健康风险评估系统 浅谈石化企业信息系统的安全风险评估.doc

健康风险评估系统 浅谈石化企业信息系统的安全风险评估 导读：就爱阅读网友为您分享以下“浅谈石化企业信息系统的安全风险评估”的资讯，希望对您有所帮助，感谢您对92的支持! 浅谈石化企业信息系统 的安全风险评估 ■　于慧龙 ２００３年９月，中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（简称２７号文）。２７号文在分析了我国当前信息安全保障工作基本状况的基础上，提出了针对基础信息网络和重要信息系统加强信息安全保障工作的总体要求和主要原则，并对下一步信息安全保障工作做了全面部署，信息安全风险评估就是其中重要的基础性工作之一。黄菊副总理也在２００４年１月９日召开的《全国信息安全保障》会议上指出：“要开展信息安全风险评估和检查，根据风险评估的结果，进行相应 等级的安全建设和管理。”可见国家对信息安全风险评估工作的重视，更进一步明确了信息安全风险评估在国家信息安全保障工作中的重要地位。 石油化工是国民经济的重要领域，其信息技术的应用一直随着社会和技术的进步处于变革和发展之中。近几年来，国内的大型石油化工企业为了提高自己的竞争能力和实力，在全国范围内建立完成了一系列具有现代化企业特色的信息系统，为自己的生产和经营创造了更好的环境。然而，网络带来效益的同时也必然面临着网络上存在的各种各样的威胁，竞争对手、黑客、病毒、蠕 信息系统的安全风险，是指由于系统本身存在的脆弱性、人为或自然虫等时时刻刻都可能对这些系统造成重大的破坏和影响。因此，石油化工企业信息系统的安全和稳定成为支持整个行业生产和办公等业务正常运转的基础。作为国家信息安全保障重点要求的对象之一，如何真正做好“积极防御，综合防范”？如何选择有效的安全措施进行防护？首先对信息系统进行安全风险评估是最佳的选择。 风险评估的概念及意义 威胁所导致的安全事件发生的可能性及其造成的影响。信息安全风险评估（以下简称：风险评估），则是指依据有关信息安全技术标准，对信息系统（及由其处理、传输和存储的信息）的必威体育官网网址性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信　息系统的安全风险。 信息安全是一个动态的复杂过程，它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据风险评估的结果为信息系统选择适当的安全措施，妥善应对可能发生的风险。由于人们的认识能力和实践能力是有局限性的，因此，信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性，使信息系统在现实环境中，总要面临各种人为或自然的威胁，存在安全风险也是必然的。信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下通过安全措施来控制风险，使残余风险降低到可接受的程度。 信息系统安全风险评估是企业风险管理的重要组成部分和关键环节，所有信息系统的安全建设都应该首先