2.1.1   風(fēng)險(xiǎn)管理概念

信息安全的概念涵蓋了信息、信息載體和信息環(huán)境三個(gè)方面的安全，信息是指信息系統(tǒng)中采集、處理、存儲(chǔ)的數(shù)據(jù)和文件等內(nèi)容；信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實(shí)體；信息環(huán)境指信息及信息載體所處的環(huán)境，包括物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)等硬環(huán)境和軟環(huán)境。

信息是流動(dòng)的，在信息的流動(dòng)過程中必須能夠識(shí)別所有可能途徑的載體與環(huán)境；而對(duì)于信息本身而言，信息的敏感性的定義是對(duì)信息保護(hù)的基礎(chǔ)和依據(jù)，信息在不同的環(huán)境存儲(chǔ)和表現(xiàn)的形式也決定了風(fēng)險(xiǎn)管理的效果，不同的載體下，可能體現(xiàn)出信息的永久性、臨時(shí)性和信崽的交互場景i這使得風(fēng)險(xiǎn)管理變得復(fù)雜和不可預(yù)測。例如：信息需要永久存儲(chǔ)在數(shù)

據(jù)庫服務(wù)器中；在完成事務(wù)處理過程時(shí)，信息在中間件中以虛表的形式完成事務(wù)，并刪除虛表；信息有可能在表現(xiàn)層，也就是Web應(yīng)用服務(wù)器中殘留，并且在用戶端駐留在Cookies或者臨時(shí)文件之中。信息安全風(fēng)險(xiǎn)管理是基于風(fēng)險(xiǎn)的信息安全管理，也就是，始終以風(fēng)險(xiǎn)為主線進(jìn)行信息安全的管理。應(yīng)根據(jù)實(shí)際信息系統(tǒng)的不同來理解信息安全風(fēng)險(xiǎn)管理的側(cè)重點(diǎn)，即風(fēng)險(xiǎn)管理選擇的范圍和對(duì)象重點(diǎn)應(yīng)有所不同。