計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)方法探微

廖桂梅

（廣東互維科技有限公司 廣東廣州 510663）

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)方法探微

廖桂梅

（廣東互維科技有限公司 廣東廣州 510663）

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)可為構(gòu)建可靠、安全的系統(tǒng)提供支持，要做好安全評(píng)價(jià)方法的選擇與應(yīng)用，以提升風(fēng)險(xiǎn)評(píng)估效益。本文分析了計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)作用與指標(biāo)體系，探究了評(píng)價(jià)準(zhǔn)則與方法，希望能為信息系統(tǒng)安全評(píng)價(jià)提供參考。

網(wǎng)絡(luò)信息系統(tǒng)；安全評(píng)價(jià)；風(fēng)險(xiǎn)評(píng)估；方法

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)作為近年來(lái)廣泛應(yīng)用于多個(gè)領(lǐng)域的重要技術(shù)，在協(xié)助生產(chǎn)、解決問(wèn)題、方便生活等諸多方面有出色表現(xiàn)，但是由于計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)信息系統(tǒng)的特殊性，其運(yùn)行與應(yīng)用過(guò)程中承擔(dān)著巨大的網(wǎng)絡(luò)風(fēng)險(xiǎn)，做好系統(tǒng)安全維護(hù)與評(píng)價(jià)有助于降低運(yùn)行風(fēng)險(xiǎn)，改善應(yīng)用現(xiàn)狀。計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)要立足于安全風(fēng)險(xiǎn)評(píng)估，結(jié)合系統(tǒng)具體運(yùn)行需求選擇針對(duì)性評(píng)價(jià)方法以作改善。

1 計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)作用與指標(biāo)體系

1.1 安全評(píng)價(jià)作用

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全保障主要由安全管理、安全技術(shù)、安全組織三大體系構(gòu)成，保障信息安全的核心是風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)評(píng)估集中體現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)多個(gè)環(huán)節(jié)。

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行與應(yīng)用離不開(kāi)完善且準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，可對(duì)系統(tǒng)運(yùn)行時(shí)所面臨的外部威脅、內(nèi)部隱患等做出全面評(píng)價(jià)，有助于制定相應(yīng)的解決對(duì)策，改善運(yùn)行環(huán)境、降低運(yùn)行風(fēng)險(xiǎn)，達(dá)到預(yù)防、控制安全風(fēng)險(xiǎn)的目的。信息安全風(fēng)險(xiǎn)管理作為風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)，從信息系統(tǒng)建立、運(yùn)行、實(shí)施、維護(hù)等多個(gè)環(huán)節(jié)都離不開(kāi)其作用，風(fēng)險(xiǎn)評(píng)估可發(fā)揮自身強(qiáng)大核查作用對(duì)各類(lèi)安全標(biāo)準(zhǔn)等進(jìn)行驗(yàn)證、驗(yàn)收，提供具體的風(fēng)險(xiǎn)參數(shù)以供分析與參考，在維護(hù)過(guò)程中對(duì)安全技術(shù)、安全管理作用進(jìn)行核查及評(píng)價(jià)，以判斷系統(tǒng)對(duì)環(huán)境變化的適應(yīng)能力，在發(fā)現(xiàn)問(wèn)題或出現(xiàn)技術(shù)故障時(shí)，及時(shí)采取針對(duì)性處理舉措予以解決。

1.2 安全評(píng)價(jià)指標(biāo)體系

系統(tǒng)安全評(píng)價(jià)作為現(xiàn)代計(jì)算機(jī)體系運(yùn)行的重要內(nèi)容，可評(píng)價(jià)系統(tǒng)運(yùn)行風(fēng)險(xiǎn)與危險(xiǎn)性，通過(guò)細(xì)致、全面的分析對(duì)系統(tǒng)情況做綜合評(píng)價(jià)，以及時(shí)、準(zhǔn)確的了解系統(tǒng)中薄弱部分與危險(xiǎn)環(huán)節(jié)，為安全管理提供重要依據(jù)。計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全評(píng)價(jià)指標(biāo)體系主要包括五大部分內(nèi)容，分別是實(shí)體與環(huán)境安全、組織管理與安全制度、安全技術(shù)措施、網(wǎng)絡(luò)與通信安全、軟件與信息安全，以這五部分內(nèi)容為基礎(chǔ)構(gòu)建完整且可靠的風(fēng)險(xiǎn)評(píng)估體系。

