風險評估方法在企業信息安全管理中的應用探討

中國一冶集團有限公司 劉 瑋

1.企業信息安全評估的內容

企業在運行中會產生大量的運營數據，這些數據既有日常辦公方面的數據，也有涉及企業生產和研發方面的數據。隨著企業規模的擴大，對這些信息的管理大都是建立在一定的信息管理系統基礎上的，如ERP資源管理系統、MES系統等。這些管理系統管理的內容包含了企業運行中的各類信息，就涉及到如何保障系統運行中信息安全的問題。不同的信息管理模式會伴隨不同的信息泄露風險，因此需要對企業的信息管理風險程度進行評估，在此基礎上尋找彌補信息安全隱患的策略。對企業信息安全的評估主要有以下幾個方面的內容。

1.1 評估企業的管理制度

企業管理制度是企業有序運行的基礎，企業的信息安全也和此密切相關。很多企業信息外泄的案例都和企業管理制度漏洞直接聯系。因此在評估企業信息安全時企業的管理制度是必要的環節之一。在這個層面上評估企業信息安全主要是評估以下幾類基本的管理制度。①企業信息系統的使用制度；②企業信息系統的維護制度；③企業信息系統操作人員培訓制度；④系統設備和文件管理制度。

1.2 企業信息系統計算機安全評估

實踐表明大量的企業信息外泄都和計算機系統的安全漏洞有關系，因此對企業信息系統的安全評估是必不可少的環節。這類問題的評估需要專業計算機人員來進行，彌補系統安全漏洞是保障企業信息安全的重要手段。定期或不定期的對企業信息系統的運行日志和統計資料進行檢查是一種行之有效的方法。

2.企業信息安全風險定量評估方法

對上述幾類評估內容的定量估計是衡量企業信息安全的量化手段，其衡量得出的數值就是企業信息安全的風險值或安全程度指標。企業信息安全的定量風險評估考慮因素主要有三個：資產價值、威脅和脆弱性。在定量評估中這三類因素都需要用定量數據采集的方式來進行合成計算，安全風險的數學表達式為：R=f(A,V,T)。其中R為風險指標，A表示企業資產指標，為T代表威脅，V為脆弱性指標。上述三類因素的基礎數據都需要從實踐中通過調研和測試來獲得。

2.1 企業信息安全估價的描述方法

企業的資產既包括有形的資產，也包括無形的資源，表現形式也從機械設備到軟件文檔等多種多樣。企業信息安全又有其特殊性。企業信息安全的安全屬性估價需要從資產的保密性、完整性和可用性三個方面來展開評估。由于企業各類資產的形式各異，資產的安全級別無法用通用的量化標準來記性評估，因此采用的方法為定性的CIA模糊集合方式來描述，如“資產安全級別”=｛“很高”、“高”、“中等”、“低”、“較低”｝等模糊語言來描述，對應的論域為｛5、4、3、2、1｝。企業信息安全安全的保密性、完整性和可用性三個方面的屬性都可以用上述模糊語言來定性描述，綜合上述三類安全屬性的公式為：S= l n[(eC+eI+eA)/3]。上式中C,I,A分別為企業信息安全的保密性、完整性和可用性的賦值，取值為1,2…5，S為綜合評定指標。筆者這里提供一些評價指標的選取標準：

（1）信息保密性的評定標準

①很高：這類級別的企業信息包含企業的核心關鍵決策信息，信息泄漏將嚴重影響企業的利益；②高：這類級別的企業信息泄露會對到企業經濟效益造成明顯損害；③中等：企業的一般性的經營、決策信息，泄露對企業不利；④低：這類企業信息一般指企業內部部門的局部信息；⑤較低：企業可對外界公布的信息類型。

（2）信息完整性的評定標準

①很高：這類級別的企業信息包含企業的核心關鍵決策信息，其完整性直接決定企業的業務完整性，一旦缺失就無法彌補；②高：這類信息修改必須經過高層授權，一旦缺失將嚴重影響業務，一旦缺失彌補難度很大；③中等：企業的一般性的經營、決策信息，其修改需授權，缺失后可彌補；④低：這類企業信息一般指企業內部部門的局部信息，缺失后對企業運行影響較小，易于彌補；⑤較低：企業可對外界公布的信息類型，缺失后對企業運行無明顯影響。

（3）信息可用性的評定標準

①很高：這類信息具有最重要的實用性，企業的運作必須依照運行的信息類型；②高：這類信息的可用性價值較高，企業運作對其依賴性較高；③中等：這類信息屬于可部分不可用的類型，部分不可用不影響企業的正常運作；④低：這類企業信息一般指企業內部部門的局部信息，信息不可用不會造成明顯影響；⑤較低：這類信息使用性不高，信息不可用的影響可以忽略。

