浅析信息系统风险管理

摘　要：随着网络化的不断扩大，信息系统安全问题已成为国际、国家、社会、企业各领域关注的问题。信息系统安全问题在很大程度上由于风险的存在，因此，风险管理是确保信息系统安全的最重要因素。本文主要对信息系统动态风险管理模型、信息系统人为因素导致的风险的管理和基于风险评估和等级保护的信息安全管理体系建设进行分析。信息系统风险管理必须根据实际情况来进行风险评估和风险防止，从而确保信息系统的安全性，进而为企业安全运行提供了基础保障。

关键词：信息系统；风险；风险评估；风险防止
　　信息系统是企业实现信息化的最要标准，信息系统的建立为企业的经营带来了很大的便捷。然而信息系统安全问题一直是阻碍企业实现信息化的重要因素。信息系统具有以下特点：信息系统很脆弱，容易被攻击；不能够及时地发现和防止攻击发生；无论是在数量上还是在质量上，入侵都呈现快速增长趋势；网络在规模和复杂程度上在不断地进行扩展，而在其过程中很好考虑安全问题；没有充分重视信息系统安全导致的巨大损失等等。正是由于信息系统自身的这些特点，从而引发了很多风险，为信息系统的安全埋下了很多隐患。
1.信息系统动态风险管理模型
1.1基于态势评估的风险预警、防范与控制
　　态势评估值能够反映系统安全与否，也可以反映出信息系统威胁程度，对信息系统的威胁的严重程度可以通过当前态势值和正常状况下态势值的产值来进行判断。由于计算安全态势值是实时的，因此，其也能够起到实时监控。过去和当前的信息系统安全状况可以通过评估来判断，并且能够为信息系统管理者提供预警机制。通过态势评估，信息系统管理员能够清楚地获得到信息系统攻击的威胁程度，将信息系统安全状态能够清楚的把握好，从而为其做出相应的防范措施提供依据。基于态势评估的风险预警、防范与控制模型如图1所示。

图1 基于态势评估的风险预警、防范与控制
1.2基于ART-BP神经网络的模糊专家系统风险管理
　　随着网络规模的扩大，动态风险管理的智能化水平以及管理自动化程度需要提高，此处主要是对基于ART-BP神经网络的模糊专家系统进行分析。ART-BP神经网络的基本工作原理是：对于外面环境的输入，网络接受了，接着对新来的样本和网络所有存储的模式之间的相似度进行计算，然后再阈值检查输入样本和网络存储模式，选择与输入样本最相似的作为输入样本的模式类，通过一定的学习规则对所对应的连接权重进行调整，确保最终得到更大的相似度。对于阈值要求，如果输入样本与所有存储模式之间都不能满足的话，则输入至BP神经网络进行并发故障与新故障的分离，如果是新故障，则需要将一新模式节点设置在输出端。
2.信息系统人为因素导致的风险的管理
　　人是影响信息系统安全的最大因素。信息系统的开发是由人来实现的，其开发的最终目的还是服务与人。随着信息化的发展，人为因素对系统的影响非但没有减弱，反而变得越来越重要。由于社会上的种种原因，人存在一些固有弱电和不确定性，同时其可塑性也较强，从而使得控制和管理的具有一定的难度。信息系统虽然实现了自动化，但是其根本还是由人来操控。由此，人为因素就成为了信息系统安全的主要成因。
　　由于人为因素的导致风险，这种现象是经常存在的，并且也是最基本的，人为因素的主要特征表现在以下几个方面：（1）重复性。人因失误经常在不同条件下做同一操作。（2）潜发性。人为因素引发的事故可能是潜在的。（3）可修复性。有人为因素导致的故障能够通过系统恢复的可能性较大。人为因素风险管理模式是一项涉及多方面的综合性工作模式，如图2所示。