實(shí)體與環(huán)境安全主要以周?chē)h(huán)境、外部安全舉措（如有無(wú)防火、防水、防靜電、防雷、防盜措施等）評(píng)估為主；組織管理與安全制度主要以有無(wú)專(zhuān)門(mén)的安全信息管理規(guī)章制度、是否配備專(zhuān)門(mén)信息管理人員、有無(wú)事故處理預(yù)案、信息設(shè)備及數(shù)據(jù)管理制度是否完善等；安全技術(shù)操作包括有無(wú)數(shù)據(jù)備份恢復(fù)技術(shù)對(duì)策、防黑客入侵防病毒木馬措施、有無(wú)系統(tǒng)操作日志及系統(tǒng)安全審計(jì)功能等；網(wǎng)絡(luò)與通信安全包括是否有并采取加密舉措、系統(tǒng)運(yùn)行有無(wú)安全審計(jì)跟蹤、通信設(shè)備有無(wú)專(zhuān)門(mén)醒目標(biāo)志、通信線(xiàn)路及控制裝置有無(wú)備份等；軟件及信息安全包括有無(wú)用戶(hù)識(shí)別舉措、應(yīng)用軟件有無(wú)防破壞舉措、數(shù)據(jù)庫(kù)及系統(tǒng)運(yùn)行狀態(tài)有無(wú)監(jiān)控跟蹤等。以這些內(nèi)容為基礎(chǔ)，共同構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)體系。

2 計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)準(zhǔn)則與方法

2.1 評(píng)價(jià)準(zhǔn)則

網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)主要遵循充分性、適應(yīng)性、系統(tǒng)性、針對(duì)性、合理性五大原則。

充分性原則意味著選擇安全評(píng)價(jià)方法時(shí)要充分考慮系統(tǒng)特點(diǎn)、評(píng)價(jià)目標(biāo)與目的、評(píng)價(jià)方法優(yōu)缺點(diǎn)，以實(shí)現(xiàn)評(píng)價(jià)效益最大化；適應(yīng)性原則意味著安全評(píng)價(jià)方法的選擇與運(yùn)作必須基于系統(tǒng)特性與特點(diǎn)，符合評(píng)價(jià)方法的適用范圍；系統(tǒng)性原則而意味著評(píng)價(jià)方法的運(yùn)作必須能與被評(píng)價(jià)的系統(tǒng)形成和諧整體，具有較高的信度與準(zhǔn)確性；針對(duì)性原則意味著評(píng)價(jià)方法的選擇必須以評(píng)價(jià)目的與目標(biāo)為關(guān)鍵核心，所得的結(jié)果完全符合要求；合理性意味著評(píng)價(jià)方法的選擇除了要考慮評(píng)價(jià)結(jié)果之外，還要綜合考慮經(jīng)濟(jì)性、安全性等指標(biāo)，減少不必要的浪費(fèi)與損失。

2.2 安全評(píng)價(jià)方法

目前有關(guān)計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)的方法尚缺乏一套完整且通用的方法，根據(jù)系統(tǒng)特點(diǎn)、評(píng)價(jià)目標(biāo)、系統(tǒng)規(guī)模及復(fù)雜程度、工藝類(lèi)型、危險(xiǎn)性、危害性等不同，評(píng)價(jià)方法各自不一，在適用范圍、評(píng)價(jià)原理與目標(biāo)、技術(shù)條件、優(yōu)缺點(diǎn)方面有所差異。

