信息安全風險評估量化方法研究

劉文慧

（太原煤炭氣化（集團）有限責任公司選煤分公司，太原 030024）

1 信息安全風險評估的內涵

信息安全指的是信息系統(tǒng)中的數據以及信息系統(tǒng)的軟件、硬件受到保護的程度，并防止威脅系統(tǒng)正常運行以及盜取系統(tǒng)中的知識、數據等信息而采取的措施。從本質上來說，信息安全是一種思維方式，不是依靠某一種技術就能實現的，沒有絕對的信息安全。信息安全風險指的是在信息系統(tǒng)的服務過程中，可能出現的人為因素或者自然因素對信息安全造成的威脅，以及發(fā)生信息安全問題對于經濟、社會造成的損失。

信息安全風險評估指的就是相關的管理者，系統(tǒng)地、整體地分析信息系統(tǒng)可能面臨的威脅，并利用科學有效的方法，評估發(fā)生信息安全問題造成的危害、影響以及損失，并針對此制定有效的防護措施，將信息安全風險控制在可接受的程度甚至化解信息安全問題，從而減少損失或者保證信息的安全。信息安全評估主要有四個方面：威脅、資產、弱點和風險。

2 對信息安全進行風險評估的重要性

幾十年的時間之內，我國的信息技術已經取得了飛速的發(fā)展，并且涉及到我國社會和人民生活的每個方面，其扮演著越來越重要的角色。與此同時，信息技術也慢慢的發(fā)展成為一項重要的支柱產業(yè)，國家信息技術的發(fā)展程度也慢慢的變成了衡量一個國家綜合實力的重要標準，其創(chuàng)造出的產品讓人們的生活方式發(fā)生了翻天覆地的改變。信息技術還被廣泛的應用于風險投資和企業(yè)的管理當中，為這些行業(yè)帶來了巨大的發(fā)展動力。而信息技術的安全問題一旦發(fā)生，總是會對企業(yè)、社會造成不可估量的損失，這使得社會各界對于信息技術安全問題的關注度越來越大。在這樣的情況下，信息安全風險評估工作就顯得尤為重要了。

對信息安全進行風險評估，才是保證信息安全的有效措施。信息安全風險評估是相關組織、企業(yè)實現信息安全的關鍵步驟，通過信息安全風險評估，可以讓人們準確、全面的了解信息系統(tǒng)的安全現狀，并能及時的發(fā)現其中可能出現的問題，為決策者提供合理的信息安全指導方向，并提前制定好相應的防護措施，將可能出現的問題扼殺在搖籃當中，有效減少信息安全問題帶來的損失。同時，進行信息安全風險評估工作還能提高人們的安全意識，提升人們對于信息安全的關注程度。

3 研究信息安全風險評估量化的方法

3.1 技術評估方法

技術評估指的是對信息系統(tǒng)的技術程序和結構進行系統(tǒng)的、及時的檢查，包括計算機所處環(huán)境的安全性評估。技術評估的內容包括評估整個計算機的程序和結構；使用現有的軟件工具分析計算機的全部組件；在完成技術檢測之后要提供詳細的檢測報告，指出技術檢測中出現的問題與弱點，并針對這些問題提出相應的解決措施。

3.2 工具輔助風險評估

工具輔助風險評估依靠著強大的計算機分析能力與準確的風險評估結果，受到越來越多人的青睞，隨著工具輔助評估的發(fā)展，越來越多的輔助工具被研究出來，而且性能更加強大，其使用也越來越廣泛。以往手動風險評估過程中，繁瑣的評估程序與數據分析給工作人員帶來了巨大的工作壓力，而且評估結果也不如人意，容易出現疏漏導致評估結果出現偏差。在1985年，英國研發(fā)出了CRAMM風險輔助評估工具，為人們打開了軟件輔助風險評估的大門。在1992年又有公司推出了COBRA工具，該工具的兼容性更加豐富，為人們提供了更加完整的風險評估服務。在之后的發(fā)展中，更多的工具被研發(fā)出來，為人們進行信息安全風險評估工作做出了巨大的貢獻。

3.3 定性風險評估方法

定性分析風險評估方法是目前使用最為廣泛的信息安全風險評估方法，這種方法側重分析安全問題給人們所帶來的損失，對于安全問題發(fā)生的概率關注度不高。在進行定性分析時，相關的工作人員先根據信息技術系統(tǒng)面臨的安全威脅來判定安全風險的等級，然后在定性評估工作中指定期望值而不使用具體的分析數據，并設定每種風險的概率值和其影響值，從而分析出信息安全風險。

3.4 定量分析方法

定量分析方法也是一種較為常用的分析方法，它要求分析者特別關注安全威脅的量化數據和資產具有的價值。定量風險分析利用威脅事件可能造成的損失和威脅事件發(fā)生的概率這兩個最基本的元素，將其相乘得出綜合數據ALE，從理論上來說，ALE可以作為判定安全事件的風險等級。隨著信息安全風險評估工作的快速發(fā)展，定量分析的計算方法也更加豐富多彩。較為常用的定量分析方法，是首先評估資產的價值V，然后根據實際情況和客觀的數據來計算安全威脅發(fā)生的頻率P，然后再計算出安全威脅的影響系數μ。根據以上計算出的三個參數，計算ALE的值：

ALE=V×P×μ

根據計算出的ALE的大小，可以對信息安全風險做出評估。

4 我們所面臨的機遇和挑戰(zhàn)

綜上所述，信息安全風險評估是一個很好的渠道，從而優(yōu)化和完善我們的信息化建設。但是就目前的形式，相當一部分企事業(yè)單位都沒有很好的加以運用，即使有也是最初級的設備和操作方面的約束，基本沒有做到量化指標，更談不上風險評估了，只能亡羊補牢，不能防患于未然。我們需要做的還很多。

當然機遇和挑戰(zhàn)是并存的。首先，我們現在已經意識到了這個問題，這是很重要的；其次，現階段有可以借鑒的方式和方法，省去了摸索的艱難；再次，國家加大了政策導向和扶持，更增添了我們實施的信心和動力。

5 結束語

隨著我國信息技術的快速發(fā)展和信息技術被越來越廣泛的使用，信息安全風險評估工作和方法也經歷了巨大的變革，從剛開始的手動評估風險到后來的工具輔助風險評估，以及定性與定量的風險評估等更加準確有效的風險評估手段。在信息系統(tǒng)安全領域，利用合理的措施進行信息安全風險評估工作是不可缺少的一環(huán)，其重要性是不言而喻的。我國目前的信息安全評估工作與世界前沿相比還有一定的差距，因此，相關的專家和工作人員也共同努力，深入研究，向先進的技術學習，為我國信息技術的安全工作做出更大的貢獻。

[1] 吳亞非，李新友，祿凱.信息安全風險評估[M].北京：清華大學出版，2007.