孫偉成

（河海大學(xué)公共管理學(xué)院，江蘇南京，211100）

0 引言

從風(fēng)險管理的角度分析，信息安全風(fēng)險評估是指運用科學(xué)的手段以及方法，對網(wǎng)絡(luò)信息系統(tǒng)的脆弱性以及所面臨的威脅進(jìn)行系統(tǒng)地調(diào)查分析，評估網(wǎng)絡(luò)信息安全事件發(fā)生可能帶來的危害，并提出有效合理的防護(hù)策略來抵御威脅的一種評估機制?？茖W(xué)、合理的風(fēng)險評估流程是保證整個評估工作有效開展的重要保證。

1 風(fēng)險評估準(zhǔn)備工作

從整個評估流程來看，準(zhǔn)備工作是一個組織從事風(fēng)險評估的基礎(chǔ)性工作，是整個風(fēng)險評估過程得以順利推進(jìn)的保證。一般而言，機構(gòu)自身的風(fēng)險評估工作是一種基于對組織安全的戰(zhàn)略性考慮，其結(jié)果必須考慮到該機構(gòu)的業(yè)務(wù)需求量、目標(biāo)戰(zhàn)略、流程業(yè)務(wù)、信息安全要求、文化差異、組織規(guī)模結(jié)構(gòu)等因素的影響，對于風(fēng)險評估實施過程，不同機構(gòu)可能存在不同的要求。但是，不論有何不同，組織機構(gòu)在風(fēng)險評估的準(zhǔn)備階段都應(yīng)該做好以下工作：

1.1 確定目標(biāo)

目標(biāo)是一切行動的指向。風(fēng)險評估目標(biāo)的確定，無疑會對整個評估的過程起到引導(dǎo)指向的作用。資產(chǎn)的嚴(yán)密性、可用性以及完整性對于維持組織競爭優(yōu)勢，樹立組織形象具有重要的意義。因機構(gòu)不得不面臨來自各個方面的威脅，所以需要提高整個組織的信息化程度，減少組織機構(gòu)的脆弱性。機構(gòu)風(fēng)險評估目標(biāo)的確立，不僅是為了滿足機構(gòu)本身業(yè)務(wù)可持續(xù)發(fā)展的需要，同時也不得不滿足相應(yīng)法律、法規(guī)以及部門規(guī)章對該方面的要求。

1.2 界定范圍

對某一機構(gòu)進(jìn)行風(fēng)險評估，究其原因，不外乎是自身業(yè)務(wù)要求、完成戰(zhàn)略目標(biāo)、實現(xiàn)戰(zhàn)略規(guī)劃，因此，其評估范圍的確立也必須圍繞著此等原因展開。網(wǎng)絡(luò)信息評估的范圍涉及到全部信息要素以及信息系統(tǒng)范圍，也包括單獨的獨立信息、機構(gòu)重要的業(yè)務(wù)流程或者客戶的相關(guān)信息等。

1.3 建立系統(tǒng)性的評估性方法

選取風(fēng)險評估方法的應(yīng)綜合考慮網(wǎng)絡(luò)評估的目的、意義、時間、范圍、機構(gòu)傳統(tǒng)以及人員素質(zhì)的因素，評估方法的確立必須與組織環(huán)境以及組織安全需求相適應(yīng)。

1.4 獲得高層管理者的支持

由于風(fēng)險評估涉及整體規(guī)劃，各個單位的相同領(lǐng)域和不同成員以及不同領(lǐng)域成員都需要為各個方面的協(xié)調(diào)做好準(zhǔn)備工作，必要充分的準(zhǔn)備工作，是保證整個網(wǎng)絡(luò)進(jìn)行風(fēng)險安全評估的關(guān)鍵。而獲取高層管理者的支持又是所有評估準(zhǔn)備工作的前提，沒有高層管理者的支持，也就無法保證整個評估過程能夠順利地進(jìn)行下去。

2 資產(chǎn)識別

資產(chǎn)是在組織中有一定價值且需要保護(hù)的東西。它可以是有形的也可以是無形的，可以以硬件、軟件、代碼、服務(wù)等形式存在。通常認(rèn)為，信息資產(chǎn)的完整性、可用性、機密性是構(gòu)成資產(chǎn)安全特性的三個因素。不同的資產(chǎn)安全特性決定了信息價值的不同，因此存在的威脅、本身的弱點以及安全控制也就各不相同。為此，需要對組織中的信息資產(chǎn)進(jìn)行識別，以便制定風(fēng)險評估策略。

2.1 資產(chǎn)分類

資產(chǎn)識別是一個復(fù)雜的過程，需要對資產(chǎn)進(jìn)行適當(dāng)?shù)姆诸?，這樣才能更有效地開展下一步工作。分類方法應(yīng)依據(jù)具體環(huán)境由評估主體靈活把握。資產(chǎn)的種類可分為數(shù)據(jù)、硬件、軟件、服務(wù)、文檔、設(shè)備、人員等。

