張淋江 劉志龍

（河南牧業(yè)經(jīng)濟學院數(shù)字化管理中心，河南 鄭州450011）

1 引言

當今信息化時代，信息安全和人類的社會生活息息相關(guān)。借助于互聯(lián)網(wǎng)快速的傳播，信息系統(tǒng)的安全性遭受到多方面的威脅，如何保證信息系統(tǒng)安全性是高?？蒲泄ぷ髡哐芯康闹攸c。在幾十年的系統(tǒng)安全研究中，人們也深刻的意識到信息系統(tǒng)安全問題單憑技術(shù)是無法得到根本解決，它涉及到標準、法規(guī)政策、管理、技術(shù)等多方面，單一層次上的安全措施都不可能提供全方位的安全，應該站在系統(tǒng)工程的角度來解決。信息安全風險評估是一個系統(tǒng)工程，其推理和估計過程需要遵循科學的理論和依據(jù)。

2 高校信息安全風險評估現(xiàn)狀分析

信息安全風險評估是對信息系統(tǒng)及其處理的傳輸和存儲的信息的完整性、可用性、保密性等安全屬性進行科學識別和評價的過程。目前，我國信息與網(wǎng)絡(luò)安全的防護能力還很薄弱，許多應用系統(tǒng)處于低層次甚至不設(shè)防的防護狀態(tài)。我國的信息安全標準化制定工作比歐美國家起步晚。全國信息化標準制定委員會及其下屬的信息安全技術(shù)委員會開展了我國信息安全標準方面工作，完成了許多安全技術(shù)標準的制定，如GB／T 18336、GB 17859等。在信息系統(tǒng)的安全管理方面，我國目前在BS7799和ISO 17799及CC標準基礎(chǔ)上完成了相關(guān)的標準修訂，我國信息安全標準體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問題所產(chǎn)生的損失、危害不斷加劇，信息系統(tǒng)的安全問題越來越受到人們的普遍關(guān)注，如今國內(nèi)高校已經(jīng)加強關(guān)于信息安全管理方面的研究與實踐。

3 高校信息安全風險評估模型

3.1 信息安全風險評估流程[2]

在實施信息安全風險評估時，河南牧業(yè)經(jīng)濟學院成立了信息安全風險評估小組，由主抓信息安全的副校長擔任組長，各個相關(guān)單位和部門的代表為成員，各自負責與本系部相關(guān)的風險評估事務(wù)。評估小組及相關(guān)人員在風險評估前接受培訓，熟悉運作的流程、理解信息安全管理基本知識，掌握風險評估的方法和技巧。

學院的風險評估活動包括以下6方面：

建立風險評估準則。建立評估小組，前期調(diào)研了解安全需求，確定適用的表格和調(diào)查問卷等，制定項目計劃，組織人員培訓，依據(jù)國家標準確定各項安全評估指標，建立風險評估準則。

資產(chǎn)識別。學院一卡通管理系統(tǒng)、教務(wù)管理系統(tǒng)等關(guān)鍵信息資產(chǎn)的標識。

威脅識別。識別網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)病毒、人為錯誤等各種信息威脅，衡量威脅的可發(fā)性與來源。

脆弱性識別。識別各類信息資產(chǎn)、各控制流程與管理中的弱點。

風險識別。進行風險場景描述，依據(jù)國家標準劃分風險等級評價風險，編寫河南牧業(yè)經(jīng)濟學院信息安全風險評估報告。

風險控制。推薦、評估并確定控制目標和控制，編制風險處理計劃。

學院信息安全風險評估流程圖如圖1所示：

圖1 信息安全風險評估流程圖

3.2 基于PDCA循環(huán)的信息安全風險評估模型

PDCA（策劃—實施—檢查—措施）經(jīng)常被稱為“休哈特環(huán)”或者“戴明環(huán)”，是由休哈特（Walter Shewhart）在19世紀30年代構(gòu)想，隨后被戴明（Edwards Deming）采納和宣傳。此概念的提出是為了有效控制管理過程和工作質(zhì)量。隨著管理理念的深入，該循環(huán)在各類管理領(lǐng)域得到廣泛使用，取得良好效果。PDCA循環(huán)將一個過程定義為策劃、實施、檢查、措施四個階段，每個階段都有階段任務(wù)和目標，如圖2所示，四個階段為一個循環(huán)，一個持續(xù)的循環(huán)使過程的目標業(yè)績持續(xù)改進，如圖3所示。

4 基于PDCA循環(huán)模型的信息安全風險評估的實現(xiàn)[3-5]

