淺談網絡信息安全風險評估問題

秦劍峰　陳持學　周菊榮

【摘要】我國的信息化進程時間比較短，在網絡信息技術高速發展的過程中，其安全問題也不斷地暴露出來。信息安全風險評估是建立信息安全體系的基礎，是信息系統安全工程的一個關鍵組成部分。本文探討了目前網絡信息安全風險評估工作中急需解決的問題。

【關鍵詞】信息安全：風險評估：脆弱性：威脅

【中圖分類號】TP309 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0047-01

1 引言

隨著信息技術的飛速發展，關系國計民生的關鍵信息資源的規模越來越大，信息系統的復雜程度越來越高，保障信息資源、信息系統的安全是國民經濟發展和信息化建設的需要。信息安全的目標主要體現在機密性、完整性、可用性等方面。風險評估是安全建設的出發點，它的重要意義在于改變傳統的以技術驅動為導向的安全體系結構設計及詳細安全方案的制定，以成本一效益平衡的原則，通過評估信息系統面臨的威脅以及脆弱性被威脅源利用后安全事件發生的可能性，并結合資產的重要程度來識別信息系統的安全風險。信息安全風險評估就是從風險管理角度，運用科學的分析方法和手段，系統地分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，以防范和化解風險，或者將殘余風險控制在可接受的水平，從而最大限度地保障網絡與信息安全。

2 網絡信息安全的內容和主要因素分析

“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全，而從廣義的角度考慮，還包括整個網絡系統的硬件、軟件、數據以及數據處理、存儲、傳輸等使用過程的安全。

網絡信息安全具有如下5個特征：（1）保密性。即信息不泄露給非授權的個人或實體。（2）完整性。即信息未經授權不能被修改、破壞。（3）可用性。即能保證合法的用戶正常訪問相關的信息。（4）可控性。即信息的內容及傳播過程能夠被有效地合法控制。（5）可審查性。即信息的使用過程都有相關的記錄可供事后查詢核對。網絡信息安全的研究內容非常廣泛，根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。

而通過有效的網絡信息安全風險因素分析，就能夠為此復雜問題的解決找到一個考慮問題的立足點，能夠將復雜的問題量化，同時，也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎。

網絡信息安全的風險因素主要有以下6大類：（1）自然界因素，如地震、火災、風災、水災、雷電等；（2）社會因素，主要是人類社會的各種活動，如暴力、戰爭、盜竊等；（3）網絡硬件的因素，如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響；（4）軟件的因素，包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等；（5）人為的因素，主要包括網絡信息使用者和參與者的各種行為帶來的影響因素，如操作失誤、數據泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等；（6）其他因素，包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內容的宣傳因素等。這些因素對于網絡信息安全均會產生直接或者間接的影響。

3 安全風險評估方法

3.1定制個性化的評估方法

雖然已經有許多標準評估方法和流程，但在實踐過程中，不應只是這些方法的套用和拷貝，而是以他們作為參考，根據企業的特點及安全風險評估的能力，進行“基因”重組，定制個性化的評估方法，使得評估服務具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網絡結構評估、脆弱性掃描、策略評估、應用風險評估等。

3.2安全整體框架的設計

風險評估的目的，不僅在于明確風險，更重要的是為管理風險提供基礎和依據。作為評估直接輸出，用于進行風險管理的安全整體框架。但是由于不同企業環境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應用較少。但是，企業至少應該完成近期1～2年內框架，這樣才能做到有律可依。

3.3多用戶決策評估

不同層面的用戶能看到不同的問題，要全面了解風險，必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程，對于了解風險、理解風險、管理風險、落實行動，具有極大的意義。事實證明，多用戶參與的效果非常明顯。多用戶“決策”評估，也需要一個具體的流程和方法。

3.4敏感性分析

由于企業的系統越發復雜且互相關聯，使得風險越來越隱蔽。要提高評估效果，必須進行深入關聯分析，比如對一個老漏洞，不是簡單地分析它的影響和解決措施，而是要推斷出可能相關的其他技術和管理漏洞，找出病“根”，開出有效的“處方”。這需要強大的評估經驗知識庫支撐，同時要求評估者具有敏銳的分析能力。

3.5集中化決策管理

安全風險評估需要具有多種知識和能力的人參與，對這些能力和知識的管理，有助于提高評估的效果。集中化決策管理，是評估項目成功的保障條件之一，它不僅是項目管理問題，而且是知識、能力等“基因”的組合運用。必須選用具有特殊技能的人，去執行相應的關鍵任務。如控制臺審計和滲透性測試，由不具備攻防經驗和知識的人執行，就達不到任何效果。

4 風險評估的過程

4.1前期準備階段

主要任務是明確評估目標，確定評估所涉及的業務范圍，簽署相關合同及協議，接收被評估對象已存在的相關資料。展開對被評估對象的調查研究工作。

4.2中期現場階段

編寫測評方案，準備現場測試表、管理問卷，展開現場階段的測試和調查研究階段。

4.3后期評估階段

撰寫系統測試報告。進行補充調查研究，評估組依據系統測試報告和補充調研結果形成最終的系統風險評估報告。

5風險評估的錯誤理解

（1）不能把最終的系統風險評估報告認為是結果唯一。

（2）不能認為風險評估可以發現所有的安全問題。

（3）不能認為風險評估可以一勞永逸的解決安全問題。

（4）不能認為風險評估就是漏洞掃描。

（5）不能認為風險評估就是 IT部門的工作，與其它部門無關。

（6）不能認為風險評估是對所有信息資產都進行評估。

6結束語

總之，風險評估可以明確信息系統的安全狀況和主要安全風險。風險評估是信息系統安全技術體系與管理體系建設的基礎。通過風險評估及早發現安全隱患并采取相應的加固方案是信息系統安全工程的重要組成部分，是建立信息系統安全體系的基礎和前提。加強信息安全風險評估工作是當前信息安全工作的客觀需要和緊迫需求，但是，信息安全評估工作的實施也存在一定的難題，涉及信息安全評估的行業或系統各不相同，并不是所有的評估方法都適用于任何一個行業，要選擇合適的評估方法，或開發適合于某一特定行業或系統的特定評估方法，是當前很現實的問題，也會成為下一步研究的重點。

參考文獻

[1]王毅剛，吳昌倫.信息安全風險評估的策劃[J].信息技術與標準化，2004，（09）

[2]賈穎禾.信息安全風險評估[J].中國計算機用戶，2004，（24）