高校信息安全的風險評估問題研究

劉志龍 張淋江

（河南牧業(yè)經(jīng)濟學院 數(shù)字化管理中心，河南 鄭州450011）

高校信息安全是高校各項工作正常開展的重要保障，隨著高校各項工作的開展對信息系統(tǒng)的依賴性越來越強，高校面臨的各種信息安全威脅也越來越大。然而高校的風險防范意識比較淡薄，信息安全的防御措施及能力與其他行業(yè)相比，較為薄弱，導致高校的網(wǎng)絡設備受到攻擊，使校園網(wǎng)網(wǎng)速過慢甚至癱瘓。SQL注入導致高校的財務系統(tǒng)、招生就業(yè)系統(tǒng)、教學管理系統(tǒng)、辦公系統(tǒng)等關鍵系統(tǒng)中的信息泄露甚至被修改，高校主網(wǎng)站被掛馬影響高校形象等一系列威脅高校安定的信息安全問題不斷出現(xiàn)，給高校的信息資產(chǎn)造成不可挽回的巨大損失[1-2]。因此，在高校信息化建設飛速發(fā)展的階段，信息系統(tǒng)已經(jīng)涉及高校的方方面面，加強風險防范意識，構建高校信息安全風險評估體系指導信息安全管理已刻不容緩。

1 信息安全風險評估的含義、方法及模型

1.1 信息安全風險評估的含義

信息安全風險評估是從風險管理角度出發(fā)，構建風險評估模型，建立風險評估體系，運用風險評估方法，系統(tǒng)地分析信息系統(tǒng)所面臨的風險威脅及系統(tǒng)的脆弱性/漏洞，評估風險發(fā)生帶來的危害程度，提出應對風險的安全控制措施，規(guī)避和控制信息安全風險，降低風險發(fā)生的概率，將風險控制在可承受的范圍，為信息安全風險評估提供科學依據(jù)。

1.2 信息安全風險評估的方法

隨著信息安全風險評估研究工作的不斷深入，形成了多種不同的信息安全風險評估方法，這些方法的出現(xiàn)大大縮短了信息安全風險評估的時間，節(jié)省了大量的資源，提高了信息安全風險評估的效率和準確性，為防范信息安全中出現(xiàn)的風險提供了理論依據(jù)[3]。

目前，常用的信息安全風險評估的方法有定量評估方法、定性評估方法和定性與定量相結合的綜合評估方法。其中，定量評估方法是根據(jù)信息系統(tǒng)中風險相關數(shù)據(jù)，利用具體的評估算法計算出評估結果，并對結果進行分析，它能夠直觀地反應評估結果，更容易被人們接受。但是該方法主要依賴于數(shù)學模型來描述風險，在量化的過程中將原本復雜的事物理想化，一般適用于風險評估材料齊全且數(shù)學理論基礎較好的情況，常見的定量評估方法有Markov分析法、聚類分析方法、決策樹分析方法、風險審計技術等。定性評估方法是評估者利用自己擁有的專業(yè)知識和積累的經(jīng)驗對信息系統(tǒng)存在的風險進行識別和評價，并提出應對風險的安全控制措施。它對評估者知識和經(jīng)驗的要求較高，一般適用于風險評估數(shù)據(jù)不全或者數(shù)學理論基礎較為薄弱的情況，常見的定性評估方法有故障樹分析法（FTA）、故障模式影響及危害性分析方法（RMECA）、德爾菲法（Delphi）等。在風險評估的實際過程中，采用較多的是定性與定量相結合的綜合風險評估方法，該方法可以將復雜問題按照層次化結構分解成多個簡單的問題進行分析，大大節(jié)省了評估時間、人力和費用，提高了風險評估的準確性和效率，常見的定性與定量相結合的綜合評估方法有層次分析法。

1.3 信息安全風險評估的模型[4]

信息安全風險評估模型是信息安全風險評估的理論基礎，是提高信息安全風險評估準確性和效率的重要前提。信息安全風險評估模型如圖1所示，造成信息安全風險的主要因素有威脅、信息資產(chǎn)、信息系統(tǒng)的脆弱性及漏洞和未被控制的殘余風險，信息系統(tǒng)的威脅越大、脆弱性越暴露、漏洞越多、信息資產(chǎn)的價值越大、未被控制的風險越多，則信息系統(tǒng)面臨的風險也越多，風險越多，信息系統(tǒng)的安全性越低。業(yè)務系統(tǒng)主要依賴于服務器和軟件等信息資產(chǎn)，業(yè)務系統(tǒng)越關鍵，對服務器等硬件和軟件資源的要求就越高，被攻擊的價值也就越大，面臨的風險也就越大。資產(chǎn)的價值和防范風險的意識會導出信息系統(tǒng)的安全需求。當信息系統(tǒng)的安全需求被相應的安全控制措施滿足時，就會降低發(fā)生風險的概率。然而有些風險由于成本過高、控制難度較大，往往不進行控制，這部分不被控制的風險具有潛在的威脅，應該受到密切監(jiān)視，它可能會增加信息系統(tǒng)的風險。

