衛(wèi)星君

摘 要 互聯(lián)網(wǎng)信息技術(shù)在為我們生活帶來(lái)便利的同時(shí)也帶來(lái)了一系列信息安全問(wèn)題。隨著互聯(lián)網(wǎng)技術(shù)的普及，絕大多部分機(jī)構(gòu)和單位的重要資料都保存在信息系統(tǒng)中，一旦面臨攻擊或者威脅，將會(huì)造成難以想象的損失。信息安全風(fēng)險(xiǎn)評(píng)估理論最早起源于國(guó)外，引入我國(guó)后不少學(xué)者開(kāi)始進(jìn)行深入的研究，并取得了一定的成效。

關(guān)鍵詞 信息安全風(fēng)險(xiǎn)評(píng)估；關(guān)鍵技術(shù)；研究

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2017）181-0025-02

信息安全風(fēng)險(xiǎn)評(píng)估就是建設(shè)更加完善的信息安全系統(tǒng)的保障，因此本文分析信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)具有很強(qiáng)烈的現(xiàn)實(shí)意義。

1 信息安全風(fēng)險(xiǎn)評(píng)估概念及流程

1.1 風(fēng)險(xiǎn)評(píng)估概念

信息安全風(fēng)險(xiǎn)評(píng)估主要指的是對(duì)網(wǎng)絡(luò)環(huán)境和信息系統(tǒng)中所面臨的威脅以及信息系統(tǒng)資產(chǎn)和系統(tǒng)的脆弱性采取針對(duì)性的安全控制措施，對(duì)風(fēng)險(xiǎn)的判斷需要從信息系統(tǒng)的管理和技術(shù)兩個(gè)層面入手。

1.2 風(fēng)險(xiǎn)評(píng)估流程

風(fēng)險(xiǎn)評(píng)估需要經(jīng)歷一個(gè)完整的過(guò)程：1）準(zhǔn)備階段，此階段需要確定風(fēng)險(xiǎn)評(píng)估的范圍、目標(biāo)以及方法等；2）實(shí)施階段，分別對(duì)資產(chǎn)、威脅和脆弱性等展開(kāi)一系列的評(píng)估；3）分析階段，包含量化分析和對(duì)風(fēng)險(xiǎn)的計(jì)算。在整個(gè)過(guò)程中可以看出風(fēng)險(xiǎn)評(píng)估的實(shí)施階段和對(duì)風(fēng)險(xiǎn)的分析階段所起的作用比較重要，其中包含了幾項(xiàng)比較關(guān)鍵的技術(shù)。

2 信息安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵技術(shù)

風(fēng)險(xiǎn)評(píng)估和控制軟件主要包含6個(gè)方面的主要內(nèi)容，而安全風(fēng)險(xiǎn)評(píng)估流程則是分為4個(gè)主要的模塊，漏洞管理、風(fēng)險(xiǎn)分析和評(píng)估、威脅分析、漏洞管理和檢測(cè)等。在信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程中包含以下幾方面的關(guān)鍵技術(shù)。

2.1 資產(chǎn)管理技術(shù)分析

資產(chǎn)評(píng)估主要是對(duì)具有價(jià)值的資源和信息開(kāi)展的評(píng)估，這些資產(chǎn)包含有形的文檔、硬件等也包含悟性的形象和服務(wù)等。風(fēng)險(xiǎn)評(píng)估中的第一項(xiàng)任務(wù)就是進(jìn)行資產(chǎn)評(píng)估。評(píng)估過(guò)程中應(yīng)該確保資產(chǎn)的完整性和保密性，兼顧威脅。具體評(píng)估方法為：1）對(duì)資產(chǎn)進(jìn)行分類，資產(chǎn)往往來(lái)源于不同的網(wǎng)絡(luò)和業(yè)務(wù)管理系統(tǒng)。所以需要對(duì)資產(chǎn)按照形態(tài)和具體的用途進(jìn)行相應(yīng)的分類；2）對(duì)資產(chǎn)進(jìn)行賦值，對(duì)所有的資產(chǎn)進(jìn)行分類之后，需要為每一項(xiàng)資產(chǎn)進(jìn)行賦值，將資產(chǎn)的權(quán)重分為5個(gè)不同的級(jí)別，從1到5分別代表不同的資產(chǎn)等級(jí)。資產(chǎn)評(píng)估并不是需要根據(jù)賬面的價(jià)格進(jìn)行衡量而是以相對(duì)價(jià)值作為衡量的標(biāo)準(zhǔn)，需要考慮到資產(chǎn)的成本價(jià)值，更應(yīng)該明確資產(chǎn)評(píng)估對(duì)組織業(yè)務(wù)發(fā)展的重要性。在實(shí)際的資產(chǎn)評(píng)估過(guò)程中，商業(yè)利益、信譽(yù)影響、系統(tǒng)安全、系統(tǒng)破壞等都會(huì)對(duì)資產(chǎn)賦值產(chǎn)生影響。

