張元鋒

摘要：隨著我國計算機及科技的快速發(fā)展，越來越多的信息用于計算機存儲，因此，信息安全的問題受重視的程度越來越高。社會上目前也有一些比較權威的安全信息評估標準，但有些安全信息標準的安全特性、信息的針對性不夠全面，以及計算過程做不到完整等。就目前安全信息評估標準存在的這些問題，本文主要以保密性、完整性、可用性為基礎作為安全系統(tǒng)最終實現(xiàn)的目標，針對這一系列的目標提出了全新的安全系統(tǒng)評估方法。

關鍵詞：多目標;信息安全;風險評估方法

計算機與科學技術在不斷發(fā)展，網(wǎng)絡的規(guī)模也在不斷擴大，數(shù)據(jù)化的信息量也在增大，同時也給了一些不法分子盜取信息的機會，保證信息的安全可靠難度也越來越高。因為系統(tǒng)的安全性存在一定的隱患，與網(wǎng)絡操作相關聯(lián)的軟件、操作系統(tǒng)、硬盤設備，不可避免的都會存在一些安全的漏洞，這也給系統(tǒng)外的安全問題有了可乘之機，給信息的安全性無意或者是有意帶來了一些問題，如果可以對系統(tǒng)的安全性有一個合理的評估，對有可能會發(fā)生的風險有一個有效或者可靠的衡量，對信息系統(tǒng)的改進有一個進一步的指導工作，那信息系統(tǒng)安全性就會有一個很大的提高。

一、簡單系統(tǒng)所進行的風險評估

信息安全風險性的評估可以對一個特定的信息系統(tǒng)進行，這樣進行評估其一可以提供比較直觀的信息系統(tǒng)的安全評價給相關的系統(tǒng)管理者，定性和定量的評價都可以用這種評價方法;其二是將不同時期的風險評價結果進行對比，通過對比可以對某些安全措施是否有效進行一個檢測。以保密性、可用性、完整性等一系列的特性為基礎，對信息系統(tǒng)進行設計，以此來達到最終的保證系統(tǒng)信息安全性目標的實現(xiàn)。以設計方案或者是安全策略為目標對最終方案的達成進行推進，如果可以有效的進行下去，可以將信息安全風險的評估逐漸轉變?yōu)槎嗄繕说臎Q策問題。

二、信息安全系統(tǒng)評估的實施方法

1.資產(chǎn)評估

能夠提供特性的業(yè)務和服務能力的系統(tǒng)是網(wǎng)省公司進行資產(chǎn)識別的主要項目，作為一個實用的應用系統(tǒng)，通常可以分為四個部分，主要是包括數(shù)據(jù)的存儲、業(yè)務的處理以及提供業(yè)務服務和客戶端這四個相關的組成部分，相關的獨立的信息系統(tǒng)中，這四個部分都可以顯現(xiàn)為資產(chǎn)實體的獨立性，對資產(chǎn)的使命、本身資產(chǎn)的具體價值、應用系統(tǒng)對于資產(chǎn)的重要價值、資產(chǎn)部署的位置以及影響范圍等因素對信息資產(chǎn)的價值進行評估，這是資產(chǎn)從定量化判斷到定量化賦值的相關一些環(huán)節(jié)，是資產(chǎn)賦值的重要評估方法。

2.威脅評估

通過相應的技術手段、數(shù)據(jù)的統(tǒng)計以及相關的經(jīng)驗對信息系統(tǒng)可能會面臨到思維威脅過程進行一個客觀判定，具體實施時，以各個單位系統(tǒng)的具體的業(yè)務情況為基礎，和以往發(fā)生的信息安全事件，網(wǎng)絡、系統(tǒng)管理員對相關的威脅網(wǎng)絡安全性問題的事件以及未來發(fā)生的可能性或者是對事件發(fā)展的未來趨勢進行調查，并按照威脅的主體以及可能發(fā)生的各種威脅進行評估。

