對我國信息安全風險評估流程的探討

孫偉成

（河海大學公共管理學院，江蘇南京，211100）

0 引言

從風險管理的角度分析，信息安全風險評估是指運用科學的手段以及方法，對網絡信息系統的脆弱性以及所面臨的威脅進行系統地調查分析，評估網絡信息安全事件發生可能帶來的危害，并提出有效合理的防護策略來抵御威脅的一種評估機制。科學、合理的風險評估流程是保證整個評估工作有效開展的重要保證。

1 風險評估準備工作

從整個評估流程來看，準備工作是一個組織從事風險評估的基礎性工作，是整個風險評估過程得以順利推進的保證。一般而言，機構自身的風險評估工作是一種基于對組織安全的戰略性考慮，其結果必須考慮到該機構的業務需求量、目標戰略、流程業務、信息安全要求、文化差異、組織規模結構等因素的影響，對于風險評估實施過程，不同機構可能存在不同的要求。但是，不論有何不同，組織機構在風險評估的準備階段都應該做好以下工作：

1.1 確定目標

目標是一切行動的指向。風險評估目標的確定，無疑會對整個評估的過程起到引導指向的作用。資產的嚴密性、可用性以及完整性對于維持組織競爭優勢，樹立組織形象具有重要的意義。因機構不得不面臨來自各個方面的威脅，所以需要提高整個組織的信息化程度，減少組織機構的脆弱性。機構風險評估目標的確立，不僅是為了滿足機構本身業務可持續發展的需要，同時也不得不滿足相應法律、法規以及部門規章對該方面的要求。

1.2 界定范圍

對某一機構進行風險評估，究其原因，不外乎是自身業務要求、完成戰略目標、實現戰略規劃，因此，其評估范圍的確立也必須圍繞著此等原因展開。網絡信息評估的范圍涉及到全部信息要素以及信息系統范圍，也包括單獨的獨立信息、機構重要的業務流程或者客戶的相關信息等。

1.3 建立系統性的評估性方法

選取風險評估方法的應綜合考慮網絡評估的目的、意義、時間、范圍、機構傳統以及人員素質的因素，評估方法的確立必須與組織環境以及組織安全需求相適應。

1.4 獲得高層管理者的支持

由于風險評估涉及整體規劃，各個單位的相同領域和不同成員以及不同領域成員都需要為各個方面的協調做好準備工作，必要充分的準備工作，是保證整個網絡進行風險安全評估的關鍵。而獲取高層管理者的支持又是所有評估準備工作的前提，沒有高層管理者的支持，也就無法保證整個評估過程能夠順利地進行下去。

2 資產識別

資產是在組織中有一定價值且需要保護的東西。它可以是有形的也可以是無形的，可以以硬件、軟件、代碼、服務等形式存在。通常認為，信息資產的完整性、可用性、機密性是構成資產安全特性的三個因素。不同的資產安全特性決定了信息價值的不同，因此存在的威脅、本身的弱點以及安全控制也就各不相同。為此，需要對組織中的信息資產進行識別，以便制定風險評估策略。

2.1 資產分類

資產識別是一個復雜的過程，需要對資產進行適當的分類，這樣才能更有效地開展下一步工作。分類方法應依據具體環境由評估主體靈活把握。資產的種類可分為數據、硬件、軟件、服務、文檔、設備、人員等。

2.2 資產賦值

對資產的安全價值進行評估首先要對資產進行賦值，賦值并不是以賬面價值去衡量資產價值。在資產賦值估價時，不僅應考慮資產本身的應有價值，還應該綜合考慮資產組織業務的重要性程度。為保證資產評估的準確性和一致性，評估機構應依據一定的原則，建立規范的評估標準，以準確地對資產進行賦值評估。

資產賦值的最終確定是根據資產的可用性、完整性以及機密性三個方面綜合評定，且一般采用由高到低定性相對等級方式，整個等級分為5 等，從5 到1，由高到低，分別代表五個級別的資產各自相對應價值，等級越高資產的重要性程度也就越高，等級越低，資產也就相對不重要。如表1 所示：

3 威脅識別

威脅是指可能對整個系統結構的安全性構成潛在危險的破壞性因素。從理論上來講，無論機構的信息系統如何安全，威脅都是客觀存在的，是進行風險評估不得不考慮的因素之一。

3.1 威脅分類

威脅的產生因素可以分為環境因素和人為因素兩種。環境因素又分為不可抗因素和其他物理性因素。威脅的作用形式不一，可以是對信息系統的直接攻擊，也可以是間接攻擊。如對非授權信息的破壞、泄露、篡改、刪除等，或者破壞信息的嚴密性、可塑性以及完整性等。

一般而言，威脅總是需要借助一定的平臺，如網絡、系統亦或是應用數據的弱點，才會對系統造成損害。針對威脅的產生因素，可以對威脅進行分類，如：軟件障礙、硬件故障、物理環境威脅、操作失誤、惡意病毒、黑客攻擊、泄密、管理不善等。

3.2 威脅賦值

在評估的過程中，同樣還需要對引發威脅的可能性賦值。如同資產賦值一般，威脅賦值也是采用定性的相對等級的方式。威脅的等級同樣分為五級，從5 到1 分別代表由高到低，五個級別引發威脅的可能性。等級數值越高，則表明引發威脅的可能性越大，反之，則越小。如表2 所示：

4 脆弱性識別

脆弱性評估（又稱弱點評估），是風險評估環節中很重要的內容。任何資產本身都不可避免的存有弱點，這些微小的弱點卻很容易被威脅利用，進而對資產和商業目標造成損害。資產的弱點不僅包括人員構成、組織機構、組織過程、管理技術等，還包括組織軟件、硬件、信息以及物理環境資產的脆弱性。

資產脆弱性評估工作主要是從管理和技術兩個方面進行的，是涉及到整個管理層、系統層、網絡層、應用層等各個層面的安全問題。技術脆弱性主要包括系統性安全、網絡化完全、物理性安全、應用性安全等層面。而管理脆弱性主要是指進行安全管理。

在很大程度上，資產脆弱性與機構所采取的安全控制措施有關，因此，在判定威脅發生的可能性時應該特別注意已有安全控制會對脆弱性產生的影響。

5 總結

在筆者看來，信息安全風險評估流程的設計需要綜合考慮評估前的準備，資產識別、威脅識別、以及脆弱性識別等各個因素，通過綜合分析與評估，制定科學合理的信息安全風險評估流程，這是保證整個信息安全風險評估工作順利進行的關鍵環節，不可忽略。

[1] 范紅,馮登國,吳亞非.信息安全風險評估方法與應用[M].北京:清華大學出版社,2006:1.

[2]項文新.檔案信息安全風險評估流程[J].檔案學研究,2012,(1).

[3]張澤虹.基于評估流程的信息安全風險的綜合評估[J].計算機工程與應用,2008,44(10).

[4]劉佳,徐賜文.信息安全風險評估方法的比較分析[J].中央民族大學學報：自然科學版,2012,21(2).

[5]李娟,梁軍,李永杰等.信息安全風險評估研究[J].計算機與數字工程,2006,34(11).

[6]許誠,張玉清,雷震甲等.企業信息安全風險的自評估及其流程設計[J].計算機應用研究,2005,22(7).