企業(yè)辦公自動化信息安全風(fēng)險評估研究

岳小金 徐 軍

（1.鄭州熱力總公司，河南 鄭州 450000；2.蚌埠坦克學(xué)院，安徽 蚌埠 233050）

企業(yè)辦公自動化信息安全風(fēng)險評估研究

岳小金1徐 軍2

（1.鄭州熱力總公司，河南 鄭州 450000；2.蚌埠坦克學(xué)院，安徽 蚌埠 233050）

文章介紹了一種企業(yè)辦公自動化風(fēng)險評估體系，從風(fēng)險評估準(zhǔn)備、風(fēng)險識別、風(fēng)險分析、匯報驗(yàn)收四個階段，逐步分析了企業(yè)辦公自動化信息安全風(fēng)險評估的流程，為企業(yè)辦公自動化風(fēng)險評估提供依據(jù)。

企業(yè)辦公自動化；信息安全；風(fēng)險評估

（一）引言

辦公自動化（Office Automation，簡稱OA）是指利用計(jì)算機(jī)技術(shù)、通信技術(shù)、系統(tǒng)科學(xué)、管理科學(xué)等先進(jìn)的科學(xué)技術(shù)，不斷使人們的部分辦公業(yè)務(wù)活動物化于人以外的各種現(xiàn)代化的辦公設(shè)備中，最大限度地提高辦公效率和改進(jìn)辦公質(zhì)量，改善辦公環(huán)境和條件，縮短辦公周期，并利用科學(xué)的管理方法，借助于各種先進(jìn)技術(shù)，輔助決策，提高管理和決策的科學(xué)化水平，以實(shí)現(xiàn)辦公活動的科學(xué)化和自動化[1]。而信息安全風(fēng)險評估是信息系統(tǒng)安全工程的重要組成部分，是信息安全建設(shè)的基礎(chǔ)和起點(diǎn)。當(dāng)前，各個企業(yè)在大力進(jìn)行辦公自動化建設(shè)的同時，信息安全問題也變得日益突出。企業(yè)內(nèi)部的各種信息安全隱患會給企業(yè)辦公自動化的信息安全保密工作帶來各種威脅。盡管殺毒軟件、防火、入侵檢測系統(tǒng)、漏洞掃描等安全技術(shù)的使用在一定程度上提高了系統(tǒng)的安全性，然而，由于眾多安全設(shè)備產(chǎn)生了海量的安全事件，管理人員難以通過人工的方式對這些信息進(jìn)行有效的管理，因而無法獲得系統(tǒng)全局的安全態(tài)勢。而管理人員缺乏對系統(tǒng)全局風(fēng)險狀況的了解又使得各種安全措施與其實(shí)際所防護(hù)的業(yè)務(wù)無法有效的關(guān)聯(lián)，安全預(yù)警、安全保護(hù)、應(yīng)急響應(yīng)等各子系統(tǒng)難以取得預(yù)期的效果。使得整個安全體系抗攻擊的能力較弱。

如何利用各種安全技術(shù)將信息系統(tǒng)面臨的風(fēng)險控制在可接受的范圍內(nèi)，是保證企業(yè)辦公自動化信息系統(tǒng)處于較高安全水平的關(guān)鍵。而信息安全風(fēng)險評估，則是控制風(fēng)險，安全管理信息系統(tǒng)的一個較好解決方法。

（二）企業(yè)OA信息安全風(fēng)險評估概述

1.什么是信息安全風(fēng)險評估

所謂信息安全風(fēng)險評估， 就是依照國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，從風(fēng)險管理的角度，運(yùn)用定性、定量的科學(xué)分析方法和手段，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整性和可用性進(jìn)行科學(xué)評價的過程，它系統(tǒng)的分析評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅利用后產(chǎn)生的負(fù)面影響， 并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險[2]。

2.信息安全風(fēng)險評估的形式

信息安全風(fēng)險評估主要包括自評估和檢查評估兩種形式。自評估是指各信息系統(tǒng)使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的安全信息風(fēng)險評估。檢查評估是指由保密部門或信息系統(tǒng)使用單位的主管部門發(fā)起的安全信息風(fēng)險評估。

自評估的優(yōu)點(diǎn)是可經(jīng)常實(shí)施，能夠及時發(fā)現(xiàn)問題并做出整改；缺點(diǎn)是客觀性、公正性比較差，評估水平比較低；檢測評估的優(yōu)點(diǎn)是專業(yè)機(jī)構(gòu)實(shí)施，能夠保證客觀性和公正性，評估的水平較高；缺點(diǎn)是受各種條件制約不能經(jīng)常實(shí)施。我們應(yīng)把兩者結(jié)合起來將自評估作為風(fēng)險評估的主要方式經(jīng)常實(shí)施，并把檢測評估作為風(fēng)險評估的重要手段定期進(jìn)行。

