0 引言

信息安全是我國(guó)信息產(chǎn)業(yè)發(fā)展中比較重要的一個(gè)問(wèn)題，它影響著我國(guó)信息網(wǎng)絡(luò)的發(fā)展前景。要做好信息安全保護(hù)，必須要進(jìn)行信息安全評(píng)估。根據(jù)信息安全評(píng)估發(fā)現(xiàn)信息安全風(fēng)險(xiǎn)并采取防范措施，是目前我們研究的重要的信息安全保護(hù)手段。而要對(duì)信息安全進(jìn)行評(píng)估，必須要先進(jìn)行信息安全關(guān)系模型的構(gòu)建，然后根據(jù)信息安全評(píng)估的模型，采取相應(yīng)的評(píng)估方法進(jìn)行信息安全評(píng)估。

隨著國(guó)家經(jīng)濟(jì)的發(fā)展，我國(guó)信息網(wǎng)絡(luò)技術(shù)也逐漸得到了迅速的發(fā)展。到目前為止，我國(guó)的信息網(wǎng)絡(luò)技術(shù)已經(jīng)在各行各業(yè)都得到了廣泛的應(yīng)用。而信息網(wǎng)絡(luò)的安全性也成為了人們關(guān)注的重點(diǎn)。雖然我國(guó)已經(jīng)制定了相應(yīng)的信息安全保護(hù)法規(guī)，但是在實(shí)踐中，信息安全仍然是一大難題。要解決這一問(wèn)題，必須要做好信息安全評(píng)估，通過(guò)評(píng)估了解信息安全的現(xiàn)狀，并據(jù)此制定信息安全管理制度。因此，信息安全評(píng)估的模型和方法便成為了目前的研究重點(diǎn)。

1 信息安全評(píng)估概述

信息安全評(píng)估，是為了信息系統(tǒng)的安全而進(jìn)行的風(fēng)險(xiǎn)評(píng)估，主要目的是在評(píng)估的基礎(chǔ)上找出信息安全風(fēng)險(xiǎn)，并進(jìn)行防范，使信息系統(tǒng)的安全得到保障，并能夠盡可能長(zhǎng)效的運(yùn)作。由于我國(guó)經(jīng)濟(jì)的發(fā)展，信息網(wǎng)絡(luò)技術(shù)在各行各業(yè)都得到了廣泛的應(yīng)用，比如醫(yī)療、衛(wèi)生、金融、保險(xiǎn)、稅收、電信、民航、證券等行業(yè)，都離不開(kāi)信息網(wǎng)絡(luò)。信息網(wǎng)絡(luò)的安全，關(guān)系著這些行業(yè)的發(fā)展，一旦信息網(wǎng)絡(luò)的安全性受到威脅，便可能給這些行業(yè)帶來(lái)巨大的損失。而信息安全評(píng)估作為信息安全保障的基礎(chǔ)，主要對(duì)信息中可能存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估，人們根據(jù)評(píng)估結(jié)果，對(duì)信息安全系統(tǒng)采取不同層次的保障措施，進(jìn)而維護(hù)信息安全。但是，信息安全的評(píng)估并不是一件簡(jiǎn)單的工作，相反，對(duì)于信息安全的評(píng)估是一個(gè)風(fēng)險(xiǎn)量化的過(guò)程，評(píng)估的過(guò)程極為復(fù)雜。對(duì)于信息安全的評(píng)估，主要是對(duì)信息資產(chǎn)的評(píng)估，但是對(duì)于資產(chǎn)的評(píng)估又引出對(duì)于資產(chǎn)脆弱性、威脅、現(xiàn)有安全措施等等因素的評(píng)估。在這個(gè)評(píng)估過(guò)程中，評(píng)估的對(duì)象是由很多個(gè)組件或者系統(tǒng)組成的，受到各種因素的影響，這些系統(tǒng)中會(huì)存在著威脅和風(fēng)險(xiǎn)。只有建立一個(gè)信息安全評(píng)估模型，才能對(duì)信息安全進(jìn)行系統(tǒng)化評(píng)估。

