大数据背景下网络安全问题研究
                    Research on Network Security Issues under the Background of Big Data


             所处的安全等级以及所面临的安全风险。
                  信息安全风险评估，是信息安全保障体系过程中重要的评价方法和决策机制，大
             致要经历准备、资产识别、威胁识别、已有安全措施的确认、风险识别、风险评估结
             果记录等几个流程。准确、及时的风险评估，是相关机构对安全状况做出准确判断的
             重要保障。

                 （二）信息安全风险评估的目的
                  信息安全风险评估的目的是认清当前的信息安全环境，全面、准确地了解组织机
             构的信息安全现状，发现系统的安全问题及其可能存在的危害，以便为系统最终安全

             需求的提出提供依据。根据网络信息系统的安全需求，找到目前的安全策略和实际需
             求的差异，为保护信息系统的安全提供科学依据，进而通过合理的步骤，制订出适合
             系统具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参考。
                  通过加强信息安全风险评估工作的研究，清楚认识到网络信息系统包含的重要

             资产、面临的主要威胁和本身存在的弱点；各种威胁出现的可能性大小及其造成的影
             响；通过保护哪些资产，防止威胁出现；如何保护和防止才能保证系统达到一定的安
             全级别；提出的安全方案需要多少技术和费用的支持；进一步分析出信息系统的风险

             是如何随着时间变化的以及将来应如何面对这些风险。
                  简而言之，通过风险评估，可以达到以下几个目的：一是明确系统的安全需求；
             二是对可能受到威胁的资产进行确认，并设定相应的安全级别；三是确定可能对资产
             造成伤害的威胁和脆弱性；四是制定相应的信息系统的安全策略。
                 （三）信息安全风险评估的作用

                  信息安全风险评估是信息安全建设的起点和基础。信息安全风险评估是风险评估
             理论和方法在信息系统中的运用，是科学分析、理解信息和信息系统在机密性、完整
             性和可用性等方面所面临的风险，并在风险的预防、风险的控制、风险的转移等方面

             做出决策的过程。其作用可以分为以下三个方面：一是信息安全风险评估是信息系统
             安全的基础性工作，也是观察过程的一个持续性的工作。二是信息安全风险评估是分
             级防护和突出重点的具体体现。实现等级保护的关键在于突出重点，把握要害部位，
             再进行分级负责、分层实施。三是加强信息安全风险评估工作是当前信息安全工作的

             客观需要和紧迫需求。风险评估是对信息系统生命周期的支持，生命周期包括规划和
             启动阶段、设计开发或采购阶段等。
                 （四）风险评估实施原则
                  1.目标一致

                  信息安全的目的是使组织更有效地完成其业务目标。在整个风险评估过程当中，
             强调客户的安全需求分析，并将此作为信息安全风险评估的基准点，强调用户的个


             • 42 •