摘要：與世界其他國(guó)家特別是發(fā)達(dá)國(guó)家相比，我國(guó)對(duì)于信息的研究歷程較短；隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，也正在不斷暴露出網(wǎng)絡(luò)安全問(wèn)題；而建立信息安全體系的基礎(chǔ)就是有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估，它是構(gòu)成信息系統(tǒng)安全工程的一個(gè)重要部分；基于此，有關(guān)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估工作在當(dāng)前最需解決的幾個(gè)問(wèn)題，在此做了一些探討。

關(guān)鍵詞：信息安全、風(fēng)險(xiǎn)評(píng)估、重要問(wèn)題

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 17-0000-02

在現(xiàn)階段，由于快速發(fā)展的信息技術(shù)，致使那些極大影響著國(guó)計(jì)民生的關(guān)鍵信息資源，從其規(guī)模來(lái)看，具有越來(lái)越大的變化趨勢(shì)，至于其信息系統(tǒng)的結(jié)構(gòu)，具有越來(lái)越高的復(fù)雜程度；在當(dāng)前要促使我國(guó)國(guó)民經(jīng)濟(jì)的持續(xù)發(fā)展以及能夠順利進(jìn)行信息化建設(shè)，其中的一個(gè)關(guān)鍵因素就是要讓這些信息資源以及信息系統(tǒng)的安全性得到有力保障。而有關(guān)可用性、機(jī)密性以及完整性等等內(nèi)容正是信息安全目標(biāo)的具體表現(xiàn)。在當(dāng)前進(jìn)行安全建設(shè)一個(gè)出發(fā)點(diǎn)就是要進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，進(jìn)行風(fēng)險(xiǎn)評(píng)估具有很多重要意義，其中把傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)進(jìn)行有力改變，這是它的一個(gè)重要意義；有關(guān)，信息安全風(fēng)險(xiǎn)評(píng)估，其對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)的識(shí)別，主要是結(jié)合資產(chǎn)的重要程度來(lái)進(jìn)行，在遵循成本—效益這一原則的基礎(chǔ)上，當(dāng)信息系統(tǒng)面臨著以下這兩種情況時(shí)，對(duì)它進(jìn)行全面評(píng)估：第一種情況，當(dāng)信息系統(tǒng)面臨著威脅；第二種情況，當(dāng)信息系統(tǒng)因本身脆弱性而被威脅源所利用、導(dǎo)致本身可能出現(xiàn)安全問(wèn)題、由此可見(jiàn)，所謂信息安全風(fēng)險(xiǎn)評(píng)估，就是基于安全管理這個(gè)角度考慮，采用合理的手段和分析方法，對(duì)有關(guān)信息系統(tǒng)以及信息化業(yè)務(wù)，當(dāng)其面臨來(lái)自自然或者人為威脅時(shí)所產(chǎn)生的脆弱性進(jìn)行比較系統(tǒng)地分析，并對(duì)可能造成安全事件的危害程度進(jìn)行相應(yīng)的評(píng)估，在此基礎(chǔ)上，并能夠把那些具有防御效果的對(duì)策以及整改措施有針對(duì)性地提出來(lái)，以讓網(wǎng)絡(luò)和信息安全能夠得到最大的保障。

1 有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估中的幾個(gè)重要問(wèn)題的認(rèn)識(shí)

1.1 對(duì)有關(guān)網(wǎng)絡(luò)信息安全的主要內(nèi)容以及主要因素這個(gè)重要問(wèn)題的認(rèn)識(shí)

（1）有關(guān)網(wǎng)絡(luò)信息安全的主要內(nèi)容。所謂網(wǎng)絡(luò)信息安全，顧名思義就是指當(dāng)前網(wǎng)絡(luò)中各種各樣網(wǎng)絡(luò)信息的安全，這是從狹義這個(gè)層面來(lái)考慮的；如果從廣義這個(gè)層面來(lái)看，除了前面所提到的各種信息安全外，還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全，諸如各種軟硬件、存儲(chǔ)以及傳輸、數(shù)據(jù)以及數(shù)據(jù)處理等等使用過(guò)程?？偟目磥?lái)，網(wǎng)絡(luò)信息安全具有以下五大方面上的典型特征，如下表所示：