河南牧業(yè)經(jīng)濟學院信息系統(tǒng)安全風險評估的研究經(jīng)驗積累不足，本著邊實踐邊改進，逐步優(yōu)化的原則，學院決定采用基于PDCA循環(huán)的信息安全評估模型。信息安全風險評估模型為信息安全風險評估奠定了理論依據(jù)，是有效進行信息安全風險評估的前提。學院擁有3個校區(qū)，正在逐步推進數(shù)字化校園的建設(shè)。校園網(wǎng)一卡通、教務(wù)、資產(chǎn)、檔案等管理系統(tǒng)是學院網(wǎng)絡(luò)核心業(yè)務(wù)系統(tǒng)，同時各院系有自己的各類教學系統(tǒng)平臺，由于網(wǎng)絡(luò)環(huán)境的復雜性，經(jīng)常會監(jiān)控到信息系統(tǒng)受到內(nèi)外部的網(wǎng)絡(luò)攻擊，信息安全防范問題已經(jīng)很突出。信息安全風險評估小組依據(jù)自行研發(fā)的管理系統(tǒng)對學院各類信息系統(tǒng)進行全面的風險評估（圖4），以便下一步對存在的風險進行有效的管理，根據(jù)信息系統(tǒng)安全風險評估報告，提出相應的系統(tǒng)安全方案建議，對全院信息系統(tǒng)當前突出的安全問題進行實際解決

4.1 建立信息安全管理體系環(huán)境風險評估（P策劃）

圖2 PDCA循環(huán)

圖3 PDCA循環(huán)持續(xù)改進

圖4 高校信息安全風險評估系統(tǒng)

風險規(guī)劃是高校開展風險評估管理活動的首要步驟。學院分析內(nèi)外環(huán)境及管理現(xiàn)狀，制定包括準確的目標定位、具體的應對實施計劃、合理的經(jīng)費預算、科學的技術(shù)手段等風險評估管理規(guī)劃。風險規(guī)劃內(nèi)容包括確定范圍和方針、定義風險評估的系統(tǒng)性方法、識別風險、評估風險、識別并評價風險處理的方法。信息安全評估風險評估管理工作獲得院領(lǐng)導批準，評估小組開始實施和運作信息安全管理體系。

4.2 實施并運行信息安全管理體系（D實施）

該階段的任務(wù)是管理運作適當?shù)膬?yōu)先權(quán)，執(zhí)行選擇控制，以管理識別的信息安全風險。學院通過自行研發(fā)的信息安全風險管理工具，將常見的風險評估方法集成到軟件之中，包括有信息資產(chǎn)和應用系統(tǒng)識別、風險識別與評估、風險處置措施及監(jiān)測、風險匯總與報告生成等功能。通過使用信息安全風險管理工具，安全風險評估工作都得到了簡化，減輕人員的工作量，幫助信息安全管理人員完成復雜的風險評估工作，從而提高學院的信息安全管理水平。

4.3 監(jiān)視并評審信息安全管理體系（C檢查）

檢查階段是尋求改進機會的階段，是PDCA循環(huán)的關(guān)鍵階段。信息安全管理體系分析運行效果，檢查到不合理、不充分的控制措施，采取不同的糾正措施。學院在系統(tǒng)實施過程中，規(guī)劃各院系的信息安全風險評估由本系專門人員上傳數(shù)據(jù)，但在具體項目實施中，發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰，嚴重影響學院整體信息系統(tǒng)安全評估的可靠性，為了強化人員責任意識，除了加強風險評估的培訓外，還制定相應的懲罰獎勵制度，實時進行監(jiān)督檢查，盡最大可能保證風險評估數(shù)據(jù)的準確性[6]。

4.4 改進信息安全管理體系（A措施）

經(jīng)過以上3個步驟之后，評估小組報告該階段所策劃的方案，確定該循環(huán)給管理體系是否帶來明顯的效果，是繼續(xù)執(zhí)行，還是升級改進、放棄重新進行新的策劃。學院在項目具體實施后，信息安全狀況有了明顯的改善，信息管理人員安全責任意識明顯提升，遭受到的內(nèi)外網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒等風險因素能及時發(fā)現(xiàn)處理。評估小組考慮將成果具體擴大到學院其他的部門或領(lǐng)域，開始了新一輪的PDCA循環(huán)持續(xù)改進信息安全風險評估。

5 結(jié)語

信息安全的風險評估的因素是動態(tài)、不確定的，且往往是隨機的。研究基于信息安全風險評估PDCA循環(huán)模型，針對學院存在的不確定信息安全風險因素，進行收集整理，形成分類、量化、系統(tǒng)的信息安全風險評估數(shù)據(jù)信息，為高校提供了信息安全風險管理決策依據(jù)，將被動、零散、無序應對信息資產(chǎn)安全風險方式轉(zhuǎn)變成主動、系統(tǒng)、連續(xù)有效地管理風險，為高校信息化的建設(shè)保駕護航。

［1］GB/T 18336-2008，信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則［S］．

［2］朱會龍.網(wǎng)絡(luò)安全風險評估關(guān)鍵技術(shù)研究［J］.網(wǎng)絡(luò)安全技術(shù)與應用，2014（3），62-65.

［3］董潔.網(wǎng)絡(luò)信息安全面臨的問題及對策［J］.赤峰學院學報（自然科學版），2011（3），41-43.

［4］畢海英，賈煒等.信息技術(shù)安全性評估“通用準則”系列標準在中國的應用［J］.中國信息安全，2014（8），100-103.

［5］陳健，吉久明等.基于單威脅分析的高校綜合信息安全風險評估方法研究［J］.情報雜志，2013（2），169-173.

［6］周婕，王麗.信息系統(tǒng)安全評估技術(shù)研究［J］.計算機與數(shù)字工程，2013（11）.