張淋江 劉志龍

（河南牧業(yè)經(jīng)濟(jì)學(xué)院數(shù)字化管理中心，河南 鄭州450011）

1 引言

當(dāng)今信息化時(shí)代，信息安全和人類的社會(huì)生活息息相關(guān)。借助于互聯(lián)網(wǎng)快速的傳播，信息系統(tǒng)的安全性遭受到多方面的威脅，如何保證信息系統(tǒng)安全性是高?？蒲泄ぷ髡哐芯康闹攸c(diǎn)。在幾十年的系統(tǒng)安全研究中，人們也深刻的意識(shí)到信息系統(tǒng)安全問題單憑技術(shù)是無法得到根本解決，它涉及到標(biāo)準(zhǔn)、法規(guī)政策、管理、技術(shù)等多方面，單一層次上的安全措施都不可能提供全方位的安全，應(yīng)該站在系統(tǒng)工程的角度來解決。信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)系統(tǒng)工程，其推理和估計(jì)過程需要遵循科學(xué)的理論和依據(jù)。

2 高校信息安全風(fēng)險(xiǎn)評(píng)估現(xiàn)狀分析

信息安全風(fēng)險(xiǎn)評(píng)估是對(duì)信息系統(tǒng)及其處理的傳輸和存儲(chǔ)的信息的完整性、可用性、保密性等安全屬性進(jìn)行科學(xué)識(shí)別和評(píng)價(jià)的過程。目前，我國(guó)信息與網(wǎng)絡(luò)安全的防護(hù)能力還很薄弱，許多應(yīng)用系統(tǒng)處于低層次甚至不設(shè)防的防護(hù)狀態(tài)。我國(guó)的信息安全標(biāo)準(zhǔn)化制定工作比歐美國(guó)家起步晚。全國(guó)信息化標(biāo)準(zhǔn)制定委員會(huì)及其下屬的信息安全技術(shù)委員會(huì)開展了我國(guó)信息安全標(biāo)準(zhǔn)方面工作，完成了許多安全技術(shù)標(biāo)準(zhǔn)的制定，如GB／T 18336、GB 17859等。在信息系統(tǒng)的安全管理方面，我國(guó)目前在BS7799和ISO 17799及CC標(biāo)準(zhǔn)基礎(chǔ)上完成了相關(guān)的標(biāo)準(zhǔn)修訂，我國(guó)信息安全標(biāo)準(zhǔn)體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問題所產(chǎn)生的損失、危害不斷加劇，信息系統(tǒng)的安全問題越來越受到人們的普遍關(guān)注，如今國(guó)內(nèi)高校已經(jīng)加強(qiáng)關(guān)于信息安全管理方面的研究與實(shí)踐。

3 高校信息安全風(fēng)險(xiǎn)評(píng)估模型

3.1 信息安全風(fēng)險(xiǎn)評(píng)估流程[2]

在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí)，河南牧業(yè)經(jīng)濟(jì)學(xué)院成立了信息安全風(fēng)險(xiǎn)評(píng)估小組，由主抓信息安全的副校長(zhǎng)擔(dān)任組長(zhǎng)，各個(gè)相關(guān)單位和部門的代表為成員，各自負(fù)責(zé)與本系部相關(guān)的風(fēng)險(xiǎn)評(píng)估事務(wù)。評(píng)估小組及相關(guān)人員在風(fēng)險(xiǎn)評(píng)估前接受培訓(xùn)，熟悉運(yùn)作的流程、理解信息安全管理基本知識(shí)，掌握風(fēng)險(xiǎn)評(píng)估的方法和技巧。

學(xué)院的風(fēng)險(xiǎn)評(píng)估活動(dòng)包括以下6方面：

建立風(fēng)險(xiǎn)評(píng)估準(zhǔn)則。建立評(píng)估小組，前期調(diào)研了解安全需求，確定適用的表格和調(diào)查問卷等，制定項(xiàng)目計(jì)劃，組織人員培訓(xùn)，依據(jù)國(guó)家標(biāo)準(zhǔn)確定各項(xiàng)安全評(píng)估指標(biāo)，建立風(fēng)險(xiǎn)評(píng)估準(zhǔn)則。

資產(chǎn)識(shí)別。學(xué)院一卡通管理系統(tǒng)、教務(wù)管理系統(tǒng)等關(guān)鍵信息資產(chǎn)的標(biāo)識(shí)。

威脅識(shí)別。識(shí)別網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)病毒、人為錯(cuò)誤等各種信息威脅，衡量威脅的可發(fā)性與來源。

