» 第二章  信息安全工程实践应用



               括这些内容。
                   安全检查与稽核工作是保证安全体系安全性的有效途径，也是促进安全体系有效
               运转的最佳方法，它对信息安全防护体系起到了监督、促进的作用，是维护信息网络
               系统安全的有力保障。安全检查与稽核工作的范围、内容也有很多，要对安全政策、

               组织、人员、技术措施、安全意识等方面进行全面的检查，形成综合的稽核报告。安
               全检查与稽核工作的目的是最大限度地监督安全基础设施的建设与落实，保证信息与
               网络系统的安全，保证日常工作与安全生产的顺利进行。


                   十、安全意识教育与技术培训

                   大量网络信息安全案例表明，由于用户的安全意识不强以及误操作，同样会给信
               息系统造成不可预测的后果。有意无意将计算机病毒、特洛伊木马程序及其他恶意代

               码引入信息系统，将给信息系统造成灾难性的后果，这恰恰是各类用户安全意识不强
               以及违背管理制度的直接结果。用户违背访问控制策略私自访问因特网或外部网络，
               不但可能突破系统防护的薄弱环节，绕过防火墙，将内部秘密信息泄露出去，暴露内

               部资源配置信息，而且会严重破坏访问控制秩序，加重网络传输负荷，造成拥塞，导
               致网络管理混乱。因此，加强各类职员、用户的安全意识教育和安全技术培训是网络
               信息系统确保安全运行的预前、预后和常规性重要措施，也是一个完整的安全工程学

               的重要组成部分。
                   人员的安全意识教育和安全技术培训是信息安全工程学中必不可少的一部分，它
               对信息系统的安全有着重大的促进作用。由于各种信息网络环境千差万别，不同环境

               应该根据具体情况建立不同规模的教育培训体系，设置不同的培训课程，制定不同层
               次的考核方法与标准，定期组织各种形式的宣传活动，培训与教育工作要制度化与经
               常化，不宜走过场。



                              第三节  信息安全风险评估及方案定制


                   一、信息安全风险评估概述


                   （一）信息安全风险评估的概念和内涵
                   信息安全风险评估，是指依据有关信息安全技术和管理的权威标准，对信息系统
               及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价

               的过程，评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁利用后产生
               的实际负面影响，并根据安全事件发生的可能性和负面影响的程度，来识别信息系统


                                                                                          • 41 •