圖1 信息安全的風險評估模型

2 高校信息安全面臨的風險及應對策略分析

隨著高校數(shù)字化校園建設和信息化建設的不斷推進，高校業(yè)務處理對信息系統(tǒng)的依賴性越來越強。由于部分高校缺乏危機意識、防范風險的制度和措施，沒有一套完善的信息系統(tǒng)風險評估體系預防風險，當遇到信息安全的突發(fā)事件時，只能被動地采用“救火式”的方法處理風險危機，使得信息系統(tǒng)面臨的風險不斷增加。為了及時應對信息系統(tǒng)面臨的各種風險威脅，各個部門、各個環(huán)節(jié)應密切配合、協(xié)調(diào)，對高校信息安全面臨的各種風險及應對策略應進行調(diào)研分析，建立信息安全的風險評估體系，實現(xiàn)風險評估的規(guī)范化和制度化，逐步形成監(jiān)控風險和控制風險的有效機制[5]。

2.1 高校信息安全面臨的風險分析

高校信息安全面臨的風險一般可以分為技術脆弱性/漏洞風險和非技術性風險[6]。

2.1.1 技術脆弱性/漏洞風險

高校信息系統(tǒng)面臨的技術性/漏洞風險主要包括數(shù)據(jù)存儲風險、系統(tǒng)權限設置風險、軟件編碼風險、硬件設備風險和網(wǎng)絡安全風險等。其中數(shù)據(jù)存儲風險主要體現(xiàn)在數(shù)據(jù)存儲空間不足、數(shù)據(jù)備份策略不健全、數(shù)據(jù)庫安全性低容易導致SQL注入篡改數(shù)據(jù)庫中的數(shù)據(jù)、數(shù)據(jù)不被加密在傳輸過程中容易被篡改或刪除、數(shù)據(jù)庫結構不合理等方面；系統(tǒng)設置權限風險主要體現(xiàn)在訪問控制策略失效、系統(tǒng)訪問權限過大、客戶身份認證失敗等；軟件編碼風險主要體現(xiàn)在操作失誤、系統(tǒng)漏洞、系統(tǒng)接口不安全、代碼健壯性差、系統(tǒng)運行環(huán)境改變等；硬件設備風險主要體現(xiàn)在服務器配置過低、物理設備損壞、網(wǎng)絡帶寬不足、網(wǎng)絡硬件防護設備不齊全等；網(wǎng)絡安全風險主要體現(xiàn)在網(wǎng)絡惡意攻擊使網(wǎng)絡癱瘓、服務劫持、拒絕服務、利用端口漏洞破壞系統(tǒng)、內(nèi)外網(wǎng)設置缺陷、網(wǎng)站掛馬、非法訪問系統(tǒng)、竊取和篡改網(wǎng)絡傳輸數(shù)據(jù)等。

2.1.2 非技術性風險

高校信息系統(tǒng)面臨的非技術性風險主要包括人為疏忽行為、管理不到位、技術失效、蓄意行為和不可抗拒風險等。其中人為疏忽行為主要體現(xiàn)在由于人為過失或非法操作導致服務器硬件損壞，系統(tǒng)和數(shù)據(jù)無法恢復等；管理不到位主要體現(xiàn)在沒有安裝殺毒軟件、沒有做系統(tǒng)備份策略和系統(tǒng)安全防護策略等；技術失效主要體現(xiàn)在硬件壽命設計缺陷、軟件服務到期、軟件后門等；蓄意行為主要體現(xiàn)在惡意軟件、系統(tǒng)設備帶木馬程序、蓄意泄漏機密文件、黑客與信息敲詐等；不可抗拒風險主要體現(xiàn)為地震、雷擊等自然災害造成的風險。

