信息工程安全系統(tǒng)項目的風(fēng)險管理

摘 要 任何信息系統(tǒng)都會有安全風(fēng)險。所謂安全信息系統(tǒng)，實際上指信息系統(tǒng)在實施了風(fēng)險評估以后做出了風(fēng)險控制，仍然存在殘余風(fēng)險是可被接受的信息系統(tǒng)我們就稱為安全信息系統(tǒng)。本文對詳細介紹了信息工程安全系統(tǒng)風(fēng)險評估的過程，并總結(jié)了一套行之有效的風(fēng)險控制的流程與方法。

關(guān)鍵詞 信息工程安全系統(tǒng) 風(fēng)險評估 控制

中圖分類號：X92 文獻標(biāo)識碼：A

對項目風(fēng)險管理來說，風(fēng)險評估是對信息工程安全資產(chǎn)所面臨的威脅、存在的弱點、造成的影響及三者綜合作用所帶來風(fēng)險的可能性的評估。作為項目風(fēng)險管理的基礎(chǔ)，風(fēng)險評估是確定信息工程安全需求的一個重要途徑，屬于信息工程安全管理體系策劃的過程。

1 風(fēng)險評估概述

風(fēng)險評估是在綜合考慮成本效益的前提下，通過安全措施控制風(fēng)險，使殘余風(fēng)險降低到可以控制的程度。因為任何信息系統(tǒng)都會有安全風(fēng)險，所謂安全信息系統(tǒng)，實際上指信息系統(tǒng)在實施了風(fēng)險評估以后做出了風(fēng)險控制，仍然存在殘余風(fēng)險是可被接受的信息系統(tǒng)我們就稱為安全信息系統(tǒng)。追求信息系統(tǒng)安全就不能脫離全面完整的信息系統(tǒng)安全評估，就必須運用信息系統(tǒng)安全風(fēng)險評估的思想和規(guī)范對信息系統(tǒng)進行安全評估。

風(fēng)險評估的主要任務(wù)包括：（1）識別面臨的各種風(fēng)險。（2）評估風(fēng)險概率和可能帶來的負面影響。（3）確定承受風(fēng)險的能力。（4）確定風(fēng)險消減和控制的優(yōu)先等級。（5）推薦風(fēng)險消減對策。

1.1 信息工程安全系統(tǒng)項目風(fēng)險評估概述

信息工程安全系統(tǒng)項目風(fēng)險管理是圍繞信息工程安全系統(tǒng)項目風(fēng)險而展開的評估、處理和控制的活動。其中最重要的基本要素是風(fēng)險評估，因為基于風(fēng)險評估可以對政府部門信息工程安全系統(tǒng)項目有系統(tǒng)全面的了解，找出潛在問題，分析原因，判斷嚴(yán)重性和相關(guān)影響，以此確定信息工程安全系統(tǒng)建設(shè)的需求。項目是一個過程，從項目的開始到結(jié)束，風(fēng)險評估要求風(fēng)險評估貫穿到信息系統(tǒng)的整個生命周期提出了三個環(huán)節(jié)要進行風(fēng)險評估：一是信息系統(tǒng)規(guī)劃設(shè)計階段，二是系統(tǒng)驗收階段，三是信息系統(tǒng)運維階段。管理的不確定性，有限的資源和千變?nèi)f化的危險和漏洞，使得所有的風(fēng)險不可能完全緩解。一個信息系統(tǒng)的項目專業(yè)人員必須要協(xié)同用戶、項目經(jīng)理對信息系統(tǒng)各種潛在的影響進行評估，使其達到一個合理水平。

由于種種原因，信息安全系統(tǒng)存在著很多漏洞及缺陷，如黑客攻擊或系統(tǒng)本身的原因，會造成系統(tǒng)安全事件，給系統(tǒng)帶來不好的影響。因此，要對項目的信息安全風(fēng)險進行相應(yīng)的評估，評估的主要內(nèi)容包括系統(tǒng)的安全漏洞和系統(tǒng)可能帶來的負面影響，根據(jù)相應(yīng)的等級來進行劃分，評估出可能發(fā)生的安全風(fēng)險。