脆弱性識(shí)別。識(shí)別各類信息資產(chǎn)、各控制流程與管理中的弱點(diǎn)。

風(fēng)險(xiǎn)識(shí)別。進(jìn)行風(fēng)險(xiǎn)場(chǎng)景描述，依據(jù)國(guó)家標(biāo)準(zhǔn)劃分風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)風(fēng)險(xiǎn)，編寫河南牧業(yè)經(jīng)濟(jì)學(xué)院信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。

風(fēng)險(xiǎn)控制。推薦、評(píng)估并確定控制目標(biāo)和控制，編制風(fēng)險(xiǎn)處理計(jì)劃。

學(xué)院信息安全風(fēng)險(xiǎn)評(píng)估流程圖如圖1所示：

圖1 信息安全風(fēng)險(xiǎn)評(píng)估流程圖

3.2 基于PDCA循環(huán)的信息安全風(fēng)險(xiǎn)評(píng)估模型

PDCA（策劃—實(shí)施—檢查—措施）經(jīng)常被稱為“休哈特環(huán)”或者“戴明環(huán)”，是由休哈特（Walter Shewhart）在19世紀(jì)30年代構(gòu)想，隨后被戴明（Edwards Deming）采納和宣傳。此概念的提出是為了有效控制管理過程和工作質(zhì)量。隨著管理理念的深入，該循環(huán)在各類管理領(lǐng)域得到廣泛使用，取得良好效果。PDCA循環(huán)將一個(gè)過程定義為策劃、實(shí)施、檢查、措施四個(gè)階段，每個(gè)階段都有階段任務(wù)和目標(biāo)，如圖2所示，四個(gè)階段為一個(gè)循環(huán)，一個(gè)持續(xù)的循環(huán)使過程的目標(biāo)業(yè)績(jī)持續(xù)改進(jìn)，如圖3所示。

4 基于PDCA循環(huán)模型的信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)現(xiàn)[3-5]

河南牧業(yè)經(jīng)濟(jì)學(xué)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的研究經(jīng)驗(yàn)積累不足，本著邊實(shí)踐邊改進(jìn)，逐步優(yōu)化的原則，學(xué)院決定采用基于PDCA循環(huán)的信息安全評(píng)估模型。信息安全風(fēng)險(xiǎn)評(píng)估模型為信息安全風(fēng)險(xiǎn)評(píng)估奠定了理論依據(jù)，是有效進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的前提。學(xué)院擁有3個(gè)校區(qū)，正在逐步推進(jìn)數(shù)字化校園的建設(shè)。校園網(wǎng)一卡通、教務(wù)、資產(chǎn)、檔案等管理系統(tǒng)是學(xué)院網(wǎng)絡(luò)核心業(yè)務(wù)系統(tǒng)，同時(shí)各院系有自己的各類教學(xué)系統(tǒng)平臺(tái)，由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，經(jīng)常會(huì)監(jiān)控到信息系統(tǒng)受到內(nèi)外部的網(wǎng)絡(luò)攻擊，信息安全防范問題已經(jīng)很突出。信息安全風(fēng)險(xiǎn)評(píng)估小組依據(jù)自行研發(fā)的管理系統(tǒng)對(duì)學(xué)院各類信息系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估（圖4），以便下一步對(duì)存在的風(fēng)險(xiǎn)進(jìn)行有效的管理，根據(jù)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告，提出相應(yīng)的系統(tǒng)安全方案建議，對(duì)全院信息系統(tǒng)當(dāng)前突出的安全問題進(jìn)行實(shí)際解決

4.1 建立信息安全管理體系環(huán)境風(fēng)險(xiǎn)評(píng)估（P策劃）

圖2 PDCA循環(huán)

圖3 PDCA循環(huán)持續(xù)改進(jìn)

圖4 高校信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)

風(fēng)險(xiǎn)規(guī)劃是高校開展風(fēng)險(xiǎn)評(píng)估管理活動(dòng)的首要步驟。學(xué)院分析內(nèi)外環(huán)境及管理現(xiàn)狀，制定包括準(zhǔn)確的目標(biāo)定位、具體的應(yīng)對(duì)實(shí)施計(jì)劃、合理的經(jīng)費(fèi)預(yù)算、科學(xué)的技術(shù)手段等風(fēng)險(xiǎn)評(píng)估管理規(guī)劃。風(fēng)險(xiǎn)規(guī)劃內(nèi)容包括確定范圍和方針、定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法、識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方法。信息安全評(píng)估風(fēng)險(xiǎn)評(píng)估管理工作獲得院領(lǐng)導(dǎo)批準(zhǔn)，評(píng)估小組開始實(shí)施和運(yùn)作信息安全管理體系。

