高校信息安全的風險評估問題研究

劉志龍 張淋江

（河南牧業經濟學院 數字化管理中心，河南 鄭州450011）

高校信息安全是高校各項工作正常開展的重要保障，隨著高校各項工作的開展對信息系統的依賴性越來越強，高校面臨的各種信息安全威脅也越來越大。然而高校的風險防范意識比較淡薄，信息安全的防御措施及能力與其他行業相比，較為薄弱，導致高校的網絡設備受到攻擊，使校園網網速過慢甚至癱瘓。SQL注入導致高校的財務系統、招生就業系統、教學管理系統、辦公系統等關鍵系統中的信息泄露甚至被修改，高校主網站被掛馬影響高校形象等一系列威脅高校安定的信息安全問題不斷出現，給高校的信息資產造成不可挽回的巨大損失[1-2]。因此，在高校信息化建設飛速發展的階段，信息系統已經涉及高校的方方面面，加強風險防范意識，構建高校信息安全風險評估體系指導信息安全管理已刻不容緩。

1 信息安全風險評估的含義、方法及模型

1.1 信息安全風險評估的含義

信息安全風險評估是從風險管理角度出發，構建風險評估模型，建立風險評估體系，運用風險評估方法，系統地分析信息系統所面臨的風險威脅及系統的脆弱性/漏洞，評估風險發生帶來的危害程度，提出應對風險的安全控制措施，規避和控制信息安全風險，降低風險發生的概率，將風險控制在可承受的范圍，為信息安全風險評估提供科學依據。

1.2 信息安全風險評估的方法

隨著信息安全風險評估研究工作的不斷深入，形成了多種不同的信息安全風險評估方法，這些方法的出現大大縮短了信息安全風險評估的時間，節省了大量的資源，提高了信息安全風險評估的效率和準確性，為防范信息安全中出現的風險提供了理論依據[3]。

目前，常用的信息安全風險評估的方法有定量評估方法、定性評估方法和定性與定量相結合的綜合評估方法。其中，定量評估方法是根據信息系統中風險相關數據，利用具體的評估算法計算出評估結果，并對結果進行分析，它能夠直觀地反應評估結果，更容易被人們接受。但是該方法主要依賴于數學模型來描述風險，在量化的過程中將原本復雜的事物理想化，一般適用于風險評估材料齊全且數學理論基礎較好的情況，常見的定量評估方法有Markov分析法、聚類分析方法、決策樹分析方法、風險審計技術等。定性評估方法是評估者利用自己擁有的專業知識和積累的經驗對信息系統存在的風險進行識別和評價，并提出應對風險的安全控制措施。它對評估者知識和經驗的要求較高，一般適用于風險評估數據不全或者數學理論基礎較為薄弱的情況，常見的定性評估方法有故障樹分析法（FTA）、故障模式影響及危害性分析方法（RMECA）、德爾菲法（Delphi）等。在風險評估的實際過程中，采用較多的是定性與定量相結合的綜合風險評估方法，該方法可以將復雜問題按照層次化結構分解成多個簡單的問題進行分析，大大節省了評估時間、人力和費用，提高了風險評估的準確性和效率，常見的定性與定量相結合的綜合評估方法有層次分析法。

1.3 信息安全風險評估的模型[4]

信息安全風險評估模型是信息安全風險評估的理論基礎，是提高信息安全風險評估準確性和效率的重要前提。信息安全風險評估模型如圖1所示，造成信息安全風險的主要因素有威脅、信息資產、信息系統的脆弱性及漏洞和未被控制的殘余風險，信息系統的威脅越大、脆弱性越暴露、漏洞越多、信息資產的價值越大、未被控制的風險越多，則信息系統面臨的風險也越多，風險越多，信息系統的安全性越低。業務系統主要依賴于服務器和軟件等信息資產，業務系統越關鍵，對服務器等硬件和軟件資源的要求就越高，被攻擊的價值也就越大，面臨的風險也就越大。資產的價值和防范風險的意識會導出信息系統的安全需求。當信息系統的安全需求被相應的安全控制措施滿足時，就會降低發生風險的概率。然而有些風險由于成本過高、控制難度較大，往往不進行控制，這部分不被控制的風險具有潛在的威脅，應該受到密切監視，它可能會增加信息系統的風險。

圖1 信息安全的風險評估模型

2 高校信息安全面臨的風險及應對策略分析

隨著高校數字化校園建設和信息化建設的不斷推進，高校業務處理對信息系統的依賴性越來越強。由于部分高校缺乏危機意識、防范風險的制度和措施，沒有一套完善的信息系統風險評估體系預防風險，當遇到信息安全的突發事件時，只能被動地采用“救火式”的方法處理風險危機，使得信息系統面臨的風險不斷增加。為了及時應對信息系統面臨的各種風險威脅，各個部門、各個環節應密切配合、協調，對高校信息安全面臨的各種風險及應對策略應進行調研分析，建立信息安全的風險評估體系，實現風險評估的規范化和制度化，逐步形成監控風險和控制風險的有效機制[5]。