1.2 信息工程安全系統(tǒng)項目風(fēng)險評估過程

一般來說，系統(tǒng)信息工程安全項目風(fēng)險評估分為四個不同的階段。

第一個階段：風(fēng)險評估準(zhǔn)備階段。

（1）根據(jù)相應(yīng)的風(fēng)險評估準(zhǔn)則，調(diào)研項目的實際情況，然后制定風(fēng)險評估的計劃表。按照實際操作來看，計劃通常要由三個重要的表格組成，這三個表分別是：《信息工程安全系統(tǒng)的描述報告》、《信息工程安全系統(tǒng)的分析報告》和《信息工程安全系統(tǒng)的安全要求報告》。通過這些表格及具體的計劃表，要對項目的風(fēng)險評價進行計劃。計劃的內(nèi)容一般要設(shè)計如下范圍：目的、范圍、目標(biāo)、組織架構(gòu)、經(jīng)費預(yù)算、進度安排。制定好計劃書后要及時匯報給決策層。如果決策層有異議，應(yīng)該及時根據(jù)意見加以修改。只有獲得決策層的審核和同意后，計劃書才能獲得批準(zhǔn)，才能夠獲得相應(yīng)的資源加以執(zhí)行。

（2）結(jié)合項目的具體實際，對整個風(fēng)險評估流程加以確定。不同的項目風(fēng)險評估流程是不一樣的，必須要結(jié)合具體的項目實際對評估的流程加以確定，如何工作，如何評估，評估結(jié)果如何衡量等。這個步驟，通常應(yīng)該形成一個書面的《風(fēng)險評估程序》，便于后面工作人員的具體操作。

（3）根據(jù)項目具體實際，選擇特定的風(fēng)險評估方法和工具。風(fēng)險評估方法和工具千差萬別，具體的某個項目，有針對性地 選擇成本低，效果好，結(jié)合項目實際的具體方法和工具。

第二個階段：風(fēng)險因素識別。

（1）對所有需要保護的信息資產(chǎn)加以清點。根據(jù)上文確定的三個相關(guān)報告，對單位或項目所有的資產(chǎn)加以清點，找出重要的、對安全有重大影響的信息資產(chǎn)并造冊，形成書面的《需要保護的資產(chǎn)清單》。（2）結(jié)合相關(guān)工具，識別出可能面臨的威脅。一般來說，目前信息安全行業(yè)都有相應(yīng)的較為全面的威脅或漏洞庫，結(jié)合這些數(shù)據(jù)庫，對單位的具體資產(chǎn)進行詳細的清點和評估，就能找出可能面臨的威脅，編制書面的《威脅列表》。（3）根據(jù)上面的工作，參照漏洞庫，可以對整個單位信息資產(chǎn)面臨的脆弱性加以評估，形成書面的《脆弱性列表》。

第三個階段：風(fēng)險程度分析。

（1）確認單位目前已經(jīng)采用的安全防范措施。通過書面形式，對單位目前已經(jīng)有的具體防范措施加以總結(jié)，填寫到《已有安全措施分析報告》。（2）對可能面臨的威脅的動機加以分析。面臨的威脅的動機一般分為：涉及利益者的攻擊、對系統(tǒng)好奇、對自己的技術(shù)自負等，要形成書面的《威脅動機分析報告》。（3）分析單位可能面臨的威脅行為的能力。這一步主要是對可能面臨威脅的具體評估，包括強度、廣度、深度等。（4）分析信息資產(chǎn)的價值。信息自查的價值主要從以下幾個方面來評估：關(guān)鍵性，價格，敏感性等。（5）分析可能面臨的影響的程度。具體包括：資產(chǎn)損失，任務(wù)妨害，人員傷亡等。

第四個階段：風(fēng)險等級評價階段。

（1）對威脅的動機加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（2）對威脅的行為能力加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（3）對系統(tǒng)脆弱性加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（4）對資產(chǎn)價值加以評估，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（5）對影響程度加以評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。（6）對所有因素加以綜合評價，采用五級劃分，分別是：“很高、較高、中等、較低、很低”。