2 信息安全評(píng)估的模型

根據(jù)國(guó)際上的《信息技術(shù)安全管理指南》中的規(guī)定，我們可知其中規(guī)定了信息安全評(píng)估模型。其中的信息安全風(fēng)險(xiǎn)的要素包括四種：信息資產(chǎn)評(píng)估、信息脆弱性評(píng)估、信息系統(tǒng)安全保護(hù)措施評(píng)估和信息安全威脅評(píng)估。而信息安全評(píng)估的模型便是根據(jù)這四要素建立起來(lái)的。信息安全評(píng)估是對(duì)這些影響要素的內(nèi)因、外因進(jìn)行評(píng)估，并判斷出內(nèi)外因的影響大小，進(jìn)而對(duì)信息安全進(jìn)行評(píng)估?？梢哉f(shuō)，信息安全評(píng)估的模型是信息安全評(píng)估的基礎(chǔ)。下面我主要對(duì)信息安全評(píng)估的模型進(jìn)行簡(jiǎn)要的分析。

2.1 資產(chǎn)評(píng)估

在信息安全評(píng)估中，運(yùn)用信息網(wǎng)絡(luò)的企業(yè)或者其他單位的資產(chǎn)是評(píng)估的第一要素。所謂資產(chǎn)，是指企業(yè)或其他單位的固定或不固定的具有價(jià)值的需要接受風(fēng)險(xiǎn)評(píng)估的并要加以保護(hù)的有形的或者無(wú)形的東西。在企業(yè)或者其他單位的信息系統(tǒng)中，其信息資產(chǎn)有著不同的機(jī)密性、安全性、可用性和完整性。而安全性與機(jī)密性是我們需要考慮的重點(diǎn)因素。在資產(chǎn)評(píng)估中，對(duì)于信息資產(chǎn)安全性與機(jī)密性的評(píng)估是信息安全評(píng)估的重要方面。在考慮到信息資產(chǎn)的安全性和機(jī)密性后，才能夠更好的考慮其他因素，如脆弱性、安全威脅等。

2.2 信息脆弱性評(píng)估

信息脆弱性評(píng)估，主要是對(duì)信息的弱點(diǎn)進(jìn)行研究和評(píng)估。根據(jù)信息資產(chǎn)的具體使用情況和資產(chǎn)的價(jià)值，分析信息資產(chǎn)的脆弱性。對(duì)于信息脆弱性評(píng)估，需要工作人員定期更新企業(yè)或者其他單位的信息資產(chǎn)的弱點(diǎn)信息庫(kù)，在此基礎(chǔ)上實(shí)現(xiàn)對(duì)信息的脆弱性的掌握。了解其中的弱點(diǎn)，從而進(jìn)行風(fēng)險(xiǎn)評(píng)估。信息的脆弱性評(píng)估，需要將信息的安全與威脅進(jìn)行分析，并且要對(duì)信息庫(kù)進(jìn)行專門的維護(hù)。

2.3 信息系統(tǒng)安全保護(hù)措施評(píng)估

信息系統(tǒng)安全保護(hù)措施評(píng)估，是對(duì)企業(yè)或其他單位的信息系統(tǒng)的安全保護(hù)措施的好壞進(jìn)行的評(píng)估。信息系統(tǒng)安全保護(hù)措施，不僅要保護(hù)信息的機(jī)密性、完整性，也需要保護(hù)信息的可用性，保證信息系統(tǒng)的所有信息都能夠正常的使用，不受外界惡意破壞和更改，并且要避免信息系統(tǒng)受到外部黑客或者木馬病毒的攻擊。只有保護(hù)了信息系統(tǒng)的機(jī)密性、可用性和完整性，信息系統(tǒng)安全保護(hù)措施才算達(dá)到了信息保護(hù)的標(biāo)準(zhǔn)。因此，在對(duì)信息系統(tǒng)安全保護(hù)措施進(jìn)行評(píng)估時(shí)，需要從這三方面來(lái)評(píng)估。

