信息系統安全風險評估方法和技術研究

郭璇

隨著我國計算機信息技術的不斷發展，我國對信息系統的安全要求愈加提高，而對信息系統進行安全風險評估對于我國信息安全工作中遇到的相關問題有著很不錯的預防作用。針對這種情況，本文就信息系統安全風險評估方法和技術進行相關研究，希望能對我國相關事業的更好發展盡一份力。

【關鍵詞】信息系統安全 風險評估方法 技術研究

隨著我國經濟與社會的不斷發展，我國信息系統為了滿足日益增長的信息管理需求也變得愈加復雜，信息系統的安全程度也日益引起社會各界的關注。為了解決我國信息系統可能面臨的種種威脅，我們需要一種針對于信息系統的安全評估方法來識別信息系統可能面臨的風險，并將其扼殺于無形，所以我們說對信息系統安全風險評估方法和技術進行相關研究有著極為深刻的現實意義。

1 信息系統安全評估的工作流程

1.1 資產識別

所謂資產，在這里指的是對相關信息系統的主體組織來說具有價值的信息資源，也是我們研究的信息安全評估所保護的對象。這里的資產一般可以分為數據、軟件、硬件、文檔、服務與人員等類別，在進行具體的信息系統安全評估中，相關工作人員可以對所評估的系統主體中不同的資產賦予不同的等級，并根據相關機密性、完整性與可用性作為等級賦予的參考。在這種信息系統的安全評估中，對系統主體的賦值過程，也是對系統資產機密性、完整性與可用性達成程度的分析，而通過這些分析相關工作人員會得到一個較為綜合的評估結果。

1.2 脆弱性識別

所謂脆弱性，在這里指的是對相關信息系統的主體組織來說一個或多個資產弱點的總稱。在進行具體的信息系統安全評估中，相關工作人員對所評估的系統主體資產為核心，并在具體評估中將每個資產的弱點進行分別標注，最后運用得到的每個資產的弱點對該信息系統中的資產進行總體評估。此外，相關工作人員也可以通過對評估的系統主體物理、網絡、應用等層級進行逐級評估，并在最后將評估得到的資產報告與相關威脅相結合。在通過脆弱性是別發對信息系統的安全評估中，相關工作人員可以選擇物理環境、服務器、網絡結構、數據庫、應用系統、技術管理與組織管理多方面進行評估，通過發現其脆弱點進行具體的評估工作。

1.3 威脅識別

所謂威脅，在這里指的是對相關信息系統的主體組織來說，在其信息系統存在脆弱性以及相關安全措施缺乏的前提下，相關威脅作用到信息系統的某個安全資產上，并造成了一定程度破壞的信息安全風險。威脅識別是通過評估信息系統中存在的問題，查出這些直接威脅或間接威脅的過程，在相關人員進行具體的威脅識別工作中，其需要建立風險分析所需要的威脅場景進行相關威脅的識別。

1.4 風險分析

在對相關相關信息系統進行資產識別、脆弱識別與威脅識別后，相關信息系統的評估人員就應進入信息系統的風險評估階段，在這個階段相關工作人員的工作是對于相關風險進行分析與計算。

2 信息系統的風險評估方法

2.1 基于知識的信息系統風險分析方法

在基于知識的信息系統風險分析方法的具體操作中，主要依靠的是相關風險評估工作的工作人員自身的經驗，通過對相關信息系統資料的采集，通過自身知識儲備與相關信息系統風險評估的標準進行比較，找出該信息系統中存在的不合適的地方，并通過相關標準與業界常用的最佳方法選擇出相應的安全措施，起到對信息系統風險控制與消除的作用。

2.2 基于技術的信息系統風險分析方法

在基于技術的信息系統風險分析方法的具體操作中，主要依靠的是相關風險評估工作的工作人員自身的技術能力，通過對相關信息系統基礎結構與程序系統的檢查，對相應的信息系統內部安全性與脆弱的的完整估計，并以此解決信息系統中發現的種種風險隱患。這種基于技術的信息系統風險分析方法對相關技術分析較多，但在管理上較為薄弱，對于相關信息系統的管理分析上較為不足。

2.3 信息系統定量分析方法

在信息系統風險分析中，所謂定量分析方法指的是通過將相關信息系統中的資產價值與風險進行等量化財物價值的一種相關風險評估方法。在信息系統的定量分析法中，其本身具有量化的數據支持這一優點，這就使得信息系統中的相關安全威脅對系統內資產造成的損失可以通過財物進行相關衡量，這種直觀的衡量方式能夠使相關信息系統的主體機構管理層較為容易的理解與接收信息系統風險分析。不過，信息系統定量分析方法在使用中也有著其缺點，那就是其量化的財物損失數據大多是以參與者的主觀意見為基礎，這就使得在具體方法的使用中，量化財務數據缺乏一定程度的客觀性。

3 結論

隨著我國信息技術的不斷發展，為了保障我國民眾個人或企業組織的信息安全，信息系統的風險評估的相關發展已成為信息技術安全發展的重要方向之一。雖然我國現階段關于信息系統風險評估的相關技術標準尚未出臺，但我國各地的相關信息系統風險評估機構都在密切關注著相關標準出臺的進展，而其自身所進行的相關信息系統風險評估方法的研究，也對我國信息安全保障體系的發展與建立提供了重要保障。

參考文獻

[1]李鶴田，劉云，何德全.信息系統安全風險評估研究綜述疆[J].中國安全科學學報，2006，01：108-113+0-1.

[2]張利，彭建芬，杜宇鴿，王慶.信息安全風險評估的綜合評估方法綜述[J].清華大學學報（自然科學版），2012，10：1364-1369.

[3]唐作其，陳選文，戴海濤，郭峰.多屬性群決策理論信息安全風險評估方法研究[J].計算機工程與應用，2011，15：104-107+144.

[4]楊曉明，羅衡峰，范成瑜，陳明軍，周世杰，張利.信息系統安全風險評估技術分析[J].計算機應用，2008，08：1920-1923.

作者單位

公安海警學院 浙江省寧波市 315800