的資產(chǎn)的安全級(jí)別，并為制定切實(shí)可行的安全管理策略打下基礎(chǔ)。另外，還需完成要挾辨認(rèn)的任務(wù)：如果企業(yè)想加強(qiáng)競(jìng)爭(zhēng)實(shí)力，必須隨時(shí)改良和更新系統(tǒng)和網(wǎng)絡(luò)，但是機(jī)會(huì)增加常伴隨著安全風(fēng)險(xiǎn)的增加，尤其是機(jī)構(gòu)的數(shù)據(jù)對(duì)更多用戶開放的時(shí)候——咽為技巧越先進(jìn)，安全管理就越復(fù)雜。所以企業(yè)為了打消安全隱患，下—步就需要安全廠商與企業(yè)一起必需要對(duì)現(xiàn)有的網(wǎng)絡(luò)、系統(tǒng)、利用進(jìn)行相應(yīng)的風(fēng)險(xiǎn)評(píng)估，斷定在企業(yè)的具體環(huán)境下到底存在哪些和安全隱患。在此基礎(chǔ)上，制定并實(shí)行，完成安全策略的義務(wù)分配，設(shè)立安全標(biāo)準(zhǔn)：幾乎所有企業(yè)目前都有策略，只不過(guò)許多策略都沒有書面化，只作為完成任務(wù)的一種手段。適當(dāng)?shù)陌踩�策略必須與機(jī)構(gòu)的所有業(yè)務(wù)需求直接相干。它基于幾類安全標(biāo)準(zhǔn)。標(biāo)準(zhǔn)分類將使企業(yè)能發(fā)明違背策略的行動(dòng)，并指出每個(gè)區(qū)域的漏洞或潛在安全要挾區(qū)。最后，管理還應(yīng)包含安全廠商與企業(yè)共同組織的對(duì)企業(yè)安全管理^員進(jìn)行安全培訓(xùn)，以便保護(hù)和管理全部的實(shí)行和運(yùn)行情況。