中小企業(yè)信息安全風(fēng)險(xiǎn)評估

韓富超

（廣州賽寶認(rèn)證中心服務(wù)有限公司，廣州 510000）

信息安全風(fēng)險(xiǎn)評估是以風(fēng)險(xiǎn)管理為基礎(chǔ)，通過科學(xué)的方法和手段，對企業(yè)信息系統(tǒng)所面臨的威脅與存在的脆弱性進(jìn)行全面分析，以安全事故對企業(yè)生產(chǎn)經(jīng)營有可能帶來的危害展開評估，進(jìn)而制定出有效的防御及整改措施［1］。信息安全風(fēng)險(xiǎn)評估在企業(yè)信息安全保障體系中占據(jù)著十分重要的地位，其不但是重要的評價(jià)方法，同時(shí)也是利于企業(yè)決策的有效機(jī)制。如果缺乏準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評估，便不能準(zhǔn)確的判斷出企業(yè)所存在的信息安全問題，因此加強(qiáng)企業(yè)信息安全風(fēng)險(xiǎn)評估，對每一個中小企業(yè)來說，都意義重大。

1 中小企業(yè)信息安全評估方法

為了進(jìn)一步評估信息系統(tǒng)的安全風(fēng)險(xiǎn)，多種風(fēng)險(xiǎn)評估方法被開發(fā)出來并在企業(yè)中得以運(yùn)用。定性評估法，定量評估法以及半定量評估法是目前較為常用的幾種方法。風(fēng)險(xiǎn)評估中的定量評估方法，主要是結(jié)合企業(yè)特點(diǎn)，根據(jù)評估內(nèi)容和評估流程，從眾多的信息系統(tǒng)、人員和設(shè)備中，利用分類分別計(jì)算比例的方法，對評估對象合理選定，并進(jìn)行數(shù)量采樣［2］。并在此基礎(chǔ)上，分析企業(yè)信息系統(tǒng)中資產(chǎn)價(jià)值、威脅性以及脆弱性三者之間存在的函數(shù)關(guān)系，從而根據(jù)企業(yè)實(shí)際情況選取恰當(dāng)?shù)娘L(fēng)險(xiǎn)計(jì)算方法，合理計(jì)算出企業(yè)信息安全風(fēng)險(xiǎn)評估數(shù)值。本文認(rèn)為定量方法對當(dāng)前的中小企業(yè)來說更具實(shí)用價(jià)值，主要可從風(fēng)險(xiǎn)計(jì)算方法、威脅可能性量化賦值方法著手。

1.1 風(fēng)險(xiǎn)計(jì)算方法

后果（Consequence）及可能性（Likelihood）是風(fēng)險(xiǎn)具有的兩個基本屬性。風(fēng)險(xiǎn)對信息系統(tǒng)的影響，說到底也是這兩個因素所造成的。資產(chǎn)的不同自然也使其面臨的主要威脅存在差異。而隨著威脅可以利用的、資產(chǎn)存在的弱點(diǎn)數(shù)量的增加會增加風(fēng)險(xiǎn)的可能性，隨著弱點(diǎn)嚴(yán)重級別的提高會增加一該資產(chǎn)面臨風(fēng)險(xiǎn)的后果。通常來說，某項(xiàng)資產(chǎn)風(fēng)險(xiǎn)的可能性為資產(chǎn)脆弱性與存在威脅的可能性的函數(shù)，同時(shí)風(fēng)險(xiǎn)后果則為資產(chǎn)價(jià)值（影響）的函數(shù)。本論文采用如下算式來得到資產(chǎn)的風(fēng)險(xiǎn)賦值：

上述公式主要考慮到各參數(shù)采取的取值并不十分精確，因而加入了以往的經(jīng)驗(yàn)和判斷，在國際中對此類數(shù)據(jù)則通常采用數(shù)學(xué)乘法或矩陣等方法。而采用線性相乘，則主要是為了方便進(jìn)行計(jì)算。企業(yè)實(shí)施風(fēng)險(xiǎn)分析可以從風(fēng)險(xiǎn)信息和數(shù)據(jù)，進(jìn)行不同程度的改進(jìn)。并根據(jù)計(jì)算出的風(fēng)險(xiǎn)值的數(shù)值范圍，確定相應(yīng)的風(fēng)險(xiǎn)等級。風(fēng)險(xiǎn)數(shù)值與風(fēng)險(xiǎn)等級對應(yīng)的關(guān)系見表1。

表1 風(fēng)險(xiǎn)等級的含義

1.2 脆弱性量化賦值方法

脆弱性和威脅所存在的對應(yīng)關(guān)系，應(yīng)在評估時(shí)充分考慮到，要知道相對應(yīng)的脆弱性是威脅起作用的基本因素，因此脆弱性與威脅基本上是通過一一對應(yīng)的形式呈現(xiàn)出來的。對脆弱性大小的評定需要結(jié)合評估采集的調(diào)研結(jié)果、安全漏洞掃描結(jié)果以及人工安全檢查結(jié)果。參照國際通行做法和專家經(jīng)驗(yàn)，將資產(chǎn)存在的脆弱性分為 5 個等級，分別是很高（VH）、高（H）、中（M）、低（L）、可忽略（N），并且從高到低分別賦值5-1，具體參照表2。

威脅可能性屬性非常難以度量.它依賴于具體的資產(chǎn)、弱點(diǎn)。并且這兩個屬性都和時(shí)間有關(guān)系。在威脅評估過程中，評估者的專家經(jīng)驗(yàn)非常重要。

2 結(jié)語

目前，信息系統(tǒng)已經(jīng)被廣泛運(yùn)用到中小企業(yè)的日常管理工作中，對其的重視程度也越來越高。對中小企業(yè)來說，定期進(jìn)行信息安全風(fēng)險(xiǎn)評估是信息安全工作得以順利實(shí)施的有效保障，通過有效的信息安全風(fēng)險(xiǎn)評估方法則是科學(xué)合理地開展信息安全風(fēng)險(xiǎn)評估的前提條件。因此，新形勢下中小企業(yè)的信息安全風(fēng)險(xiǎn)評估工作必須要做到與時(shí)俱進(jìn)，不斷創(chuàng)新，從而以適應(yīng)快速發(fā)展的社會需求。

表2 脆弱性評估賦值參考表

［1］劉江.企業(yè)信息安全管理及風(fēng)險(xiǎn)評估體系研究［D］.上海：復(fù)旦大學(xué)，2012.

［2］何璐璐.企業(yè)信息安全風(fēng)險(xiǎn)評估實(shí)施方法研究［D］.北京：北京郵電大學(xué)，2010.