3.信息安全風(fēng)險評估的作用意義

通過進(jìn)行風(fēng)險評估工作，運(yùn)用專門的技術(shù)手段和檢測設(shè)備，可以及時發(fā)現(xiàn)信息安全可能存在的各種問題，找到解決問題的方法，及早化解風(fēng)險，提高信息安全性。風(fēng)險評估是信息安全建設(shè)的基礎(chǔ)和起點(diǎn)，只有對系統(tǒng)信息安全進(jìn)行正確而全面的風(fēng)險評估后，才能夠在控制風(fēng)險、減少風(fēng)險、轉(zhuǎn)移風(fēng)險之間做出正確的判斷，采取適當(dāng)?shù)拇胧┤セ?、控制風(fēng)險。

（三）企業(yè)辦公自動化信息安全風(fēng)險評估的現(xiàn)狀分析

企業(yè)辦公自動化的信息系統(tǒng)涉及到了企業(yè)安全生產(chǎn)的問題，屬于涉密信息系統(tǒng)。加之目前我國的信息化建設(shè)在關(guān)鍵技術(shù)、關(guān)鍵設(shè)備上還受制于人。因而企業(yè)辦公自動化的信息安全防護(hù)工作還任重道遠(yuǎn)，只有認(rèn)真分析企業(yè)辦公自動化在安全風(fēng)險評估方面的狀況，才能更好的依靠信息安全風(fēng)險評估為信息安全建設(shè)打下堅(jiān)實(shí)基礎(chǔ)。

目前企業(yè)辦公自動化的信息安全風(fēng)險評估還存在著一些問題，主要體現(xiàn)在以下幾點(diǎn)：第一，對風(fēng)險評估的重要性認(rèn)識不夠，防護(hù)手段單一，認(rèn)為只要有了防火墻、殺毒軟件等安全防護(hù)產(chǎn)品就夠了；第二，基本沒有進(jìn)行過自評估，不能及時發(fā)現(xiàn)系統(tǒng)存在的隱患；第三，缺乏風(fēng)險評估方面的專門人才；第四，即使對風(fēng)險評估有一定認(rèn)識，但由于標(biāo)準(zhǔn)技術(shù)的滯后，無法做出規(guī)范有效的評估；第五，風(fēng)險評估的角色、責(zé)任混亂；第六，有些企業(yè)雖然進(jìn)行了風(fēng)險評估，但在風(fēng)險評估結(jié)束后沒有對評估結(jié)果采取任何對策，僅僅是為了評估而評估。

（四）企業(yè)辦公自動化信息安全風(fēng)險評估體系結(jié)構(gòu)

下面我們根據(jù)企業(yè)辦公自動化的自身特點(diǎn)，介紹一種可操作的基于模型的信息安全風(fēng)險評估體系。

根據(jù)我國《信息安全風(fēng)險評估指南》及其它國內(nèi)外風(fēng)險評估相關(guān)標(biāo)準(zhǔn)，信息安全風(fēng)險與信息資產(chǎn)、威脅、脆弱性以及安全控制措施等諸多要素有關(guān)。我們制定出風(fēng)險評估實(shí)施步驟的總體流程框圖，如圖1所示。

圖1 風(fēng)險評估實(shí)施步驟流程圖

整個實(shí)施流程又大體分為準(zhǔn)備階段、識別階段、分析階段和驗(yàn)收階段四個階段。

（1）準(zhǔn)備階段

準(zhǔn)備階段主要進(jìn)行是前期的準(zhǔn)備工作。它包括明確風(fēng)險評估的目標(biāo)，確定評估的范圍，建立適當(dāng)?shù)慕M織結(jié)構(gòu)，確立適當(dāng)?shù)脑u估方法以及獲得企業(yè)領(lǐng)導(dǎo)對風(fēng)險評估策劃的批準(zhǔn)

等。準(zhǔn)備階段的工作較為瑣碎，但它是風(fēng)險評估實(shí)施的基礎(chǔ)。細(xì)致、充分的準(zhǔn)備，合理、精確的計(jì)劃是風(fēng)險評估能夠順利實(shí)施的關(guān)鍵所在。

作為企業(yè)辦公自動化，對信息系統(tǒng)的安全性要求比較高，應(yīng)確保各種涉密資料的安全；評估的范圍應(yīng)包括系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)設(shè)備、管理制度、同信息系統(tǒng)相關(guān)的人員以及系統(tǒng)的文檔、數(shù)據(jù)維護(hù)等。在制定風(fēng)險評估方案時應(yīng)當(dāng)重點(diǎn)考慮以上需求特點(diǎn)。

（2）風(fēng)險識別階段

風(fēng)險識別階段主要是根據(jù)準(zhǔn)備階段所確立的實(shí)施方案，識別資產(chǎn)、威脅、脆弱性等構(gòu)成信息安全風(fēng)險的要素，以及對已有安全性的確認(rèn)，為下一階段的風(fēng)險分析收集必要的基礎(chǔ)數(shù)據(jù)。

識別階段主要對資產(chǎn)、威脅、脆弱性三個根本的風(fēng)險要素的各個分類進(jìn)行篩選、賦值，以得到量化了的風(fēng)險評估、分析的依據(jù)。

