信息系統(tǒng)安全風險評估方法和技術(shù)研究

郭璇

隨著我國計算機信息技術(shù)的不斷發(fā)展，我國對信息系統(tǒng)的安全要求愈加提高，而對信息系統(tǒng)進行安全風險評估對于我國信息安全工作中遇到的相關(guān)問題有著很不錯的預(yù)防作用。針對這種情況，本文就信息系統(tǒng)安全風險評估方法和技術(shù)進行相關(guān)研究，希望能對我國相關(guān)事業(yè)的更好發(fā)展盡一份力。

【關(guān)鍵詞】信息系統(tǒng)安全 風險評估方法 技術(shù)研究

隨著我國經(jīng)濟與社會的不斷發(fā)展，我國信息系統(tǒng)為了滿足日益增長的信息管理需求也變得愈加復(fù)雜，信息系統(tǒng)的安全程度也日益引起社會各界的關(guān)注。為了解決我國信息系統(tǒng)可能面臨的種種威脅，我們需要一種針對于信息系統(tǒng)的安全評估方法來識別信息系統(tǒng)可能面臨的風險，并將其扼殺于無形，所以我們說對信息系統(tǒng)安全風險評估方法和技術(shù)進行相關(guān)研究有著極為深刻的現(xiàn)實意義。

1 信息系統(tǒng)安全評估的工作流程

1.1 資產(chǎn)識別

所謂資產(chǎn)，在這里指的是對相關(guān)信息系統(tǒng)的主體組織來說具有價值的信息資源，也是我們研究的信息安全評估所保護的對象。這里的資產(chǎn)一般可以分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)與人員等類別，在進行具體的信息系統(tǒng)安全評估中，相關(guān)工作人員可以對所評估的系統(tǒng)主體中不同的資產(chǎn)賦予不同的等級，并根據(jù)相關(guān)機密性、完整性與可用性作為等級賦予的參考。在這種信息系統(tǒng)的安全評估中，對系統(tǒng)主體的賦值過程，也是對系統(tǒng)資產(chǎn)機密性、完整性與可用性達成程度的分析，而通過這些分析相關(guān)工作人員會得到一個較為綜合的評估結(jié)果。

1.2 脆弱性識別

所謂脆弱性，在這里指的是對相關(guān)信息系統(tǒng)的主體組織來說一個或多個資產(chǎn)弱點的總稱。在進行具體的信息系統(tǒng)安全評估中，相關(guān)工作人員對所評估的系統(tǒng)主體資產(chǎn)為核心，并在具體評估中將每個資產(chǎn)的弱點進行分別標注，最后運用得到的每個資產(chǎn)的弱點對該信息系統(tǒng)中的資產(chǎn)進行總體評估。此外，相關(guān)工作人員也可以通過對評估的系統(tǒng)主體物理、網(wǎng)絡(luò)、應(yīng)用等層級進行逐級評估，并在最后將評估得到的資產(chǎn)報告與相關(guān)威脅相結(jié)合。在通過脆弱性是別發(fā)對信息系統(tǒng)的安全評估中，相關(guān)工作人員可以選擇物理環(huán)境、服務(wù)器、網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、技術(shù)管理與組織管理多方面進行評估，通過發(fā)現(xiàn)其脆弱點進行具體的評估工作。

1.3 威脅識別

所謂威脅，在這里指的是對相關(guān)信息系統(tǒng)的主體組織來說，在其信息系統(tǒng)存在脆弱性以及相關(guān)安全措施缺乏的前提下，相關(guān)威脅作用到信息系統(tǒng)的某個安全資產(chǎn)上，并造成了一定程度破壞的信息安全風險。威脅識別是通過評估信息系統(tǒng)中存在的問題，查出這些直接威脅或間接威脅的過程，在相關(guān)人員進行具體的威脅識別工作中，其需要建立風險分析所需要的威脅場景進行相關(guān)威脅的識別。

1.4 風險分析

在對相關(guān)相關(guān)信息系統(tǒng)進行資產(chǎn)識別、脆弱識別與威脅識別后，相關(guān)信息系統(tǒng)的評估人員就應(yīng)進入信息系統(tǒng)的風險評估階段，在這個階段相關(guān)工作人員的工作是對于相關(guān)風險進行分析與計算。