3.脆弱性評估

有關脆弱性的評估主要包括管理、運維、技術，其主要是圍繞這三個方面進行評估的，這三者可以說是相輔相成的，既可以獨立進行評估，也可以是相互關聯(lián)的，如果信息系統(tǒng)存在管理脆弱，相關的運維脆弱和技術脆弱方面的問題也很有可能被引發(fā)，這三者也可以說是密不可分的。技術性是否脆弱的判定方法可以用掃描的工具或者是人工的審計等主要的方法，還可以訪談和調查問卷的形式，去收集意見和建議，以此來發(fā)現(xiàn)管理和運維脆弱的主要問題和存在的不足之處。除此之外，相關的脆弱性評估還可以依據(jù)之前信息系統(tǒng)所發(fā)生的安全事件，對所發(fā)生安全事件的原因及次數(shù)進行統(tǒng)一的收集整理和分析，這是對脆弱性評估的主要方法。

三、風險評估標準中存在的不足之處

1.沒有完整的安全特性

目前國內對于風險的控制只考慮了非授權主體的控制，控制的范圍僅包括可用性、完整性和可用性，沒有考慮到授權主體的不正常行為，這恰是信息系統(tǒng)存在的一個隱患，授權主體的不正常行為也很有可能對信息系統(tǒng)的安全性存在威脅，比如信息系統(tǒng)的可控性以及信息的不可否認性，通過控制授權主體，對系統(tǒng)信息的可用性、完整性以及保密性有一個補充保障的作用，控制范圍主要包括要求授權的用戶只可以在授權范圍內查看其所授權的信息，對授權用戶的行為進行檢查和監(jiān)督，防止一些授權用戶人為或者是無意的對系統(tǒng)的信息進行破壞。

2.對系統(tǒng)的評估沒有針對性

行業(yè)不同，對其所處的信息系統(tǒng)安全性的需求也是不一樣的，如現(xiàn)在非常普遍的智能信息系統(tǒng)，因為其簡單便捷的使用方式，為人們的生活帶去了很多便利，不同的安全指標在不同工程系統(tǒng)的意義以及重要性，國標就沒有做到充分的考慮，將保密性、完整性和可用性進行同等的看待，那將會使評估的結果失實。

3.沒有完整的評估計算

所屬資產(chǎn)的風險等級以及風險值在進行分析計算以后，對所有資產(chǎn)的等級以及風險值沒有進一步的進行結合評估，所以沒有得到全系統(tǒng)的風險值以及風險等級的評估結果。針對于不同的系統(tǒng)結構，計算方式的組合也會存在一定的差異，最終會導致評估的結論有很大差距。

四、目前現(xiàn)有的安全評估措施

1.現(xiàn)有的安全措施評估

對各個單位相關的安全設備、所部署的防病毒系統(tǒng)、具體的使用以及管理的情況，特征庫的更新方式和具體的更新時間，有關設備資源的使用效率、系統(tǒng)本身的工作狀況，對于曾經(jīng)出現(xiàn)過的系統(tǒng)異常情況、曾經(jīng)存在的安全性問題、保存日志的相關情況進行一個合理的評估，此類評估方法對事后的安全行為進行評估，沒有辦法對未來有可能發(fā)生的存在與信息系統(tǒng)有關的安全問題進行準確的預測，所以目前經(jīng)常會發(fā)生信息系統(tǒng)信息泄露的問題。此外，信息系統(tǒng)中信息系統(tǒng)管理員的個數(shù)、相關管理員操作系統(tǒng)口令的安全系數(shù)等相關的系統(tǒng)信息進行等級的確認，對具體的級別進行確認。

2.安全管理措施的評估

對被評估單位進行相關的訪談，確認其是否成立了有關信息安全技術的小組，是否通過文件的形式對安全小組的成員進行了確認，成員的具體職責進行了相對應的明確，所提出的信息化發(fā)展策略是否與自身的實際做到了相結合，并與社會的發(fā)展相呼應，具體包括信息安全工作總體方針的制定和相關安全策略的實施，信息系統(tǒng)的安全管理制度是否有效的進行了建立和完善，對日常的操作和管理流程是否有一個明確的規(guī)范，對于維護信息系統(tǒng)安全的小組成員，單位應做到定期的對小組內成員進行培訓，提升其相關的專業(yè)知識，對國家最新頒布的法律法規(guī)以及相關的安全政策等進行學習，通過對信息系統(tǒng)中安全成員的專業(yè)知識提升和職業(yè)素養(yǎng)的提升，從而達到對安全信息系統(tǒng)的維護工作效率進行提升。

