高校信息安全的風(fēng)險評估問題研究

劉志龍 張淋江

（河南牧業(yè)經(jīng)濟學(xué)院 數(shù)字化管理中心，河南 鄭州450011）

高校信息安全是高校各項工作正常開展的重要保障，隨著高校各項工作的開展對信息系統(tǒng)的依賴性越來越強，高校面臨的各種信息安全威脅也越來越大。然而高校的風(fēng)險防范意識比較淡薄，信息安全的防御措施及能力與其他行業(yè)相比，較為薄弱，導(dǎo)致高校的網(wǎng)絡(luò)設(shè)備受到攻擊，使校園網(wǎng)網(wǎng)速過慢甚至癱瘓。SQL注入導(dǎo)致高校的財務(wù)系統(tǒng)、招生就業(yè)系統(tǒng)、教學(xué)管理系統(tǒng)、辦公系統(tǒng)等關(guān)鍵系統(tǒng)中的信息泄露甚至被修改，高校主網(wǎng)站被掛馬影響高校形象等一系列威脅高校安定的信息安全問題不斷出現(xiàn)，給高校的信息資產(chǎn)造成不可挽回的巨大損失[1-2]。因此，在高校信息化建設(shè)飛速發(fā)展的階段，信息系統(tǒng)已經(jīng)涉及高校的方方面面，加強風(fēng)險防范意識，構(gòu)建高校信息安全風(fēng)險評估體系指導(dǎo)信息安全管理已刻不容緩。

1 信息安全風(fēng)險評估的含義、方法及模型

1.1 信息安全風(fēng)險評估的含義

信息安全風(fēng)險評估是從風(fēng)險管理角度出發(fā)，構(gòu)建風(fēng)險評估模型，建立風(fēng)險評估體系，運用風(fēng)險評估方法，系統(tǒng)地分析信息系統(tǒng)所面臨的風(fēng)險威脅及系統(tǒng)的脆弱性/漏洞，評估風(fēng)險發(fā)生帶來的危害程度，提出應(yīng)對風(fēng)險的安全控制措施，規(guī)避和控制信息安全風(fēng)險，降低風(fēng)險發(fā)生的概率，將風(fēng)險控制在可承受的范圍，為信息安全風(fēng)險評估提供科學(xué)依據(jù)。

1.2 信息安全風(fēng)險評估的方法

隨著信息安全風(fēng)險評估研究工作的不斷深入，形成了多種不同的信息安全風(fēng)險評估方法，這些方法的出現(xiàn)大大縮短了信息安全風(fēng)險評估的時間，節(jié)省了大量的資源，提高了信息安全風(fēng)險評估的效率和準確性，為防范信息安全中出現(xiàn)的風(fēng)險提供了理論依據(jù)[3]。

目前，常用的信息安全風(fēng)險評估的方法有定量評估方法、定性評估方法和定性與定量相結(jié)合的綜合評估方法。其中，定量評估方法是根據(jù)信息系統(tǒng)中風(fēng)險相關(guān)數(shù)據(jù)，利用具體的評估算法計算出評估結(jié)果，并對結(jié)果進行分析，它能夠直觀地反應(yīng)評估結(jié)果，更容易被人們接受。但是該方法主要依賴于數(shù)學(xué)模型來描述風(fēng)險，在量化的過程中將原本復(fù)雜的事物理想化，一般適用于風(fēng)險評估材料齊全且數(shù)學(xué)理論基礎(chǔ)較好的情況，常見的定量評估方法有Markov分析法、聚類分析方法、決策樹分析方法、風(fēng)險審計技術(shù)等。定性評估方法是評估者利用自己擁有的專業(yè)知識和積累的經(jīng)驗對信息系統(tǒng)存在的風(fēng)險進行識別和評價，并提出應(yīng)對風(fēng)險的安全控制措施。它對評估者知識和經(jīng)驗的要求較高，一般適用于風(fēng)險評估數(shù)據(jù)不全或者數(shù)學(xué)理論基礎(chǔ)較為薄弱的情況，常見的定性評估方法有故障樹分析法（FTA）、故障模式影響及危害性分析方法（RMECA）、德爾菲法（Delphi）等。在風(fēng)險評估的實際過程中，采用較多的是定性與定量相結(jié)合的綜合風(fēng)險評估方法，該方法可以將復(fù)雜問題按照層次化結(jié)構(gòu)分解成多個簡單的問題進行分析，大大節(jié)省了評估時間、人力和費用，提高了風(fēng)險評估的準確性和效率，常見的定性與定量相結(jié)合的綜合評估方法有層次分析法。

