● 摘要
随着民航自动化应用的迅速发展,民航机场越来越依赖于信息技术和服务。信息的保密性、完整性和可用性成为企业信息安全保障的核心。企业的信息安全管理是一个动态的复杂过程,它涉及到许多方面,贯穿于信息系统的整个生命周期。信息安全管理的本质是风险管理,这是因为没有绝对的安全也没有彻底的风险,安全和风险密不可分。所谓的安全信息系统,就是通过最优的风险管理策略,把信息系统上客观存在的风险,逐步降低到一个可以接受的程度。而风险评估是风险管理的第一步工作,是保障信息安全的重要手段,其作用被越来越多的人所认可。信息安全风险评估实际上就是根据有关的信息安全测评标准,对信息资产存在的脆弱性、面临的威胁以及脆弱性被威胁利用会产生的负面影响和危害事件发生的可能性,进行科学评价的过程。对信息安全风险而言,脆弱性和威胁是原因,负面影响和可能性是结果。本文以有关信息安全的国际标准为理论基础,提出了以风险管理为核心理念的信息安全风险评估模型,详细论述了以该模型为主导的风险评估方法。在信息安全风险评估模型的基础上,研究了成都双流国际机场信息系统内风险评估的资产、脆弱性、威胁的详细定义、分类及属性,通过调查统计,给出了风险等级表,作为各资产评估的依据。在已有风险防范措施的基础上进行了安全风险综述,技术安全风险分析,管理安全风险分析,对目前成都双流国际机场信息系统做了比较详细的安全评估。根据风险等级,并综合考虑成都双流国际机场安全风险评估对象的重要性等级、威胁源及威胁程度、脆弱性、现有控制措施有效性,以及可能产生的风险后果,依据信息等级保护三级要求,完成了机场信息系统安全风险控制对策。
相关内容
相关标签