3.評估物理與環(huán)境安全

想要對信息系統(tǒng)的安全性提供完整的保障，除了要對軟件系統(tǒng)的安全性能進行提升以外，相關信息系統(tǒng)的硬件功能也要有一個合理的提升，首先就是要對機房的環(huán)境有一個可靠的保障，其中包括是否具備完整的物理防護措施，或者是防漏水的檢測系統(tǒng)是否健全，所裝置的防漏水監(jiān)測是否達到足夠的靈敏程度，如果機房溫度過高，是否有高溫警報系統(tǒng)或者是高溫處理系統(tǒng)，對于高溫報警后是否有相關的高位處理措施，機房內是否裝有可以降低溫度的嚴密的空調，其對機房內溫度的調節(jié)是否是有效的;對機房內的電源也要有一個有效的防護措施，對電源的插頭或者是接口處每天要進行檢查，并對檢查的結果每天進行記錄，對電源的可使用性要有保障，相關的責任具體到個人，可以采用獎懲制度，提高工作人員的責任心，使其嚴格做好防控措施，避免因為電源的突然損壞或者是人為的故意破壞從而導致信息系統(tǒng)的數(shù)據(jù)沒有成功保存，帶來不必要的損失。

4.應急措施與恢復的管理

網(wǎng)絡不同于其他事物，網(wǎng)絡中很多數(shù)據(jù)的損壞都是一瞬間的，或許是無意的一個操作就會導致信息系統(tǒng)的全面崩盤，也可能會導致信息系統(tǒng)中所有的數(shù)據(jù)因此泄露，因此，想要進一步提高信息系統(tǒng)的安全性，首先就要對信息安全系統(tǒng)可能會發(fā)生的突發(fā)狀況做好應急措施，對信息系統(tǒng)中的數(shù)據(jù)要有一個恢復數(shù)據(jù)的功能，避免因意外情況導致的信息系統(tǒng)數(shù)據(jù)泄露或者丟失。為了最大限度的減少突發(fā)事件對網(wǎng)絡信息系統(tǒng)帶來的不良影響，在對安全系統(tǒng)進行評估時，首先就要對信息系統(tǒng)的應急措施與恢復管理措施進行監(jiān)測，確保其所制定的相關措施可以有效的避免因信息系統(tǒng)突發(fā)的狀況而帶來的損失。

5.進行信息系統(tǒng)的完善與改進

在信息系統(tǒng)評估完成以后，要根據(jù)評估所指出的問題進行有效的整改，全面消除信息系統(tǒng)可能存在的安全風險，對于未來可能發(fā)生的安全風險也要根據(jù)評估的結果或者是以往發(fā)生的相關安全性的問題進行合理的防范和避免，以安全技術和安全管理為基礎，對信息系統(tǒng)的安全風險防控管理進行落實，對信息系統(tǒng)的安全穩(wěn)定運行提供一個可靠的保障。

結語

綜上所述，在信息系統(tǒng)安全的評估過程中，不能夠僅單一的對其安全性去進行評估，單一評估的結果缺乏全面性和有效性，需要從多個方面、多個角度出發(fā)進行有效的評估，保證評估的客觀性和真實性，這樣才可以對信息系統(tǒng)所面臨的安全隱患進行準確的預測，相關的防護措施才會有效。

參考文獻：

[1]薛正，馬婷婷，于洋. 基于多目標決策的信息安全風險評估方法研究[J]. 科技資訊，2019，（002）：1-3.

[2]郭秀峰. 基于評判矩陣的網(wǎng)絡信息安全風險評估[J]. 信息與電腦（理論版），2019（18）.

[3]嚴華健、張國富、蘇兆品、劉揚. 救災物資高維多目標自適應分配問題建模與求解[J]. 計算機應用，2020，（8）：10.