李雪峰

摘要：本文介紹了信息系統(tǒng)安全評(píng)估的基本工作流程，分析了信息系統(tǒng)安全評(píng)估的基本方法。雖然當(dāng)前我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作上前沒(méi)有一個(gè)較為成熟的發(fā)展趨勢(shì)，但是隨著人們對(duì)信息系統(tǒng)依賴性的不斷增加，對(duì)信息安全越來(lái)越重視，也會(huì)越發(fā)的關(guān)注信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估工作。

關(guān)鍵詞：信息系統(tǒng);安全風(fēng)險(xiǎn);風(fēng)險(xiǎn)評(píng)估;評(píng)估方法;技術(shù)觀察

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2020）03-0195-01

1 信息系統(tǒng)安全評(píng)估的工作流程

1.1 資產(chǎn)識(shí)別

信息系統(tǒng)安全評(píng)估中的資產(chǎn)主要是包括相關(guān)重要信息系統(tǒng)的主體組織中，有價(jià)值的一系列信息資源，資產(chǎn)是當(dāng)前相關(guān)工作人員提高信息安全評(píng)估工作效率的保護(hù)對(duì)象。資產(chǎn)主要是由文檔，硬件軟件數(shù)據(jù)服務(wù)以及人員等共同組成，在進(jìn)行相關(guān)工作人員的信息系統(tǒng)安全評(píng)估工作中，需要對(duì)所評(píng)估的信息系統(tǒng)主體中不同的資產(chǎn)進(jìn)行不同的等級(jí)劃分，根據(jù)相關(guān)資料的完整性，可用性以及機(jī)密性作為有效的等級(jí)去進(jìn)行判斷。

1.2 脆弱性識(shí)別

脆弱性在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作當(dāng)中，主要是指相關(guān)信息系統(tǒng)中一個(gè)或多個(gè)資產(chǎn)的弱點(diǎn)的總稱。相關(guān)工作人員需要能夠?qū)⑺u(píng)估的信息系統(tǒng)主體資產(chǎn)作為工作核心，盡可能的在評(píng)估當(dāng)中對(duì)每一個(gè)資產(chǎn)的弱點(diǎn)進(jìn)行有效的分別標(biāo)注，最后運(yùn)用有效的信息技術(shù)將不同資產(chǎn)的弱點(diǎn)進(jìn)行總體評(píng)估。

1.3 威脅識(shí)別

威脅是指可能導(dǎo)致危害系統(tǒng)或組織的不希望事故的潛在起因。威脅是一個(gè)客觀存在，正因?yàn)榇嬖谕{，組織和信息系統(tǒng)才會(huì)存在風(fēng)險(xiǎn)。威脅識(shí)別是盡可能的通過(guò)評(píng)估信息系統(tǒng)當(dāng)中發(fā)現(xiàn)的有效問(wèn)題，直接排查出威脅的接觸過(guò)程。相關(guān)工作人員在開展具體的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的威脅識(shí)別工作當(dāng)中，需要盡可能的建立健全風(fēng)險(xiǎn)分析所需要的威脅場(chǎng)景，并且進(jìn)行有關(guān)直接威脅或者間接威脅的有效識(shí)別。

1.4 風(fēng)險(xiǎn)分析

相關(guān)工作人員在對(duì)信息系統(tǒng)進(jìn)行資產(chǎn)識(shí)別脆弱識(shí)別以及威脅識(shí)別之后，還需要對(duì)相關(guān)的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估階段，在這個(gè)階段當(dāng)中，相關(guān)工作人員需要盡可能的對(duì)信息系統(tǒng)進(jìn)行有關(guān)風(fēng)險(xiǎn)的分析以及計(jì)算工作，為后面的信息系統(tǒng)安全提供有效的相關(guān)信息。

