李雪峰

摘要：本文介紹了信息系統(tǒng)安全評估的基本工作流程，分析了信息系統(tǒng)安全評估的基本方法。雖然當前我國信息系統(tǒng)安全風險評估工作上前沒有一個較為成熟的發(fā)展趨勢，但是隨著人們對信息系統(tǒng)依賴性的不斷增加，對信息安全越來越重視，也會越發(fā)的關注信息系統(tǒng)的安全風險評估工作。

關鍵詞：信息系統(tǒng);安全風險;風險評估;評估方法;技術觀察

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2020）03-0195-01

1 信息系統(tǒng)安全評估的工作流程

1.1 資產(chǎn)識別

信息系統(tǒng)安全評估中的資產(chǎn)主要是包括相關重要信息系統(tǒng)的主體組織中，有價值的一系列信息資源，資產(chǎn)是當前相關工作人員提高信息安全評估工作效率的保護對象。資產(chǎn)主要是由文檔，硬件軟件數(shù)據(jù)服務以及人員等共同組成，在進行相關工作人員的信息系統(tǒng)安全評估工作中，需要對所評估的信息系統(tǒng)主體中不同的資產(chǎn)進行不同的等級劃分，根據(jù)相關資料的完整性，可用性以及機密性作為有效的等級去進行判斷。

1.2 脆弱性識別

脆弱性在信息系統(tǒng)安全風險評估工作當中，主要是指相關信息系統(tǒng)中一個或多個資產(chǎn)的弱點的總稱。相關工作人員需要能夠?qū)⑺u估的信息系統(tǒng)主體資產(chǎn)作為工作核心，盡可能的在評估當中對每一個資產(chǎn)的弱點進行有效的分別標注，最后運用有效的信息技術將不同資產(chǎn)的弱點進行總體評估。

1.3 威脅識別

威脅是指可能導致危害系統(tǒng)或組織的不希望事故的潛在起因。威脅是一個客觀存在，正因為存在威脅，組織和信息系統(tǒng)才會存在風險。威脅識別是盡可能的通過評估信息系統(tǒng)當中發(fā)現(xiàn)的有效問題，直接排查出威脅的接觸過程。相關工作人員在開展具體的信息系統(tǒng)安全風險評估的威脅識別工作當中，需要盡可能的建立健全風險分析所需要的威脅場景，并且進行有關直接威脅或者間接威脅的有效識別。

1.4 風險分析

相關工作人員在對信息系統(tǒng)進行資產(chǎn)識別脆弱識別以及威脅識別之后，還需要對相關的信息系統(tǒng)進行風險評估階段，在這個階段當中，相關工作人員需要盡可能的對信息系統(tǒng)進行有關風險的分析以及計算工作，為后面的信息系統(tǒng)安全提供有效的相關信息。

2 信息系統(tǒng)中的風險評估方法

2.1 信息系統(tǒng)定量分析法

在信息系統(tǒng)風險分析過程當中，信息系統(tǒng)定量分析法主要是將信息系統(tǒng)中的資產(chǎn)價值以及風險進行一定標準的等量化財務價值評價。在信息系統(tǒng)的定量分析法當中，首先需要保證其自身可以進行量化，在一定程度上保證信息系統(tǒng)中的相關威脅，對于資產(chǎn)內(nèi)造成的不同程度的損失，可以通過財務等情況進行相關的數(shù)據(jù)衡量，這種直觀的衡量方式，在一定程度上可以保證信息系統(tǒng)的主體結(jié)構(gòu)管理層可以更好的接收，并且辨別信息系統(tǒng)的風險分析。

2.2 基于知識的信息系統(tǒng)風險分析方法

在實際操作當中，基于知識的信息系統(tǒng)風險分析方法主要依靠的是相關風險評估的工作人員的自身的工作經(jīng)驗，通過對一系列信息系統(tǒng)資料的有效收集與分析，采用自身知識儲備以及相關的風險評估標準進行有效的對比分析，在一定時間內(nèi)找出信息系統(tǒng)當中存在可能會發(fā)生安全威脅的地方，通過相關的標準以及有效方法找出有效的解決措施，盡可能地保證信息系統(tǒng)減少風險的可能[1]。

