當(dāng)今時代，信息技巧飛速發(fā)展，信息網(wǎng)絡(luò)廣泛普及，信息已成為事關(guān)全局的一種戰(zhàn)略資源。但信息技巧也是一把雙刃劍，一方面，極大的方便了人類的生產(chǎn)和生活，網(wǎng)絡(luò)技巧的發(fā)展使得地球成為一個大村：另一方面，由于信息技巧的脆弱性和不完善性，使得在信息的存儲、處理、傳輸過程中很容易被干擾、遺漏和喪失，甚至被泄漏、竊取、修正和冒充，因此，信息安全成為企業(yè)信息化過程中不可或缺的要素。

隨著信息化利用的日益廣泛，企業(yè)的信息系統(tǒng)中存儲的大批有價值的信息和數(shù)據(jù)已成為各種網(wǎng)絡(luò)犯法組織和惡意權(quán)勢的攻擊目標(biāo)，網(wǎng)絡(luò)非法行動日趨復(fù)雜，且更為頻繁，各種攻擊方法相互融合，攻擊手段更為隱秘，損壞性更強，攻擊從網(wǎng)絡(luò)層向利用層遷移。但是，我們也應(yīng)當(dāng)看到，信息安全雖然是由信息技巧問題引起的，但信息安全問題的解決不能夠單純地由技巧問題入手，還得從系統(tǒng)的、管理的角度切入，一個完善的解決安全問題的技巧計劃在現(xiàn)實中是不存在的.而且用信息技巧解決信息技巧的脆弱性和不完善性有可能帶來另外的脆弱性和不完善性。因此.信息安全中的技巧問題是—個要害問題，不能解決全部問題。信息安全界有句名言：三分技巧，七分管理，安全和管理是分不開的。即使有再好的安全設(shè)備和系統(tǒng)，而沒有一套良好的安全管理制度、管理方法并貫徹實行，信息安全問題就是空談。許多呈現(xiàn)信息安全事故的單位，要么是有安全管理制度但沒有履行，要么就是沒有安全管理制度。

一、信息系統(tǒng)的安全風(fēng)險評估

所謂信皂系統(tǒng)的安全風(fēng)險，是指由于系統(tǒng)存在的脆弱性、人為或自然的要挾導(dǎo)致安全事件產(chǎn)生的可能性及其造成的影響。風(fēng)險評估是分析分析斷定風(fēng)險的過程。任何系統(tǒng)的安全性都可通過風(fēng)險的大小來衡量。

網(wǎng)絡(luò)信息系統(tǒng)得安全建設(shè)應(yīng)當(dāng)建立在風(fēng)險評估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在請求，系統(tǒng)主管部門和運營、利用單位都必須做好本系統(tǒng)得信息安全評估工作。只有在建設(shè)的初期，在計劃的過程中，就應(yīng)用風(fēng)險評估、風(fēng)險管理的手段，才可以避免重復(fù)建設(shè)和投資的浪費。信息安全風(fēng)險評估是風(fēng)險平估理論和方法在信息系統(tǒng)中的應(yīng)用，是科學(xué)分析懂得信息和信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的預(yù)防、風(fēng)險的把持、風(fēng)險的轉(zhuǎn)移、風(fēng)險的補償、風(fēng)險的疏散等之間做出決定的過程。所有信息安全建設(shè)都應(yīng)當(dāng)是基于信息安全風(fēng)險評估，只有在正確地、全面地懂得風(fēng)險后，才干在把持風(fēng)險、減少風(fēng)險之間做出正確的斷定，決定調(diào)動多少資源、以什么樣的代價、采用什么樣的應(yīng)對措施去化解、把持風(fēng)險。在風(fēng)險評估中，最終要根據(jù)對安全事件產(chǎn)生的可能性和負(fù)面影響的評估來辨認(rèn)信息系統(tǒng)的安全風(fēng)險。造成信息安全事件的源頭，可以歸為外因和內(nèi)因。外因為要挾，內(nèi)因則為脆弱性。因此，在風(fēng)險評估中要刻意刻畫信息安全事件，就必須對要挾和脆弱性都有深入懂得，這構(gòu)成了風(fēng)險評估工作的要害。

