信息安全風險評估綜述

周欣元

摘 要 21世紀是信息化時代，信息系統在當代扮演的作用日益重要。信息系統主要由計算機硬件、網絡系統、計算機軟件、通訊設備、用戶群、網路協議、網絡規章制度、信息流等組成的綜合性系統、信息系統的出現極大方便信息共享和信息傳輸方式，信息處理效率及質量顯著提高。信息安全是信息系統重要組成部分，風險評估是信息系統重要組成部分。本文就信息安全風險評估展開綜述。

【關鍵詞】信息系統 安全風險評估 定性 定量

隨著社會經濟快速發展，信息傳遞無論是速度還是容量均不斷創造新的高度。信息傳遞方式與人們的生活、工作、學習息息相關。信息產業發展蒸蒸日上，建立在信息技術基礎上的信息系統存在一定風險，易受到黑客攻擊，且信息系統充斥各種病毒，系統運行過程存在一定風險。基于此必須做好信息系統安全建設，進行安全風險評估，奠定安全基礎。

1 風險評估概述

互聯網快速發展極大提高人們的生活、工作、學習效率，與此同時發來一系列安全隱患。人們通過互聯網可實現信息有效獲取，信息傳遞過程中仍舊可能出現信息被第三方截取情況，信息保密性、完整性、可靠性等均收到影響。網絡環境雖然方便信息處理方式，但也帶來一系列安全隱患。

從信息安全角度而言，風險評估就是對信息系統自身存在的的種種弱點進行分析，判斷可能存在的威脅、可能造成的影響等。綜合風險可能性，便于更好展開風險管理。風險評估是研究信息安全的重要途徑之一，屬于組織信息安全管理體系策劃過程。

風險評估主要內容包括：識別信息系統可能面對的各種風險、風險出現的概率、風險可能導致的后果、風險消除策略、風險控制策略等。信息系統構成極為復雜，因此信息系統安全風險評估是一項綜合性工作，其組織架構較為繁雜，主要包括技術體系、組織結構、法律體系、標準體系、業務體系等。

20世紀八十年代，以美國、加拿大為代表的發達國家已建立起風險評估體系。我國風險評估體系建立較晚，至今只有十幾年時間。目前我國安全風險評估已得到相關部門高度重視，為其快速發展奠定堅實基礎。

網絡環境雖然帶來無窮便利，卻也帶來各種安全隱患。互聯網環境下信息系統易被黑客攻擊。一切社會因素均與信息系統聯系在一起，人們生活在同一信息系統下總是希望自身隱私得到保護，因此在建設信息系統是必須做好信息安全風險評估，規避信息系統存在的各種風險，提高信息系統安全性，讓人們生活在安全信息環境中。

2 信息安全風險評估方法

網絡的出現對人們的生活和思維方式帶來極大變革，信息交流更加方便，資源共享程度無限擴大，但是網絡是一個較為開放的系統，對進入網絡系統的人并未有一定約束，因此必然導致安全隱患的出現。隨著信息系統建設不斷深入，信息系統必將對社會經濟、政治、文化、教育等造成巨大影響。基于此需要提升信息系統安全風險評估合理性，降低安全隱患，讓人們在安全的信息環境下生活和工作。

2.1 定性評估方法

定性評估是信息安全風險評估使用最頻繁的方法，此法基于評估者通過特有評估方法，總結經驗、歷史等無法量化 因素對系統風險進行綜合評估，從而得出評估結果。該中方法更注重安全風險可能導致的后果，忽略安全時間可能發生的概率。定性評估中有很多因素無法量化處理，因此其評估結果本身就存在一定不確定性，此種評估方法適用于各項數據收集不充分情況。

定性評估雖然在概率上無法保障，但可挖掘出一些較為深刻的思想，其結論主觀性較強，可預判斷一些主觀性結論。基于此需要評估人員具較高職業素養，不受限與數據及經驗的束縛。典型定性評估方法有邏輯評估法、歷史比較法、德爾菲法。

德爾菲法是定性評估中較為常見評估方法之一，經過多輪征詢，將專家的意見進行歸結，總結專家預測趨勢，從而做出評估，預測未來市場發展趨勢，得出預測結論。從本質上來說，德爾菲法是一種匿名預測函詢法，其流程為：征求專家匿名意見——對該項數據進行歸納整理——反饋意見給專家——收集專家意見——…——得出一致意見。德爾菲法是一種循環往復的預測方法可逐漸消除不確定因素，促進預測符合實際。

2.2 定量評估方法

定量評估與定性評估是相互對立的，此種方法需要建立在一切因素均標準化基礎上。定量評估首先需要收集相關數據，且需保證數據準確性，之后利用數學方法建立模型，驗證各種過程從而得出結論。定量評估需要準備充足資料，是一種利用公式進行結果推到的方法。從本質上來說定量評估客服定性評估存在的不足，更具備客觀性。定量評估可將復雜評估過程量化，但該種方法需要建立在準確數據基礎上。定量評估方法主觀性不足，其結論不夠深刻具體。定量評估方法中具有代表性的方法為故障樹評估法。

故障樹評估法采用邏輯思維進行風險評估，其特點是直觀明了，思路清晰。是一種演繹邏輯推理方法，其推理過程由果及因，即在推理中由結果推到原因，主要運用于風險預測階段，得出風險發生具體概率，并以此為基礎得出風險控制方法。

2.3 定性評估與定量評結合綜合評價方法

由前文可知定性評估和定量評估各自存在優缺點。定性評估主觀性較強，客觀性不足。定量評估主觀性不足，客觀性較強。因此將二者結合起來便可起到互補不足的效果。定性評估需要耗費少量人力、物力、財力成本，建立在評估者資質基礎上。定量評估運用數學方法展開工作，預測結果較為準確，邏輯性較強，但成本較高。從本質上來看，定性為定量的依據，定量是對定性的具體化，因此只有將二者結合起來才能實現最佳評估效果。

3 信息安全風險評估過程

信息安全風險評估建立在一定評估標準基礎上，評估標準是評估活動開展的基礎和前提。信息安全風險評估過程需要評估技術、工具、方法等全面支持，在此基礎上展開全面風險評估，結合實際情況選擇合適評估方法。正確的評估方法可提高信息安全風險評估結果準確性，這就要求評估過程中需建立正確評估方法，克服評估過程存在的不足，從而取得最佳結果。

4 結束語

當今信息系統不斷發展完善，為保證信息系統運行環境的安全性必須對信息系統進行安全風險評估。信息安全風險評估具有多種方法，實際評估中應該結合實際情況選擇合適方法，提高信息安全風險評估結果準確性，為建立安全信息環境奠定堅實基礎。

參考文獻

[1]應力.信息安全風險評估標準與方法綜述[J].上海標準化，2014（05）：34-39.

[2]張玉清.信息安全風險評估綜述[J].通信學報，2015（02）：45-53.

[3]溫大順.信息安全風險評估綜述[J].網絡安全技術與應用，2013（01）：16-25.

作者單位

山東省青島第五十八中學2014級高二（2班） 山東省青島市 266100