信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)估探析

崔佳 劉平

摘 要：信息安全風(fēng)險(xiǎn)評(píng)估作為信息系統(tǒng)管理工作中的一項(xiàng)重要內(nèi)容，能夠及時(shí)找出存在的信息安全隱患，并采取針對(duì)性的應(yīng)對(duì)措施，降低風(fēng)險(xiǎn)的發(fā)生概率，對(duì)保證信息系統(tǒng)的安全性及穩(wěn)定性，充分發(fā)揮各項(xiàng)信息的利用價(jià)值具有重要意義。文章從信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)估概念出發(fā)，結(jié)合影響信息安全風(fēng)險(xiǎn)的具體因素，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估措施進(jìn)行了討論分析，對(duì)信息化建設(shè)及長(zhǎng)遠(yuǎn)發(fā)展具有指導(dǎo)和借鑒作用。

關(guān)鍵詞：信息系統(tǒng)管理；信息安全；風(fēng)險(xiǎn)評(píng)估；誘發(fā)因素；具體措施

網(wǎng)絡(luò)的迅速發(fā)展和普及，推動(dòng)社會(huì)進(jìn)入了信息化、數(shù)字化時(shí)代，各項(xiàng)信息在日常生活及生產(chǎn)活動(dòng)中所發(fā)揮的作用越來(lái)越重要，已經(jīng)成為推動(dòng)社會(huì)發(fā)展與進(jìn)步的必要資源。但是，在網(wǎng)絡(luò)技術(shù)發(fā)展和應(yīng)用過(guò)程中，網(wǎng)絡(luò)環(huán)境也變得越來(lái)越復(fù)雜，病毒木馬、惡意攻擊等現(xiàn)象屢見不鮮，對(duì)信息系統(tǒng)安全造成了嚴(yán)重威脅，再加上信息系統(tǒng)自身缺陷以及設(shè)備障礙等問題，都使得信息安全面臨著較大風(fēng)險(xiǎn)，難以保證信息資源價(jià)值的充分發(fā)揮。如何提高信息系統(tǒng)的安全性能，確保信息安全，已經(jīng)引起了業(yè)內(nèi)人士的廣泛關(guān)注和重視。

1 信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)估概念

信息安全風(fēng)險(xiǎn)評(píng)估是指，以信息系統(tǒng)管理為契機(jī)，以確保信息安全為基本原則，采用科學(xué)的方法和技術(shù)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行狀態(tài)和信息系統(tǒng)的工作性能進(jìn)行研究、分析，找出網(wǎng)絡(luò)和信息系統(tǒng)所面臨的威脅及存在的脆弱性，預(yù)測(cè)可能會(huì)出現(xiàn)的安全事件及其造成的影響，并采取針對(duì)性的措施加以解決和防護(hù)。

2 信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容

在對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行評(píng)估之前，需要明確信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容，信息資產(chǎn)、信息威脅、信息脆弱性以及現(xiàn)有安全措施，都是信息安全風(fēng)險(xiǎn)評(píng)估時(shí)需要考慮的因素。

2.1 信息資產(chǎn)評(píng)估

在對(duì)信息資產(chǎn)進(jìn)行評(píng)估之前，需要先對(duì)信息資產(chǎn)進(jìn)行識(shí)別，硬件資產(chǎn)、軟件資產(chǎn)以及數(shù)據(jù)資產(chǎn)都是信息系統(tǒng)中所包含的資產(chǎn)類型，這些都是信息資產(chǎn)識(shí)別時(shí)需要考慮的因素，需要列出詳細(xì)清單。在明確具體信息資產(chǎn)之后，根據(jù)信息資產(chǎn)在信息系統(tǒng)中所發(fā)揮的作用，對(duì)其重要性進(jìn)行判斷，評(píng)估信息資產(chǎn)價(jià)值。通過(guò)信息資產(chǎn)評(píng)估，需要確保其保密性、完整性和可用性[1]。

2.2 威脅評(píng)估

信息威脅是信息系統(tǒng)管理不希望發(fā)生的事件，但也是不可避免的一個(gè)問題，很容易引發(fā)信息安全風(fēng)險(xiǎn)。造成信息威脅的因素有多種，因網(wǎng)絡(luò)自身的開放性、虛擬性特點(diǎn)，網(wǎng)絡(luò)環(huán)境變得尤為復(fù)雜，在存在大量有價(jià)值信息之外，還混雜有一些病毒木馬和惡意軟件，并且黑客入侵現(xiàn)象也比較常見。這些都會(huì)對(duì)信息安全造成威脅，因此需要進(jìn)行威脅評(píng)估。

2.3 脆弱性評(píng)估

脆弱性評(píng)估主要是從技術(shù)層面和管理層面進(jìn)行考慮的，能夠找出信息系統(tǒng)的薄弱環(huán)節(jié)，進(jìn)而采取針對(duì)性措施加以解決。在構(gòu)建信息系統(tǒng)時(shí)，系統(tǒng)本身可能會(huì)存在缺陷和不足，這些系統(tǒng)漏洞和弱點(diǎn)嚴(yán)重降低了信息系統(tǒng)的安全等級(jí)，很容易引發(fā)信息安全風(fēng)險(xiǎn)問題。同時(shí)，因信息系統(tǒng)管理不善、管理力度不足等，也會(huì)使得信息系統(tǒng)具有脆弱性，抗風(fēng)險(xiǎn)能力較弱。所以在對(duì)信息系統(tǒng)進(jìn)行脆弱性評(píng)估時(shí)，需要從這兩方面進(jìn)行考慮[2]。