1.3 信息安全風(fēng)險評估的模型[4]

信息安全風(fēng)險評估模型是信息安全風(fēng)險評估的理論基礎(chǔ)，是提高信息安全風(fēng)險評估準確性和效率的重要前提。信息安全風(fēng)險評估模型如圖1所示，造成信息安全風(fēng)險的主要因素有威脅、信息資產(chǎn)、信息系統(tǒng)的脆弱性及漏洞和未被控制的殘余風(fēng)險，信息系統(tǒng)的威脅越大、脆弱性越暴露、漏洞越多、信息資產(chǎn)的價值越大、未被控制的風(fēng)險越多，則信息系統(tǒng)面臨的風(fēng)險也越多，風(fēng)險越多，信息系統(tǒng)的安全性越低。業(yè)務(wù)系統(tǒng)主要依賴于服務(wù)器和軟件等信息資產(chǎn)，業(yè)務(wù)系統(tǒng)越關(guān)鍵，對服務(wù)器等硬件和軟件資源的要求就越高，被攻擊的價值也就越大，面臨的風(fēng)險也就越大。資產(chǎn)的價值和防范風(fēng)險的意識會導(dǎo)出信息系統(tǒng)的安全需求。當信息系統(tǒng)的安全需求被相應(yīng)的安全控制措施滿足時，就會降低發(fā)生風(fēng)險的概率。然而有些風(fēng)險由于成本過高、控制難度較大，往往不進行控制，這部分不被控制的風(fēng)險具有潛在的威脅，應(yīng)該受到密切監(jiān)視，它可能會增加信息系統(tǒng)的風(fēng)險。

圖1 信息安全的風(fēng)險評估模型

2 高校信息安全面臨的風(fēng)險及應(yīng)對策略分析

隨著高校數(shù)字化校園建設(shè)和信息化建設(shè)的不斷推進，高校業(yè)務(wù)處理對信息系統(tǒng)的依賴性越來越強。由于部分高校缺乏危機意識、防范風(fēng)險的制度和措施，沒有一套完善的信息系統(tǒng)風(fēng)險評估體系預(yù)防風(fēng)險，當遇到信息安全的突發(fā)事件時，只能被動地采用“救火式”的方法處理風(fēng)險危機，使得信息系統(tǒng)面臨的風(fēng)險不斷增加。為了及時應(yīng)對信息系統(tǒng)面臨的各種風(fēng)險威脅，各個部門、各個環(huán)節(jié)應(yīng)密切配合、協(xié)調(diào)，對高校信息安全面臨的各種風(fēng)險及應(yīng)對策略應(yīng)進行調(diào)研分析，建立信息安全的風(fēng)險評估體系，實現(xiàn)風(fēng)險評估的規(guī)范化和制度化，逐步形成監(jiān)控風(fēng)險和控制風(fēng)險的有效機制[5]。

2.1 高校信息安全面臨的風(fēng)險分析

高校信息安全面臨的風(fēng)險一般可以分為技術(shù)脆弱性/漏洞風(fēng)險和非技術(shù)性風(fēng)險[6]。

2.1.1 技術(shù)脆弱性/漏洞風(fēng)險

高校信息系統(tǒng)面臨的技術(shù)性/漏洞風(fēng)險主要包括數(shù)據(jù)存儲風(fēng)險、系統(tǒng)權(quán)限設(shè)置風(fēng)險、軟件編碼風(fēng)險、硬件設(shè)備風(fēng)險和網(wǎng)絡(luò)安全風(fēng)險等。其中數(shù)據(jù)存儲風(fēng)險主要體現(xiàn)在數(shù)據(jù)存儲空間不足、數(shù)據(jù)備份策略不健全、數(shù)據(jù)庫安全性低容易導(dǎo)致SQL注入篡改數(shù)據(jù)庫中的數(shù)據(jù)、數(shù)據(jù)不被加密在傳輸過程中容易被篡改或刪除、數(shù)據(jù)庫結(jié)構(gòu)不合理等方面；系統(tǒng)設(shè)置權(quán)限風(fēng)險主要體現(xiàn)在訪問控制策略失效、系統(tǒng)訪問權(quán)限過大、客戶身份認證失敗等；軟件編碼風(fēng)險主要體現(xiàn)在操作失誤、系統(tǒng)漏洞、系統(tǒng)接口不安全、代碼健壯性差、系統(tǒng)運行環(huán)境改變等；硬件設(shè)備風(fēng)險主要體現(xiàn)在服務(wù)器配置過低、物理設(shè)備損壞、網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)硬件防護設(shè)備不齊全等；網(wǎng)絡(luò)安全風(fēng)險主要體現(xiàn)在網(wǎng)絡(luò)惡意攻擊使網(wǎng)絡(luò)癱瘓、服務(wù)劫持、拒絕服務(wù)、利用端口漏洞破壞系統(tǒng)、內(nèi)外網(wǎng)設(shè)置缺陷、網(wǎng)站掛馬、非法訪問系統(tǒng)、竊取和篡改網(wǎng)絡(luò)傳輸數(shù)據(jù)等。

