對(duì)我國信息安全風(fēng)險(xiǎn)評(píng)估流程的探討

孫偉成

（河海大學(xué)公共管理學(xué)院，江蘇南京，211100）

0 引言

從風(fēng)險(xiǎn)管理的角度分析，信息安全風(fēng)險(xiǎn)評(píng)估是指運(yùn)用科學(xué)的手段以及方法，對(duì)網(wǎng)絡(luò)信息系統(tǒng)的脆弱性以及所面臨的威脅進(jìn)行系統(tǒng)地調(diào)查分析，評(píng)估網(wǎng)絡(luò)信息安全事件發(fā)生可能帶來的危害，并提出有效合理的防護(hù)策略來抵御威脅的一種評(píng)估機(jī)制。科學(xué)、合理的風(fēng)險(xiǎn)評(píng)估流程是保證整個(gè)評(píng)估工作有效開展的重要保證。

1 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作

從整個(gè)評(píng)估流程來看，準(zhǔn)備工作是一個(gè)組織從事風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)性工作，是整個(gè)風(fēng)險(xiǎn)評(píng)估過程得以順利推進(jìn)的保證。一般而言，機(jī)構(gòu)自身的風(fēng)險(xiǎn)評(píng)估工作是一種基于對(duì)組織安全的戰(zhàn)略性考慮，其結(jié)果必須考慮到該機(jī)構(gòu)的業(yè)務(wù)需求量、目標(biāo)戰(zhàn)略、流程業(yè)務(wù)、信息安全要求、文化差異、組織規(guī)模結(jié)構(gòu)等因素的影響，對(duì)于風(fēng)險(xiǎn)評(píng)估實(shí)施過程，不同機(jī)構(gòu)可能存在不同的要求。但是，不論有何不同，組織機(jī)構(gòu)在風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備階段都應(yīng)該做好以下工作：

1.1 確定目標(biāo)

目標(biāo)是一切行動(dòng)的指向。風(fēng)險(xiǎn)評(píng)估目標(biāo)的確定，無疑會(huì)對(duì)整個(gè)評(píng)估的過程起到引導(dǎo)指向的作用。資產(chǎn)的嚴(yán)密性、可用性以及完整性對(duì)于維持組織競爭優(yōu)勢，樹立組織形象具有重要的意義。因機(jī)構(gòu)不得不面臨來自各個(gè)方面的威脅，所以需要提高整個(gè)組織的信息化程度，減少組織機(jī)構(gòu)的脆弱性。機(jī)構(gòu)風(fēng)險(xiǎn)評(píng)估目標(biāo)的確立，不僅是為了滿足機(jī)構(gòu)本身業(yè)務(wù)可持續(xù)發(fā)展的需要，同時(shí)也不得不滿足相應(yīng)法律、法規(guī)以及部門規(guī)章對(duì)該方面的要求。

1.2 界定范圍

對(duì)某一機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)評(píng)估，究其原因，不外乎是自身業(yè)務(wù)要求、完成戰(zhàn)略目標(biāo)、實(shí)現(xiàn)戰(zhàn)略規(guī)劃，因此，其評(píng)估范圍的確立也必須圍繞著此等原因展開。網(wǎng)絡(luò)信息評(píng)估的范圍涉及到全部信息要素以及信息系統(tǒng)范圍，也包括單獨(dú)的獨(dú)立信息、機(jī)構(gòu)重要的業(yè)務(wù)流程或者客戶的相關(guān)信息等。

1.3 建立系統(tǒng)性的評(píng)估性方法

選取風(fēng)險(xiǎn)評(píng)估方法的應(yīng)綜合考慮網(wǎng)絡(luò)評(píng)估的目的、意義、時(shí)間、范圍、機(jī)構(gòu)傳統(tǒng)以及人員素質(zhì)的因素，評(píng)估方法的確立必須與組織環(huán)境以及組織安全需求相適應(yīng)。