2.1 高校信息安全面臨的風險分析

高校信息安全面臨的風險一般可以分為技術脆弱性/漏洞風險和非技術性風險[6]。

2.1.1 技術脆弱性/漏洞風險

高校信息系統面臨的技術性/漏洞風險主要包括數據存儲風險、系統權限設置風險、軟件編碼風險、硬件設備風險和網絡安全風險等。其中數據存儲風險主要體現在數據存儲空間不足、數據備份策略不健全、數據庫安全性低容易導致SQL注入篡改數據庫中的數據、數據不被加密在傳輸過程中容易被篡改或刪除、數據庫結構不合理等方面；系統設置權限風險主要體現在訪問控制策略失效、系統訪問權限過大、客戶身份認證失敗等；軟件編碼風險主要體現在操作失誤、系統漏洞、系統接口不安全、代碼健壯性差、系統運行環境改變等；硬件設備風險主要體現在服務器配置過低、物理設備損壞、網絡帶寬不足、網絡硬件防護設備不齊全等；網絡安全風險主要體現在網絡惡意攻擊使網絡癱瘓、服務劫持、拒絕服務、利用端口漏洞破壞系統、內外網設置缺陷、網站掛馬、非法訪問系統、竊取和篡改網絡傳輸數據等。

2.1.2 非技術性風險

高校信息系統面臨的非技術性風險主要包括人為疏忽行為、管理不到位、技術失效、蓄意行為和不可抗拒風險等。其中人為疏忽行為主要體現在由于人為過失或非法操作導致服務器硬件損壞，系統和數據無法恢復等；管理不到位主要體現在沒有安裝殺毒軟件、沒有做系統備份策略和系統安全防護策略等；技術失效主要體現在硬件壽命設計缺陷、軟件服務到期、軟件后門等；蓄意行為主要體現在惡意軟件、系統設備帶木馬程序、蓄意泄漏機密文件、黑客與信息敲詐等；不可抗拒風險主要體現為地震、雷擊等自然災害造成的風險。

2.2 高校信息安全面臨的風險應對策略分析

在對信息安全進行風險評估時，可以根據風險評估等級、風險發生概率大小、風險影響大小、控制風險的難易程度和風險管理的成本，給出處理與應對風險的相應策略，供高校決策部門和相關技術部門參考，來降低風險對信息系統的影響。高校應對信息安全面臨風險的應對策略主要有風險規避、風險轉嫁、風險預防、風險控制、風險承受和風險追蹤等。其中風險規避是高校在風險發生之前，采取相關技術措施消除風險因素，避免風險發生；風險轉嫁是高校不能完全避免風險發生時，為了降低風險造成的損失，將風險轉嫁給其他組織或個人承擔，并支付風險承擔者一定費用；風險預防是高校在風險發生之前密切監視風險的動態，采取相應風險防范措施，以降低風險發生的概率；風險控制是高校在風險發生時采取各種技術手段降低風險影響后果，縮小風險影響范圍等；風險承受是高校在綜合考慮控制風險難度、控制風險花費、風險發生概率和高校風險承受能力等情況下，選擇自行承擔風險的方式；風險追蹤是高校在發現風險時，對風險的來源及發起者進行跟蹤，查到根源后追究其相應責任，客觀上可以降低風險發生的頻率。

3 高校信息安全的風險評估過程[7]

高校信息安全風險評估過程包括風險評估目標確定、風險識別、風險評價、風險控制策略選擇和風險評估效果分析幾個環節，這些環節是相輔相成，缺一不可的。

3.1 風險評估目標確定

風險評估目標是高校開展信息安全風險評估的首要步驟。高校在對信息安全進行風險評估時，應當制定準確的風險評估目標。風險評估目標主要包括風險評價標準、風險因素標準、風險控制目標、風險控制費用標準、風險防范措施制定、風險評估效果評價、風險發生后果影響等。

3.2 風險識別

風險識別是高校信息安全風險評估過程中最重要也最難的環節。風險識別直接關系到風險評價結果及風險等級的確定，關系到風險控制策略的選擇，如果不能正確識別風險，就不能采取正確的風險控制策略去規避和控制風險，會大大增加風險發生的可能性。

3.3 風險評價

風險評價是高校信息安全風險評估過程中的主要環節。它主要包括對風險成因、發生概率、影響范圍、威脅程度、損失大小等因素進行定性和定量分析，通過特定的風險評估方法進行測算分析，確定風險的等級及危害程度。

3.4 風險控制策略選擇

高校在綜合考慮風險承受能力、風險控制費用、風險危害程度、風險發生概率和風險評估目標等因素的基礎上，根據風險評價結果，選取相應的風險控制策略，來降低風險發生的概率及帶來的危害。

3.5 風險評估效果分析

風險評估效果分析是高校結合自身的實際情況對風險評估等級的判斷是否準確、風險識別的準確性、風險評估目標是否達標、風險控制策略是否得當、風險評估過程的科學性、風險評估數據和算法的合理性進行綜合分析的過程。它對高校提高信息安全風險評估的準確性和科學性有一定的指導作用。

4 結語

高校信息安全風險評估是一個系統化工程。建立高校信息安全評估體系，加強風險防范意識，可以使高校有效預防和控制信息安全中出現的各種風險，降低風險發生的概率，減少風險帶來的損失，為高校的穩定發展提供重要保障。

［1］劉瑩，顧衛東.信息安全風險評估研究綜述［J］．青島大學學報：工程技術版，2008（6）：37-43

［2］徐輝.高校風險評估管理體系研究［J］.浙江工貿職業技術學院學報，2008（9）：59-64.

［3］李鶴田，劉云，等.信息系統安全風險評估研究綜述［J］.中國安全科學學報，2006（1）：108-113.

［4］衛成業.信息安全風險評估模型［J］.學術與技術，2002（4）10-15.

［5］陳健，吉久明，等.基于單威脅分析的高校綜合信息安全風險評估方法研究［J］.情報雜志2013（2）：169-173.

［6］丁倩，劉天楨.基于結構方程模型的兩類信息安全風險綜合評估［J］.武漢理工大學學報：信息與管理工程版，2014（12）：862-865.

［7］楊永清，孫媛媛.高校信息安全風險評估探索［J］.科技情報開發與經濟，2006（6）：100-102.