2 信息系統(tǒng)中的風(fēng)險(xiǎn)評(píng)估方法

2.1 信息系統(tǒng)定量分析法

在信息系統(tǒng)風(fēng)險(xiǎn)分析過(guò)程當(dāng)中，信息系統(tǒng)定量分析法主要是將信息系統(tǒng)中的資產(chǎn)價(jià)值以及風(fēng)險(xiǎn)進(jìn)行一定標(biāo)準(zhǔn)的等量化財(cái)務(wù)價(jià)值評(píng)價(jià)。在信息系統(tǒng)的定量分析法當(dāng)中，首先需要保證其自身可以進(jìn)行量化，在一定程度上保證信息系統(tǒng)中的相關(guān)威脅，對(duì)于資產(chǎn)內(nèi)造成的不同程度的損失，可以通過(guò)財(cái)務(wù)等情況進(jìn)行相關(guān)的數(shù)據(jù)衡量，這種直觀的衡量方式，在一定程度上可以保證信息系統(tǒng)的主體結(jié)構(gòu)管理層可以更好的接收，并且辨別信息系統(tǒng)的風(fēng)險(xiǎn)分析。

2.2 基于知識(shí)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法

在實(shí)際操作當(dāng)中，基于知識(shí)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法主要依靠的是相關(guān)風(fēng)險(xiǎn)評(píng)估的工作人員的自身的工作經(jīng)驗(yàn)，通過(guò)對(duì)一系列信息系統(tǒng)資料的有效收集與分析，采用自身知識(shí)儲(chǔ)備以及相關(guān)的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)進(jìn)行有效的對(duì)比分析，在一定時(shí)間內(nèi)找出信息系統(tǒng)當(dāng)中存在可能會(huì)發(fā)生安全威脅的地方，通過(guò)相關(guān)的標(biāo)準(zhǔn)以及有效方法找出有效的解決措施，盡可能地保證信息系統(tǒng)減少風(fēng)險(xiǎn)的可能[1]。

2.3 基于技術(shù)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估相關(guān)工作人員在開展基于技術(shù)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法的具體操作過(guò)程當(dāng)中，通常情況下主要依賴的風(fēng)險(xiǎn)評(píng)估依據(jù)是自身的技術(shù)能力，通過(guò)對(duì)于相關(guān)信息系統(tǒng)中程序系統(tǒng)以及基礎(chǔ)結(jié)構(gòu)的全面排查，盡可能的用相應(yīng)的信息系統(tǒng)內(nèi)部脆弱性以及安全性的完整估計(jì)，有效的找出信息系統(tǒng)中可能會(huì)發(fā)現(xiàn)的一系列風(fēng)險(xiǎn)隱患。通常情況下，基于技術(shù)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法主要采取的分析方法技術(shù)研究十分多，但是在實(shí)際管理過(guò)程當(dāng)中存在一系列的不足之處，往往過(guò)于依賴工作人員的工作經(jīng)驗(yàn)，進(jìn)一步導(dǎo)致信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估在管理工作當(dāng)中出現(xiàn)漏洞[2]。

2.4 綜合的信息系統(tǒng)風(fēng)險(xiǎn)分析方法

通常情況下，基于知識(shí)的信息系統(tǒng)風(fēng)險(xiǎn)分析方法過(guò)于主觀，分析風(fēng)險(xiǎn)有著很好的準(zhǔn)確性，相對(duì)來(lái)說(shuō)工作的計(jì)算量很小，操作簡(jiǎn)單可以充分的運(yùn)用相關(guān)工作人員的專業(yè)知識(shí)，但是在實(shí)際過(guò)程當(dāng)中十分容易受到工作人員的主觀影響，導(dǎo)致分析經(jīng)準(zhǔn)度不夠，并且要求相關(guān)工作人員必須要有著一定工作經(jīng)驗(yàn)以及很高的工作能力水平，在實(shí)際操作過(guò)程當(dāng)中，對(duì)于信息系統(tǒng)的評(píng)估對(duì)象通常只能用到一些小系統(tǒng)，并且信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的結(jié)果很難進(jìn)行統(tǒng)一。