要確保信息網(wǎng)絡(luò)系統(tǒng)得安全高效，就必須建立和完善信息安全風(fēng)險評估機制，也就是要構(gòu)建一個“發(fā)明隱患、制定對策、進(jìn)步強度、后果認(rèn)證”的封閉式、反饋型、非線性的評估系統(tǒng)。同時，信息網(wǎng)絡(luò)在建設(shè)計劃階段必須進(jìn)行風(fēng)險評估以斷定系統(tǒng)的安全目標(biāo)：在工程驗收階段必定要進(jìn)行后果認(rèn)證和風(fēng)險在評估以判定系統(tǒng)得安全目標(biāo)達(dá)成與否：在運行保護(hù)階段要針對安全形勢和問題，進(jìn)行制度化的風(fēng)險評估工作，以斷定安全措施的有效性和決定是否采用隔離或?qū)嵭猩�級舉動，以確保安全保障形勢始終保持在期望的目標(biāo)程度之上。

信息安全風(fēng)險評估有助于信息化建設(shè)的有序開展，增進(jìn)信息安全保障系統(tǒng)得完善，進(jìn)步信息系統(tǒng)的安全防護(hù)才能。其目標(biāo)是借助科學(xué)的評估系統(tǒng)和技巧方法，弄清本單位信息安全的基礎(chǔ)態(tài)勢和網(wǎng)絡(luò)環(huán)境安全狀態(tài)，及時采用或完善安全保障措施，確保信息安全策略和方針在常態(tài)化中得到貫徹與履行。對于企業(yè)具體涵蓋的內(nèi)容來說，首先要明白企業(yè)的哪些資產(chǎn)需要保護(hù)：企業(yè)必須花費時間與精力來首先斷定要害數(shù)據(jù)和相干的業(yè)務(wù)支撐技巧資產(chǎn)的價值。通常，各公司認(rèn)為表述資產(chǎn)的價值是很容易的，但具體如要按級別界定就不那么簡略。對此，就需要用安全廠商與企業(yè)共同制定規(guī)范以斷定需要保護(hù)的資產(chǎn)的安全級別，并為制定切實可行的安全管理策略打下基礎(chǔ)。另外，還需完成要挾辨認(rèn)的任務(wù)：如果企業(yè)想加強競爭實力，必須隨時改良和更新系統(tǒng)和網(wǎng)絡(luò)，但是機會增加常伴隨著安全風(fēng)險的增加，尤其是機構(gòu)的數(shù)據(jù)對更多用戶開放的時候——咽為技巧越先進(jìn)，安全管理就越復(fù)雜。所以企業(yè)為了打消安全隱患，下—步就需要安全廠商與企業(yè)一起必需要對現(xiàn)有的網(wǎng)絡(luò)、系統(tǒng)、利用進(jìn)行相應(yīng)的風(fēng)險評估，斷定在企業(yè)的具體環(huán)境下到底存在哪些和安全隱患。在此基礎(chǔ)上，制定并實行，完成安全策略的義務(wù)分配，設(shè)立安全標(biāo)準(zhǔn)：幾乎所有企業(yè)目前都有策略，只不過許多策略都沒有書面化，只作為完成任務(wù)的一種手段。適當(dāng)?shù)陌踩�策略必須與機構(gòu)的所有業(yè)務(wù)需求直接相干。它基于幾類安全標(biāo)準(zhǔn)。標(biāo)準(zhǔn)分類將使企業(yè)能發(fā)明違背策略的行動，并指出每個區(qū)域的漏洞或潛在安全要挾區(qū)。最后，管理還應(yīng)包含安全廠商與企業(yè)共同組織的對企業(yè)安全管理^員進(jìn)行安全培訓(xùn)，以便保護(hù)和管理全部的實行和運行情況。