2.1.2 非技術(shù)性風(fēng)險

高校信息系統(tǒng)面臨的非技術(shù)性風(fēng)險主要包括人為疏忽行為、管理不到位、技術(shù)失效、蓄意行為和不可抗拒風(fēng)險等。其中人為疏忽行為主要體現(xiàn)在由于人為過失或非法操作導(dǎo)致服務(wù)器硬件損壞，系統(tǒng)和數(shù)據(jù)無法恢復(fù)等；管理不到位主要體現(xiàn)在沒有安裝殺毒軟件、沒有做系統(tǒng)備份策略和系統(tǒng)安全防護策略等；技術(shù)失效主要體現(xiàn)在硬件壽命設(shè)計缺陷、軟件服務(wù)到期、軟件后門等；蓄意行為主要體現(xiàn)在惡意軟件、系統(tǒng)設(shè)備帶木馬程序、蓄意泄漏機密文件、黑客與信息敲詐等；不可抗拒風(fēng)險主要體現(xiàn)為地震、雷擊等自然災(zāi)害造成的風(fēng)險。

2.2 高校信息安全面臨的風(fēng)險應(yīng)對策略分析

在對信息安全進行風(fēng)險評估時，可以根據(jù)風(fēng)險評估等級、風(fēng)險發(fā)生概率大小、風(fēng)險影響大小、控制風(fēng)險的難易程度和風(fēng)險管理的成本，給出處理與應(yīng)對風(fēng)險的相應(yīng)策略，供高校決策部門和相關(guān)技術(shù)部門參考，來降低風(fēng)險對信息系統(tǒng)的影響。高校應(yīng)對信息安全面臨風(fēng)險的應(yīng)對策略主要有風(fēng)險規(guī)避、風(fēng)險轉(zhuǎn)嫁、風(fēng)險預(yù)防、風(fēng)險控制、風(fēng)險承受和風(fēng)險追蹤等。其中風(fēng)險規(guī)避是高校在風(fēng)險發(fā)生之前，采取相關(guān)技術(shù)措施消除風(fēng)險因素，避免風(fēng)險發(fā)生；風(fēng)險轉(zhuǎn)嫁是高校不能完全避免風(fēng)險發(fā)生時，為了降低風(fēng)險造成的損失，將風(fēng)險轉(zhuǎn)嫁給其他組織或個人承擔，并支付風(fēng)險承擔者一定費用；風(fēng)險預(yù)防是高校在風(fēng)險發(fā)生之前密切監(jiān)視風(fēng)險的動態(tài)，采取相應(yīng)風(fēng)險防范措施，以降低風(fēng)險發(fā)生的概率；風(fēng)險控制是高校在風(fēng)險發(fā)生時采取各種技術(shù)手段降低風(fēng)險影響后果，縮小風(fēng)險影響范圍等；風(fēng)險承受是高校在綜合考慮控制風(fēng)險難度、控制風(fēng)險花費、風(fēng)險發(fā)生概率和高校風(fēng)險承受能力等情況下，選擇自行承擔風(fēng)險的方式；風(fēng)險追蹤是高校在發(fā)現(xiàn)風(fēng)險時，對風(fēng)險的來源及發(fā)起者進行跟蹤，查到根源后追究其相應(yīng)責(zé)任，客觀上可以降低風(fēng)險發(fā)生的頻率。

3 高校信息安全的風(fēng)險評估過程[7]

