針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估分析與探討

趙志勇

摘 要：本文主要詳細(xì)的論述了目前網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估工作中急需解決的問題。信息安全風(fēng)險(xiǎn)評(píng)估是建立信息安全體系的基礎(chǔ)，是信息系統(tǒng)安全工程的一個(gè)關(guān)鍵組成部分。本文在此談了談自己的觀點(diǎn)和看法，可供同行參考。

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評(píng)估；脆弱性；威脅

一、前言

隨著信息技術(shù)的飛速發(fā)展，信息系統(tǒng)依賴程度日益增強(qiáng)，采用風(fēng)險(xiǎn)管理的理念去識(shí)別安全風(fēng)險(xiǎn)，解決信息安全問題得到了廣泛的認(rèn)識(shí)和應(yīng)用。信息系統(tǒng)主要分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，以防范和化解風(fēng)險(xiǎn)。

二、網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析

“網(wǎng)絡(luò)信息的安全”從狹義的字面上來講就是網(wǎng)絡(luò)上各種信息的安全，而從廣義的角度考慮，還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲(chǔ)、傳輸?shù)仁褂眠^程的安全。網(wǎng)絡(luò)信息安全具有如下5個(gè)特征：

1、保密性：即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w。

2、完整性：即信息未經(jīng)授權(quán)不能被修改、破壞。

3、可用性：即能保證合法的用戶正常訪問相關(guān)的信息。

4、可控性：即信息的內(nèi)容及傳播過程能夠被有效地合法控制。

5、可審查性：即信息的使用過程都有相關(guān)的記錄可供事后查詢核對(duì)。

網(wǎng)絡(luò)信息安全的研究?jī)?nèi)容非常廣泛，根據(jù)不同的分類方法可以有多種不同的分類。研究?jī)?nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問題的復(fù)雜性。而通過有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析，就能夠?yàn)榇藦?fù)雜問題的解決找到一個(gè)考慮問題的立足點(diǎn)，能夠?qū)?fù)雜的問題量化，同時(shí)，也為能通過其他方法如人工智能網(wǎng)絡(luò)方法解決問題提供依據(jù)和基礎(chǔ)，網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類：

1、自然界因素，如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等；

2、社會(huì)因素，主要是人類社會(huì)的各種活動(dòng)，如暴力、戰(zhàn)爭(zhēng)、盜竊等；

3、網(wǎng)絡(luò)硬件的因素，如機(jī)房包括交換機(jī)、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響；

4、軟件的因素，包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶計(jì)算機(jī)的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫(kù)配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等；

5、人為的因素，主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來的影響因素，如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等；

6、其他因素，包括政府職能部門的監(jiān)管因素、有關(guān)部門對(duì)相關(guān)法律法規(guī)立法因素、教育部門對(duì)相關(guān)知識(shí)的培訓(xùn)因素、宣傳部門對(duì)相關(guān)安全內(nèi)容的宣傳因素等。這些因素對(duì)于網(wǎng)絡(luò)信息安全均會(huì)產(chǎn)生直接或者間接的影響。

三、目前網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估工作中急需解決的問題

信息系統(tǒng)涉及社會(huì)經(jīng)濟(jì)方方面面，在政務(wù)和商務(wù)領(lǐng)域發(fā)揮了重要作用，信息安全問題不單是一個(gè)局部性和技術(shù)性問題，而是一個(gè)跨領(lǐng)域、跨行業(yè)、跨部門的綜合性安全問題。據(jù)統(tǒng)計(jì)，某省會(huì)城市各大機(jī)關(guān)、企事業(yè)單位中，有10%的單位出現(xiàn)過信息系統(tǒng)不穩(wěn)定運(yùn)行情況；有30%的單位出現(xiàn)過來自網(wǎng)絡(luò)、非法入侵等方面的攻擊；出現(xiàn)過信息安全問題的單位比例高達(dá)86%！缺少信息安全建設(shè)專項(xiàng)資金，信息安全專業(yè)人才缺乏，應(yīng)急響應(yīng)體系和信息安全測(cè)評(píng)機(jī)構(gòu)尚未組建，存在著“重建設(shè)、輕管理，重應(yīng)用、輕安全”的現(xiàn)象，已成為亟待解決的問題。