2.4 信息安全威脅評(píng)估

信息安全威脅，是外界或者內(nèi)界存在的可能對(duì)信息安全造成一定不良影響的因素。對(duì)于信息安全的威脅，可能是重要信息泄露，或者木馬病毒導(dǎo)致的計(jì)算機(jī)病毒，從而導(dǎo)致信息系統(tǒng)癱瘓，數(shù)據(jù)丟失；也可能是外界黑客的攻擊，并竊取重要機(jī)密，或者故意破壞信息系統(tǒng)，導(dǎo)致重要信息丟失或者被改變、刪除等等。一般來(lái)說(shuō)，信息安全威脅的前提是威脅者找準(zhǔn)了信息的脆弱點(diǎn)，并攻擊信息系統(tǒng)的脆弱點(diǎn)，從而使信息安全受到威脅。信息安全威脅評(píng)估，便是對(duì)信息安全可能遭受到的損害進(jìn)行的評(píng)估。它是為了更好的認(rèn)識(shí)信息脆弱性，找準(zhǔn)信息安全的弱點(diǎn)，并及時(shí)對(duì)威脅因素加以防范。

3 信息安全評(píng)估的方法

信息安全評(píng)估需要對(duì)信息安全進(jìn)行戰(zhàn)略上、管理上、工程上、技術(shù)上等四個(gè)方面的評(píng)估。在戰(zhàn)略評(píng)估上，需要對(duì)信息安全的當(dāng)前策略、過(guò)渡策略及發(fā)展策略進(jìn)行評(píng)估；在管理評(píng)估上，需要對(duì)單位的信息安全管理法規(guī)、管理制度以及安全制度進(jìn)行評(píng)估；在工程評(píng)估上，要對(duì)單位信息系統(tǒng)的安全規(guī)劃、安全生產(chǎn)、安全管理進(jìn)行評(píng)估；在技術(shù)評(píng)估上，要對(duì)信息系統(tǒng)的安全產(chǎn)品的運(yùn)用情況、安全方法的使用以及信息系統(tǒng)的安全防范措施進(jìn)行評(píng)估。主要的評(píng)估內(nèi)容為資產(chǎn)、信息脆弱性、信息系統(tǒng)安全保護(hù)措施以及信息安全威脅。信息安全評(píng)估，是要在信息模型的基礎(chǔ)上對(duì)信息系統(tǒng)的數(shù)據(jù)、弱點(diǎn)、軟件、資產(chǎn)價(jià)值、機(jī)密性、可用性、完整性等進(jìn)行系統(tǒng)的四個(gè)方面的評(píng)估。

