適用于企業自評估的信息安全風險評估模型設計

石輝+姚琦

摘 要：從企業內部業務出發，優化信息安全風險評估基本模型，設計了一個企業信息安全風險自評估實施模型，并深入分析了該模型的內容，使其適用于企業依托自身力量來有效開展自評估活動，從而提高企業信息安全風險防護能力。

關鍵詞：信息安全；自評估；風險評估；模型設計

中圖分類號：TP309 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2017.12.019

企業信息安全風險評估主要有2種模式，即他評估和自評估。相比較而言，自評估展現出越來越多的優點，比如外部依賴性小、投入費用低、評估周期短、次生風險低和可以提高內部安全意識等。除此之外，信息安全風險的動態化決定信息安全評估工作應是長期持續的，大部分的內部信息安全風險評估內容企業可采用自評估方式來完成。但信息安全風險評估的專業性、技術性、標準性比較高，企業難以掌握復雜的評估技術和方法。本文以企業業務為出發點，對信息安全風險評估基本模型進行優化，設計了一個更適用于企業依托自身力量來有效開展自評估的實施模型，以提高企業信息安全風險防護能力。

1 信息安全風險評估基本模型

對風險評估模型的研究一直是信息安全風險評估領域的研究熱點之一。風險評估基本模型是一種基于資產、威脅和脆弱性的信息安全風險評估模型。其中，資產的評估主要是對資產進行相對估價，估價準則依賴于對其影響范圍的分析；威脅評估是對資產所受威脅發生可能性和威脅嚴重程度的評估；脆弱性評估是對資產脆弱程度的評估，也是對資產被威脅、利用成功的可能性的評估。

信息安全風險評估基本模型的評估過程就是對資產信息、威脅信息和脆弱性信息進行綜合分析評估并且生成風險信息的過程，包含確定評估范圍、資產識別階段、安全威脅/脆弱性評估、風險分析和風險管理等階段。基于信息安全風險評估基本模型，很多學者從不同角度和目的做了優化和完善。但是，信息安全風險評估模型的研究還處于探索和完善階段，已有的研究存在一些缺陷，主要表現為以下3點：①缺乏對評估內容的逐層細化，難以評價和量化各要素，可操作性比較差；②缺乏對風險評估基本要素屬性的綜合思考，難以體現評估要素與企業業務的關系；③大部分模型比較復雜，評估方法和流程操作起來費時費力，企業難以采用。

2 基于基本模型的企業信息安全自評估模型

針對信息安全風險評估模型的不足，本文綜合考慮企業自身的業務和內部約束條件，在基本模型和相關研究成果的基礎上，提出更加簡單、有效的企業信息安全風險自評估模型。本文認為，企業信息安全風險自評估模型應遵循自主、簡單、規范性、可行性和可擴展性的原則，基本思路是從企業業務出發，多角度研究自評估模型中資產、威脅、脆弱性的關系和指標，應用相關統計分析方法統計，運用層次分析法（AHP）評價、量化相關要素和風險，最終構建一個科學、合理、可操作的企業自評估模型。在此過程中，需要解決3方面的問題：①明確評估的對象、內容和流程；②構建評價方法，統一評估和度量風險基本要素；③統一不同層面、角度的評估結果。

2.1 基于AHP的信息安全風險要素度量方法

AHP（Analytic Hierarchy Process，層次分析法）是一種定性分析與定量分析相結合的多目標決策分析方法，其基本步驟是：①分析問題，建立遞階結構（評價模型）；②構造比較判斷矩陣；③層次單排序；④一致性檢驗；⑤層次總排序與一致性檢驗；⑥選擇最優的解決方案。

資產、威脅、脆弱性作為信息安全風險自評估模型的3個基本要素，需要分別識別和分析，并提煉出各自的評價指標。本文結合已有的理論和實踐成果，從自主性、簡單性、可行性和科學性原則出發，基于相關標準、企業環境和企業業務影響分析，提出信息資產的評價因素應包含經濟、名譽、法律法規、業務運營、社會秩序、商業利益和個人利益，等等，威脅可能性評價指標應包含威脅攻擊力、威脅動機、資產誘因和威脅頻率等，脆弱性嚴重程度賦值的評價因素應包含可用性、機密性和完整性。

根據資產受到損害時對其評價因素帶來的損失為資產價值賦值（比如從1～4取值），數值越大，表明資產價值越高。得

到各評價因素的綜合分值后，分值最大的為該資產的價值，即資產價值為A=max（i）。根據威脅評價指標和脆弱性評價因素，利用AHP方法建立威脅、脆弱性評價體系，體系由目標層、準則層和指標層（方案層）構成。為了方便對不同威脅發生可能性概率、不同脆弱性的嚴重程度進行類比、度量，使用統一的度量標準，采用相對等級的方式處理評價結果（比如從1～4取值），數值越大，威脅發生的可能性越高，帶來的損害越大。通過AHP用數量形式表達和處理個人主觀判斷結果，采用專家和團隊評分進一步比較各要素的重要性，并做一致性檢驗，最終確定各要素的值。

