安全風險評估模型及方法研究

吳 丹

遼寧公安司法管理干部學院

安全風險評估模型及方法研究

吳 丹

遼寧公安司法管理干部學院

推動經濟發展的重要力量是信息技術，只有信息技術快速發展，才能幫助企業快速發展，支撐企業的業務拓展和創新。信息系統安全管理是一項復雜的系統工程管理，在這套系統中安全風險評估具有核心的地位，信息系統安全風險評估是整個信息系統安全的基礎和前提，本文主要研究現階段信息安全風險評估的方法，基于層次結構的信息安全風險評估方法，分析安全風險評估模型的問題，總結和展望安全風險評估模型的未來。

安全風險；評估模型；方法

一、安全風險評估模型的現狀及問題

（一）安全風險評估模式的現狀。解決信息安全問題的有效方法就是信息安全風險評估，一個有效的風險評估能夠明確信息系統的安全現狀，現階段一些實力比較強的專業信息安全公司都開展了安全風險評估服務，政府等相關部門也通過安全風險評估發現了很多潛在的安全風險，社會各界逐漸認識到信息安全風險評估的重要性，大力推廣和開展信息安全風險評估活動是保障信息安全必要的措施，現階段安全風險評估模式工作人員風險管理意識淡薄，很多企業在發放資金的時候未嚴格執行信貸發放操作程序，在發放的過程中沒有按照嚴格的標準進行操作，發放把關不嚴。安全風險評估模型是自上而下，先取得上級意向，再向下逐級辦理，這種安全風險評估模式與商業銀行自下而上實行貸款營銷的逆程序操作一樣，這種風險評估模式使相當一部分信貸管理人員淡薄了風險意識，有的工作人員甚至會出現第一手調查材料就存在虛假、謊報、瞞報等不真實反映的瑕疵行為。

（二）安全風險評估模型需要解決的問題。安全風險評估模型需要解決以下幾個問題：第一、安全風險評估模式需要明確需要評估的對象和評估的內容，將要評估的事物的特點分析清楚，確定信息安全風險評估的主要內容和要解決的問題。第二、要清楚如何解決評估問題，在安全風險評估之前要明確對象的指標體系，最好能夠建設一個合適的評價方案，通過一定的數據來分析，評估和度量對象的基本要素。第三、在安全風險評估的過程中要解決各個要素之間的關系以及各個要素之間會出現的問題，從不同的層面和不同的角度來探討評估的結果，將評估的結果用專業的技術來分析統計出來。第四、在安全風險評估的過程中，模型僅僅是依據，要想解決模型本身與評估方法結合、評估流程的問題，需要貫徹到整個評估的過程中，掌握整個操作流程的主動權。從組織形式角度規定了專家知識的壟斷地位和從對象角度規定了適合于專家知識發揮作用的范圍中可以看到，其實從組織形式角度排除了其他知識進入安全風險評估過程的可能性。因為所謂的安全風險評估專家委員會是由食品、農業、營養、醫學等方面的專家組成，其中沒有社會團體代表或者公眾代表。

二、安全風險評估模式的方法研究

（一）安全風險評估模式構建的原則。安全風險評估模式構建的時候有五大原則：第一、自主原則。企業自身是評估的主題，建立評估模型的時候要站在企業的角度來構建，只有建設的模型適合企業，企業才能自主實施安全風險評估，才有助于企業理解和操作，幫助企業完成自評估。第二、簡單原則。風險評估工作是是一個對專業要求很高的工作，風險評估模型雖然很簡潔，但是在很多地方都有專業化的一面，簡潔的流程是為了幫助工作人員的理解，幫助工作人員掌握基礎的操作流程。第三、規范性原則。風險評估模式的基本思路都與相關的國內外標準一致，各個主要要素之間的關系也要和相關的規范一致。第四、可行性原則。可行性原則有兩方面的要求，一方面是指評估的指標、內容的可度量性，在對相關要素進行評估的時候，評估的指標和內容可以量化，這些要素可以采用定量的方式來評估，有些評估的內容很難量化，就采用定性的方法來評估。另外一方面是評估中運用到的技術手段和方法都具有可操作性，評估的內容和指標都可以通過技術測試和顧問分析等方法獲得。第五、可擴展性原則。每個企業都有自己的文化，每個企業的發展模式和發展背景都不相同，安全風險評估模式不能一成不變，只有模型能夠適應不同的企業，無論企業規模大小都有相應的模型對應，模型具有一定的靈活性和可擴展性，才能滿足不同企業的需求。

（二）安全風險評估模型的構建思路。安全風險評估的三個基本要素是脆弱性、威脅、資產，如果想要構建一個安全風險評估模型，需要對資產、威脅、脆弱性這三個要素進行分析和識別。安全風險評估是按預定的目的確定研究對象的內容，并將這種研究對象的內容變為客觀定量的計算值，或者是主觀效用的行為，多指多內容和指標對象的綜合評價。根據傳統評價模式來看，安全風險評估模式有很多弊端，主要有指標體系不規范、不全面、主觀成分較重，從安全風險評估模式的本質上看，安全風險評估模式是以半定量、半定性或定性分析作為主要分析方式。現代的風險評價模式是一中新興的評價模式，這種新興的評價模式體現了評價發展的方向。這種模式相對比較規范、全面，這種指標可以通過計算機軟件進行編程，將評估的內容和標準量化，這樣有助于工作人員進行分析和評價，更有助于得出安全風險評價的準確結果。也可以采用風險評估參與的方法來進行安全風險評估，所謂評估參與是指，風險評估協調委員會中公眾小組、專家小組、企業界代表小組運用自身的知識，參與到風險評估的整個過程中。參與風險評估之所以將評估參與作為一個新的結構貫穿于其安全風險評估中，一個很重要的原因就是整合食品安全風險評估中的專家知識和公眾知識，利用專家知識和公眾知識增加評估結論的科學性和準確性，與此同時，這也是食品安全風險具有社會建構性的邏輯要求。

三、總結

總而言之，安全風險評估相關模型是風險管理的基礎，本文主要通過系統分析和總結已有的模型，安全風險評估模型的現狀，提出了合理的分類方法，建立了風險評估模型體系。解決了現有風險評估研究中模型混雜的問題，為風險評估的研究提供了重要的知識框架。在此框架下各界人士仍需對各種模型的合理性和適應性進行更深入研究和驗證，從而使風險管理工作能夠更加有效地開展。

[1]戚湧,王艷,李千目等.基于情景感知的網絡安全風險評估模型與方法[J].計算機工程,2013,39(4):158-164.

[2]成科,宋海聲,安占福等.基于GA參數優化的t-SVR網絡安全風險評估方法[J].計算機工程與應用,2014,(12):91-95.

[3]陳建莉.基于未確知數學的網絡安全風險評估模型[J].空軍工程大學學報（自然科學版）,2014,15(2):91-94.