韓富超

（廣州賽寶認證中心服務有限公司，廣州 510000）

信息安全風險評估是以風險管理為基礎，通過科學的方法和手段，對企業(yè)信息系統(tǒng)所面臨的威脅與存在的脆弱性進行全面分析，以安全事故對企業(yè)生產(chǎn)經(jīng)營有可能帶來的危害展開評估，進而制定出有效的防御及整改措施［1］。信息安全風險評估在企業(yè)信息安全保障體系中占據(jù)著十分重要的地位，其不但是重要的評價方法，同時也是利于企業(yè)決策的有效機制。如果缺乏準確及時的風險評估，便不能準確的判斷出企業(yè)所存在的信息安全問題，因此加強企業(yè)信息安全風險評估，對每一個中小企業(yè)來說，都意義重大。

1 中小企業(yè)信息安全評估方法

為了進一步評估信息系統(tǒng)的安全風險，多種風險評估方法被開發(fā)出來并在企業(yè)中得以運用。定性評估法，定量評估法以及半定量評估法是目前較為常用的幾種方法。風險評估中的定量評估方法，主要是結合企業(yè)特點，根據(jù)評估內(nèi)容和評估流程，從眾多的信息系統(tǒng)、人員和設備中，利用分類分別計算比例的方法，對評估對象合理選定，并進行數(shù)量采樣［2］。并在此基礎上，分析企業(yè)信息系統(tǒng)中資產(chǎn)價值、威脅性以及脆弱性三者之間存在的函數(shù)關系，從而根據(jù)企業(yè)實際情況選取恰當?shù)娘L險計算方法，合理計算出企業(yè)信息安全風險評估數(shù)值。本文認為定量方法對當前的中小企業(yè)來說更具實用價值，主要可從風險計算方法、威脅可能性量化賦值方法著手。

1.1 風險計算方法

后果（Consequence）及可能性（Likelihood）是風險具有的兩個基本屬性。風險對信息系統(tǒng)的影響，說到底也是這兩個因素所造成的。資產(chǎn)的不同自然也使其面臨的主要威脅存在差異。而隨著威脅可以利用的、資產(chǎn)存在的弱點數(shù)量的增加會增加風險的可能性，隨著弱點嚴重級別的提高會增加一該資產(chǎn)面臨風險的后果。通常來說，某項資產(chǎn)風險的可能性為資產(chǎn)脆弱性與存在威脅的可能性的函數(shù)，同時風險后果則為資產(chǎn)價值（影響）的函數(shù)。本論文采用如下算式來得到資產(chǎn)的風險賦值：

上述公式主要考慮到各參數(shù)采取的取值并不十分精確，因而加入了以往的經(jīng)驗和判斷，在國際中對此類數(shù)據(jù)則通常采用數(shù)學乘法或矩陣等方法。而采用線性相乘，則主要是為了方便進行計算。企業(yè)實施風險分析可以從風險信息和數(shù)據(jù)，進行不同程度的改進。并根據(jù)計算出的風險值的數(shù)值范圍，確定相應的風險等級。風險數(shù)值與風險等級對應的關系見表1。

表1 風險等級的含義

1.2 脆弱性量化賦值方法

脆弱性和威脅所存在的對應關系，應在評估時充分考慮到，要知道相對應的脆弱性是威脅起作用的基本因素，因此脆弱性與威脅基本上是通過一一對應的形式呈現(xiàn)出來的。對脆弱性大小的評定需要結合評估采集的調(diào)研結果、安全漏洞掃描結果以及人工安全檢查結果。參照國際通行做法和專家經(jīng)驗，將資產(chǎn)存在的脆弱性分為 5 個等級，分別是很高（VH）、高（H）、中（M）、低（L）、可忽略（N），并且從高到低分別賦值5-1，具體參照表2。

威脅可能性屬性非常難以度量.它依賴于具體的資產(chǎn)、弱點。并且這兩個屬性都和時間有關系。在威脅評估過程中，評估者的專家經(jīng)驗非常重要。

2 結語

目前，信息系統(tǒng)已經(jīng)被廣泛運用到中小企業(yè)的日常管理工作中，對其的重視程度也越來越高。對中小企業(yè)來說，定期進行信息安全風險評估是信息安全工作得以順利實施的有效保障，通過有效的信息安全風險評估方法則是科學合理地開展信息安全風險評估的前提條件。因此，新形勢下中小企業(yè)的信息安全風險評估工作必須要做到與時俱進，不斷創(chuàng)新，從而以適應快速發(fā)展的社會需求。

表2 脆弱性評估賦值參考表

［1］劉江.企業(yè)信息安全管理及風險評估體系研究［D］.上海：復旦大學，2012.

［2］何璐璐.企業(yè)信息安全風險評估實施方法研究［D］.北京：北京郵電大學，2010.