衛(wèi)星君

摘 要 互聯(lián)網(wǎng)信息技術(shù)在為我們生活帶來便利的同時也帶來了一系列信息安全問題。隨著互聯(lián)網(wǎng)技術(shù)的普及，絕大多部分機(jī)構(gòu)和單位的重要資料都保存在信息系統(tǒng)中，一旦面臨攻擊或者威脅，將會造成難以想象的損失。信息安全風(fēng)險評估理論最早起源于國外，引入我國后不少學(xué)者開始進(jìn)行深入的研究，并取得了一定的成效。

關(guān)鍵詞 信息安全風(fēng)險評估；關(guān)鍵技術(shù)；研究

中圖分類號 TP3 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2017）181-0025-02

信息安全風(fēng)險評估就是建設(shè)更加完善的信息安全系統(tǒng)的保障，因此本文分析信息安全風(fēng)險評估關(guān)鍵技術(shù)具有很強(qiáng)烈的現(xiàn)實(shí)意義。

1 信息安全風(fēng)險評估概念及流程

1.1 風(fēng)險評估概念

信息安全風(fēng)險評估主要指的是對網(wǎng)絡(luò)環(huán)境和信息系統(tǒng)中所面臨的威脅以及信息系統(tǒng)資產(chǎn)和系統(tǒng)的脆弱性采取針對性的安全控制措施，對風(fēng)險的判斷需要從信息系統(tǒng)的管理和技術(shù)兩個層面入手。

1.2 風(fēng)險評估流程

風(fēng)險評估需要經(jīng)歷一個完整的過程：1）準(zhǔn)備階段，此階段需要確定風(fēng)險評估的范圍、目標(biāo)以及方法等；2）實(shí)施階段，分別對資產(chǎn)、威脅和脆弱性等展開一系列的評估；3）分析階段，包含量化分析和對風(fēng)險的計(jì)算。在整個過程中可以看出風(fēng)險評估的實(shí)施階段和對風(fēng)險的分析階段所起的作用比較重要，其中包含了幾項(xiàng)比較關(guān)鍵的技術(shù)。

2 信息安全風(fēng)險評估的關(guān)鍵技術(shù)

風(fēng)險評估和控制軟件主要包含6個方面的主要內(nèi)容，而安全風(fēng)險評估流程則是分為4個主要的模塊，漏洞管理、風(fēng)險分析和評估、威脅分析、漏洞管理和檢測等。在信息安全風(fēng)險評估的過程中包含以下幾方面的關(guān)鍵技術(shù)。

2.1 資產(chǎn)管理技術(shù)分析

資產(chǎn)評估主要是對具有價值的資源和信息開展的評估，這些資產(chǎn)包含有形的文檔、硬件等也包含悟性的形象和服務(wù)等。風(fēng)險評估中的第一項(xiàng)任務(wù)就是進(jìn)行資產(chǎn)評估。評估過程中應(yīng)該確保資產(chǎn)的完整性和保密性，兼顧威脅。具體評估方法為：1）對資產(chǎn)進(jìn)行分類，資產(chǎn)往往來源于不同的網(wǎng)絡(luò)和業(yè)務(wù)管理系統(tǒng)。所以需要對資產(chǎn)按照形態(tài)和具體的用途進(jìn)行相應(yīng)的分類；2）對資產(chǎn)進(jìn)行賦值，對所有的資產(chǎn)進(jìn)行分類之后，需要為每一項(xiàng)資產(chǎn)進(jìn)行賦值，將資產(chǎn)的權(quán)重分為5個不同的級別，從1到5分別代表不同的資產(chǎn)等級。資產(chǎn)評估并不是需要根據(jù)賬面的價格進(jìn)行衡量而是以相對價值作為衡量的標(biāo)準(zhǔn)，需要考慮到資產(chǎn)的成本價值，更應(yīng)該明確資產(chǎn)評估對組織業(yè)務(wù)發(fā)展的重要性。在實(shí)際的資產(chǎn)評估過程中，商業(yè)利益、信譽(yù)影響、系統(tǒng)安全、系統(tǒng)破壞等都會對資產(chǎn)賦值產(chǎn)生影響。

2.2 威脅分析技術(shù)分析

威脅是客觀存在的，可能會對組織或者資產(chǎn)構(gòu)成潛在的破壞，它可以通過途徑、動機(jī)、資源和主體等多種途徑來實(shí)現(xiàn)，威脅可以分為環(huán)境因素和人為因素。環(huán)境因素分為不可抗因素和物理因素，人為因素可以分為非惡意和惡意因素。威脅評估步驟如下：1）威脅識別過程，需要根據(jù)資產(chǎn)所處的實(shí)際環(huán)境，按照自身的實(shí)際經(jīng)驗(yàn)評估資產(chǎn)可能會面對的威脅，威脅的類型十分多樣化，包含篡改、泄密、物理攻擊、網(wǎng)絡(luò)攻擊、惡意代碼、管理問題等。2）威脅評估，在威脅識別完成之后就需要對威脅發(fā)生的可能性進(jìn)行評估。威脅評估句式需要根據(jù)威脅的種類和來源形成一個類別，在列表中對威脅發(fā)生的可能性進(jìn)行定義，現(xiàn)將威脅的等級分為五級，威脅等級越高，發(fā)生的可能性越大。表1為威脅賦值表格。