分類后還要將三個根本要素的子層因素按照《信息安全風(fēng)險評估指南》中所制定的國內(nèi)標(biāo)準(zhǔn)進(jìn)行賦值。其中資產(chǎn)賦值是通過資產(chǎn)機(jī)密性、資產(chǎn)完整性、資產(chǎn)可用性三種不同的安全屬性的分別賦值而得到的綜合考慮，每種屬性的賦值都從1至5依次對應(yīng)可忽略、低、中等、高、極高五種標(biāo)識；威脅賦值是評估者通過經(jīng)驗(yàn)或統(tǒng)計(jì)數(shù)據(jù)來判斷威脅發(fā)生的概率。等級也是1至5，依次對應(yīng)很低、低、中、高、很高五種威脅發(fā)生的可能性；脆弱性賦值采用定性的相對等級方式，找到每種威脅可能利用的脆弱性，并對其嚴(yán)重程度進(jìn)行評估。同樣劃分了1至5五個等級，依次對應(yīng)很低、低、中、高、很高五個級別的某種資產(chǎn)脆弱程度。

此外，對已有安全措施的確認(rèn)也是識別階段的一項(xiàng)內(nèi)容。它可以對已采取的風(fēng)險控制措施進(jìn)行識別并對控制措施的有效性進(jìn)行驗(yàn)證，繼續(xù)保持有效的風(fēng)險控制措施，以避免不必要的工作和浪費(fèi)，防止控制措施的重復(fù)實(shí)施。

（3）風(fēng)險分析階段

風(fēng)險分析階段主要是將經(jīng)過風(fēng)險識別階段，得到影響被評估信息系統(tǒng)安全風(fēng)險的基本數(shù)據(jù)進(jìn)行分析計(jì)算。這些數(shù)據(jù)主要來自資產(chǎn)、威脅、脆弱性和安全控制措施等。之后應(yīng)在考慮已有安全措施的情況下，從潛在安全事件的影響和可能性兩個方面分析和計(jì)算信息安全風(fēng)險。

風(fēng)險計(jì)算是利用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響計(jì)算得出資產(chǎn)的安全風(fēng)險。風(fēng)險計(jì)算的原理形式化可描述為：

上式中，R表示風(fēng)險，A表示資產(chǎn)，V表示脆弱性，T表示威脅，Ia表示資產(chǎn)的重要程度；Va表示某一資產(chǎn)本身的脆弱性，L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。模型示意圖如圖2所示。

圖2 風(fēng)險計(jì)算模型示意圖

在確定了信息安全風(fēng)險之后，還應(yīng)在風(fēng)險分析階段提交出風(fēng)險分析報告以及風(fēng)險控制管理建議等書面報告。應(yīng)從接受風(fēng)險、避免風(fēng)險、轉(zhuǎn)移風(fēng)險三個方面來考慮風(fēng)險控制管理的建議。對安全風(fēng)險決策后，應(yīng)明確企業(yè)辦公自動化的信息系統(tǒng)所要接受的殘余風(fēng)險。

（4）匯報驗(yàn)收階段

本階段主要是按照評估方案所確定的流程，完成最后評估項(xiàng)目的總結(jié)和驗(yàn)收工作。將上一步驟所提出的風(fēng)險分析報告以及風(fēng)險控制管理建議，送企業(yè)領(lǐng)導(dǎo)審批，通過后按決策的意見實(shí)施各項(xiàng)安全措施。由于企業(yè)辦公自動化在安全性上的特殊要求，實(shí)施過程要始終在監(jiān)督下進(jìn)行，以確保決策的完全執(zhí)行。

（五）結(jié)束語

隨著企業(yè)信息化建設(shè)的不斷發(fā)展、計(jì)算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)庫技術(shù)的成熟，企業(yè)OA系統(tǒng)的功能將不斷擴(kuò)展，OA系統(tǒng)將更加完善。信息安全風(fēng)險評估作為信息系統(tǒng)安全工程的重要組成部分，也是企業(yè)辦公自動化信息系統(tǒng)安全的可靠保證。我們不應(yīng)把它理解成為一個產(chǎn)品、工具，而應(yīng)該是一個體系，一個過程。完善的風(fēng)險評估體系應(yīng)當(dāng)包括相應(yīng)的組織架構(gòu)、標(biāo)準(zhǔn)體系和技術(shù)體系。隨著信息安全風(fēng)險評估逐漸被重視，國家的各種配套的安全標(biāo)準(zhǔn)將會更加健全，各種評估模型、評估方法、評估工具也會更加完善。我們要充分利用信息安全風(fēng)險評估為企業(yè)辦公自動化的信息安全保駕護(hù)航。

[1] 張衛(wèi).企業(yè)OA建設(shè)現(xiàn)狀及發(fā)展趨勢[J].辦公自動化,2008,(18):22-23.

[2] 吳亞非,李新友,等.國家信息中心信息安全風(fēng)險評估培訓(xùn)資料[P].北京,2006.

TP317.1

A

1008-1151(2010)04-0061-02

2010-01-12

岳小金（1971－），男，河南焦作人，鄭州熱力總公司工程師；徐軍（1972－），男，安徽淮北人，蚌埠坦克學(xué)院教育技術(shù)中心副主任，講師，碩士研究生，研究方向?yàn)樾畔⑻幚?、網(wǎng)絡(luò)安全。