高校信息安全風(fēng)險評估過程包括風(fēng)險評估目標確定、風(fēng)險識別、風(fēng)險評價、風(fēng)險控制策略選擇和風(fēng)險評估效果分析幾個環(huán)節(jié)，這些環(huán)節(jié)是相輔相成，缺一不可的。

3.1 風(fēng)險評估目標確定

風(fēng)險評估目標是高校開展信息安全風(fēng)險評估的首要步驟。高校在對信息安全進行風(fēng)險評估時，應(yīng)當制定準確的風(fēng)險評估目標。風(fēng)險評估目標主要包括風(fēng)險評價標準、風(fēng)險因素標準、風(fēng)險控制目標、風(fēng)險控制費用標準、風(fēng)險防范措施制定、風(fēng)險評估效果評價、風(fēng)險發(fā)生后果影響等。

3.2 風(fēng)險識別

風(fēng)險識別是高校信息安全風(fēng)險評估過程中最重要也最難的環(huán)節(jié)。風(fēng)險識別直接關(guān)系到風(fēng)險評價結(jié)果及風(fēng)險等級的確定，關(guān)系到風(fēng)險控制策略的選擇，如果不能正確識別風(fēng)險，就不能采取正確的風(fēng)險控制策略去規(guī)避和控制風(fēng)險，會大大增加風(fēng)險發(fā)生的可能性。

3.3 風(fēng)險評價

風(fēng)險評價是高校信息安全風(fēng)險評估過程中的主要環(huán)節(jié)。它主要包括對風(fēng)險成因、發(fā)生概率、影響范圍、威脅程度、損失大小等因素進行定性和定量分析，通過特定的風(fēng)險評估方法進行測算分析，確定風(fēng)險的等級及危害程度。

3.4 風(fēng)險控制策略選擇

高校在綜合考慮風(fēng)險承受能力、風(fēng)險控制費用、風(fēng)險危害程度、風(fēng)險發(fā)生概率和風(fēng)險評估目標等因素的基礎(chǔ)上，根據(jù)風(fēng)險評價結(jié)果，選取相應(yīng)的風(fēng)險控制策略，來降低風(fēng)險發(fā)生的概率及帶來的危害。

3.5 風(fēng)險評估效果分析

風(fēng)險評估效果分析是高校結(jié)合自身的實際情況對風(fēng)險評估等級的判斷是否準確、風(fēng)險識別的準確性、風(fēng)險評估目標是否達標、風(fēng)險控制策略是否得當、風(fēng)險評估過程的科學(xué)性、風(fēng)險評估數(shù)據(jù)和算法的合理性進行綜合分析的過程。它對高校提高信息安全風(fēng)險評估的準確性和科學(xué)性有一定的指導(dǎo)作用。

4 結(jié)語

高校信息安全風(fēng)險評估是一個系統(tǒng)化工程。建立高校信息安全評估體系，加強風(fēng)險防范意識，可以使高校有效預(yù)防和控制信息安全中出現(xiàn)的各種風(fēng)險，降低風(fēng)險發(fā)生的概率，減少風(fēng)險帶來的損失，為高校的穩(wěn)定發(fā)展提供重要保障。

［1］劉瑩，顧衛(wèi)東.信息安全風(fēng)險評估研究綜述［J］．青島大學(xué)學(xué)報：工程技術(shù)版，2008（6）：37-43

［2］徐輝.高校風(fēng)險評估管理體系研究［J］.浙江工貿(mào)職業(yè)技術(shù)學(xué)院學(xué)報，2008（9）：59-64.

［3］李鶴田，劉云，等.信息系統(tǒng)安全風(fēng)險評估研究綜述［J］.中國安全科學(xué)學(xué)報，2006（1）：108-113.

［4］衛(wèi)成業(yè).信息安全風(fēng)險評估模型［J］.學(xué)術(shù)與技術(shù)，2002（4）10-15.

［5］陳健，吉久明，等.基于單威脅分析的高校綜合信息安全風(fēng)險評估方法研究［J］.情報雜志2013（2）：169-173.

［6］丁倩，劉天楨.基于結(jié)構(gòu)方程模型的兩類信息安全風(fēng)險綜合評估［J］.武漢理工大學(xué)學(xué)報：信息與管理工程版，2014（12）：862-865.

［7］楊永清，孫媛媛.高校信息安全風(fēng)險評估探索［J］.科技情報開發(fā)與經(jīng)濟，2006（6）：100-102.