劉文慧

（太原煤炭氣化（集團）有限責(zé)任公司選煤分公司，太原 030024）

1 信息安全風(fēng)險評估的內(nèi)涵

信息安全指的是信息系統(tǒng)中的數(shù)據(jù)以及信息系統(tǒng)的軟件、硬件受到保護的程度，并防止威脅系統(tǒng)正常運行以及盜取系統(tǒng)中的知識、數(shù)據(jù)等信息而采取的措施。從本質(zhì)上來說，信息安全是一種思維方式，不是依靠某一種技術(shù)就能實現(xiàn)的，沒有絕對的信息安全。信息安全風(fēng)險指的是在信息系統(tǒng)的服務(wù)過程中，可能出現(xiàn)的人為因素或者自然因素對信息安全造成的威脅，以及發(fā)生信息安全問題對于經(jīng)濟、社會造成的損失。

信息安全風(fēng)險評估指的就是相關(guān)的管理者，系統(tǒng)地、整體地分析信息系統(tǒng)可能面臨的威脅，并利用科學(xué)有效的方法，評估發(fā)生信息安全問題造成的危害、影響以及損失，并針對此制定有效的防護措施，將信息安全風(fēng)險控制在可接受的程度甚至化解信息安全問題，從而減少損失或者保證信息的安全。信息安全評估主要有四個方面：威脅、資產(chǎn)、弱點和風(fēng)險。

2 對信息安全進行風(fēng)險評估的重要性

幾十年的時間之內(nèi)，我國的信息技術(shù)已經(jīng)取得了飛速的發(fā)展，并且涉及到我國社會和人民生活的每個方面，其扮演著越來越重要的角色。與此同時，信息技術(shù)也慢慢的發(fā)展成為一項重要的支柱產(chǎn)業(yè)，國家信息技術(shù)的發(fā)展程度也慢慢的變成了衡量一個國家綜合實力的重要標(biāo)準(zhǔn)，其創(chuàng)造出的產(chǎn)品讓人們的生活方式發(fā)生了翻天覆地的改變。信息技術(shù)還被廣泛的應(yīng)用于風(fēng)險投資和企業(yè)的管理當(dāng)中，為這些行業(yè)帶來了巨大的發(fā)展動力。而信息技術(shù)的安全問題一旦發(fā)生，總是會對企業(yè)、社會造成不可估量的損失，這使得社會各界對于信息技術(shù)安全問題的關(guān)注度越來越大。在這樣的情況下，信息安全風(fēng)險評估工作就顯得尤為重要了。

對信息安全進行風(fēng)險評估，才是保證信息安全的有效措施。信息安全風(fēng)險評估是相關(guān)組織、企業(yè)實現(xiàn)信息安全的關(guān)鍵步驟，通過信息安全風(fēng)險評估，可以讓人們準(zhǔn)確、全面的了解信息系統(tǒng)的安全現(xiàn)狀，并能及時的發(fā)現(xiàn)其中可能出現(xiàn)的問題，為決策者提供合理的信息安全指導(dǎo)方向，并提前制定好相應(yīng)的防護措施，將可能出現(xiàn)的問題扼殺在搖籃當(dāng)中，有效減少信息安全問題帶來的損失。同時，進行信息安全風(fēng)險評估工作還能提高人們的安全意識，提升人們對于信息安全的關(guān)注程度。

3 研究信息安全風(fēng)險評估量化的方法

3.1 技術(shù)評估方法

技術(shù)評估指的是對信息系統(tǒng)的技術(shù)程序和結(jié)構(gòu)進行系統(tǒng)的、及時的檢查，包括計算機所處環(huán)境的安全性評估。技術(shù)評估的內(nèi)容包括評估整個計算機的程序和結(jié)構(gòu)；使用現(xiàn)有的軟件工具分析計算機的全部組件；在完成技術(shù)檢測之后要提供詳細的檢測報告，指出技術(shù)檢測中出現(xiàn)的問題與弱點，并針對這些問題提出相應(yīng)的解決措施。