一般來說，有公認的具體算法。但各單位具體實際情況不一而足。所以，對于公認的算法可以進行修改，或者提出自己認為更符合實際情況的算法。

2 信息工程安全系統(tǒng)項目風(fēng)險控制

2. 1 風(fēng)險控制概述

風(fēng)險評估的目的是進行風(fēng)險控制，進而最大可能排除系統(tǒng)面臨的風(fēng)險。所以，在信息風(fēng)險評估之后，就要進行風(fēng)險控制，其目的是為了盡可能降低系統(tǒng)面臨的風(fēng)險和漏洞。而系統(tǒng)的風(fēng)險和漏洞，是不可能完全排除的，不論下多么大的成本。只能在一定范圍內(nèi)，盡可能控制在可以接受的范圍。一般來說，為了控制可能發(fā)生的風(fēng)險，主要采用以下幾種方式：（1）規(guī)避風(fēng)險。規(guī)避就是避免使用。例如有一些信息資產(chǎn)面臨很大的風(fēng)險，如果完全消除風(fēng)險，需要很大的成本，需要更多的經(jīng)濟投入等。那么，一個比較可行的辦法就是避免使用這樣的資產(chǎn)，或者一些敏感的、需要保密的數(shù)據(jù)，不在這些資產(chǎn)上使用，從而規(guī)避掉可能發(fā)生的風(fēng)險。（2）轉(zhuǎn)移風(fēng)險。這種方式的思路，就是將已經(jīng)面臨風(fēng)險的資產(chǎn)轉(zhuǎn)移到風(fēng)險較低，或者沒有風(fēng)險的資產(chǎn)上。如某單位需要處理技術(shù)上足夠復(fù)雜，沒有能力處理的業(yè)務(wù)時，可以通過尋求外包給第三方專業(yè)機構(gòu)的形式，要求對方做好風(fēng)險處理，從而達到轉(zhuǎn)移風(fēng)險的目的。（3）降低風(fēng)險。降低風(fēng)險就是在資產(chǎn)面臨風(fēng)險時，通過各種手段和方法來降低其面臨的風(fēng)險。

2.2 信息工程安全系統(tǒng)項目風(fēng)險控制過程

在信息工程安全項目管理中，風(fēng)險控制可以劃分為四個階段，分別是：現(xiàn)有風(fēng)險判斷、確定風(fēng)險控制目標(biāo)、采取選擇和實施具體的風(fēng)險控制措施。

在不同的階段，進行不同的工作流程和具體內(nèi)容，分別如下：

第一階段：預(yù)備階段。在本階段，主要是對單位現(xiàn)有的信息資產(chǎn)激進型識別、編號、評估并造冊，形成書面報告。

第二階段：現(xiàn)存風(fēng)險判斷。在本階段，通過各種工具和方法，對系統(tǒng)信息資產(chǎn)面臨的風(fēng)險加以評級。一般來說，風(fēng)險的評級主要分為兩種：可接受的系統(tǒng)風(fēng)險和不可接受的系統(tǒng)風(fēng)險。然后，對系統(tǒng)目前存在的一些風(fēng)險加以判斷，到底是否能夠接受。

第三階段：確定風(fēng)險控制目標(biāo)。本階段主要的工作流程和內(nèi)容包括：（1）分析風(fēng)險控制需求。針對上面提出的不可接受的風(fēng)險，分析其具體需求；并分析哪些是可以做到，哪些不能做到；如果做到，需要具體的成本和措施等。（2）確立風(fēng)險控制目標(biāo)。完全搞清楚其具體需求后，就可以確定風(fēng)險控制的目標(biāo)。

第四階段：控制措施選擇與實施。

控制措施選擇階段的工作流程和內(nèi)容如下：（1）選擇風(fēng)險控制方式。確定目標(biāo)后，就可以采用具體的風(fēng)險控制方式。選擇方式時必須考慮到單位的具體情況，能否實現(xiàn)以及經(jīng)濟投入成本、投入產(chǎn)出比等。（2）選擇風(fēng)險控制措施。控制措施實施階段的工作流程和內(nèi)容如下：①制定風(fēng)險控制實施計劃：選擇好相應(yīng)的風(fēng)險控制方式后，即可制定具體的實施計劃。實施計劃必須為書面，便于后面的審查以及對照。②實施風(fēng)險控制措施：采用規(guī)避、降低、轉(zhuǎn)移等具體方式來控制。實施過程應(yīng)該遵循相應(yīng)的工作流程和標(biāo)準(zhǔn)，并書面記錄在案。

3 結(jié)語

當(dāng)前網(wǎng)絡(luò)信息安全技術(shù)發(fā)展迅速，任何信息系統(tǒng)都會有安全風(fēng)險。沒有任何一種解決方案可以防御所有危及網(wǎng)絡(luò)信息安全的攻擊。因此我們需要不斷跟蹤新技術(shù)，對所采用的網(wǎng)絡(luò)信息安全防范技術(shù)進行升級完善，以確保相關(guān)利益不受侵犯。

參考文獻

[1] Stuart McClure 等.黑客大曝光——網(wǎng)絡(luò)安全機密與解決方案[M].北京：清華大學(xué)出版社，2006：140.

[2] 魏仕民等.信息安全概論[M].北京：高等教育出版社，2005：40-41.

[3] 曲平.安全信息管理技術(shù)的研發(fā)與運用[J].信息通信，2013.

[4] 董潔.網(wǎng)絡(luò)信息安全面臨的問題及對策[J].赤峰學(xué)院學(xué)報（自然科學(xué)版），2011（3）.

[5] 王薪凱，姚衡.計算機網(wǎng)絡(luò)信息安全與防范[J].硅谷，2011（4）.