1.4 獲得高層管理者的支持

由于風(fēng)險(xiǎn)評(píng)估涉及整體規(guī)劃，各個(gè)單位的相同領(lǐng)域和不同成員以及不同領(lǐng)域成員都需要為各個(gè)方面的協(xié)調(diào)做好準(zhǔn)備工作，必要充分的準(zhǔn)備工作，是保證整個(gè)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)安全評(píng)估的關(guān)鍵。而獲取高層管理者的支持又是所有評(píng)估準(zhǔn)備工作的前提，沒有高層管理者的支持，也就無法保證整個(gè)評(píng)估過程能夠順利地進(jìn)行下去。

2 資產(chǎn)識(shí)別

資產(chǎn)是在組織中有一定價(jià)值且需要保護(hù)的東西。它可以是有形的也可以是無形的，可以以硬件、軟件、代碼、服務(wù)等形式存在。通常認(rèn)為，信息資產(chǎn)的完整性、可用性、機(jī)密性是構(gòu)成資產(chǎn)安全特性的三個(gè)因素。不同的資產(chǎn)安全特性決定了信息價(jià)值的不同，因此存在的威脅、本身的弱點(diǎn)以及安全控制也就各不相同。為此，需要對(duì)組織中的信息資產(chǎn)進(jìn)行識(shí)別，以便制定風(fēng)險(xiǎn)評(píng)估策略。

2.1 資產(chǎn)分類

資產(chǎn)識(shí)別是一個(gè)復(fù)雜的過程，需要對(duì)資產(chǎn)進(jìn)行適當(dāng)?shù)姆诸?，這樣才能更有效地開展下一步工作。分類方法應(yīng)依據(jù)具體環(huán)境由評(píng)估主體靈活把握。資產(chǎn)的種類可分為數(shù)據(jù)、硬件、軟件、服務(wù)、文檔、設(shè)備、人員等。

2.2 資產(chǎn)賦值

對(duì)資產(chǎn)的安全價(jià)值進(jìn)行評(píng)估首先要對(duì)資產(chǎn)進(jìn)行賦值，賦值并不是以賬面價(jià)值去衡量資產(chǎn)價(jià)值。在資產(chǎn)賦值估價(jià)時(shí)，不僅應(yīng)考慮資產(chǎn)本身的應(yīng)有價(jià)值，還應(yīng)該綜合考慮資產(chǎn)組織業(yè)務(wù)的重要性程度。為保證資產(chǎn)評(píng)估的準(zhǔn)確性和一致性，評(píng)估機(jī)構(gòu)應(yīng)依據(jù)一定的原則，建立規(guī)范的評(píng)估標(biāo)準(zhǔn)，以準(zhǔn)確地對(duì)資產(chǎn)進(jìn)行賦值評(píng)估。

資產(chǎn)賦值的最終確定是根據(jù)資產(chǎn)的可用性、完整性以及機(jī)密性三個(gè)方面綜合評(píng)定，且一般采用由高到低定性相對(duì)等級(jí)方式，整個(gè)等級(jí)分為5 等，從5 到1，由高到低，分別代表五個(gè)級(jí)別的資產(chǎn)各自相對(duì)應(yīng)價(jià)值，等級(jí)越高資產(chǎn)的重要性程度也就越高，等級(jí)越低，資產(chǎn)也就相對(duì)不重要。如表1 所示：

3 威脅識(shí)別

威脅是指可能對(duì)整個(gè)系統(tǒng)結(jié)構(gòu)的安全性構(gòu)成潛在危險(xiǎn)的破壞性因素。從理論上來講，無論機(jī)構(gòu)的信息系統(tǒng)如何安全，威脅都是客觀存在的，是進(jìn)行風(fēng)險(xiǎn)評(píng)估不得不考慮的因素之一。

3.1 威脅分類

威脅的產(chǎn)生因素可以分為環(huán)境因素和人為因素兩種。環(huán)境因素又分為不可抗因素和其他物理性因素。威脅的作用形式不一，可以是對(duì)信息系統(tǒng)的直接攻擊，也可以是間接攻擊。如對(duì)非授權(quán)信息的破壞、泄露、篡改、刪除等，或者破壞信息的嚴(yán)密性、可塑性以及完整性等。

