周欣元

摘 要 21世紀(jì)是信息化時(shí)代，信息系統(tǒng)在當(dāng)代扮演的作用日益重要。信息系統(tǒng)主要由計(jì)算機(jī)硬件、網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)軟件、通訊設(shè)備、用戶群、網(wǎng)路協(xié)議、網(wǎng)絡(luò)規(guī)章制度、信息流等組成的綜合性系統(tǒng)、信息系統(tǒng)的出現(xiàn)極大方便信息共享和信息傳輸方式，信息處理效率及質(zhì)量顯著提高。信息安全是信息系統(tǒng)重要組成部分，風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)重要組成部分。本文就信息安全風(fēng)險(xiǎn)評(píng)估展開(kāi)綜述。

【關(guān)鍵詞】信息系統(tǒng) 安全風(fēng)險(xiǎn)評(píng)估 定性 定量

隨著社會(huì)經(jīng)濟(jì)快速發(fā)展，信息傳遞無(wú)論是速度還是容量均不斷創(chuàng)造新的高度。信息傳遞方式與人們的生活、工作、學(xué)習(xí)息息相關(guān)。信息產(chǎn)業(yè)發(fā)展蒸蒸日上，建立在信息技術(shù)基礎(chǔ)上的信息系統(tǒng)存在一定風(fēng)險(xiǎn)，易受到黑客攻擊，且信息系統(tǒng)充斥各種病毒，系統(tǒng)運(yùn)行過(guò)程存在一定風(fēng)險(xiǎn)?；诖吮仨氉龊眯畔⑾到y(tǒng)安全建設(shè)，進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，奠定安全基礎(chǔ)。

1 風(fēng)險(xiǎn)評(píng)估概述

互聯(lián)網(wǎng)快速發(fā)展極大提高人們的生活、工作、學(xué)習(xí)效率，與此同時(shí)發(fā)來(lái)一系列安全隱患。人們通過(guò)互聯(lián)網(wǎng)可實(shí)現(xiàn)信息有效獲取，信息傳遞過(guò)程中仍舊可能出現(xiàn)信息被第三方截取情況，信息保密性、完整性、可靠性等均收到影響。網(wǎng)絡(luò)環(huán)境雖然方便信息處理方式，但也帶來(lái)一系列安全隱患。

從信息安全角度而言，風(fēng)險(xiǎn)評(píng)估就是對(duì)信息系統(tǒng)自身存在的的種種弱點(diǎn)進(jìn)行分析，判斷可能存在的威脅、可能造成的影響等。綜合風(fēng)險(xiǎn)可能性，便于更好展開(kāi)風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)評(píng)估是研究信息安全的重要途徑之一，屬于組織信息安全管理體系策劃過(guò)程。

風(fēng)險(xiǎn)評(píng)估主要內(nèi)容包括：識(shí)別信息系統(tǒng)可能面對(duì)的各種風(fēng)險(xiǎn)、風(fēng)險(xiǎn)出現(xiàn)的概率、風(fēng)險(xiǎn)可能導(dǎo)致的后果、風(fēng)險(xiǎn)消除策略、風(fēng)險(xiǎn)控制策略等。信息系統(tǒng)構(gòu)成極為復(fù)雜，因此信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)綜合性工作，其組織架構(gòu)較為繁雜，主要包括技術(shù)體系、組織結(jié)構(gòu)、法律體系、標(biāo)準(zhǔn)體系、業(yè)務(wù)體系等。

20世紀(jì)八十年代，以美國(guó)、加拿大為代表的發(fā)達(dá)國(guó)家已建立起風(fēng)險(xiǎn)評(píng)估體系。我國(guó)風(fēng)險(xiǎn)評(píng)估體系建立較晚，至今只有十幾年時(shí)間。目前我國(guó)安全風(fēng)險(xiǎn)評(píng)估已得到相關(guān)部門(mén)高度重視，為其快速發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)。