比如定性與定量為主的評(píng)估方法，作為目前應(yīng)用較廣的評(píng)估方式，定性評(píng)價(jià)主要針對(duì)系統(tǒng)威脅事件發(fā)生的概率及帶來(lái)的損失為基礎(chǔ)做出評(píng)估，通過(guò)期望值判斷作為風(fēng)險(xiǎn)評(píng)估依據(jù)，但是對(duì)風(fēng)險(xiǎn)大小及嚴(yán)重程度缺乏正確判斷；定量評(píng)價(jià)是對(duì)特定資產(chǎn)價(jià)值作為分析，結(jié)合客觀數(shù)據(jù)、威脅頻率進(jìn)行計(jì)算，結(jié)合威脅事件發(fā)生可能性與損失這三類(lèi)結(jié)果進(jìn)行綜合判斷，以最終確定風(fēng)險(xiǎn)等級(jí)與危害。動(dòng)態(tài)評(píng)估與分析的評(píng)價(jià)方法是將計(jì)算機(jī)系統(tǒng)信息管理視為安全管理過(guò)程的具體化運(yùn)作，將風(fēng)險(xiǎn)評(píng)估控制、安全方針制定及控制方式選擇等內(nèi)容包含在內(nèi)做全程風(fēng)險(xiǎn)的動(dòng)態(tài)評(píng)估，是一種風(fēng)險(xiǎn)的動(dòng)態(tài)評(píng)估運(yùn)作方法。以知識(shí)與模型為基礎(chǔ)的安全風(fēng)險(xiǎn)評(píng)估帶有典型的穩(wěn)定性，知識(shí)評(píng)價(jià)結(jié)合以往安全評(píng)估經(jīng)驗(yàn)對(duì)現(xiàn)行運(yùn)作風(fēng)險(xiǎn)與問(wèn)題進(jìn)行評(píng)價(jià)，結(jié)合以往評(píng)價(jià)模型、知識(shí)框架、保護(hù)措施等對(duì)現(xiàn)行體系進(jìn)行優(yōu)化，是一種安全風(fēng)險(xiǎn)較低、重復(fù)利用率高的評(píng)價(jià)方法；以模型為基礎(chǔ)是將信息系統(tǒng)運(yùn)行過(guò)程中的風(fēng)險(xiǎn)與外部環(huán)境交互過(guò)程中的不利因素做綜合分析，以特定評(píng)價(jià)模型進(jìn)行運(yùn)作以實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的定性評(píng)估。

目前計(jì)算機(jī)信息系統(tǒng)安全評(píng)價(jià)中應(yīng)用具體方法較多，比如安全檢查表將諸多項(xiàng)目?jī)?nèi)容進(jìn)行分析以確定系統(tǒng)運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)不安全風(fēng)險(xiǎn)因素并進(jìn)行整改，是一種適用于各個(gè)階段的風(fēng)險(xiǎn)定性辨識(shí)方法，在辨識(shí)容易引發(fā)事故、傷害、損失及環(huán)境危害的裝置條件、操作規(guī)程方面有一定優(yōu)勢(shì)；事件樹(shù)分析可準(zhǔn)確辨識(shí)初始事件成為事故的可能過(guò)程與危害，在預(yù)測(cè)不安全因素、事故、評(píng)判事故后果及尋求預(yù)防手段方面有一定優(yōu)勢(shì)；風(fēng)險(xiǎn)矩陣分析主要是選擇關(guān)鍵裝置或風(fēng)險(xiǎn)區(qū)域做安全設(shè)計(jì)、緊急預(yù)案評(píng)價(jià)，可確定風(fēng)險(xiǎn)屬性、規(guī)模出列相關(guān)矩陣表，為后續(xù)風(fēng)險(xiǎn)管控提供依據(jù)。

3 結(jié)束語(yǔ)

綜上所述，計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)可為解決系統(tǒng)運(yùn)行風(fēng)險(xiǎn)提供可靠依據(jù)，有助于提升系統(tǒng)運(yùn)行可靠性與安全性，實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估最優(yōu)化，為信息系統(tǒng)的高效開(kāi)發(fā)、應(yīng)用提供有力支持。

[1]張育軍.試論計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評(píng)價(jià)方法[J].電子技術(shù)與軟件工程，2015（10）：208.

TP393.0

A

1004-7344（2016）03-0248-01

2016-1-11