2.2 企業信息安全威脅程度的量化方法

企業信息安全的威脅通常定義為潛在的破壞性因素或突發事件。威脅是客觀存在的，既可能來自于系統的用戶（合法用戶或非法入侵）操作，也可能來自于系統的物理組件的損壞。這兩類威脅中最大也最常見的是系統用戶在操作方面的失誤、非法用戶利用系統漏洞來竊取企業機密信息，以及計算機病毒對信息系統的侵襲等。但這些事件都不易量化，在做風險評估時需要依賴專家經驗，對各種潛在的威脅因素給出一定的概率值，對各類威脅因素可按照和上節類似的方法，用形如：“威脅程度”=｛“很高”、“高”、“中等”、“低”、“較低”｝等模糊集合來表達，對應于相應的論域｛5、4、3、2、1｝。建議評定標準如下：①很高：風險事件發生的頻率很高，或對企業信息安全具有明顯的威脅，但又很難避免的情形；②高：風險事件發生的可能性較大或有發生先例；③中等：風險事件有可能發生，但尚未實際發生過的情形；④較低：風險事件發生的可能性較小，通常情況下不會發生；⑤很低：幾乎不可能發生的風險事件類型；

2.3 信息系統脆弱性的量化方法

信息系統脆弱性的評估和系統面臨的威脅是緊密相關的，所有的實際威脅都是利用系統安全的薄弱環節來發揮破壞性作用的，因此信息系統的脆弱性和威脅存點對點或單點對多點的關系。為便于計算，也采用和衡量系統威脅程度時相同的表示方法，“系統脆弱性”=｛“很高”、“高”、“中等”、“低”、“較低”｝，對應于相應的論域｛5、4、3、2、1｝。建議評定標準為：①很高：這類評定往往要基于企業信息系統存在明顯而易于攻擊的技術漏洞或者是管理規范上的缺陷，極易被非法使用的情形；②高：企業信息系統存在一定的技術漏洞或管理規范上的缺陷，容易被攻擊和利用；③中等：企業信息系統存在不易被發現（的技術漏洞，或必須經過人為非法操作才能被攻擊的管理規范上的漏洞；④低：企業信息系統不存在明顯的技術漏洞，或企業信息管理制度較為完善，不易被攻擊利用；⑤較低：企業信息系統技術較為完善，管理制度也較為合理，被攻擊點可能性很小。

2.4 信息安全的風險計算

按照風險的定義，風險包括風險事件發生的可能性和相應的后果。在企業信息系統中，各組成部分發生風險事件后的后果是不一樣的，其嚴重程度也存在差異。因此在風險計算時需要明確兩個方面的內容，一是風險的計算方式，二是對風險計算量化數值的評價。各因素風險值的計算按：R=A×V×T來計算，即按資產價值、資產脆弱性和資產面臨的威脅性的乘積來衡量某種信息資產的風險值。上述幾類因素的取值按照評價論域中的取值來作為乘積因子。在計算出風險值之后，還需要建立起以風險值為基礎的風險評價體系。

由前文的分析可見，風險的定量估計是一個由三類風險因素的線性乘積得出的。每一類信息的最高等級論域數值為5，最低為1，因此組合情況下風險值的最高值為125，最低值為1。由此可建立其與之對應的風險定量評價體系。筆者建議采用與之對應的5級評定方式：①很高：風險值估計范圍在100～125之間，表明企業信息系統存在很高的安全風險，發生信息泄露的可能性非常高；②高：風險估計值在75～100之間，表明企業信息系統存在較大的安全風險，發生信息泄露的可能性較大；③中等：風險估計值在50～75之間，企業信息系統的安全風險一般，經過審查后能夠避免風險事件；④低：風險估計值在25～50之間，企業信息系統發生信息泄露的可能性很小；⑤很低：風險估計值在0～25之間，企業信息系統比較安全，但需要定期維護。

3.結語

企業信息系統安全管理關系到企業的內部運營數據的安全，是需要引起高度重視的問題。本文將企業信息安全評估中幾類常用的信息類型進行了風險量化評估，給出了以線性乘積為基礎的風險量化方法，最后給出了分等級的企業信息安全綜合評定。

[1]沈昌樣.關于強化信息安全保障體系的思考[J].信息安全與通信保密,2009,06.

[2]沈昌祥,馬東平,等.信息安全工程學導論[M].電子工業出版社,2009,9.

[3]熊松錳,張志平.構建網絡信息的安全防護體系[J].情報學報,2011,22.

[4]范紅.信息安全風險評估方法與應用[M].清華大學出版社,2008.