一般而言，威脅總是需要借助一定的平臺(tái)，如網(wǎng)絡(luò)、系統(tǒng)亦或是應(yīng)用數(shù)據(jù)的弱點(diǎn)，才會(huì)對(duì)系統(tǒng)造成損害。針對(duì)威脅的產(chǎn)生因素，可以對(duì)威脅進(jìn)行分類，如：軟件障礙、硬件故障、物理環(huán)境威脅、操作失誤、惡意病毒、黑客攻擊、泄密、管理不善等。

3.2 威脅賦值

在評(píng)估的過程中，同樣還需要對(duì)引發(fā)威脅的可能性賦值。如同資產(chǎn)賦值一般，威脅賦值也是采用定性的相對(duì)等級(jí)的方式。威脅的等級(jí)同樣分為五級(jí)，從5 到1 分別代表由高到低，五個(gè)級(jí)別引發(fā)威脅的可能性。等級(jí)數(shù)值越高，則表明引發(fā)威脅的可能性越大，反之，則越小。如表2 所示：

4 脆弱性識(shí)別

脆弱性評(píng)估（又稱弱點(diǎn)評(píng)估），是風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)中很重要的內(nèi)容。任何資產(chǎn)本身都不可避免的存有弱點(diǎn)，這些微小的弱點(diǎn)卻很容易被威脅利用，進(jìn)而對(duì)資產(chǎn)和商業(yè)目標(biāo)造成損害。資產(chǎn)的弱點(diǎn)不僅包括人員構(gòu)成、組織機(jī)構(gòu)、組織過程、管理技術(shù)等，還包括組織軟件、硬件、信息以及物理環(huán)境資產(chǎn)的脆弱性。

資產(chǎn)脆弱性評(píng)估工作主要是從管理和技術(shù)兩個(gè)方面進(jìn)行的，是涉及到整個(gè)管理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層等各個(gè)層面的安全問題。技術(shù)脆弱性主要包括系統(tǒng)性安全、網(wǎng)絡(luò)化完全、物理性安全、應(yīng)用性安全等層面。而管理脆弱性主要是指進(jìn)行安全管理。

在很大程度上，資產(chǎn)脆弱性與機(jī)構(gòu)所采取的安全控制措施有關(guān)，因此，在判定威脅發(fā)生的可能性時(shí)應(yīng)該特別注意已有安全控制會(huì)對(duì)脆弱性產(chǎn)生的影響。

5 總結(jié)

在筆者看來，信息安全風(fēng)險(xiǎn)評(píng)估流程的設(shè)計(jì)需要綜合考慮評(píng)估前的準(zhǔn)備，資產(chǎn)識(shí)別、威脅識(shí)別、以及脆弱性識(shí)別等各個(gè)因素，通過綜合分析與評(píng)估，制定科學(xué)合理的信息安全風(fēng)險(xiǎn)評(píng)估流程，這是保證整個(gè)信息安全風(fēng)險(xiǎn)評(píng)估工作順利進(jìn)行的關(guān)鍵環(huán)節(jié)，不可忽略。

[1] 范紅,馮登國,吳亞非.信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)用[M].北京:清華大學(xué)出版社,2006:1.

[2]項(xiàng)文新.檔案信息安全風(fēng)險(xiǎn)評(píng)估流程[J].檔案學(xué)研究,2012,(1).

[3]張澤虹.基于評(píng)估流程的信息安全風(fēng)險(xiǎn)的綜合評(píng)估[J].計(jì)算機(jī)工程與應(yīng)用,2008,44(10).

[4]劉佳,徐賜文.信息安全風(fēng)險(xiǎn)評(píng)估方法的比較分析[J].中央民族大學(xué)學(xué)報(bào)：自然科學(xué)版,2012,21(2).

[5]李娟,梁軍,李永杰等.信息安全風(fēng)險(xiǎn)評(píng)估研究[J].計(jì)算機(jī)與數(shù)字工程,2006,34(11).

[6]許誠,張玉清,雷震甲等.企業(yè)信息安全風(fēng)險(xiǎn)的自評(píng)估及其流程設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用研究,2005,22(7).