信息系統管理中信息安全風險評估探析

崔佳 劉平

摘 要：信息安全風險評估作為信息系統管理工作中的一項重要內容，能夠及時找出存在的信息安全隱患，并采取針對性的應對措施，降低風險的發生概率，對保證信息系統的安全性及穩定性，充分發揮各項信息的利用價值具有重要意義。文章從信息系統管理中信息安全風險評估概念出發，結合影響信息安全風險的具體因素，對信息安全風險評估措施進行了討論分析，對信息化建設及長遠發展具有指導和借鑒作用。

關鍵詞：信息系統管理；信息安全；風險評估；誘發因素；具體措施

網絡的迅速發展和普及，推動社會進入了信息化、數字化時代，各項信息在日常生活及生產活動中所發揮的作用越來越重要，已經成為推動社會發展與進步的必要資源。但是，在網絡技術發展和應用過程中，網絡環境也變得越來越復雜，病毒木馬、惡意攻擊等現象屢見不鮮，對信息系統安全造成了嚴重威脅，再加上信息系統自身缺陷以及設備障礙等問題，都使得信息安全面臨著較大風險，難以保證信息資源價值的充分發揮。如何提高信息系統的安全性能，確保信息安全，已經引起了業內人士的廣泛關注和重視。

1 信息系統管理中信息安全風險評估概念

信息安全風險評估是指，以信息系統管理為契機，以確保信息安全為基本原則，采用科學的方法和技術，對計算機網絡運行狀態和信息系統的工作性能進行研究、分析，找出網絡和信息系統所面臨的威脅及存在的脆弱性，預測可能會出現的安全事件及其造成的影響，并采取針對性的措施加以解決和防護。

2 信息系統管理中信息安全風險評估內容

在對信息安全風險進行評估之前，需要明確信息安全風險評估內容，信息資產、信息威脅、信息脆弱性以及現有安全措施，都是信息安全風險評估時需要考慮的因素。

2.1 信息資產評估

在對信息資產進行評估之前，需要先對信息資產進行識別，硬件資產、軟件資產以及數據資產都是信息系統中所包含的資產類型，這些都是信息資產識別時需要考慮的因素，需要列出詳細清單。在明確具體信息資產之后，根據信息資產在信息系統中所發揮的作用，對其重要性進行判斷，評估信息資產價值。通過信息資產評估，需要確保其保密性、完整性和可用性[1]。

2.2 威脅評估

信息威脅是信息系統管理不希望發生的事件，但也是不可避免的一個問題，很容易引發信息安全風險。造成信息威脅的因素有多種，因網絡自身的開放性、虛擬性特點，網絡環境變得尤為復雜，在存在大量有價值信息之外，還混雜有一些病毒木馬和惡意軟件，并且黑客入侵現象也比較常見。這些都會對信息安全造成威脅，因此需要進行威脅評估。

2.3 脆弱性評估

脆弱性評估主要是從技術層面和管理層面進行考慮的，能夠找出信息系統的薄弱環節，進而采取針對性措施加以解決。在構建信息系統時，系統本身可能會存在缺陷和不足，這些系統漏洞和弱點嚴重降低了信息系統的安全等級，很容易引發信息安全風險問題。同時，因信息系統管理不善、管理力度不足等，也會使得信息系統具有脆弱性，抗風險能力較弱。所以在對信息系統進行脆弱性評估時，需要從這兩方面進行考慮[2]。

2.4 現有安全措施評估

現有安全措施是預防信息安全風險，并對信息系統進行保護的主要方式，是在識別信息安全風險之后，所采取的針對性措施，主要是通過控制風險和降低風險來保障信息安全的。如果安全措施不到位或者不具備針對性，將無法發揮其基本作用，信息系統安全性將會大大降低，所以必須對現有安全措施的有效性進行評估。

3 信息系統管理中信息安全風險評估方法

在確定信息安全風險評估內容之后，需要采取最為合適的方法完成信息安全風險評估，并構建完善的信息安全風險評估體系，對信息安全風險進行綜合分析。

3.1 風險評估方法

當前常用的信息安全風險評估方法主要有定性評估法、人工評估法、定量評估法、工具輔助評估法等多種，其中定性評估法和人工評估法使用最為廣泛。定性評估法的主要評估依據是信息安全風險造成的影響及損失，很少將風險出現的次數考慮在內，評估工作一般是由風險評估機構或者專家完成的，進而得到信息安全風險具體等級。定性評估法主觀性較強，評估結果與實際結果容易出現較大出入，往往表現為風險控制不到位。人工評估法是指采用人工作業方式，對信息安全風險評估內容進行全面分析，以此來判斷風險發生概率及具體影響，并結合風險效益，采取最為合理、有效的對策，實現對信息安全風險的預防和控制，以此來降低風險發生概率。

3.2 風險評估體系

風險評估體系的構建，是信息安全風險評估過程中非常重要的一個環節，能夠對所有風險問題進行全面性的綜合考慮。在構建風險評估體系時，一般采用層次分析法來實現，能夠對信息安全風險中包括的所有要素之間的相對重要的權數進行評價，結合所有要素的排序進行橫向比較分析，評估信息安全的風險。風險評估體系的構建，能夠使信息安全風險評估更加規范化、科學化、全面化，可以將資產、威脅信、脆弱性、安全措施等所有要素考慮在內，提供更加可靠的依據，在很大程度上提高了風險評估結果的準確性，對加強信息安全風險控制力度，提高信息系統管理水平具有重要意義。

4 結束語

在信息系統管理工作中，通過信息安全風險評估，能夠將信息安全風險控制在可接受范圍內，使信息系統能夠以安全平穩狀態運行，避免出現信息泄露、系統入侵現象，可以確保信息具有較高的保密性、安全性、完整性及真實性，為信息資源價值的有效利用提供基礎保障。只有從影響信息安全風險的主要因素出發，明確信息安全風險評估內容，并運用科學、有效的評估方法，構建完善的風險評估體系，對信息系統所面臨的安全風險威脅做出準確判斷，才能采取針對性的預防和處理措施加以改善，提高信息系統管理水平和管理質量。

參考文獻

[1]陳綺琦.對信息系統管理中信息安全風險評估研究[J].信息系統工程，2016，（7）：77.

[2]溫盈盈.對信息系統管理中信息安全風險評估研究[J].數字技術與應用，2015，（1）：173.

（作者單位：國家計算機網絡應急技術處理協調中心）