2 信息系統(tǒng)的風險評估方法

2.1 基于知識的信息系統(tǒng)風險分析方法

在基于知識的信息系統(tǒng)風險分析方法的具體操作中，主要依靠的是相關(guān)風險評估工作的工作人員自身的經(jīng)驗，通過對相關(guān)信息系統(tǒng)資料的采集，通過自身知識儲備與相關(guān)信息系統(tǒng)風險評估的標準進行比較，找出該信息系統(tǒng)中存在的不合適的地方，并通過相關(guān)標準與業(yè)界常用的最佳方法選擇出相應(yīng)的安全措施，起到對信息系統(tǒng)風險控制與消除的作用。

2.2 基于技術(shù)的信息系統(tǒng)風險分析方法

在基于技術(shù)的信息系統(tǒng)風險分析方法的具體操作中，主要依靠的是相關(guān)風險評估工作的工作人員自身的技術(shù)能力，通過對相關(guān)信息系統(tǒng)基礎(chǔ)結(jié)構(gòu)與程序系統(tǒng)的檢查，對相應(yīng)的信息系統(tǒng)內(nèi)部安全性與脆弱的的完整估計，并以此解決信息系統(tǒng)中發(fā)現(xiàn)的種種風險隱患。這種基于技術(shù)的信息系統(tǒng)風險分析方法對相關(guān)技術(shù)分析較多，但在管理上較為薄弱，對于相關(guān)信息系統(tǒng)的管理分析上較為不足。

2.3 信息系統(tǒng)定量分析方法

在信息系統(tǒng)風險分析中，所謂定量分析方法指的是通過將相關(guān)信息系統(tǒng)中的資產(chǎn)價值與風險進行等量化財物價值的一種相關(guān)風險評估方法。在信息系統(tǒng)的定量分析法中，其本身具有量化的數(shù)據(jù)支持這一優(yōu)點，這就使得信息系統(tǒng)中的相關(guān)安全威脅對系統(tǒng)內(nèi)資產(chǎn)造成的損失可以通過財物進行相關(guān)衡量，這種直觀的衡量方式能夠使相關(guān)信息系統(tǒng)的主體機構(gòu)管理層較為容易的理解與接收信息系統(tǒng)風險分析。不過，信息系統(tǒng)定量分析方法在使用中也有著其缺點，那就是其量化的財物損失數(shù)據(jù)大多是以參與者的主觀意見為基礎(chǔ)，這就使得在具體方法的使用中，量化財務(wù)數(shù)據(jù)缺乏一定程度的客觀性。

3 結(jié)論

隨著我國信息技術(shù)的不斷發(fā)展，為了保障我國民眾個人或企業(yè)組織的信息安全，信息系統(tǒng)的風險評估的相關(guān)發(fā)展已成為信息技術(shù)安全發(fā)展的重要方向之一。雖然我國現(xiàn)階段關(guān)于信息系統(tǒng)風險評估的相關(guān)技術(shù)標準尚未出臺，但我國各地的相關(guān)信息系統(tǒng)風險評估機構(gòu)都在密切關(guān)注著相關(guān)標準出臺的進展，而其自身所進行的相關(guān)信息系統(tǒng)風險評估方法的研究，也對我國信息安全保障體系的發(fā)展與建立提供了重要保障。

參考文獻

[1]李鶴田，劉云，何德全.信息系統(tǒng)安全風險評估研究綜述疆[J].中國安全科學學報，2006，01：108-113+0-1.

[2]張利，彭建芬，杜宇鴿，王慶.信息安全風險評估的綜合評估方法綜述[J].清華大學學報（自然科學版），2012，10：1364-1369.

[3]唐作其，陳選文，戴海濤，郭峰.多屬性群決策理論信息安全風險評估方法研究[J].計算機工程與應(yīng)用，2011，15：104-107+144.

[4]楊曉明，羅衡峰，范成瑜，陳明軍，周世杰，張利.信息系統(tǒng)安全風險評估技術(shù)分析[J].計算機應(yīng)用，2008，08：1920-1923.

作者單位

公安海警學院 浙江省寧波市 315800