2.2 威脅分析技術(shù)分析

威脅是客觀存在的，可能會(huì)對(duì)組織或者資產(chǎn)構(gòu)成潛在的破壞，它可以通過(guò)途徑、動(dòng)機(jī)、資源和主體等多種途徑來(lái)實(shí)現(xiàn)，威脅可以分為環(huán)境因素和人為因素。環(huán)境因素分為不可抗因素和物理因素，人為因素可以分為非惡意和惡意因素。威脅評(píng)估步驟如下：1）威脅識(shí)別過(guò)程，需要根據(jù)資產(chǎn)所處的實(shí)際環(huán)境，按照自身的實(shí)際經(jīng)驗(yàn)評(píng)估資產(chǎn)可能會(huì)面對(duì)的威脅，威脅的類型十分多樣化，包含篡改、泄密、物理攻擊、網(wǎng)絡(luò)攻擊、惡意代碼、管理問(wèn)題等。2）威脅評(píng)估，在威脅識(shí)別完成之后就需要對(duì)威脅發(fā)生的可能性進(jìn)行評(píng)估。威脅評(píng)估句式需要根據(jù)威脅的種類和來(lái)源形成一個(gè)類別，在列表中對(duì)威脅發(fā)生的可能性進(jìn)行定義，現(xiàn)將威脅的等級(jí)分為五級(jí)，威脅等級(jí)越高，發(fā)生的可能性越大。表1為威脅賦值表格。

2.3 脆弱性識(shí)別技術(shù)分析

脆弱性識(shí)別包含管理和技術(shù)兩個(gè)層面，涉及到各個(gè)層面中的安全問(wèn)題，而漏洞掃描則是對(duì)主機(jī)和網(wǎng)絡(luò)設(shè)備等開(kāi)展掃描檢查。針對(duì)需要保護(hù)的資產(chǎn)進(jìn)行脆弱性識(shí)別，找出所有威脅可以利用的脆弱性，再根據(jù)脆弱性的程度，及可能會(huì)被威脅利用的機(jī)會(huì)展開(kāi)相應(yīng)的評(píng)估。對(duì)于漏洞掃描大都需要依賴掃描軟件，當(dāng)前市場(chǎng)上也出現(xiàn)了不少?gòu)?qiáng)大的掃描工具，可以掃描出絕大多數(shù)當(dāng)前已經(jīng)公開(kāi)的絕大多數(shù)系統(tǒng)漏洞?？梢允褂肗essus客戶端對(duì)系統(tǒng)的漏洞情況進(jìn)行掃描，此種掃描工具包含了比較強(qiáng)大的安全漏洞數(shù)據(jù)庫(kù)，可以對(duì)系統(tǒng)漏洞進(jìn)行高效、可靠安全的檢測(cè)，在結(jié)束掃描之后，Nessus將會(huì)對(duì)收集到的信息和數(shù)據(jù)進(jìn)行分析，輸出信息。輸出的信息包含存在的漏洞情況，漏洞的詳細(xì)信息和處理漏洞的建立等。

