2.1.1 风险管理概念
信息安全的概念涵盖了信息、信息载体和信息环境三个方面的安全,信息是指信息系统中采集、处理、存储的数据和文件等内容;信息载体指承载信息的媒介,即用于记录、传输、积累和保存信息的实体;信息环境指信息及信息载体所处的环境,包括物理平台、系统平台、网络平台和应用平台等硬环境和软环境。
信息是流动的,在信息的流动过程中必须能够识别所有可能途径的载体与环境;而对于信息本身而言,信息的敏感性的定义是对信息保护的基础和依据,信息在不同的环境存储和表现的形式也决定了风险管理的效果,不同的载体下,可能体现出信息的永久性、临时性和信崽的交互场景i这使得风险管理变得复杂和不可预测。例如:信息需要永久存储在数
据库服务器中;在完成事务处理过程时,信息在中间件中以虚表的形式完成事务,并删除虚表;信息有可能在表现层,也就是Web应用服务器中残留,并且在用户端驻留在Cookies或者临时文件之中。信息安全风险管理是基于风险的信息安全管理,也就是,始终以风险为主线进行信息安全的管理。应根据实际信息系统的不同来理解信息安全风险管理的侧重点,即风险管理选择的范围和对象重点应有所不同。