吳 丹

遼寧公安司法管理干部學(xué)院

安全風(fēng)險評估模型及方法研究

吳 丹

遼寧公安司法管理干部學(xué)院

推動經(jīng)濟(jì)發(fā)展的重要力量是信息技術(shù)，只有信息技術(shù)快速發(fā)展，才能幫助企業(yè)快速發(fā)展，支撐企業(yè)的業(yè)務(wù)拓展和創(chuàng)新。信息系統(tǒng)安全管理是一項復(fù)雜的系統(tǒng)工程管理，在這套系統(tǒng)中安全風(fēng)險評估具有核心的地位，信息系統(tǒng)安全風(fēng)險評估是整個信息系統(tǒng)安全的基礎(chǔ)和前提，本文主要研究現(xiàn)階段信息安全風(fēng)險評估的方法，基于層次結(jié)構(gòu)的信息安全風(fēng)險評估方法，分析安全風(fēng)險評估模型的問題，總結(jié)和展望安全風(fēng)險評估模型的未來。

安全風(fēng)險；評估模型；方法

一、安全風(fēng)險評估模型的現(xiàn)狀及問題

（一）安全風(fēng)險評估模式的現(xiàn)狀。解決信息安全問題的有效方法就是信息安全風(fēng)險評估，一個有效的風(fēng)險評估能夠明確信息系統(tǒng)的安全現(xiàn)狀，現(xiàn)階段一些實力比較強(qiáng)的專業(yè)信息安全公司都開展了安全風(fēng)險評估服務(wù)，政府等相關(guān)部門也通過安全風(fēng)險評估發(fā)現(xiàn)了很多潛在的安全風(fēng)險，社會各界逐漸認(rèn)識到信息安全風(fēng)險評估的重要性，大力推廣和開展信息安全風(fēng)險評估活動是保障信息安全必要的措施，現(xiàn)階段安全風(fēng)險評估模式工作人員風(fēng)險管理意識淡薄，很多企業(yè)在發(fā)放資金的時候未嚴(yán)格執(zhí)行信貸發(fā)放操作程序，在發(fā)放的過程中沒有按照嚴(yán)格的標(biāo)準(zhǔn)進(jìn)行操作，發(fā)放把關(guān)不嚴(yán)。安全風(fēng)險評估模型是自上而下，先取得上級意向，再向下逐級辦理，這種安全風(fēng)險評估模式與商業(yè)銀行自下而上實行貸款營銷的逆程序操作一樣，這種風(fēng)險評估模式使相當(dāng)一部分信貸管理人員淡薄了風(fēng)險意識，有的工作人員甚至?xí)霈F(xiàn)第一手調(diào)查材料就存在虛假、謊報、瞞報等不真實反映的瑕疵行為。

（二）安全風(fēng)險評估模型需要解決的問題。安全風(fēng)險評估模型需要解決以下幾個問題：第一、安全風(fēng)險評估模式需要明確需要評估的對象和評估的內(nèi)容，將要評估的事物的特點分析清楚，確定信息安全風(fēng)險評估的主要內(nèi)容和要解決的問題。第二、要清楚如何解決評估問題，在安全風(fēng)險評估之前要明確對象的指標(biāo)體系，最好能夠建設(shè)一個合適的評價方案，通過一定的數(shù)據(jù)來分析，評估和度量對象的基本要素。第三、在安全風(fēng)險評估的過程中要解決各個要素之間的關(guān)系以及各個要素之間會出現(xiàn)的問題，從不同的層面和不同的角度來探討評估的結(jié)果，將評估的結(jié)果用專業(yè)的技術(shù)來分析統(tǒng)計出來。第四、在安全風(fēng)險評估的過程中，模型僅僅是依據(jù)，要想解決模型本身與評估方法結(jié)合、評估流程的問題，需要貫徹到整個評估的過程中，掌握整個操作流程的主動權(quán)。從組織形式角度規(guī)定了專家知識的壟斷地位和從對象角度規(guī)定了適合于專家知識發(fā)揮作用的范圍中可以看到，其實從組織形式角度排除了其他知識進(jìn)入安全風(fēng)險評估過程的可能性。因為所謂的安全風(fēng)險評估專家委員會是由食品、農(nóng)業(yè)、營養(yǎng)、醫(yī)學(xué)等方面的專家組成，其中沒有社會團(tuán)體代表或者公眾代表。