4.2 實(shí)施并運(yùn)行信息安全管理體系（D實(shí)施）

該階段的任務(wù)是管理運(yùn)作適當(dāng)?shù)膬?yōu)先權(quán)，執(zhí)行選擇控制，以管理識(shí)別的信息安全風(fēng)險(xiǎn)。學(xué)院通過自行研發(fā)的信息安全風(fēng)險(xiǎn)管理工具，將常見的風(fēng)險(xiǎn)評(píng)估方法集成到軟件之中，包括有信息資產(chǎn)和應(yīng)用系統(tǒng)識(shí)別、風(fēng)險(xiǎn)識(shí)別與評(píng)估、風(fēng)險(xiǎn)處置措施及監(jiān)測(cè)、風(fēng)險(xiǎn)匯總與報(bào)告生成等功能。通過使用信息安全風(fēng)險(xiǎn)管理工具，安全風(fēng)險(xiǎn)評(píng)估工作都得到了簡(jiǎn)化，減輕人員的工作量，幫助信息安全管理人員完成復(fù)雜的風(fēng)險(xiǎn)評(píng)估工作，從而提高學(xué)院的信息安全管理水平。

4.3 監(jiān)視并評(píng)審信息安全管理體系（C檢查）

檢查階段是尋求改進(jìn)機(jī)會(huì)的階段，是PDCA循環(huán)的關(guān)鍵階段。信息安全管理體系分析運(yùn)行效果，檢查到不合理、不充分的控制措施，采取不同的糾正措施。學(xué)院在系統(tǒng)實(shí)施過程中，規(guī)劃各院系的信息安全風(fēng)險(xiǎn)評(píng)估由本系專門人員上傳數(shù)據(jù)，但在具體項(xiàng)目實(shí)施中，發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰，嚴(yán)重影響學(xué)院整體信息系統(tǒng)安全評(píng)估的可靠性，為了強(qiáng)化人員責(zé)任意識(shí)，除了加強(qiáng)風(fēng)險(xiǎn)評(píng)估的培訓(xùn)外，還制定相應(yīng)的懲罰獎(jiǎng)勵(lì)制度，實(shí)時(shí)進(jìn)行監(jiān)督檢查，盡最大可能保證風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)的準(zhǔn)確性[6]。

4.4 改進(jìn)信息安全管理體系（A措施）

經(jīng)過以上3個(gè)步驟之后，評(píng)估小組報(bào)告該階段所策劃的方案，確定該循環(huán)給管理體系是否帶來明顯的效果，是繼續(xù)執(zhí)行，還是升級(jí)改進(jìn)、放棄重新進(jìn)行新的策劃。學(xué)院在項(xiàng)目具體實(shí)施后，信息安全狀況有了明顯的改善，信息管理人員安全責(zé)任意識(shí)明顯提升，遭受到的內(nèi)外網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒等風(fēng)險(xiǎn)因素能及時(shí)發(fā)現(xiàn)處理。評(píng)估小組考慮將成果具體擴(kuò)大到學(xué)院其他的部門或領(lǐng)域，開始了新一輪的PDCA循環(huán)持續(xù)改進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估。

5 結(jié)語(yǔ)

信息安全的風(fēng)險(xiǎn)評(píng)估的因素是動(dòng)態(tài)、不確定的，且往往是隨機(jī)的。研究基于信息安全風(fēng)險(xiǎn)評(píng)估PDCA循環(huán)模型，針對(duì)學(xué)院存在的不確定信息安全風(fēng)險(xiǎn)因素，進(jìn)行收集整理，形成分類、量化、系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)信息，為高校提供了信息安全風(fēng)險(xiǎn)管理決策依據(jù)，將被動(dòng)、零散、無序應(yīng)對(duì)信息資產(chǎn)安全風(fēng)險(xiǎn)方式轉(zhuǎn)變成主動(dòng)、系統(tǒng)、連續(xù)有效地管理風(fēng)險(xiǎn)，為高校信息化的建設(shè)保駕護(hù)航。

［1］GB/T 18336-2008，信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則［S］．

［2］朱會(huì)龍.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（3），62-65.

［3］董潔.網(wǎng)絡(luò)信息安全面臨的問題及對(duì)策［J］.赤峰學(xué)院學(xué)報(bào)（自然科學(xué)版），2011（3），41-43.

［4］畢海英，賈煒等.信息技術(shù)安全性評(píng)估“通用準(zhǔn)則”系列標(biāo)準(zhǔn)在中國(guó)的應(yīng)用［J］.中國(guó)信息安全，2014（8），100-103.

［5］陳健，吉久明等.基于單威脅分析的高校綜合信息安全風(fēng)險(xiǎn)評(píng)估方法研究［J］.情報(bào)雜志，2013（2），169-173.

［6］周婕，王麗.信息系統(tǒng)安全評(píng)估技術(shù)研究［J］.計(jì)算機(jī)與數(shù)字工程，2013（11）.