2.2 高校信息安全面臨的風險應對策略分析

在對信息安全進行風險評估時，可以根據(jù)風險評估等級、風險發(fā)生概率大小、風險影響大小、控制風險的難易程度和風險管理的成本，給出處理與應對風險的相應策略，供高校決策部門和相關技術部門參考，來降低風險對信息系統(tǒng)的影響。高校應對信息安全面臨風險的應對策略主要有風險規(guī)避、風險轉(zhuǎn)嫁、風險預防、風險控制、風險承受和風險追蹤等。其中風險規(guī)避是高校在風險發(fā)生之前，采取相關技術措施消除風險因素，避免風險發(fā)生；風險轉(zhuǎn)嫁是高校不能完全避免風險發(fā)生時，為了降低風險造成的損失，將風險轉(zhuǎn)嫁給其他組織或個人承擔，并支付風險承擔者一定費用；風險預防是高校在風險發(fā)生之前密切監(jiān)視風險的動態(tài)，采取相應風險防范措施，以降低風險發(fā)生的概率；風險控制是高校在風險發(fā)生時采取各種技術手段降低風險影響后果，縮小風險影響范圍等；風險承受是高校在綜合考慮控制風險難度、控制風險花費、風險發(fā)生概率和高校風險承受能力等情況下，選擇自行承擔風險的方式；風險追蹤是高校在發(fā)現(xiàn)風險時，對風險的來源及發(fā)起者進行跟蹤，查到根源后追究其相應責任，客觀上可以降低風險發(fā)生的頻率。

3 高校信息安全的風險評估過程[7]

高校信息安全風險評估過程包括風險評估目標確定、風險識別、風險評價、風險控制策略選擇和風險評估效果分析幾個環(huán)節(jié)，這些環(huán)節(jié)是相輔相成，缺一不可的。

3.1 風險評估目標確定

風險評估目標是高校開展信息安全風險評估的首要步驟。高校在對信息安全進行風險評估時，應當制定準確的風險評估目標。風險評估目標主要包括風險評價標準、風險因素標準、風險控制目標、風險控制費用標準、風險防范措施制定、風險評估效果評價、風險發(fā)生后果影響等。

3.2 風險識別

風險識別是高校信息安全風險評估過程中最重要也最難的環(huán)節(jié)。風險識別直接關系到風險評價結果及風險等級的確定，關系到風險控制策略的選擇，如果不能正確識別風險，就不能采取正確的風險控制策略去規(guī)避和控制風險，會大大增加風險發(fā)生的可能性。

3.3 風險評價

風險評價是高校信息安全風險評估過程中的主要環(huán)節(jié)。它主要包括對風險成因、發(fā)生概率、影響范圍、威脅程度、損失大小等因素進行定性和定量分析，通過特定的風險評估方法進行測算分析，確定風險的等級及危害程度。

3.4 風險控制策略選擇

高校在綜合考慮風險承受能力、風險控制費用、風險危害程度、風險發(fā)生概率和風險評估目標等因素的基礎上，根據(jù)風險評價結果，選取相應的風險控制策略，來降低風險發(fā)生的概率及帶來的危害。

3.5 風險評估效果分析

風險評估效果分析是高校結合自身的實際情況對風險評估等級的判斷是否準確、風險識別的準確性、風險評估目標是否達標、風險控制策略是否得當、風險評估過程的科學性、風險評估數(shù)據(jù)和算法的合理性進行綜合分析的過程。它對高校提高信息安全風險評估的準確性和科學性有一定的指導作用。

4 結語

高校信息安全風險評估是一個系統(tǒng)化工程。建立高校信息安全評估體系，加強風險防范意識，可以使高校有效預防和控制信息安全中出現(xiàn)的各種風險，降低風險發(fā)生的概率，減少風險帶來的損失，為高校的穩(wěn)定發(fā)展提供重要保障。

［1］劉瑩，顧衛(wèi)東.信息安全風險評估研究綜述［J］．青島大學學報：工程技術版，2008（6）：37-43

［2］徐輝.高校風險評估管理體系研究［J］.浙江工貿(mào)職業(yè)技術學院學報，2008（9）：59-64.

［3］李鶴田，劉云，等.信息系統(tǒng)安全風險評估研究綜述［J］.中國安全科學學報，2006（1）：108-113.

［4］衛(wèi)成業(yè).信息安全風險評估模型［J］.學術與技術，2002（4）10-15.

［5］陳健，吉久明，等.基于單威脅分析的高校綜合信息安全風險評估方法研究［J］.情報雜志2013（2）：169-173.

［6］丁倩，劉天楨.基于結構方程模型的兩類信息安全風險綜合評估［J］.武漢理工大學學報：信息與管理工程版，2014（12）：862-865.

［7］楊永清，孫媛媛.高校信息安全風險評估探索［J］.科技情報開發(fā)與經(jīng)濟，2006（6）：100-102.