2.2 企業信息安全自評估風險計算

在對資產價值、威脅、脆弱性分析和量化后，還要確定各要素之間的組合方式和具體的計算方法。《信息安全風險評估規范》（2007）對風險值的計算提出了如下函數：

風險值=R（A，T，V）=R（L（T，V），F（Ia，Va））. （1）

式（1）中：R為安全風險計算函數；A為資產；T為威脅；V為脆弱性；L為威脅利用資產的脆弱性導致安全事件的可能性；F為安全事件發生后造成的損失；Ia為安全事件所作用的資產價值；Va為脆弱性嚴重程度。

信息安全風險值的計算方法主要有矩陣法、相乘法和預先價值矩陣查表法等，并且可以將多種方法結合使用。因為相乘法操作簡單，所以，在風險分析中的應用比較廣泛。該方法是一種定量的計算方法，主要思路是利用2個相關要素值的乘積計算出結果要素的值。按照簡單性、科學性原則，對于企業自評估，本文認為，相乘法比較適合企業使用，但不限于該方法。根據相乘法，企業信息安全風險值的計算過程是：①計算威脅利用資產的脆弱性導致安全事件的可能性，即L=L（T，V）=T×V；②計算安全事件發生后造成的損失，即F=F（Ia，Va）=Ia×Va；③計算風險值，即R=R（L，F）=L×F.

2.3 企業信息安全自評估模型和流程設計

企業信息安全風險自評估的基本目的是依據企業自身業務，識別出信息系統中存在的主要安全風險，并排列優先級，為風險信息計算提供數據支撐，進而為提出風險應對措施提供建議。基于上述方法，本文提出了企業信息安全風險自評估模型，如圖1所示。

企業信息安全風險自評估模型的實施分為范圍確定、資產識別與量化、威脅分析、脆弱性分析、風險分析與計算、風險應對建議6個階段，每個階段的具體任務如圖2所示。

本文提出的自評估模型綜合了企業自評估的約束條件、風險評估的基本原理、關鍵環節與流程、基本要素度量等，具有以下5個特點：①模型提供了統一的資產、威脅、脆弱性3個基本要素的度量和評價方法，依據模型中的評價指標可以進行量化和排序。②模型將企業業務與風險評估結合起來，體現了IT服務企業、服務業務的理念，在一定程度上反映出了信息安全風險評估對業務的影響程度和對企業的價值。③模型滿足信息安全的動態性要求，適應企業業務不斷發展和調整的需要。當業務調整時，企業僅需分析業務信息流，識別出相關資產、威脅和脆弱性等。④模型滿足信息安全的持續性要求，企業可建立相關制度，將自評估設立為日常性工作。當業務無法調整時，自評估活動僅需識別和分析新的脆弱性和威脅信息，從而節省大量資源。⑤模型具有較強的適應性，適用于不同類型的企業，企業可根據實際情況裁減和優化，根據各自的偏好選擇風險計算方法。

3 結束語

本文在研究國內外風險評估模型、風險分析方法的基礎上，結合企業內部進行信息安全風險自評估的需求和難點，提出了一種適用于企業內部自評估的信息安全風險評估模型和流程。本文提出的模型為企業自評估提供方法和思路，在一定程度上解決了其他模型過程復雜、可操作性差的問題。但是，該模型仍需要通過更多的實踐并結合不同行業的特點，總結、歸納各類要素的評價指標和評價方法，進一步簡化和優化自評估模型，使之在更大范圍內具有通用性，從而為企業信息安全風險管理提供一定的幫助。

參考文獻

[1]Erik Johansson，Pontus Johnson.Assessment of enterprise information security-an architecture theory diagram definition.Proceedings CSER，2005（3）.

[2]Farahmand，F.，Navathe，S.B.，Sharp，GP.，et al.A management Perspective on risk of security threats to information systems.Information Technology and Management，2005，6（2）.

[3]Lin，P.P.System security threats and controls.The CPA Journal，2006，76（7）.

[4]馮登國，張陽，張玉清.信息安全風險評估綜述[J].通信學報，2004，25（7）.

[5]艾明，向宏，康冶平.風險評估中威脅發生可能性的定量分析方法[J].微計算機信息，2007（23）.

[6]陳亮.信息系統安全風險評估模型研究[J].中國人民公安大學學報（自然學版），2007（4）.

[7]范紅.信息安全風險評估國家標準現狀與展望[J].信息網絡安全，2006（1）.

[8]譚良，佘堃，周明天.信息安全評估標準研究[J].小型微型計算機系統，2006，27（4）.

[9]陳雷霆，文立玉，李志剛.信息安全評估研究[J].電子科技大學學報，2005，34（3）.

[10]汪應洛.系統工程[M].第三版.北京：機械工業出版社，2003.

本文部分參考文獻因著錄項目不全被刪除。

〔編輯：白潔〕

文章編號：2095-6835（2017）12-0021-02