岳小金 徐 軍

（1.鄭州熱力總公司，河南 鄭州 450000；2.蚌埠坦克學(xué)院，安徽 蚌埠 233050）

企業(yè)辦公自動(dòng)化信息安全風(fēng)險(xiǎn)評(píng)估研究

岳小金1徐 軍2

（1.鄭州熱力總公司，河南 鄭州 450000；2.蚌埠坦克學(xué)院，安徽 蚌埠 233050）

文章介紹了一種企業(yè)辦公自動(dòng)化風(fēng)險(xiǎn)評(píng)估體系，從風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、匯報(bào)驗(yàn)收四個(gè)階段，逐步分析了企業(yè)辦公自動(dòng)化信息安全風(fēng)險(xiǎn)評(píng)估的流程，為企業(yè)辦公自動(dòng)化風(fēng)險(xiǎn)評(píng)估提供依據(jù)。

企業(yè)辦公自動(dòng)化；信息安全；風(fēng)險(xiǎn)評(píng)估

（一）引言

辦公自動(dòng)化（Office Automation，簡(jiǎn)稱OA）是指利用計(jì)算機(jī)技術(shù)、通信技術(shù)、系統(tǒng)科學(xué)、管理科學(xué)等先進(jìn)的科學(xué)技術(shù)，不斷使人們的部分辦公業(yè)務(wù)活動(dòng)物化于人以外的各種現(xiàn)代化的辦公設(shè)備中，最大限度地提高辦公效率和改進(jìn)辦公質(zhì)量，改善辦公環(huán)境和條件，縮短辦公周期，并利用科學(xué)的管理方法，借助于各種先進(jìn)技術(shù)，輔助決策，提高管理和決策的科學(xué)化水平，以實(shí)現(xiàn)辦公活動(dòng)的科學(xué)化和自動(dòng)化[1]。而信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全工程的重要組成部分，是信息安全建設(shè)的基礎(chǔ)和起點(diǎn)。當(dāng)前，各個(gè)企業(yè)在大力進(jìn)行辦公自動(dòng)化建設(shè)的同時(shí)，信息安全問題也變得日益突出。企業(yè)內(nèi)部的各種信息安全隱患會(huì)給企業(yè)辦公自動(dòng)化的信息安全保密工作帶來(lái)各種威脅。盡管殺毒軟件、防火、入侵檢測(cè)系統(tǒng)、漏洞掃描等安全技術(shù)的使用在一定程度上提高了系統(tǒng)的安全性，然而，由于眾多安全設(shè)備產(chǎn)生了海量的安全事件，管理人員難以通過人工的方式對(duì)這些信息進(jìn)行有效的管理，因而無(wú)法獲得系統(tǒng)全局的安全態(tài)勢(shì)。而管理人員缺乏對(duì)系統(tǒng)全局風(fēng)險(xiǎn)狀況的了解又使得各種安全措施與其實(shí)際所防護(hù)的業(yè)務(wù)無(wú)法有效的關(guān)聯(lián)，安全預(yù)警、安全保護(hù)、應(yīng)急響應(yīng)等各子系統(tǒng)難以取得預(yù)期的效果。使得整個(gè)安全體系抗攻擊的能力較弱。

如何利用各種安全技術(shù)將信息系統(tǒng)面臨的風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)，是保證企業(yè)辦公自動(dòng)化信息系統(tǒng)處于較高安全水平的關(guān)鍵。而信息安全風(fēng)險(xiǎn)評(píng)估，則是控制風(fēng)險(xiǎn)，安全管理信息系統(tǒng)的一個(gè)較好解決方法。

（二）企業(yè)OA信息安全風(fēng)險(xiǎn)評(píng)估概述

1.什么是信息安全風(fēng)險(xiǎn)評(píng)估

所謂信息安全風(fēng)險(xiǎn)評(píng)估， 就是依照國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，從風(fēng)險(xiǎn)管理的角度，運(yùn)用定性、定量的科學(xué)分析方法和手段，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性進(jìn)行科學(xué)評(píng)價(jià)的過程，它系統(tǒng)的分析評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅利用后產(chǎn)生的負(fù)面影響， 并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)[2]。

2.信息安全風(fēng)險(xiǎn)評(píng)估的形式

信息安全風(fēng)險(xiǎn)評(píng)估主要包括自評(píng)估和檢查評(píng)估兩種形式。自評(píng)估是指各信息系統(tǒng)使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的安全信息風(fēng)險(xiǎn)評(píng)估。檢查評(píng)估是指由保密部門或信息系統(tǒng)使用單位的主管部門發(fā)起的安全信息風(fēng)險(xiǎn)評(píng)估。

