針對信息安全風險評估分析與探討

趙志勇

摘 要：本文主要詳細的論述了目前網絡信息安全風險評估工作中急需解決的問題。信息安全風險評估是建立信息安全體系的基礎，是信息系統安全工程的一個關鍵組成部分。本文在此談了談自己的觀點和看法，可供同行參考。

關鍵詞：信息安全；風險評估；脆弱性；威脅

一、前言

隨著信息技術的飛速發展，信息系統依賴程度日益增強，采用風險管理的理念去識別安全風險，解決信息安全問題得到了廣泛的認識和應用。信息系統主要分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，以防范和化解風險。

二、網絡信息安全的內容和主要因素分析

“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全，而從廣義的角度考慮，還包括整個網絡系統的硬件、軟件、數據以及數據處理、存儲、傳輸等使用過程的安全。網絡信息安全具有如下5個特征：

1、保密性：即信息不泄露給非授權的個人或實體。

2、完整性：即信息未經授權不能被修改、破壞。

3、可用性：即能保證合法的用戶正常訪問相關的信息。

4、可控性：即信息的內容及傳播過程能夠被有效地合法控制。

5、可審查性：即信息的使用過程都有相關的記錄可供事后查詢核對。

網絡信息安全的研究內容非常廣泛，根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。而通過有效的網絡信息安全風險因素分析，就能夠為此復雜問題的解決找到一個考慮問題的立足點，能夠將復雜的問題量化，同時，也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎，網絡信息安全的風險因素主要有以下6大類：

1、自然界因素，如地震、火災、風災、水災、雷電等；

2、社會因素，主要是人類社會的各種活動，如暴力、戰爭、盜竊等；

3、網絡硬件的因素，如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響；

4、軟件的因素，包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等；

5、人為的因素，主要包括網絡信息使用者和參與者的各種行為帶來的影響因素，如操作失誤、數據泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等；

6、其他因素，包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內容的宣傳因素等。這些因素對于網絡信息安全均會產生直接或者間接的影響。

三、目前網絡信息安全風險評估工作中急需解決的問題

信息系統涉及社會經濟方方面面，在政務和商務領域發揮了重要作用，信息安全問題不單是一個局部性和技術性問題，而是一個跨領域、跨行業、跨部門的綜合性安全問題。據統計，某省會城市各大機關、企事業單位中，有10%的單位出現過信息系統不穩定運行情況；有30%的單位出現過來自網絡、非法入侵等方面的攻擊；出現過信息安全問題的單位比例高達86%！缺少信息安全建設專項資金，信息安全專業人才缺乏，應急響應體系和信息安全測評機構尚未組建，存在著“重建設、輕管理，重應用、輕安全”的現象，已成為亟待解決的問題。

各部門對信息系統風險評估的重視程度與其信息化水平呈現正比，即信息化水平越高，對風險評估越重視。然而，由于地區差異和行業發展不平衡，各部門重視風險評估的一個重要原因是“安全事件驅動”，即“不出事不重視”，真正做到“未雨綢繆”的少之又少。目前我國信息安全體系還未健全和完善，真正意義上的信息系統風險評估尚待成熟。有的部門對信息系統風險評估還停留在傳達一下文件、出具一個報告、安排一場測試，由于評估單位在評估資質、評估標準、評估方法等方面還不夠規范和統一，甚至出現對同一個信息系統，不同評估單位得出不同評估結論的案例。

四、信息系統風險評估解決措施

1、確診風險，對癥下藥

信息系統風險是客觀存在的，也是可以被感知和認識從而進行科學管理的。信息系統面臨的風險是什么、有多大，應該采取什么樣的措施去減少、化解和規避風險？就像人的軀體有健康和疾病，設備狀況有正常和故障，糧食質量有營養和變質，如何確認信息系統的狀態和發現信息系統存在的風險和面臨的威脅，就需要進行風險評估。

2、夯實安全根基，鞏固信息大廈

信息系統建設之初就存在安全問題，好比高樓大廈建在流沙之上，地基不固，樓建的越高倒塌的風險就越大。風險評估是信息系統這座高樓大廈的安全根基，它可以幫助信息系統管理者了解潛在威脅，合理利用現有資源開展規劃建設，讓信息系統安全“贏在起跑線上”。風險評估還可以為信息系統建設者節省信息系統建設總體投資，達到“以最小成本獲得最大安全保障”的效果。

3、尋求適度安全和建設成本的最佳平衡點

安全是相對的，成本是有限的。在市場經濟高度發達的今天，信息系統建設要達到預期經濟效益和社會效益，就不能脫離實際地追求“零風險”和絕對安全。風險評估為管理者算了一筆經濟賬，讓我們認清信息系統面臨的威脅和風險，在此基礎上決定哪些風險必須規避，哪些風險可以容忍，以便在潛在風險損失與建設管理成本之間尋求一個最佳平衡點，力求達到預期效益的最大化。

4、既要借鑒先進經驗，又要重視預警防范

沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。建設網絡強國，要有自己的技術，有過硬的技術。風險評估是信息化發達國家的重要經驗。目前我們的信息化在某些關鍵技術、關鍵設備上還受制于人。“他山之石”可為我所用，亦須知其鋒芒與瑕疵，加強預警防范與借鑒先進技術同樣重要。

五、結束語

綜上所述，本文主要對信息安全風險評估進行了分析和探究，在今天高速的信息化環境中，信息的安全性越發顯示出其重要性，風險評估可以明確信息系統的安全狀況和主要安全風險基礎，通過風險評估及早發現安全隱患并采取相應的加固方案。所以要加強信息安全風險評估工作。

參考文獻：

[1]中國國家標準化管理委員會，信息安全技術一信息安全風險評估規范，2007年

[2]付沙.加強信息安全風險評估工作的研究[J].微型電腦應用，2010.

[3]趙亮.信息系統安全評估理論及其群決策方法研究.上海交通大學博士論文，2011.