论文摘要：企业信息系统安全风险评估的研究与实践

随着信息安全技术的不断发展，某航空企业总部信息系统所面对的安全隐患增加，信息的安全性、完整性、保密性、抗抵赖性等都无法通过现有的安全防护体系得到解决。因此需要对企业的信息系统安全属性进行风险评估，对其安全现状进行总结，以作为发掘系统安全需求及进行系统安全建设与加固的基础依据。本文以该航空企业信息系统的重要资产为研究对象，分析重要资产所具有的脆弱点及所面临的威胁，计算企业信息系统所面临的风险，划分风险等级。同时给出风险管理策略及应对措施的建议。 本文主要采用定量与定性相结合的分析方法和等级防护的思路。通过现场调查及访谈的方式确定重要资产，并依据资产的安全性、可用性、完整性的重要程度对重要资产进行赋值；采用问卷调查、工具检测、渗透测试等来进行脆弱性识别，并依据脆弱性的严重程度对脆弱性进行赋值；通过调查问卷、IDS/IPS、日志分析进行威胁识别，并依据威胁所发生的频率对威胁进行赋值。以资产、脆弱性、威胁三要素之间的关系来分析安全事件发生的可能性及安全事件发生后的损失，采用相乘法来计算企业信息系统所面临的风险值，并参照国家风险评估标准及管理规范划分了风险等级，给出风险列表。通过对该航空企业信息系统有效的安全风险评估，明确了某航空企业信息系统所面临的安全风险及风险的严重程度，为后面的信息系统安全建设提供了方向，为信息系统运行的稳定及信息的安全做出了贡献。

来源：半壳优胜育转载请保留出处和链接！

本文链接：http://87cpy.com/208200.html