2.4 現(xiàn)有安全措施評(píng)估

現(xiàn)有安全措施是預(yù)防信息安全風(fēng)險(xiǎn)，并對(duì)信息系統(tǒng)進(jìn)行保護(hù)的主要方式，是在識(shí)別信息安全風(fēng)險(xiǎn)之后，所采取的針對(duì)性措施，主要是通過(guò)控制風(fēng)險(xiǎn)和降低風(fēng)險(xiǎn)來(lái)保障信息安全的。如果安全措施不到位或者不具備針對(duì)性，將無(wú)法發(fā)揮其基本作用，信息系統(tǒng)安全性將會(huì)大大降低，所以必須對(duì)現(xiàn)有安全措施的有效性進(jìn)行評(píng)估。

3 信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)估方法

在確定信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容之后，需要采取最為合適的方法完成信息安全風(fēng)險(xiǎn)評(píng)估，并構(gòu)建完善的信息安全風(fēng)險(xiǎn)評(píng)估體系，對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行綜合分析。

3.1 風(fēng)險(xiǎn)評(píng)估方法

當(dāng)前常用的信息安全風(fēng)險(xiǎn)評(píng)估方法主要有定性評(píng)估法、人工評(píng)估法、定量評(píng)估法、工具輔助評(píng)估法等多種，其中定性評(píng)估法和人工評(píng)估法使用最為廣泛。定性評(píng)估法的主要評(píng)估依據(jù)是信息安全風(fēng)險(xiǎn)造成的影響及損失，很少將風(fēng)險(xiǎn)出現(xiàn)的次數(shù)考慮在內(nèi)，評(píng)估工作一般是由風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)或者專家完成的，進(jìn)而得到信息安全風(fēng)險(xiǎn)具體等級(jí)。定性評(píng)估法主觀性較強(qiáng)，評(píng)估結(jié)果與實(shí)際結(jié)果容易出現(xiàn)較大出入，往往表現(xiàn)為風(fēng)險(xiǎn)控制不到位。人工評(píng)估法是指采用人工作業(yè)方式，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容進(jìn)行全面分析，以此來(lái)判斷風(fēng)險(xiǎn)發(fā)生概率及具體影響，并結(jié)合風(fēng)險(xiǎn)效益，采取最為合理、有效的對(duì)策，實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的預(yù)防和控制，以此來(lái)降低風(fēng)險(xiǎn)發(fā)生概率。

3.2 風(fēng)險(xiǎn)評(píng)估體系

風(fēng)險(xiǎn)評(píng)估體系的構(gòu)建，是信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中非常重要的一個(gè)環(huán)節(jié)，能夠?qū)λ酗L(fēng)險(xiǎn)問題進(jìn)行全面性的綜合考慮。在構(gòu)建風(fēng)險(xiǎn)評(píng)估體系時(shí)，一般采用層次分析法來(lái)實(shí)現(xiàn)，能夠?qū)π畔踩L(fēng)險(xiǎn)中包括的所有要素之間的相對(duì)重要的權(quán)數(shù)進(jìn)行評(píng)價(jià)，結(jié)合所有要素的排序進(jìn)行橫向比較分析，評(píng)估信息安全的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估體系的構(gòu)建，能夠使信息安全風(fēng)險(xiǎn)評(píng)估更加規(guī)范化、科學(xué)化、全面化，可以將資產(chǎn)、威脅信、脆弱性、安全措施等所有要素考慮在內(nèi)，提供更加可靠的依據(jù)，在很大程度上提高了風(fēng)險(xiǎn)評(píng)估結(jié)果的準(zhǔn)確性，對(duì)加強(qiáng)信息安全風(fēng)險(xiǎn)控制力度，提高信息系統(tǒng)管理水平具有重要意義。

4 結(jié)束語(yǔ)

在信息系統(tǒng)管理工作中，通過(guò)信息安全風(fēng)險(xiǎn)評(píng)估，能夠?qū)⑿畔踩L(fēng)險(xiǎn)控制在可接受范圍內(nèi)，使信息系統(tǒng)能夠以安全平穩(wěn)狀態(tài)運(yùn)行，避免出現(xiàn)信息泄露、系統(tǒng)入侵現(xiàn)象，可以確保信息具有較高的保密性、安全性、完整性及真實(shí)性，為信息資源價(jià)值的有效利用提供基礎(chǔ)保障。只有從影響信息安全風(fēng)險(xiǎn)的主要因素出發(fā)，明確信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容，并運(yùn)用科學(xué)、有效的評(píng)估方法，構(gòu)建完善的風(fēng)險(xiǎn)評(píng)估體系，對(duì)信息系統(tǒng)所面臨的安全風(fēng)險(xiǎn)威脅做出準(zhǔn)確判斷，才能采取針對(duì)性的預(yù)防和處理措施加以改善，提高信息系統(tǒng)管理水平和管理質(zhì)量。

參考文獻(xiàn)

[1]陳綺琦.對(duì)信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)估研究[J].信息系統(tǒng)工程，2016，（7）：77.

[2]溫盈盈.對(duì)信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)估研究[J].數(shù)字技術(shù)與應(yīng)用，2015，（1）：173.

（作者單位：國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心）