信息系統安全風險評估方法和技術觀察

李雪峰

摘要：本文介紹了信息系統安全評估的基本工作流程，分析了信息系統安全評估的基本方法。雖然當前我國信息系統安全風險評估工作上前沒有一個較為成熟的發展趨勢，但是隨著人們對信息系統依賴性的不斷增加，對信息安全越來越重視，也會越發的關注信息系統的安全風險評估工作。

關鍵詞：信息系統;安全風險;風險評估;評估方法;技術觀察

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2020）03-0195-01

1 信息系統安全評估的工作流程

1.1 資產識別

信息系統安全評估中的資產主要是包括相關重要信息系統的主體組織中，有價值的一系列信息資源，資產是當前相關工作人員提高信息安全評估工作效率的保護對象。資產主要是由文檔，硬件軟件數據服務以及人員等共同組成，在進行相關工作人員的信息系統安全評估工作中，需要對所評估的信息系統主體中不同的資產進行不同的等級劃分，根據相關資料的完整性，可用性以及機密性作為有效的等級去進行判斷。

1.2 脆弱性識別

脆弱性在信息系統安全風險評估工作當中，主要是指相關信息系統中一個或多個資產的弱點的總稱。相關工作人員需要能夠將所評估的信息系統主體資產作為工作核心，盡可能的在評估當中對每一個資產的弱點進行有效的分別標注，最后運用有效的信息技術將不同資產的弱點進行總體評估。

1.3 威脅識別

威脅是指可能導致危害系統或組織的不希望事故的潛在起因。威脅是一個客觀存在，正因為存在威脅，組織和信息系統才會存在風險。威脅識別是盡可能的通過評估信息系統當中發現的有效問題，直接排查出威脅的接觸過程。相關工作人員在開展具體的信息系統安全風險評估的威脅識別工作當中，需要盡可能的建立健全風險分析所需要的威脅場景，并且進行有關直接威脅或者間接威脅的有效識別。

1.4 風險分析

相關工作人員在對信息系統進行資產識別脆弱識別以及威脅識別之后，還需要對相關的信息系統進行風險評估階段，在這個階段當中，相關工作人員需要盡可能的對信息系統進行有關風險的分析以及計算工作，為后面的信息系統安全提供有效的相關信息。

2 信息系統中的風險評估方法

2.1 信息系統定量分析法

在信息系統風險分析過程當中，信息系統定量分析法主要是將信息系統中的資產價值以及風險進行一定標準的等量化財務價值評價。在信息系統的定量分析法當中，首先需要保證其自身可以進行量化，在一定程度上保證信息系統中的相關威脅，對于資產內造成的不同程度的損失，可以通過財務等情況進行相關的數據衡量，這種直觀的衡量方式，在一定程度上可以保證信息系統的主體結構管理層可以更好的接收，并且辨別信息系統的風險分析。

2.2 基于知識的信息系統風險分析方法

在實際操作當中，基于知識的信息系統風險分析方法主要依靠的是相關風險評估的工作人員的自身的工作經驗，通過對一系列信息系統資料的有效收集與分析，采用自身知識儲備以及相關的風險評估標準進行有效的對比分析，在一定時間內找出信息系統當中存在可能會發生安全威脅的地方，通過相關的標準以及有效方法找出有效的解決措施，盡可能地保證信息系統減少風險的可能[1]。

2.3 基于技術的信息系統風險分析方法

信息系統安全風險評估相關工作人員在開展基于技術的信息系統風險分析方法的具體操作過程當中，通常情況下主要依賴的風險評估依據是自身的技術能力，通過對于相關信息系統中程序系統以及基礎結構的全面排查，盡可能的用相應的信息系統內部脆弱性以及安全性的完整估計，有效的找出信息系統中可能會發現的一系列風險隱患。通常情況下，基于技術的信息系統風險分析方法主要采取的分析方法技術研究十分多，但是在實際管理過程當中存在一系列的不足之處，往往過于依賴工作人員的工作經驗，進一步導致信息系統安全風險評估在管理工作當中出現漏洞[2]。

2.4 綜合的信息系統風險分析方法

通常情況下，基于知識的信息系統風險分析方法過于主觀，分析風險有著很好的準確性，相對來說工作的計算量很小，操作簡單可以充分的運用相關工作人員的專業知識，但是在實際過程當中十分容易受到工作人員的主觀影響，導致分析經準度不夠，并且要求相關工作人員必須要有著一定工作經驗以及很高的工作能力水平，在實際操作過程當中，對于信息系統的評估對象通常只能用到一些小系統，并且信息系統安全風險評估的結果很難進行統一。

最常見的信息系統安全風險評估綜合評估方法是層次分析法，主要的分析思想是盡可能的將要分析的安全風險的性質和想要達到的總體目標進行有效的總結，盡可能的將問題分解成不同的組成要素，按照要素之間的內在關系和所屬關系，按照不同的層次進行排列組合，將各個因素排列成一個有層次的結構模型，盡可能地將系統分析中的實際內容按照相關的重要性權重來進行有效的排序[3]。

層次分析法的分析核心是盡可能地將風險評估人員的工作經驗以及專業知識水平進行量化，盡可能的為決策者提供定量的決策依據。首先需要將系統進行分解，搭建有層次的內在結構模型。風險評估人員需要將信息系統安全風險的對象進行有效的系統分解，主要的分解層次，包括方案層，準則層以及目標層。準則層是可以有很多個層次組成，主要包括的內容，是在分解過程當中考慮的準則以其子準則等[4]。目的層則是基于信息系統自身所獨有的基本特性而建立起的系統的安全風險評估指標體系。

3 結語

隨著我們國家社會與經濟的不斷前進發展，信息技術也得到了廣泛的應用，為了保障信息系統的安全，信息系統風險評估行業的發展是當前信息安全領域的主要發展趨勢之一。在一定程度上，對信息系統風險評估方法以及評估技術進行有效研究，可以更好的為我國信息安全保障體系的建設發展打下扎實的基礎，相信在不久的將來，信息系統安全風險評估一定會在我國信息安全服務領域占據一個重要地位。

參考文獻

[1] 李鶴田，劉云，何德全.信息系統安全風險評估研究綜述疆[J].中國安全科學學報，2006（1）：108-113+0-1.

[2] 張利，彭建芬，杜宇鴿，等.信息安全風險評估的綜合評估方法綜述[J].清華大學學報（自然科學版），2012（10）：1364-1369.

[3] 唐作其，陳選文，戴海濤，等.多屬性群決策理論信息安全風險評估方法研究[J].計算機工程與應用，2011（15）：104-107+144.

[4] 楊曉明，羅衡峰，范成瑜，等.信息系統安全風險評估技術分析[J].計算機應用，2008（08）：1920-1923.

Abstract：This article introduces the basic workflow of information system security assessment and analyzes the basic methods of information system security assessment. Although there is currently no more mature development trend in China's information system security risk assessment， as people's dependence on information systems continues to increase， they pay more and more attention to information security， and they will pay more attention to information system security risks. Evaluation work.

Key words：information system; security risk; risk assessment; assessment method; technical observation