3.2 工具輔助風(fēng)險評估

工具輔助風(fēng)險評估依靠著強大的計算機分析能力與準(zhǔn)確的風(fēng)險評估結(jié)果，受到越來越多人的青睞，隨著工具輔助評估的發(fā)展，越來越多的輔助工具被研究出來，而且性能更加強大，其使用也越來越廣泛。以往手動風(fēng)險評估過程中，繁瑣的評估程序與數(shù)據(jù)分析給工作人員帶來了巨大的工作壓力，而且評估結(jié)果也不如人意，容易出現(xiàn)疏漏導(dǎo)致評估結(jié)果出現(xiàn)偏差。在1985年，英國研發(fā)出了CRAMM風(fēng)險輔助評估工具，為人們打開了軟件輔助風(fēng)險評估的大門。在1992年又有公司推出了COBRA工具，該工具的兼容性更加豐富，為人們提供了更加完整的風(fēng)險評估服務(wù)。在之后的發(fā)展中，更多的工具被研發(fā)出來，為人們進行信息安全風(fēng)險評估工作做出了巨大的貢獻。

3.3 定性風(fēng)險評估方法

定性分析風(fēng)險評估方法是目前使用最為廣泛的信息安全風(fēng)險評估方法，這種方法側(cè)重分析安全問題給人們所帶來的損失，對于安全問題發(fā)生的概率關(guān)注度不高。在進行定性分析時，相關(guān)的工作人員先根據(jù)信息技術(shù)系統(tǒng)面臨的安全威脅來判定安全風(fēng)險的等級，然后在定性評估工作中指定期望值而不使用具體的分析數(shù)據(jù)，并設(shè)定每種風(fēng)險的概率值和其影響值，從而分析出信息安全風(fēng)險。

3.4 定量分析方法

定量分析方法也是一種較為常用的分析方法，它要求分析者特別關(guān)注安全威脅的量化數(shù)據(jù)和資產(chǎn)具有的價值。定量風(fēng)險分析利用威脅事件可能造成的損失和威脅事件發(fā)生的概率這兩個最基本的元素，將其相乘得出綜合數(shù)據(jù)ALE，從理論上來說，ALE可以作為判定安全事件的風(fēng)險等級。隨著信息安全風(fēng)險評估工作的快速發(fā)展，定量分析的計算方法也更加豐富多彩。較為常用的定量分析方法，是首先評估資產(chǎn)的價值V，然后根據(jù)實際情況和客觀的數(shù)據(jù)來計算安全威脅發(fā)生的頻率P，然后再計算出安全威脅的影響系數(shù)μ。根據(jù)以上計算出的三個參數(shù)，計算ALE的值：

ALE=V×P×μ

根據(jù)計算出的ALE的大小，可以對信息安全風(fēng)險做出評估。

4 我們所面臨的機遇和挑戰(zhàn)

綜上所述，信息安全風(fēng)險評估是一個很好的渠道，從而優(yōu)化和完善我們的信息化建設(shè)。但是就目前的形式，相當(dāng)一部分企事業(yè)單位都沒有很好的加以運用，即使有也是最初級的設(shè)備和操作方面的約束，基本沒有做到量化指標(biāo)，更談不上風(fēng)險評估了，只能亡羊補牢，不能防患于未然。我們需要做的還很多。

當(dāng)然機遇和挑戰(zhàn)是并存的。首先，我們現(xiàn)在已經(jīng)意識到了這個問題，這是很重要的；其次，現(xiàn)階段有可以借鑒的方式和方法，省去了摸索的艱難；再次，國家加大了政策導(dǎo)向和扶持，更增添了我們實施的信心和動力。

5 結(jié)束語

隨著我國信息技術(shù)的快速發(fā)展和信息技術(shù)被越來越廣泛的使用，信息安全風(fēng)險評估工作和方法也經(jīng)歷了巨大的變革，從剛開始的手動評估風(fēng)險到后來的工具輔助風(fēng)險評估，以及定性與定量的風(fēng)險評估等更加準(zhǔn)確有效的風(fēng)險評估手段。在信息系統(tǒng)安全領(lǐng)域，利用合理的措施進行信息安全風(fēng)險評估工作是不可缺少的一環(huán)，其重要性是不言而喻的。我國目前的信息安全評估工作與世界前沿相比還有一定的差距，因此，相關(guān)的專家和工作人員也共同努力，深入研究，向先進的技術(shù)學(xué)習(xí)，為我國信息技術(shù)的安全工作做出更大的貢獻。

[1] 吳亞非，李新友，祿凱.信息安全風(fēng)險評估[M].北京：清華大學(xué)出版，2007.