2.3 基于技術的信息系統(tǒng)風險分析方法

信息系統(tǒng)安全風險評估相關工作人員在開展基于技術的信息系統(tǒng)風險分析方法的具體操作過程當中，通常情況下主要依賴的風險評估依據(jù)是自身的技術能力，通過對于相關信息系統(tǒng)中程序系統(tǒng)以及基礎結(jié)構(gòu)的全面排查，盡可能的用相應的信息系統(tǒng)內(nèi)部脆弱性以及安全性的完整估計，有效的找出信息系統(tǒng)中可能會發(fā)現(xiàn)的一系列風險隱患。通常情況下，基于技術的信息系統(tǒng)風險分析方法主要采取的分析方法技術研究十分多，但是在實際管理過程當中存在一系列的不足之處，往往過于依賴工作人員的工作經(jīng)驗，進一步導致信息系統(tǒng)安全風險評估在管理工作當中出現(xiàn)漏洞[2]。

2.4 綜合的信息系統(tǒng)風險分析方法

通常情況下，基于知識的信息系統(tǒng)風險分析方法過于主觀，分析風險有著很好的準確性，相對來說工作的計算量很小，操作簡單可以充分的運用相關工作人員的專業(yè)知識，但是在實際過程當中十分容易受到工作人員的主觀影響，導致分析經(jīng)準度不夠，并且要求相關工作人員必須要有著一定工作經(jīng)驗以及很高的工作能力水平，在實際操作過程當中，對于信息系統(tǒng)的評估對象通常只能用到一些小系統(tǒng)，并且信息系統(tǒng)安全風險評估的結(jié)果很難進行統(tǒng)一。

最常見的信息系統(tǒng)安全風險評估綜合評估方法是層次分析法，主要的分析思想是盡可能的將要分析的安全風險的性質(zhì)和想要達到的總體目標進行有效的總結(jié)，盡可能的將問題分解成不同的組成要素，按照要素之間的內(nèi)在關系和所屬關系，按照不同的層次進行排列組合，將各個因素排列成一個有層次的結(jié)構(gòu)模型，盡可能地將系統(tǒng)分析中的實際內(nèi)容按照相關的重要性權(quán)重來進行有效的排序[3]。

層次分析法的分析核心是盡可能地將風險評估人員的工作經(jīng)驗以及專業(yè)知識水平進行量化，盡可能的為決策者提供定量的決策依據(jù)。首先需要將系統(tǒng)進行分解，搭建有層次的內(nèi)在結(jié)構(gòu)模型。風險評估人員需要將信息系統(tǒng)安全風險的對象進行有效的系統(tǒng)分解，主要的分解層次，包括方案層，準則層以及目標層。準則層是可以有很多個層次組成，主要包括的內(nèi)容，是在分解過程當中考慮的準則以其子準則等[4]。目的層則是基于信息系統(tǒng)自身所獨有的基本特性而建立起的系統(tǒng)的安全風險評估指標體系。

3 結(jié)語

隨著我們國家社會與經(jīng)濟的不斷前進發(fā)展，信息技術也得到了廣泛的應用，為了保障信息系統(tǒng)的安全，信息系統(tǒng)風險評估行業(yè)的發(fā)展是當前信息安全領域的主要發(fā)展趨勢之一。在一定程度上，對信息系統(tǒng)風險評估方法以及評估技術進行有效研究，可以更好的為我國信息安全保障體系的建設發(fā)展打下扎實的基礎，相信在不久的將來，信息系統(tǒng)安全風險評估一定會在我國信息安全服務領域占據(jù)一個重要地位。

參考文獻

[1] 李鶴田，劉云，何德全.信息系統(tǒng)安全風險評估研究綜述疆[J].中國安全科學學報，2006（1）：108-113+0-1.

[2] 張利，彭建芬，杜宇鴿，等.信息安全風險評估的綜合評估方法綜述[J].清華大學學報（自然科學版），2012（10）：1364-1369.

[3] 唐作其，陳選文，戴海濤，等.多屬性群決策理論信息安全風險評估方法研究[J].計算機工程與應用，2011（15）：104-107+144.

[4] 楊曉明，羅衡峰，范成瑜，等.信息系統(tǒng)安全風險評估技術分析[J].計算機應用，2008（08）：1920-1923.

Abstract：This article introduces the basic workflow of information system security assessment and analyzes the basic methods of information system security assessment. Although there is currently no more mature development trend in China's information system security risk assessment， as people's dependence on information systems continues to increase， they pay more and more attention to information security， and they will pay more attention to information system security risks. Evaluation work.

Key words：information system; security risk; risk assessment; assessment method; technical observation