自評(píng)估的優(yōu)點(diǎn)是可經(jīng)常實(shí)施，能夠及時(shí)發(fā)現(xiàn)問題并做出整改；缺點(diǎn)是客觀性、公正性比較差，評(píng)估水平比較低；檢測(cè)評(píng)估的優(yōu)點(diǎn)是專業(yè)機(jī)構(gòu)實(shí)施，能夠保證客觀性和公正性，評(píng)估的水平較高；缺點(diǎn)是受各種條件制約不能經(jīng)常實(shí)施。我們應(yīng)把兩者結(jié)合起來(lái)將自評(píng)估作為風(fēng)險(xiǎn)評(píng)估的主要方式經(jīng)常實(shí)施，并把檢測(cè)評(píng)估作為風(fēng)險(xiǎn)評(píng)估的重要手段定期進(jìn)行。

3.信息安全風(fēng)險(xiǎn)評(píng)估的作用意義

通過進(jìn)行風(fēng)險(xiǎn)評(píng)估工作，運(yùn)用專門的技術(shù)手段和檢測(cè)設(shè)備，可以及時(shí)發(fā)現(xiàn)信息安全可能存在的各種問題，找到解決問題的方法，及早化解風(fēng)險(xiǎn)，提高信息安全性。風(fēng)險(xiǎn)評(píng)估是信息安全建設(shè)的基礎(chǔ)和起點(diǎn)，只有對(duì)系統(tǒng)信息安全進(jìn)行正確而全面的風(fēng)險(xiǎn)評(píng)估后，才能夠在控制風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)之間做出正確的判斷，采取適當(dāng)?shù)拇胧┤セ?、控制風(fēng)險(xiǎn)。

（三）企業(yè)辦公自動(dòng)化信息安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀分析

企業(yè)辦公自動(dòng)化的信息系統(tǒng)涉及到了企業(yè)安全生產(chǎn)的問題，屬于涉密信息系統(tǒng)。加之目前我國(guó)的信息化建設(shè)在關(guān)鍵技術(shù)、關(guān)鍵設(shè)備上還受制于人。因而企業(yè)辦公自動(dòng)化的信息安全防護(hù)工作還任重道遠(yuǎn)，只有認(rèn)真分析企業(yè)辦公自動(dòng)化在安全風(fēng)險(xiǎn)評(píng)估方面的狀況，才能更好的依靠信息安全風(fēng)險(xiǎn)評(píng)估為信息安全建設(shè)打下堅(jiān)實(shí)基礎(chǔ)。

目前企業(yè)辦公自動(dòng)化的信息安全風(fēng)險(xiǎn)評(píng)估還存在著一些問題，主要體現(xiàn)在以下幾點(diǎn)：第一，對(duì)風(fēng)險(xiǎn)評(píng)估的重要性認(rèn)識(shí)不夠，防護(hù)手段單一，認(rèn)為只要有了防火墻、殺毒軟件等安全防護(hù)產(chǎn)品就夠了；第二，基本沒有進(jìn)行過自評(píng)估，不能及時(shí)發(fā)現(xiàn)系統(tǒng)存在的隱患；第三，缺乏風(fēng)險(xiǎn)評(píng)估方面的專門人才；第四，即使對(duì)風(fēng)險(xiǎn)評(píng)估有一定認(rèn)識(shí)，但由于標(biāo)準(zhǔn)技術(shù)的滯后，無(wú)法做出規(guī)范有效的評(píng)估；第五，風(fēng)險(xiǎn)評(píng)估的角色、責(zé)任混亂；第六，有些企業(yè)雖然進(jìn)行了風(fēng)險(xiǎn)評(píng)估，但在風(fēng)險(xiǎn)評(píng)估結(jié)束后沒有對(duì)評(píng)估結(jié)果采取任何對(duì)策，僅僅是為了評(píng)估而評(píng)估。

（四）企業(yè)辦公自動(dòng)化信息安全風(fēng)險(xiǎn)評(píng)估體系結(jié)構(gòu)

下面我們根據(jù)企業(yè)辦公自動(dòng)化的自身特點(diǎn)，介紹一種可操作的基于模型的信息安全風(fēng)險(xiǎn)評(píng)估體系。