在具體的安全評(píng)估中，主要將靜態(tài)評(píng)估、動(dòng)態(tài)評(píng)估和狀態(tài)評(píng)估三種評(píng)估方法結(jié)合起來(lái)進(jìn)行信息安全的評(píng)估。靜態(tài)評(píng)估包括兩種方式，問(wèn)卷調(diào)查和專家評(píng)估，問(wèn)卷調(diào)查能夠征集廣大人民的評(píng)價(jià)意見(jiàn)，而專家評(píng)估使得評(píng)估更具有專業(yè)性，最后將這兩種評(píng)估方式所得的結(jié)果綜合起來(lái)，便是最終評(píng)分。當(dāng)然，專家評(píng)估是信息安全評(píng)估方法中比較專業(yè)的一種評(píng)估方法，是企業(yè)或者其他單位聘請(qǐng)專門的信息安全評(píng)估人員對(duì)本單位內(nèi)部的信息安全進(jìn)行研究，對(duì)信息安全可能存在的風(fēng)險(xiǎn)進(jìn)行識(shí)別，然后再將所認(rèn)識(shí)到的信息安全風(fēng)險(xiǎn)進(jìn)行分類處理；動(dòng)態(tài)評(píng)估，包括信息系統(tǒng)運(yùn)行的數(shù)據(jù)記錄、數(shù)據(jù)統(tǒng)計(jì)和數(shù)據(jù)處理。對(duì)信息系統(tǒng)的動(dòng)態(tài)運(yùn)行過(guò)程進(jìn)行的安全評(píng)估，主要反映信息系統(tǒng)在數(shù)據(jù)記錄、統(tǒng)計(jì)及處理的過(guò)程中的信息安全狀況。就目前的信息安全評(píng)估方法來(lái)說(shuō)，在動(dòng)態(tài)評(píng)估中，主要包括財(cái)務(wù)報(bào)表分析法、流程圖法、環(huán)境分析法和分解分析法。財(cái)務(wù)報(bào)表分析法是指對(duì)企業(yè)或其他單位內(nèi)部的財(cái)務(wù)報(bào)表信息進(jìn)行研究，從中找出與企業(yè)信息安全相關(guān)的內(nèi)容，進(jìn)而進(jìn)行企業(yè)的信息安全評(píng)估的一種方法。流程圖法，指將企業(yè)或其他單位的生產(chǎn)經(jīng)營(yíng)過(guò)程用流程圖的形式表現(xiàn)出來(lái)，從中找出可能存在的信息安全風(fēng)險(xiǎn)。環(huán)境分析法，對(duì)企業(yè)存在的外部和內(nèi)部環(huán)境進(jìn)行分析，包括自然環(huán)境、經(jīng)濟(jì)環(huán)境、政府環(huán)境、投資者環(huán)境、消費(fèi)者環(huán)境，內(nèi)部工作環(huán)境、生產(chǎn)環(huán)境等，將這些環(huán)境因素進(jìn)行分析，找出可能存在的信息安全風(fēng)險(xiǎn)。分解分析法，是將企業(yè)或其他單位的運(yùn)行總體分解成各個(gè)小部門或者子系統(tǒng)，然后再對(duì)分解后的小部門或者子系統(tǒng)進(jìn)行信息安全評(píng)估。狀態(tài)評(píng)估包括漾透測(cè)試和專項(xiàng)測(cè)試，主要內(nèi)容是模擬黑客的行為，對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行安全測(cè)試，并且對(duì)系統(tǒng)的每一個(gè)小點(diǎn)進(jìn)行專項(xiàng)的信息安全測(cè)試，以檢測(cè)信息系統(tǒng)的安全性能。

4 結(jié)束語(yǔ)

總之，信息安全評(píng)估是為了發(fā)現(xiàn)信息系統(tǒng)中的潛在風(fēng)險(xiǎn)而進(jìn)行的對(duì)信息系統(tǒng)的安全性、機(jī)密性進(jìn)行的評(píng)估。面對(duì)當(dāng)下我國(guó)的信息安全問(wèn)題，對(duì)信息系統(tǒng)進(jìn)行安全評(píng)估，并根據(jù)評(píng)估結(jié)果提前做好改進(jìn)和防范措施，對(duì)于提高信息系統(tǒng)的安全性有著重要的意義。就目前而言，在信息安全評(píng)估的模型中，包括信息資產(chǎn)評(píng)估、信息脆弱性評(píng)估、信息系統(tǒng)安全保護(hù)措施評(píng)估以及信息安全威脅評(píng)估；而信息安全評(píng)估的方法主要有靜態(tài)評(píng)估、動(dòng)態(tài)評(píng)估和狀態(tài)評(píng)估三種，并且在評(píng)估時(shí)要進(jìn)行戰(zhàn)略上、管理上、工程上、技術(shù)上這四方面的評(píng)估。通過(guò)評(píng)估，找出信息安全的風(fēng)險(xiǎn)并進(jìn)行合理防范，從而提高我國(guó)的信息安全，對(duì)我國(guó)的信息安全建設(shè)具有重要意義。