图2 人为因素风险管理模式
　　人为因素分为技术因素和非技术因素，其中非技术因素占据重要地位，组织管理因素就占一半以上，可见组织管理因素是非常重要的。加强信息系统的组织管理主要从以下几个方面来进行。（1）管理制度的建立。管理工作制度化和规范化的必要前提就是对管理制度进行完善，并且完善的管理制度也是做好一切工作的保障。完善的管理制度必须具有较强的可操作性，它能够引导人自觉遵守制度。另外，必须严肃处理违反制度的行为，做到奖惩分明。为了减少事故的发生，必要时可以动用行政手段来进行管理。通过建立多重安全管理体系，能够使认为因素带来的风险得以减少。（2）组织文化。组织文化是组织经过长时间的管理和运作影响员工的精神层面并通过员工的个人行为所表现出来的一种文化现象，是组织活动创造的生产及劳动保护的观念、行为、意识、环境、物态条件的总和。主要包括安全文化，个人对安全的意识和态度以及领导层对安全的态度等。(3)教育与培训。来自人因的信息系统安全事故，通常是由于安全意识淡薄、对信息安全方针不理解或专业技能不足等原因造成的。我们应该通过安全教育与训练使人员自觉遵守安全法规，养成严谨的工作作风，提高事故的判断、预测和处理能力，有效减少人因失误。要逐步普及信息安全知识，营造一个良好的信息安全管理环境。安全教育主要包括以下几个方面：1)安全意识教育。所有的信息系统相关人员都应该接受安全意识教育，安全意识教育主要包括:组织安全方针与控制目标；安全职责、安全程序及安全管理规章制度等。组织应形成思想教育、法规法纪教育、以安全技术和劳动技能教育为主的岗前、在岗教育，端正与提高安全意识。2)建立安全培训制度。_对在岗人员建立并推行系统化的岗前、在岗培训制度，保证在岗工作人员具有岗位所需的工作技能，杜绝因工作能力因素造成的人因事件，同时提高排除事故隐患，减少事故后果的能力。根据人员所从事的安全岗位不同，提高相应的技能培训。例如，负责网络安全的人员应得到安全技术、风险评估方法、相关标准的选择与实施等方面的技能培训。3)培养安全习惯。通过系统化的培训和严格的安全管理，全面形成规范操作、标准化作业、安全操作程序等安全习惯，有效预防违章。4)自主安全管理。建立良好的职业健康体系，保证在岗工作人员的生理健康情况、心理状况保持良好状态，提倡自我控制和自我防护，从而有效预防人因失误。
　　通过对人为因素操作的失误进行分析，找出其原因，从而对事件的根本诱发原因进行消除，并且采取相应的措施进行改进，进而保证信息系统的安全运行。
3.基于风险评估和等级保护的信 息安全管理体系建设
3.1风险评估与等级保护的关系
　　安全等级保护能够对信息系统要保护的对象、范围和程度进行确定。安全与风险是一对矛盾体，信息系统是否安全由风险的大小决定。可以接受的风险就属安全，否则，不安全。因此，风险的减小是保障安全的重要措施。安全等级保护考虑问题是从安全保护的角度来进行的，风险评估考虑问题是从信息系统不安全的角度或者从安全保护的效果来进行。信息系统的安全性由风险评估来进行判断，对系统的保护是否到位是由安全等级保护来进行判断，因而二者是统一的关系。信息系统安全等级划分就是对有关数据信息的安全性来判断。也就是说，安全保护等级实施的目的就是使风险得以减少或者避免。信息系统安全等级确定的依据就是信息系统的重要性和信息系统资源被破坏后的后果；安全措施的确定就是柑橘信息和信息系统面临的风险来确定的。安全等级是信息系统对各安全性的要求程度。安全等级的目的就是确定在不同程度上避免不同程度的风险。安全措施必须具有一定的针对性。由此可见，信息系统实施的安全措施与信息系统面临的具体风险有密切关系。
3.2信息系统安全管理体系的建设
　　从目前国内外信息系统的安全实践来看，信息系统存在很多的风险。这些潜在的风险都是在信息安全管理范围内。信息系统风险评估的实施能够确定所保护的对象，对保护对象的特点、属性进行分析，分析保护对象需要保护的原因，即面临的安全威胁，从而能够制定出有针对性的风险措施，尤其对于管理脆弱性，对其控制可以通过制定相应的策略和程序来进行，从而能够更好的解决信息系统存在的安全问题。基于信息系统风险评估的信息安全保障体系的构建，不仅能够有效地控制信息系统的安全风险，而且更重要的是保障信息系统的正常运行。
4.结语
　　信息系统风险管理必须运用风险管理手段和方法来进行。本文主要提出了智能化发展需要的信息系统动态风险管理模型、人为因素风险管理进行了分析，并提出了具体的措施。信息安全是一个随时都在发生变化的，因此，必须对信息系统风险管理进行实时研究，积极探索我国信息安全保障体系建设。
参考文献：
[1] 王红梅,刘颖. 创建全面风险管理体系[J]. 中国电力企业管理, 2010, (23) .
[2] 方德英. IT项目风险管理理论与方法研究[D].天津大学, 2003.
[3] 芦思文,蒋根谋. 建设项目管理信息系统开发风险评价研究[J]. 工程管理学报, 2010, (03) . 本文链接：http://www.qk112.com/lwfw/jsjlw/jisuanjiyingyong/242861.html