根據(jù)我國(guó)《信息安全風(fēng)險(xiǎn)評(píng)估指南》及其它國(guó)內(nèi)外風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)，信息安全風(fēng)險(xiǎn)與信息資產(chǎn)、威脅、脆弱性以及安全控制措施等諸多要素有關(guān)。我們制定出風(fēng)險(xiǎn)評(píng)估實(shí)施步驟的總體流程框圖，如圖1所示。

圖1 風(fēng)險(xiǎn)評(píng)估實(shí)施步驟流程圖

整個(gè)實(shí)施流程又大體分為準(zhǔn)備階段、識(shí)別階段、分析階段和驗(yàn)收階段四個(gè)階段。

（1）準(zhǔn)備階段

準(zhǔn)備階段主要進(jìn)行是前期的準(zhǔn)備工作。它包括明確風(fēng)險(xiǎn)評(píng)估的目標(biāo)，確定評(píng)估的范圍，建立適當(dāng)?shù)慕M織結(jié)構(gòu)，確立適當(dāng)?shù)脑u(píng)估方法以及獲得企業(yè)領(lǐng)導(dǎo)對(duì)風(fēng)險(xiǎn)評(píng)估策劃的批準(zhǔn)

等。準(zhǔn)備階段的工作較為瑣碎，但它是風(fēng)險(xiǎn)評(píng)估實(shí)施的基礎(chǔ)。細(xì)致、充分的準(zhǔn)備，合理、精確的計(jì)劃是風(fēng)險(xiǎn)評(píng)估能夠順利實(shí)施的關(guān)鍵所在。

作為企業(yè)辦公自動(dòng)化，對(duì)信息系統(tǒng)的安全性要求比較高，應(yīng)確保各種涉密資料的安全；評(píng)估的范圍應(yīng)包括系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)設(shè)備、管理制度、同信息系統(tǒng)相關(guān)的人員以及系統(tǒng)的文檔、數(shù)據(jù)維護(hù)等。在制定風(fēng)險(xiǎn)評(píng)估方案時(shí)應(yīng)當(dāng)重點(diǎn)考慮以上需求特點(diǎn)。

（2）風(fēng)險(xiǎn)識(shí)別階段

風(fēng)險(xiǎn)識(shí)別階段主要是根據(jù)準(zhǔn)備階段所確立的實(shí)施方案，識(shí)別資產(chǎn)、威脅、脆弱性等構(gòu)成信息安全風(fēng)險(xiǎn)的要素，以及對(duì)已有安全性的確認(rèn)，為下一階段的風(fēng)險(xiǎn)分析收集必要的基礎(chǔ)數(shù)據(jù)。

識(shí)別階段主要對(duì)資產(chǎn)、威脅、脆弱性三個(gè)根本的風(fēng)險(xiǎn)要素的各個(gè)分類進(jìn)行篩選、賦值，以得到量化了的風(fēng)險(xiǎn)評(píng)估、分析的依據(jù)。

分類后還要將三個(gè)根本要素的子層因素按照《信息安全風(fēng)險(xiǎn)評(píng)估指南》中所制定的國(guó)內(nèi)標(biāo)準(zhǔn)進(jìn)行賦值。其中資產(chǎn)賦值是通過資產(chǎn)機(jī)密性、資產(chǎn)完整性、資產(chǎn)可用性三種不同的安全屬性的分別賦值而得到的綜合考慮，每種屬性的賦值都從1至5依次對(duì)應(yīng)可忽略、低、中等、高、極高五種標(biāo)識(shí)；威脅賦值是評(píng)估者通過經(jīng)驗(yàn)或統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅發(fā)生的概率。等級(jí)也是1至5，依次對(duì)應(yīng)很低、低、中、高、很高五種威脅發(fā)生的可能性；脆弱性賦值采用定性的相對(duì)等級(jí)方式，找到每種威脅可能利用的脆弱性，并對(duì)其嚴(yán)重程度進(jìn)行評(píng)估。同樣劃分了1至5五個(gè)等級(jí)，依次對(duì)應(yīng)很低、低、中、高、很高五個(gè)級(jí)別的某種資產(chǎn)脆弱程度。

此外，對(duì)已有安全措施的確認(rèn)也是識(shí)別階段的一項(xiàng)內(nèi)容。它可以對(duì)已采取的風(fēng)險(xiǎn)控制措施進(jìn)行識(shí)別并對(duì)控制措施的有效性進(jìn)行驗(yàn)證，繼續(xù)保持有效的風(fēng)險(xiǎn)控制措施，以避免不必要的工作和浪費(fèi)，防止控制措施的重復(fù)實(shí)施。