2.4 風(fēng)險(xiǎn)分析和評(píng)估技術(shù)分析

信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程中除了進(jìn)行資產(chǎn)評(píng)估、危險(xiǎn)評(píng)估和脆弱性識(shí)別之后需要對(duì)風(fēng)險(xiǎn)進(jìn)行相應(yīng)的計(jì)算。采用科學(xué)可行的工具和方法評(píng)估威脅發(fā)生的可能性，并根據(jù)資產(chǎn)的重要性評(píng)估安全事件發(fā)生之后所產(chǎn)生的影響，即安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)值的計(jì)算需要考慮到資產(chǎn)因素、脆弱性因素和威脅因素等，在進(jìn)行了定量和定性分析之后再計(jì)算最終的風(fēng)險(xiǎn)值。

風(fēng)險(xiǎn)值的計(jì)算公式為R=F（A.T.V）=F=（Ia，G（T，Va）），公式中風(fēng)險(xiǎn)值為R，安全風(fēng)險(xiǎn)計(jì)算函數(shù)為F，資產(chǎn)為A，脆弱性為V，威脅為T，資產(chǎn)的重要程度為Ia，資產(chǎn)的脆弱性程度為Va，脆弱性被威脅利用導(dǎo)致安全事故發(fā)生的可能性為L(zhǎng)。將公式中的各項(xiàng)指標(biāo)進(jìn)行模型化轉(zhuǎn)換，可以得到圖1。

2.4.1 評(píng)估要素量化方法

本文論述兩種量化評(píng)估要素的方法：1）權(quán)重法，根據(jù)評(píng)估要素中重要程度的不同設(shè)置不同的權(quán)限值，在經(jīng)過(guò)加權(quán)治療后得出最終的量化值。2）最高法，評(píng)估要素的量化值就是評(píng)估要素的最高等級(jí)值，公式為S=Max（Sj）

2.4.2 計(jì)算風(fēng)險(xiǎn)值的方法

根據(jù)計(jì)算風(fēng)險(xiǎn)值的模型，采用矩陣算法來(lái)計(jì)算風(fēng)險(xiǎn)值。分別計(jì)算風(fēng)險(xiǎn)事件的發(fā)生值、影響值和最終的風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)事件發(fā)生值=L（資產(chǎn)的脆弱性，威脅值）=L（V，T），風(fēng)險(xiǎn)事件影響值I=（Ia，Va）。

2.4.3 風(fēng)險(xiǎn)評(píng)估結(jié)果

在綜合分析完成之后的評(píng)估結(jié)果就是風(fēng)險(xiǎn)評(píng)估結(jié)果，這項(xiàng)結(jié)果將會(huì)成為風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)開(kāi)展風(fēng)險(xiǎn)管理的主要依據(jù)，風(fēng)險(xiǎn)評(píng)估結(jié)果包含：風(fēng)險(xiǎn)計(jì)算和風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)計(jì)算是對(duì)資產(chǎn)的重要程度及風(fēng)險(xiǎn)事件發(fā)生值等進(jìn)行判定；進(jìn)而得出判定結(jié)果；風(fēng)險(xiǎn)分析是總結(jié)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估過(guò)程，進(jìn)而得出殘余風(fēng)險(xiǎn)和系統(tǒng)的風(fēng)險(xiǎn)狀況。

3 結(jié)論

隨著互聯(lián)網(wǎng)技術(shù)的普及應(yīng)用，信息化管理已經(jīng)成功應(yīng)用到絕大部分企業(yè)管理中。但是隨之而來(lái)的是一系列的信息安全問(wèn)題，如果出現(xiàn)安全問(wèn)題將會(huì)給企業(yè)帶來(lái)嚴(yán)重的經(jīng)濟(jì)損失。信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)是對(duì)信息安全風(fēng)險(xiǎn)程度進(jìn)行分析計(jì)算的基礎(chǔ)上展開(kāi)評(píng)估，為提高企業(yè)信息安全性奠定基礎(chǔ)，提高企業(yè)信息安全管理水平。

參考文獻(xiàn)

[1]安莉麗.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究[J].信息通信，2015（7）：143-144.