五大典型特征具體含義

①具有保密性特征也就是不準(zhǔn)把有關(guān)網(wǎng)絡(luò)信息泄漏給非授權(quán)的實(shí)體或者個(gè)人

②具有完整性特征也就是對(duì)于未經(jīng)授權(quán)的信息，一律不準(zhǔn)對(duì)其進(jìn)行修改或者加以破壞

③具有可用性特征對(duì)于那些合法的用戶，能夠正常訪問(wèn)相關(guān)的信息

④具有可控性特征能夠有效并且合法控制相關(guān)的信息內(nèi)容及其傳播過(guò)程

⑤具有可審查性特征為使能事后查詢核對(duì)，在信息使用過(guò)程中要而且必須有進(jìn)行相關(guān)的記錄

表一：網(wǎng)絡(luò)信息安全的典型特征

（2）有關(guān)網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素。為了能夠?qū)@個(gè)網(wǎng)絡(luò)信息安全問(wèn)題所具有的復(fù)雜性進(jìn)行有效解決并且能夠順利地找到一個(gè)解決或者考慮這類問(wèn)題的出發(fā)點(diǎn)，就必須從研究有關(guān)網(wǎng)絡(luò)信息安全的那些風(fēng)險(xiǎn)因素入手，為了更好地認(rèn)識(shí)和研究有關(guān)這些網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素，在現(xiàn)階段，可以把它們分為幾大類型，如下表所示：

主要類型具體內(nèi)容

①來(lái)自自然方面的因素例如火災(zāi)、水災(zāi)、地震、雷電、臺(tái)風(fēng)、寒潮、海嘯等等

②來(lái)自網(wǎng)絡(luò)硬件方面的因素例如機(jī)房的（路由器、交換機(jī)以及服務(wù)器）等，因受外界因素（溫度、濕度、灰塵、電磁干擾）等所產(chǎn)生的影響

③來(lái)自軟件方面的因素主要包括①機(jī)房設(shè)備（機(jī)房服務(wù)器和管理軟件等），②用戶計(jì)算機(jī)操作系統(tǒng)，③各種服務(wù)器數(shù)據(jù)庫(kù)配置的合理性與否，④殺毒軟件、防火墻等等其他應(yīng)用軟件

④來(lái)自人為方面的因素具體包括那些對(duì)網(wǎng)絡(luò)信息進(jìn)行使用和管理的種種行為所帶來(lái)的種種影響，諸如惡意代碼、木馬攻擊、操作失誤、數(shù)據(jù)泄露、騙取口令、拒絕服務(wù)等等

表二：網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素的主要類型

1.2 對(duì)有關(guān)安全風(fēng)險(xiǎn)評(píng)估方法這個(gè)重要問(wèn)題的認(rèn)識(shí)

（1）有關(guān)定制個(gè)性化這種評(píng)估方法。在當(dāng)前有關(guān)比較標(biāo)準(zhǔn)的評(píng)估方法極其流程雖然已經(jīng)有了很多種，但是在具體的實(shí)際應(yīng)用當(dāng)中，單純的套用或者拷貝這些方法是不可取的，比較正確的做法應(yīng)該是把它們作為一個(gè)參考，結(jié)合企業(yè)的具體情況以及企業(yè)相關(guān)安全風(fēng)險(xiǎn)評(píng)估方面的能力，對(duì)這些標(biāo)準(zhǔn)的評(píng)估方法進(jìn)行重新組合，以產(chǎn)生出具有個(gè)性化特點(diǎn)的評(píng)估方法，從而促使相關(guān)進(jìn)行的評(píng)估服務(wù)能夠具有靈活性以及可裁剪性的特點(diǎn)。具體的評(píng)估種類比較多，諸如網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估、IT安全評(píng)估、滲透測(cè)試以及整體評(píng)估等等。

（2）有關(guān)安全整體框架的設(shè)計(jì)。進(jìn)行風(fēng)險(xiǎn)評(píng)估，其目的不僅僅要懂得風(fēng)險(xiǎn)，更為重要的是要進(jìn)行風(fēng)險(xiǎn)管理并為之提供所需要的依據(jù)。管理風(fēng)險(xiǎn)，其安全整體框架在于評(píng)估的直接輸出；但是對(duì)于具體的企業(yè)來(lái)說(shuō)，由于它們所處的環(huán)境不一樣，各自的需求也都不相同，此外，從他們工作層面這個(gè)角度考慮，其可供參考的模版都不是很多，這就到來(lái)了不是很多的整體框架應(yīng)用。但是，把最近一、兩年內(nèi)的框架完成好，這是企業(yè)至少也要做到的，這樣才有可能做到有據(jù)可依。