（3）風(fēng)險(xiǎn)分析階段

風(fēng)險(xiǎn)分析階段主要是將經(jīng)過風(fēng)險(xiǎn)識(shí)別階段，得到影響被評(píng)估信息系統(tǒng)安全風(fēng)險(xiǎn)的基本數(shù)據(jù)進(jìn)行分析計(jì)算。這些數(shù)據(jù)主要來(lái)自資產(chǎn)、威脅、脆弱性和安全控制措施等。之后應(yīng)在考慮已有安全措施的情況下，從潛在安全事件的影響和可能性兩個(gè)方面分析和計(jì)算信息安全風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)計(jì)算是利用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響計(jì)算得出資產(chǎn)的安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)計(jì)算的原理形式化可描述為：

上式中，R表示風(fēng)險(xiǎn)，A表示資產(chǎn)，V表示脆弱性，T表示威脅，Ia表示資產(chǎn)的重要程度；Va表示某一資產(chǎn)本身的脆弱性，L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。模型示意圖如圖2所示。

圖2 風(fēng)險(xiǎn)計(jì)算模型示意圖

在確定了信息安全風(fēng)險(xiǎn)之后，還應(yīng)在風(fēng)險(xiǎn)分析階段提交出風(fēng)險(xiǎn)分析報(bào)告以及風(fēng)險(xiǎn)控制管理建議等書面報(bào)告。應(yīng)從接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)三個(gè)方面來(lái)考慮風(fēng)險(xiǎn)控制管理的建議。對(duì)安全風(fēng)險(xiǎn)決策后，應(yīng)明確企業(yè)辦公自動(dòng)化的信息系統(tǒng)所要接受的殘余風(fēng)險(xiǎn)。

（4）匯報(bào)驗(yàn)收階段

本階段主要是按照評(píng)估方案所確定的流程，完成最后評(píng)估項(xiàng)目的總結(jié)和驗(yàn)收工作。將上一步驟所提出的風(fēng)險(xiǎn)分析報(bào)告以及風(fēng)險(xiǎn)控制管理建議，送企業(yè)領(lǐng)導(dǎo)審批，通過后按決策的意見實(shí)施各項(xiàng)安全措施。由于企業(yè)辦公自動(dòng)化在安全性上的特殊要求，實(shí)施過程要始終在監(jiān)督下進(jìn)行，以確保決策的完全執(zhí)行。

（五）結(jié)束語(yǔ)

隨著企業(yè)信息化建設(shè)的不斷發(fā)展、計(jì)算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)技術(shù)的成熟，企業(yè)OA系統(tǒng)的功能將不斷擴(kuò)展，OA系統(tǒng)將更加完善。信息安全風(fēng)險(xiǎn)評(píng)估作為信息系統(tǒng)安全工程的重要組成部分，也是企業(yè)辦公自動(dòng)化信息系統(tǒng)安全的可靠保證。我們不應(yīng)把它理解成為一個(gè)產(chǎn)品、工具，而應(yīng)該是一個(gè)體系，一個(gè)過程。完善的風(fēng)險(xiǎn)評(píng)估體系應(yīng)當(dāng)包括相應(yīng)的組織架構(gòu)、標(biāo)準(zhǔn)體系和技術(shù)體系。隨著信息安全風(fēng)險(xiǎn)評(píng)估逐漸被重視，國(guó)家的各種配套的安全標(biāo)準(zhǔn)將會(huì)更加健全，各種評(píng)估模型、評(píng)估方法、評(píng)估工具也會(huì)更加完善。我們要充分利用信息安全風(fēng)險(xiǎn)評(píng)估為企業(yè)辦公自動(dòng)化的信息安全保駕護(hù)航。

[1] 張衛(wèi).企業(yè)OA建設(shè)現(xiàn)狀及發(fā)展趨勢(shì)[J].辦公自動(dòng)化,2008,(18):22-23.

[2] 吳亞非,李新友,等.國(guó)家信息中心信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)資料[P].北京,2006.

TP317.1

A

1008-1151(2010)04-0061-02

2010-01-12

岳小金（1971－），男，河南焦作人，鄭州熱力總公司工程師；徐軍（1972－），男，安徽淮北人，蚌埠坦克學(xué)院教育技術(shù)中心副主任，講師，碩士研究生，研究方向?yàn)樾畔⑻幚?、網(wǎng)絡(luò)安全。