網(wǎng)絡(luò)環(huán)境雖然帶來(lái)無(wú)窮便利，卻也帶來(lái)各種安全隱患。互聯(lián)網(wǎng)環(huán)境下信息系統(tǒng)易被黑客攻擊。一切社會(huì)因素均與信息系統(tǒng)聯(lián)系在一起，人們生活在同一信息系統(tǒng)下總是希望自身隱私得到保護(hù)，因此在建設(shè)信息系統(tǒng)是必須做好信息安全風(fēng)險(xiǎn)評(píng)估，規(guī)避信息系統(tǒng)存在的各種風(fēng)險(xiǎn)，提高信息系統(tǒng)安全性，讓人們生活在安全信息環(huán)境中。

2 信息安全風(fēng)險(xiǎn)評(píng)估方法

網(wǎng)絡(luò)的出現(xiàn)對(duì)人們的生活和思維方式帶來(lái)極大變革，信息交流更加方便，資源共享程度無(wú)限擴(kuò)大，但是網(wǎng)絡(luò)是一個(gè)較為開(kāi)放的系統(tǒng)，對(duì)進(jìn)入網(wǎng)絡(luò)系統(tǒng)的人并未有一定約束，因此必然導(dǎo)致安全隱患的出現(xiàn)。隨著信息系統(tǒng)建設(shè)不斷深入，信息系統(tǒng)必將對(duì)社會(huì)經(jīng)濟(jì)、政治、文化、教育等造成巨大影響?；诖诵枰嵘畔⑾到y(tǒng)安全風(fēng)險(xiǎn)評(píng)估合理性，降低安全隱患，讓人們?cè)诎踩男畔h(huán)境下生活和工作。

2.1 定性評(píng)估方法

定性評(píng)估是信息安全風(fēng)險(xiǎn)評(píng)估使用最頻繁的方法，此法基于評(píng)估者通過(guò)特有評(píng)估方法，總結(jié)經(jīng)驗(yàn)、歷史等無(wú)法量化 因素對(duì)系統(tǒng)風(fēng)險(xiǎn)進(jìn)行綜合評(píng)估，從而得出評(píng)估結(jié)果。該中方法更注重安全風(fēng)險(xiǎn)可能導(dǎo)致的后果，忽略安全時(shí)間可能發(fā)生的概率。定性評(píng)估中有很多因素?zé)o法量化處理，因此其評(píng)估結(jié)果本身就存在一定不確定性，此種評(píng)估方法適用于各項(xiàng)數(shù)據(jù)收集不充分情況。

定性評(píng)估雖然在概率上無(wú)法保障，但可挖掘出一些較為深刻的思想，其結(jié)論主觀性較強(qiáng)，可預(yù)判斷一些主觀性結(jié)論?；诖诵枰u(píng)估人員具較高職業(yè)素養(yǎng)，不受限與數(shù)據(jù)及經(jīng)驗(yàn)的束縛。典型定性評(píng)估方法有邏輯評(píng)估法、歷史比較法、德?tīng)柗品ā?/p>

德?tīng)柗品ㄊ嵌ㄐ栽u(píng)估中較為常見(jiàn)評(píng)估方法之一，經(jīng)過(guò)多輪征詢，將專家的意見(jiàn)進(jìn)行歸結(jié)，總結(jié)專家預(yù)測(cè)趨勢(shì)，從而做出評(píng)估，預(yù)測(cè)未來(lái)市場(chǎng)發(fā)展趨勢(shì)，得出預(yù)測(cè)結(jié)論。從本質(zhì)上來(lái)說(shuō)，德?tīng)柗品ㄊ且环N匿名預(yù)測(cè)函詢法，其流程為：征求專家匿名意見(jiàn)——對(duì)該項(xiàng)數(shù)據(jù)進(jìn)行歸納整理——反饋意見(jiàn)給專家——收集專家意見(jiàn)——…——得出一致意見(jiàn)。德?tīng)柗品ㄊ且环N循環(huán)往復(fù)的預(yù)測(cè)方法可逐漸消除不確定因素，促進(jìn)預(yù)測(cè)符合實(shí)際。