各部門對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的重視程度與其信息化水平呈現(xiàn)正比，即信息化水平越高，對(duì)風(fēng)險(xiǎn)評(píng)估越重視。然而，由于地區(qū)差異和行業(yè)發(fā)展不平衡，各部門重視風(fēng)險(xiǎn)評(píng)估的一個(gè)重要原因是“安全事件驅(qū)動(dòng)”，即“不出事不重視”，真正做到“未雨綢繆”的少之又少。目前我國(guó)信息安全體系還未健全和完善，真正意義上的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估尚待成熟。有的部門對(duì)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估還停留在傳達(dá)一下文件、出具一個(gè)報(bào)告、安排一場(chǎng)測(cè)試，由于評(píng)估單位在評(píng)估資質(zhì)、評(píng)估標(biāo)準(zhǔn)、評(píng)估方法等方面還不夠規(guī)范和統(tǒng)一，甚至出現(xiàn)對(duì)同一個(gè)信息系統(tǒng)，不同評(píng)估單位得出不同評(píng)估結(jié)論的案例。

四、信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估解決措施

1、確診風(fēng)險(xiǎn)，對(duì)癥下藥

信息系統(tǒng)風(fēng)險(xiǎn)是客觀存在的，也是可以被感知和認(rèn)識(shí)從而進(jìn)行科學(xué)管理的。信息系統(tǒng)面臨的風(fēng)險(xiǎn)是什么、有多大，應(yīng)該采取什么樣的措施去減少、化解和規(guī)避風(fēng)險(xiǎn)？就像人的軀體有健康和疾病，設(shè)備狀況有正常和故障，糧食質(zhì)量有營(yíng)養(yǎng)和變質(zhì)，如何確認(rèn)信息系統(tǒng)的狀態(tài)和發(fā)現(xiàn)信息系統(tǒng)存在的風(fēng)險(xiǎn)和面臨的威脅，就需要進(jìn)行風(fēng)險(xiǎn)評(píng)估。

2、夯實(shí)安全根基，鞏固信息大廈

信息系統(tǒng)建設(shè)之初就存在安全問題，好比高樓大廈建在流沙之上，地基不固，樓建的越高倒塌的風(fēng)險(xiǎn)就越大。風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)這座高樓大廈的安全根基，它可以幫助信息系統(tǒng)管理者了解潛在威脅，合理利用現(xiàn)有資源開展規(guī)劃建設(shè)，讓信息系統(tǒng)安全“贏在起跑線上”。風(fēng)險(xiǎn)評(píng)估還可以為信息系統(tǒng)建設(shè)者節(jié)省信息系統(tǒng)建設(shè)總體投資，達(dá)到“以最小成本獲得最大安全保障”的效果。

3、尋求適度安全和建設(shè)成本的最佳平衡點(diǎn)

安全是相對(duì)的，成本是有限的。在市場(chǎng)經(jīng)濟(jì)高度發(fā)達(dá)的今天，信息系統(tǒng)建設(shè)要達(dá)到預(yù)期經(jīng)濟(jì)效益和社會(huì)效益，就不能脫離實(shí)際地追求“零風(fēng)險(xiǎn)”和絕對(duì)安全。風(fēng)險(xiǎn)評(píng)估為管理者算了一筆經(jīng)濟(jì)賬，讓我們認(rèn)清信息系統(tǒng)面臨的威脅和風(fēng)險(xiǎn)，在此基礎(chǔ)上決定哪些風(fēng)險(xiǎn)必須規(guī)避，哪些風(fēng)險(xiǎn)可以容忍，以便在潛在風(fēng)險(xiǎn)損失與建設(shè)管理成本之間尋求一個(gè)最佳平衡點(diǎn)，力求達(dá)到預(yù)期效益的最大化。

4、既要借鑒先進(jìn)經(jīng)驗(yàn)，又要重視預(yù)警防范

沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，沒有信息化就沒有現(xiàn)代化。建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)，要有自己的技術(shù)，有過硬的技術(shù)。風(fēng)險(xiǎn)評(píng)估是信息化發(fā)達(dá)國(guó)家的重要經(jīng)驗(yàn)。目前我們的信息化在某些關(guān)鍵技術(shù)、關(guān)鍵設(shè)備上還受制于人。“他山之石”可為我所用，亦須知其鋒芒與瑕疵，加強(qiáng)預(yù)警防范與借鑒先進(jìn)技術(shù)同樣重要。

五、結(jié)束語

綜上所述，本文主要對(duì)信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了分析和探究，在今天高速的信息化環(huán)境中，信息的安全性越發(fā)顯示出其重要性，風(fēng)險(xiǎn)評(píng)估可以明確信息系統(tǒng)的安全狀況和主要安全風(fēng)險(xiǎn)基礎(chǔ)，通過風(fēng)險(xiǎn)評(píng)估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案。所以要加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作。

參考文獻(xiàn)：

[1]中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)，信息安全技術(shù)一信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范，2007年

[2]付沙.加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的研究[J].微型電腦應(yīng)用，2010.

[3]趙亮.信息系統(tǒng)安全評(píng)估理論及其群決策方法研究.上海交通大學(xué)博士論文，2011.