信息安全風險評估探究論文

導語：信息安全風險評估探究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

1.風險評估內涵

風險評估是一項周期性工作，是進行風險管理。由于風險評估的結果將直接影響到信息系統防護措施的選擇，從而在一定程度上決定了風險管理的成效。風險評估可以概括為：①風險評估是一個技術與管理的過程。②風險評估是根據威脅、脆弱性判斷系統風險的過程。③風險評估貫穿于系統建設生命周期的各階段。

2.信息安全風險評估方法

（1）安全風險評估。為確定這種可能性，需分析系統的威脅以及由此表現出的脆弱性。影響是按照系統在單位任務實施中的重要程度來確定的。風險評估以現實系統安全為目的，按照科學的程序和方法，對系統中的危險要素進行充分的定性、定量分析，并作出綜合評價，以便針對存在的問題，根據當前科學技術和經濟條件，提出有效的安全措施，消除危險或將危險降到最低程度。即：風險評估是對系統存在的固有和潛在危險及風險性進行定性和定量分析，得出系統發送危險的可能性和程度評價，以尋求最低的事故率、最少的損失和最優的安全投資效益。（2）風險評估的主要內容。①技術層面。評估和分析網絡和主機上存在的安全技術風險，包括物理環境、網絡設備、主機系統、操作系統、數據庫、應用系統等軟、硬件設備。②管理層面。從本單位的工作性質、人員組成、組織結構、管理制度、網絡系統運行保障措施及其他運行管理規范等角度，分析業務運作和管理方面存在的安全缺陷。（3）風險評估方法。①技術評估和整體評估。技術評估是指對組織的技術基礎結構和程序系統、及時地檢查，包括對組織內部計算環境的安全性及對內外攻擊脆弱性的完整性攻擊。整體風險評估擴展了上述技術評估的范圍，著眼于分析組織內部與安全相關的風險，包括內部和外部的風險源、技術基礎和組織結構以及基于電子的和基于人的風險。②定性評估和定量評估。定性分析方法是使用最廣泛的風險分析方法。根據組織本身歷史事件的統計記錄等方法確定資產的價值權重，威脅發生的可能性以及如將其賦值為“極低、低、中、高、極高”。③基于知識的評估和基于模型的評估。基于知識的風險評估方法主要依靠經驗進行。經驗從安全專家處獲取并憑此來解決相似場景的風險評估問題。該方法的優越性在于能直接提供推薦的保護措施、結構框架和實施計劃。（4）信息安全風險的計算。①計算安全事件發生的可能性。根據威脅出現頻率及弱點的狀況，計算威脅利用脆弱性導致安全事件發生的可能性。具體評估中，應綜合攻擊者技術能力、脆弱性被利用的難易程度、資產吸引力等因素判斷安全事件發生的可能性。②計算安全事件發生后的損失。根據資產價值及脆弱性的嚴重程度，計算安全事件一旦發生后的損失。部分安全事件損失的發生不僅針對該資產本身，還可能影響業務的連續性；不同安全事件的發生對組織造成的影響也不一樣。③計算風險值。根據計算出的安全事件發生的可能性以及安全事件的損失計算風險值。

3.風險評估模型選擇

參考多個國際風險評估標準，建立了由安全風險管理流程模型、安全風險關系模型和安全風險計算模型共同組成的安全風險模型（見圖1）。（1）安全風險管理過程模型。①風險評估過程。信息安全評估包括技術評估和管理評估。②安全風險報告。提交安全風險報告，獲知安全風險狀況是安全評估的主要目標。③風險評估管理系統。根據單位安全風險分析與風險評估的結果，建立本單位的風險管理系統，將風險評估結果入庫保存，為安全管理和問題追蹤提供數據基礎。④安全需求分析。根據本單位安全風險評估報告，確定有效安全需求。⑤安全建議。依據風險評估結果，提出相關建議，協助構建本單位安全體系結構，結合組織本地、遠程網絡架構，為制定完整動態的安全解決方案提供參考。⑥風險控制。根據安全風險報告，結合單位特點，針對面對的安全風險，分析將面對的安全影響，提供相應的風險控制建議。⑦監控審核。風險管理過程中每一個步驟都需要進行監控和審核程序，保證整個評估過程規范、安全、可信。⑧溝通、咨詢與文檔管理。整個風險管理過程的溝通、咨詢是保證風險評估項目成功實施的關鍵因素。（2）安全風險關系模型。安全風險關系模型以風險為中心，形象地描述了面臨的風險、弱點、威脅及其相應的資產價值、防護需求、保護措施等動態循環的復雜關系。（3）安全風險計算模型。安全風險計算模型中詳細、具體地提供了風險計算的方法，通過威脅級別、威脅發生的概率及風險評估矩陣得出安全風險。

4.結語

本文在綜合風險和比較多種評估標準和方法的基礎上，針對現行網絡的安全現狀和安全需求，提出了網絡風險評估的模型和風險計算方法，以及時發現、彌補和減少信息安全漏洞，為提高涉密信息系統的安全性，降低網絡失泄密風險提供一定的幫助。

本文作者：黃人杰工作單位：中國衛星海上測控部