二、安全風(fēng)險評估模式的方法研究

（一）安全風(fēng)險評估模式構(gòu)建的原則。安全風(fēng)險評估模式構(gòu)建的時候有五大原則：第一、自主原則。企業(yè)自身是評估的主題，建立評估模型的時候要站在企業(yè)的角度來構(gòu)建，只有建設(shè)的模型適合企業(yè)，企業(yè)才能自主實施安全風(fēng)險評估，才有助于企業(yè)理解和操作，幫助企業(yè)完成自評估。第二、簡單原則。風(fēng)險評估工作是是一個對專業(yè)要求很高的工作，風(fēng)險評估模型雖然很簡潔，但是在很多地方都有專業(yè)化的一面，簡潔的流程是為了幫助工作人員的理解，幫助工作人員掌握基礎(chǔ)的操作流程。第三、規(guī)范性原則。風(fēng)險評估模式的基本思路都與相關(guān)的國內(nèi)外標(biāo)準(zhǔn)一致，各個主要要素之間的關(guān)系也要和相關(guān)的規(guī)范一致。第四、可行性原則?？尚行栽瓌t有兩方面的要求，一方面是指評估的指標(biāo)、內(nèi)容的可度量性，在對相關(guān)要素進(jìn)行評估的時候，評估的指標(biāo)和內(nèi)容可以量化，這些要素可以采用定量的方式來評估，有些評估的內(nèi)容很難量化，就采用定性的方法來評估。另外一方面是評估中運(yùn)用到的技術(shù)手段和方法都具有可操作性，評估的內(nèi)容和指標(biāo)都可以通過技術(shù)測試和顧問分析等方法獲得。第五、可擴(kuò)展性原則。每個企業(yè)都有自己的文化，每個企業(yè)的發(fā)展模式和發(fā)展背景都不相同，安全風(fēng)險評估模式不能一成不變，只有模型能夠適應(yīng)不同的企業(yè)，無論企業(yè)規(guī)模大小都有相應(yīng)的模型對應(yīng)，模型具有一定的靈活性和可擴(kuò)展性，才能滿足不同企業(yè)的需求。

（二）安全風(fēng)險評估模型的構(gòu)建思路。安全風(fēng)險評估的三個基本要素是脆弱性、威脅、資產(chǎn)，如果想要構(gòu)建一個安全風(fēng)險評估模型，需要對資產(chǎn)、威脅、脆弱性這三個要素進(jìn)行分析和識別。安全風(fēng)險評估是按預(yù)定的目的確定研究對象的內(nèi)容，并將這種研究對象的內(nèi)容變?yōu)榭陀^定量的計算值，或者是主觀效用的行為，多指多內(nèi)容和指標(biāo)對象的綜合評價。根據(jù)傳統(tǒng)評價模式來看，安全風(fēng)險評估模式有很多弊端，主要有指標(biāo)體系不規(guī)范、不全面、主觀成分較重，從安全風(fēng)險評估模式的本質(zhì)上看，安全風(fēng)險評估模式是以半定量、半定性或定性分析作為主要分析方式?，F(xiàn)代的風(fēng)險評價模式是一中新興的評價模式，這種新興的評價模式體現(xiàn)了評價發(fā)展的方向。這種模式相對比較規(guī)范、全面，這種指標(biāo)可以通過計算機(jī)軟件進(jìn)行編程，將評估的內(nèi)容和標(biāo)準(zhǔn)量化，這樣有助于工作人員進(jìn)行分析和評價，更有助于得出安全風(fēng)險評價的準(zhǔn)確結(jié)果。也可以采用風(fēng)險評估參與的方法來進(jìn)行安全風(fēng)險評估，所謂評估參與是指，風(fēng)險評估協(xié)調(diào)委員會中公眾小組、專家小組、企業(yè)界代表小組運(yùn)用自身的知識，參與到風(fēng)險評估的整個過程中。參與風(fēng)險評估之所以將評估參與作為一個新的結(jié)構(gòu)貫穿于其安全風(fēng)險評估中，一個很重要的原因就是整合食品安全風(fēng)險評估中的專家知識和公眾知識，利用專家知識和公眾知識增加評估結(jié)論的科學(xué)性和準(zhǔn)確性，與此同時，這也是食品安全風(fēng)險具有社會建構(gòu)性的邏輯要求。

三、總結(jié)

總而言之，安全風(fēng)險評估相關(guān)模型是風(fēng)險管理的基礎(chǔ)，本文主要通過系統(tǒng)分析和總結(jié)已有的模型，安全風(fēng)險評估模型的現(xiàn)狀，提出了合理的分類方法，建立了風(fēng)險評估模型體系。解決了現(xiàn)有風(fēng)險評估研究中模型混雜的問題，為風(fēng)險評估的研究提供了重要的知識框架。在此框架下各界人士仍需對各種模型的合理性和適應(yīng)性進(jìn)行更深入研究和驗證，從而使風(fēng)險管理工作能夠更加有效地開展。

[1]戚湧,王艷,李千目等.基于情景感知的網(wǎng)絡(luò)安全風(fēng)險評估模型與方法[J].計算機(jī)工程,2013,39(4):158-164.

[2]成科,宋海聲,安占福等.基于GA參數(shù)優(yōu)化的t-SVR網(wǎng)絡(luò)安全風(fēng)險評估方法[J].計算機(jī)工程與應(yīng)用,2014,(12):91-95.

[3]陳建莉.基于未確知數(shù)學(xué)的網(wǎng)絡(luò)安全風(fēng)險評估模型[J].空軍工程大學(xué)學(xué)報（自然科學(xué)版）,2014,15(2):91-94.