2.3 脆弱性識別技術(shù)分析

脆弱性識別包含管理和技術(shù)兩個層面，涉及到各個層面中的安全問題，而漏洞掃描則是對主機(jī)和網(wǎng)絡(luò)設(shè)備等開展掃描檢查。針對需要保護(hù)的資產(chǎn)進(jìn)行脆弱性識別，找出所有威脅可以利用的脆弱性，再根據(jù)脆弱性的程度，及可能會被威脅利用的機(jī)會展開相應(yīng)的評估。對于漏洞掃描大都需要依賴掃描軟件，當(dāng)前市場上也出現(xiàn)了不少強(qiáng)大的掃描工具，可以掃描出絕大多數(shù)當(dāng)前已經(jīng)公開的絕大多數(shù)系統(tǒng)漏洞。可以使用Nessus客戶端對系統(tǒng)的漏洞情況進(jìn)行掃描，此種掃描工具包含了比較強(qiáng)大的安全漏洞數(shù)據(jù)庫，可以對系統(tǒng)漏洞進(jìn)行高效、可靠安全的檢測，在結(jié)束掃描之后，Nessus將會對收集到的信息和數(shù)據(jù)進(jìn)行分析，輸出信息。輸出的信息包含存在的漏洞情況，漏洞的詳細(xì)信息和處理漏洞的建立等。

2.4 風(fēng)險分析和評估技術(shù)分析

信息安全風(fēng)險評估的過程中除了進(jìn)行資產(chǎn)評估、危險評估和脆弱性識別之后需要對風(fēng)險進(jìn)行相應(yīng)的計(jì)算。采用科學(xué)可行的工具和方法評估威脅發(fā)生的可能性，并根據(jù)資產(chǎn)的重要性評估安全事件發(fā)生之后所產(chǎn)生的影響，即安全風(fēng)險。風(fēng)險值的計(jì)算需要考慮到資產(chǎn)因素、脆弱性因素和威脅因素等，在進(jìn)行了定量和定性分析之后再計(jì)算最終的風(fēng)險值。

風(fēng)險值的計(jì)算公式為R=F（A.T.V）=F=（Ia，G（T，Va）），公式中風(fēng)險值為R，安全風(fēng)險計(jì)算函數(shù)為F，資產(chǎn)為A，脆弱性為V，威脅為T，資產(chǎn)的重要程度為Ia，資產(chǎn)的脆弱性程度為Va，脆弱性被威脅利用導(dǎo)致安全事故發(fā)生的可能性為L。將公式中的各項(xiàng)指標(biāo)進(jìn)行模型化轉(zhuǎn)換，可以得到圖1。

2.4.1 評估要素量化方法

本文論述兩種量化評估要素的方法：1）權(quán)重法，根據(jù)評估要素中重要程度的不同設(shè)置不同的權(quán)限值，在經(jīng)過加權(quán)治療后得出最終的量化值。2）最高法，評估要素的量化值就是評估要素的最高等級值，公式為S=Max（Sj）

2.4.2 計(jì)算風(fēng)險值的方法

根據(jù)計(jì)算風(fēng)險值的模型，采用矩陣算法來計(jì)算風(fēng)險值。分別計(jì)算風(fēng)險事件的發(fā)生值、影響值和最終的風(fēng)險值。風(fēng)險事件發(fā)生值=L（資產(chǎn)的脆弱性，威脅值）=L（V，T），風(fēng)險事件影響值I=（Ia，Va）。

2.4.3 風(fēng)險評估結(jié)果

在綜合分析完成之后的評估結(jié)果就是風(fēng)險評估結(jié)果，這項(xiàng)結(jié)果將會成為風(fēng)險評估機(jī)構(gòu)開展風(fēng)險管理的主要依據(jù)，風(fēng)險評估結(jié)果包含：風(fēng)險計(jì)算和風(fēng)險分析。風(fēng)險計(jì)算是對資產(chǎn)的重要程度及風(fēng)險事件發(fā)生值等進(jìn)行判定；進(jìn)而得出判定結(jié)果；風(fēng)險分析是總結(jié)系統(tǒng)的風(fēng)險評估過程，進(jìn)而得出殘余風(fēng)險和系統(tǒng)的風(fēng)險狀況。

3 結(jié)論

隨著互聯(lián)網(wǎng)技術(shù)的普及應(yīng)用，信息化管理已經(jīng)成功應(yīng)用到絕大部分企業(yè)管理中。但是隨之而來的是一系列的信息安全問題，如果出現(xiàn)安全問題將會給企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失。信息安全風(fēng)險評估技術(shù)是對信息安全風(fēng)險程度進(jìn)行分析計(jì)算的基礎(chǔ)上展開評估，為提高企業(yè)信息安全性奠定基礎(chǔ)，提高企業(yè)信息安全管理水平。

參考文獻(xiàn)

[1]安莉麗.網(wǎng)絡(luò)安全風(fēng)險評估關(guān)鍵技術(shù)研究[J].信息通信，2015（7）：143-144.