最常見(jiàn)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估綜合評(píng)估方法是層次分析法，主要的分析思想是盡可能的將要分析的安全風(fēng)險(xiǎn)的性質(zhì)和想要達(dá)到的總體目標(biāo)進(jìn)行有效的總結(jié)，盡可能的將問(wèn)題分解成不同的組成要素，按照要素之間的內(nèi)在關(guān)系和所屬關(guān)系，按照不同的層次進(jìn)行排列組合，將各個(gè)因素排列成一個(gè)有層次的結(jié)構(gòu)模型，盡可能地將系統(tǒng)分析中的實(shí)際內(nèi)容按照相關(guān)的重要性權(quán)重來(lái)進(jìn)行有效的排序[3]。

層次分析法的分析核心是盡可能地將風(fēng)險(xiǎn)評(píng)估人員的工作經(jīng)驗(yàn)以及專業(yè)知識(shí)水平進(jìn)行量化，盡可能的為決策者提供定量的決策依據(jù)。首先需要將系統(tǒng)進(jìn)行分解，搭建有層次的內(nèi)在結(jié)構(gòu)模型。風(fēng)險(xiǎn)評(píng)估人員需要將信息系統(tǒng)安全風(fēng)險(xiǎn)的對(duì)象進(jìn)行有效的系統(tǒng)分解，主要的分解層次，包括方案層，準(zhǔn)則層以及目標(biāo)層。準(zhǔn)則層是可以有很多個(gè)層次組成，主要包括的內(nèi)容，是在分解過(guò)程當(dāng)中考慮的準(zhǔn)則以其子準(zhǔn)則等[4]。目的層則是基于信息系統(tǒng)自身所獨(dú)有的基本特性而建立起的系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系。

3 結(jié)語(yǔ)

隨著我們國(guó)家社會(huì)與經(jīng)濟(jì)的不斷前進(jìn)發(fā)展，信息技術(shù)也得到了廣泛的應(yīng)用，為了保障信息系統(tǒng)的安全，信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估行業(yè)的發(fā)展是當(dāng)前信息安全領(lǐng)域的主要發(fā)展趨勢(shì)之一。在一定程度上，對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法以及評(píng)估技術(shù)進(jìn)行有效研究，可以更好的為我國(guó)信息安全保障體系的建設(shè)發(fā)展打下扎實(shí)的基礎(chǔ)，相信在不久的將來(lái)，信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估一定會(huì)在我國(guó)信息安全服務(wù)領(lǐng)域占據(jù)一個(gè)重要地位。

參考文獻(xiàn)

[1] 李鶴田，劉云，何德全.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究綜述疆[J].中國(guó)安全科學(xué)學(xué)報(bào)，2006（1）：108-113+0-1.

[2] 張利，彭建芬，杜宇鴿，等.信息安全風(fēng)險(xiǎn)評(píng)估的綜合評(píng)估方法綜述[J].清華大學(xué)學(xué)報(bào)（自然科學(xué)版），2012（10）：1364-1369.

[3] 唐作其，陳選文，戴海濤，等.多屬性群決策理論信息安全風(fēng)險(xiǎn)評(píng)估方法研究[J].計(jì)算機(jī)工程與應(yīng)用，2011（15）：104-107+144.

[4] 楊曉明，羅衡峰，范成瑜，等.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估技術(shù)分析[J].計(jì)算機(jī)應(yīng)用，2008（08）：1920-1923.

Abstract：This article introduces the basic workflow of information system security assessment and analyzes the basic methods of information system security assessment. Although there is currently no more mature development trend in China's information system security risk assessment， as people's dependence on information systems continues to increase， they pay more and more attention to information security， and they will pay more attention to information system security risks. Evaluation work.

Key words：information system; security risk; risk assessment; assessment method; technical observation