中小企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估

韓富超

（廣州賽寶認(rèn)證中心服務(wù)有限公司，廣州 510000）

信息安全風(fēng)險(xiǎn)評(píng)估是以風(fēng)險(xiǎn)管理為基礎(chǔ)，通過(guò)科學(xué)的方法和手段，對(duì)企業(yè)信息系統(tǒng)所面臨的威脅與存在的脆弱性進(jìn)行全面分析，以安全事故對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)有可能帶來(lái)的危害展開(kāi)評(píng)估，進(jìn)而制定出有效的防御及整改措施［1］。信息安全風(fēng)險(xiǎn)評(píng)估在企業(yè)信息安全保障體系中占據(jù)著十分重要的地位，其不但是重要的評(píng)價(jià)方法，同時(shí)也是利于企業(yè)決策的有效機(jī)制。如果缺乏準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評(píng)估，便不能準(zhǔn)確的判斷出企業(yè)所存在的信息安全問(wèn)題，因此加強(qiáng)企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估，對(duì)每一個(gè)中小企業(yè)來(lái)說(shuō)，都意義重大。

1 中小企業(yè)信息安全評(píng)估方法

為了進(jìn)一步評(píng)估信息系統(tǒng)的安全風(fēng)險(xiǎn)，多種風(fēng)險(xiǎn)評(píng)估方法被開(kāi)發(fā)出來(lái)并在企業(yè)中得以運(yùn)用。定性評(píng)估法，定量評(píng)估法以及半定量評(píng)估法是目前較為常用的幾種方法。風(fēng)險(xiǎn)評(píng)估中的定量評(píng)估方法，主要是結(jié)合企業(yè)特點(diǎn)，根據(jù)評(píng)估內(nèi)容和評(píng)估流程，從眾多的信息系統(tǒng)、人員和設(shè)備中，利用分類(lèi)分別計(jì)算比例的方法，對(duì)評(píng)估對(duì)象合理選定，并進(jìn)行數(shù)量采樣［2］。并在此基礎(chǔ)上，分析企業(yè)信息系統(tǒng)中資產(chǎn)價(jià)值、威脅性以及脆弱性三者之間存在的函數(shù)關(guān)系，從而根據(jù)企業(yè)實(shí)際情況選取恰當(dāng)?shù)娘L(fēng)險(xiǎn)計(jì)算方法，合理計(jì)算出企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估數(shù)值。本文認(rèn)為定量方法對(duì)當(dāng)前的中小企業(yè)來(lái)說(shuō)更具實(shí)用價(jià)值，主要可從風(fēng)險(xiǎn)計(jì)算方法、威脅可能性量化賦值方法著手。

1.1 風(fēng)險(xiǎn)計(jì)算方法

后果（Consequence）及可能性（Likelihood）是風(fēng)險(xiǎn)具有的兩個(gè)基本屬性。風(fēng)險(xiǎn)對(duì)信息系統(tǒng)的影響，說(shuō)到底也是這兩個(gè)因素所造成的。資產(chǎn)的不同自然也使其面臨的主要威脅存在差異。而隨著威脅可以利用的、資產(chǎn)存在的弱點(diǎn)數(shù)量的增加會(huì)增加風(fēng)險(xiǎn)的可能性，隨著弱點(diǎn)嚴(yán)重級(jí)別的提高會(huì)增加一該資產(chǎn)面臨風(fēng)險(xiǎn)的后果。通常來(lái)說(shuō)，某項(xiàng)資產(chǎn)風(fēng)險(xiǎn)的可能性為資產(chǎn)脆弱性與存在威脅的可能性的函數(shù)，同時(shí)風(fēng)險(xiǎn)后果則為資產(chǎn)價(jià)值（影響）的函數(shù)。本論文采用如下算式來(lái)得到資產(chǎn)的風(fēng)險(xiǎn)賦值：

上述公式主要考慮到各參數(shù)采取的取值并不十分精確，因而加入了以往的經(jīng)驗(yàn)和判斷，在國(guó)際中對(duì)此類(lèi)數(shù)據(jù)則通常采用數(shù)學(xué)乘法或矩陣等方法。而采用線性相乘，則主要是為了方便進(jìn)行計(jì)算。企業(yè)實(shí)施風(fēng)險(xiǎn)分析可以從風(fēng)險(xiǎn)信息和數(shù)據(jù)，進(jìn)行不同程度的改進(jìn)。并根據(jù)計(jì)算出的風(fēng)險(xiǎn)值的數(shù)值范圍，確定相應(yīng)的風(fēng)險(xiǎn)等級(jí)。風(fēng)險(xiǎn)數(shù)值與風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng)的關(guān)系見(jiàn)表1。

表1 風(fēng)險(xiǎn)等級(jí)的含義

1.2 脆弱性量化賦值方法

脆弱性和威脅所存在的對(duì)應(yīng)關(guān)系，應(yīng)在評(píng)估時(shí)充分考慮到，要知道相對(duì)應(yīng)的脆弱性是威脅起作用的基本因素，因此脆弱性與威脅基本上是通過(guò)一一對(duì)應(yīng)的形式呈現(xiàn)出來(lái)的。對(duì)脆弱性大小的評(píng)定需要結(jié)合評(píng)估采集的調(diào)研結(jié)果、安全漏洞掃描結(jié)果以及人工安全檢查結(jié)果。參照國(guó)際通行做法和專(zhuān)家經(jīng)驗(yàn)，將資產(chǎn)存在的脆弱性分為 5 個(gè)等級(jí)，分別是很高（VH）、高（H）、中（M）、低（L）、可忽略（N），并且從高到低分別賦值5-1，具體參照表2。

威脅可能性屬性非常難以度量.它依賴(lài)于具體的資產(chǎn)、弱點(diǎn)。并且這兩個(gè)屬性都和時(shí)間有關(guān)系。在威脅評(píng)估過(guò)程中，評(píng)估者的專(zhuān)家經(jīng)驗(yàn)非常重要。

2 結(jié)語(yǔ)

目前，信息系統(tǒng)已經(jīng)被廣泛運(yùn)用到中小企業(yè)的日常管理工作中，對(duì)其的重視程度也越來(lái)越高。對(duì)中小企業(yè)來(lái)說(shuō)，定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估是信息安全工作得以順利實(shí)施的有效保障，通過(guò)有效的信息安全風(fēng)險(xiǎn)評(píng)估方法則是科學(xué)合理地開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的前提條件。因此，新形勢(shì)下中小企業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估工作必須要做到與時(shí)俱進(jìn)，不斷創(chuàng)新，從而以適應(yīng)快速發(fā)展的社會(huì)需求。

表2 脆弱性評(píng)估賦值參考表

［1］劉江.企業(yè)信息安全管理及風(fēng)險(xiǎn)評(píng)估體系研究［D］.上海：復(fù)旦大學(xué)，2012.

［2］何璐璐.企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法研究［D］.北京：北京郵電大學(xué)，2010.