2.2 定量評(píng)估方法

定量評(píng)估與定性評(píng)估是相互對(duì)立的，此種方法需要建立在一切因素均標(biāo)準(zhǔn)化基礎(chǔ)上。定量評(píng)估首先需要收集相關(guān)數(shù)據(jù)，且需保證數(shù)據(jù)準(zhǔn)確性，之后利用數(shù)學(xué)方法建立模型，驗(yàn)證各種過(guò)程從而得出結(jié)論。定量評(píng)估需要準(zhǔn)備充足資料，是一種利用公式進(jìn)行結(jié)果推到的方法。從本質(zhì)上來(lái)說(shuō)定量評(píng)估客服定性評(píng)估存在的不足，更具備客觀性。定量評(píng)估可將復(fù)雜評(píng)估過(guò)程量化，但該種方法需要建立在準(zhǔn)確數(shù)據(jù)基礎(chǔ)上。定量評(píng)估方法主觀性不足，其結(jié)論不夠深刻具體。定量評(píng)估方法中具有代表性的方法為故障樹(shù)評(píng)估法。

故障樹(shù)評(píng)估法采用邏輯思維進(jìn)行風(fēng)險(xiǎn)評(píng)估，其特點(diǎn)是直觀明了，思路清晰。是一種演繹邏輯推理方法，其推理過(guò)程由果及因，即在推理中由結(jié)果推到原因，主要運(yùn)用于風(fēng)險(xiǎn)預(yù)測(cè)階段，得出風(fēng)險(xiǎn)發(fā)生具體概率，并以此為基礎(chǔ)得出風(fēng)險(xiǎn)控制方法。

2.3 定性評(píng)估與定量評(píng)結(jié)合綜合評(píng)價(jià)方法

由前文可知定性評(píng)估和定量評(píng)估各自存在優(yōu)缺點(diǎn)。定性評(píng)估主觀性較強(qiáng)，客觀性不足。定量評(píng)估主觀性不足，客觀性較強(qiáng)。因此將二者結(jié)合起來(lái)便可起到互補(bǔ)不足的效果。定性評(píng)估需要耗費(fèi)少量人力、物力、財(cái)力成本，建立在評(píng)估者資質(zhì)基礎(chǔ)上。定量評(píng)估運(yùn)用數(shù)學(xué)方法展開(kāi)工作，預(yù)測(cè)結(jié)果較為準(zhǔn)確，邏輯性較強(qiáng)，但成本較高。從本質(zhì)上來(lái)看，定性為定量的依據(jù)，定量是對(duì)定性的具體化，因此只有將二者結(jié)合起來(lái)才能實(shí)現(xiàn)最佳評(píng)估效果。

3 信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程

信息安全風(fēng)險(xiǎn)評(píng)估建立在一定評(píng)估標(biāo)準(zhǔn)基礎(chǔ)上，評(píng)估標(biāo)準(zhǔn)是評(píng)估活動(dòng)開(kāi)展的基礎(chǔ)和前提。信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程需要評(píng)估技術(shù)、工具、方法等全面支持，在此基礎(chǔ)上展開(kāi)全面風(fēng)險(xiǎn)評(píng)估，結(jié)合實(shí)際情況選擇合適評(píng)估方法。正確的評(píng)估方法可提高信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果準(zhǔn)確性，這就要求評(píng)估過(guò)程中需建立正確評(píng)估方法，克服評(píng)估過(guò)程存在的不足，從而取得最佳結(jié)果。

4 結(jié)束語(yǔ)

當(dāng)今信息系統(tǒng)不斷發(fā)展完善，為保證信息系統(tǒng)運(yùn)行環(huán)境的安全性必須對(duì)信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估具有多種方法，實(shí)際評(píng)估中應(yīng)該結(jié)合實(shí)際情況選擇合適方法，提高信息安全風(fēng)險(xiǎn)評(píng)估結(jié)果準(zhǔn)確性，為建立安全信息環(huán)境奠定堅(jiān)實(shí)基礎(chǔ)。

參考文獻(xiàn)

[1]應(yīng)力.信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)與方法綜述[J].上海標(biāo)準(zhǔn)化，2014（05）：34-39.

[2]張玉清.信息安全風(fēng)險(xiǎn)評(píng)估綜述[J].通信學(xué)報(bào)，2015（02）：45-53.

[3]溫大順.信息安全風(fēng)險(xiǎn)評(píng)估綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（01）：16-25.

作者單位

山東省青島第五十八中學(xué)2014級(jí)高二（2班） 山東省青島市 266100