2.2 資產(chǎn)賦值

對資產(chǎn)的安全價值進(jìn)行評估首先要對資產(chǎn)進(jìn)行賦值，賦值并不是以賬面價值去衡量資產(chǎn)價值。在資產(chǎn)賦值估價時，不僅應(yīng)考慮資產(chǎn)本身的應(yīng)有價值，還應(yīng)該綜合考慮資產(chǎn)組織業(yè)務(wù)的重要性程度。為保證資產(chǎn)評估的準(zhǔn)確性和一致性，評估機構(gòu)應(yīng)依據(jù)一定的原則，建立規(guī)范的評估標(biāo)準(zhǔn)，以準(zhǔn)確地對資產(chǎn)進(jìn)行賦值評估。

資產(chǎn)賦值的最終確定是根據(jù)資產(chǎn)的可用性、完整性以及機密性三個方面綜合評定，且一般采用由高到低定性相對等級方式，整個等級分為5 等，從5 到1，由高到低，分別代表五個級別的資產(chǎn)各自相對應(yīng)價值，等級越高資產(chǎn)的重要性程度也就越高，等級越低，資產(chǎn)也就相對不重要。如表1 所示：

3 威脅識別

威脅是指可能對整個系統(tǒng)結(jié)構(gòu)的安全性構(gòu)成潛在危險的破壞性因素。從理論上來講，無論機構(gòu)的信息系統(tǒng)如何安全，威脅都是客觀存在的，是進(jìn)行風(fēng)險評估不得不考慮的因素之一。

3.1 威脅分類

威脅的產(chǎn)生因素可以分為環(huán)境因素和人為因素兩種。環(huán)境因素又分為不可抗因素和其他物理性因素。威脅的作用形式不一，可以是對信息系統(tǒng)的直接攻擊，也可以是間接攻擊。如對非授權(quán)信息的破壞、泄露、篡改、刪除等，或者破壞信息的嚴(yán)密性、可塑性以及完整性等。

一般而言，威脅總是需要借助一定的平臺，如網(wǎng)絡(luò)、系統(tǒng)亦或是應(yīng)用數(shù)據(jù)的弱點，才會對系統(tǒng)造成損害。針對威脅的產(chǎn)生因素，可以對威脅進(jìn)行分類，如：軟件障礙、硬件故障、物理環(huán)境威脅、操作失誤、惡意病毒、黑客攻擊、泄密、管理不善等。

3.2 威脅賦值

在評估的過程中，同樣還需要對引發(fā)威脅的可能性賦值。如同資產(chǎn)賦值一般，威脅賦值也是采用定性的相對等級的方式。威脅的等級同樣分為五級，從5 到1 分別代表由高到低，五個級別引發(fā)威脅的可能性。等級數(shù)值越高，則表明引發(fā)威脅的可能性越大，反之，則越小。如表2 所示：

4 脆弱性識別

脆弱性評估（又稱弱點評估），是風(fēng)險評估環(huán)節(jié)中很重要的內(nèi)容。任何資產(chǎn)本身都不可避免的存有弱點，這些微小的弱點卻很容易被威脅利用，進(jìn)而對資產(chǎn)和商業(yè)目標(biāo)造成損害。資產(chǎn)的弱點不僅包括人員構(gòu)成、組織機構(gòu)、組織過程、管理技術(shù)等，還包括組織軟件、硬件、信息以及物理環(huán)境資產(chǎn)的脆弱性。

資產(chǎn)脆弱性評估工作主要是從管理和技術(shù)兩個方面進(jìn)行的，是涉及到整個管理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層等各個層面的安全問題。技術(shù)脆弱性主要包括系統(tǒng)性安全、網(wǎng)絡(luò)化完全、物理性安全、應(yīng)用性安全等層面。而管理脆弱性主要是指進(jìn)行安全管理。

在很大程度上，資產(chǎn)脆弱性與機構(gòu)所采取的安全控制措施有關(guān)，因此，在判定威脅發(fā)生的可能性時應(yīng)該特別注意已有安全控制會對脆弱性產(chǎn)生的影響。

5 總結(jié)

在筆者看來，信息安全風(fēng)險評估流程的設(shè)計需要綜合考慮評估前的準(zhǔn)備，資產(chǎn)識別、威脅識別、以及脆弱性識別等各個因素，通過綜合分析與評估，制定科學(xué)合理的信息安全風(fēng)險評估流程，這是保證整個信息安全風(fēng)險評估工作順利進(jìn)行的關(guān)鍵環(huán)節(jié)，不可忽略。

[1] 范紅,馮登國,吳亞非.信息安全風(fēng)險評估方法與應(yīng)用[M].北京:清華大學(xué)出版社,2006:1.

[2]項文新.檔案信息安全風(fēng)險評估流程[J].檔案學(xué)研究,2012,(1).

[3]張澤虹.基于評估流程的信息安全風(fēng)險的綜合評估[J].計算機工程與應(yīng)用,2008,44(10).

[4]劉佳,徐賜文.信息安全風(fēng)險評估方法的比較分析[J].中央民族大學(xué)學(xué)報：自然科學(xué)版,2012,21(2).

[5]李娟,梁軍,李永杰等.信息安全風(fēng)險評估研究[J].計算機與數(shù)字工程,2006,34(11).

[6]許誠,張玉清,雷震甲等.企業(yè)信息安全風(fēng)險的自評估及其流程設(shè)計[J].計算機應(yīng)用研究,2005,22(7).