（3）有關(guān)多用戶決策的評(píng)估。由于不同的問(wèn)題可以被不同層面的用戶所看到，因而要對(duì)風(fēng)險(xiǎn)進(jìn)行全面了解，有關(guān)多用戶溝通評(píng)估這項(xiàng)工作就要經(jīng)常進(jìn)行。把多用戶的相關(guān)決策過(guò)程取自于其評(píng)估過(guò)程，將大大有利對(duì)風(fēng)險(xiǎn)進(jìn)行全面的了解和深入的理解，并且能夠把對(duì)風(fēng)險(xiǎn)的管理真正落實(shí)到行動(dòng)上。很多實(shí)踐表明，讓多用戶共同參與，具有非常顯著的效果。因此，進(jìn)行多用戶相關(guān)的決策評(píng)估，具有一個(gè)具體的方法以及流程也顯得極其重要。

1.3 對(duì)有關(guān)風(fēng)險(xiǎn)評(píng)估過(guò)程這個(gè)重要問(wèn)題的認(rèn)識(shí)

（1）準(zhǔn)備階段—前期。在這一階段，主要的工作有，首先要明確所評(píng)估的目標(biāo)；其次是對(duì)于所涉及的評(píng)估范圍要進(jìn)行確定，并且要把相關(guān)的協(xié)議以及合同簽署好；最后要把已經(jīng)存在的那些被評(píng)估對(duì)象的相關(guān)材料進(jìn)行接收，并就此對(duì)評(píng)估對(duì)象展開(kāi)其研究調(diào)查工作。

（2）現(xiàn)場(chǎng)階段—中期。在這一階段，相關(guān)測(cè)評(píng)方案要進(jìn)行編寫(xiě)，并且要把相應(yīng)的管理問(wèn)卷以及現(xiàn)場(chǎng)測(cè)試表準(zhǔn)備好，在這個(gè)基礎(chǔ)上，再把調(diào)查研究階段以及現(xiàn)場(chǎng)階段的測(cè)試有條不紊地進(jìn)行開(kāi)展。

（3）評(píng)估階段—后期。在最后這一階段，要把測(cè)試報(bào)告進(jìn)行系統(tǒng)編寫(xiě)，相關(guān)調(diào)查研究要進(jìn)行相應(yīng)的補(bǔ)充和完善，在把這兩項(xiàng)重要工作完成后，評(píng)估者要據(jù)此得出最終的風(fēng)險(xiǎn)評(píng)估報(bào)告。

2 結(jié)束語(yǔ)

總而言之，建設(shè)信息系統(tǒng)管理體系和安全體系的基礎(chǔ)就是信息安全風(fēng)險(xiǎn)評(píng)估；進(jìn)行風(fēng)險(xiǎn)評(píng)估，不僅可以讓信息系統(tǒng)的安全狀況得到進(jìn)一步的明確，也可以讓信息系統(tǒng)的主要安全風(fēng)險(xiǎn)得到進(jìn)一步的明確；因此，在當(dāng)前進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，對(duì)于及早發(fā)現(xiàn)信息系統(tǒng)的安全隱患并且采取相應(yīng)的防御方案以保證信息系統(tǒng)安全具有極其重要的意義。

參考文獻(xiàn)：

[1]王毅剛.信息安全風(fēng)險(xiǎn)評(píng)估的策劃[J].信息技術(shù)與標(biāo)準(zhǔn)化，2008，9.

[2]賈穎禾.信息安全風(fēng)險(xiǎn)評(píng)估[J].中國(guó)計(jì)算機(jī)用戶，2004，24.

[作者簡(jiǎn)介]陳科（1983-），男，河南西平，助理工程師，工程碩士，河南省電子產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)所，信息安全；李承浩（1985-），男，河南駐馬店，工程師，大學(xué)本科，河南省電子產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)所，信息安全；吳蓓蓓（1985-），女，河南三門(mén)峽，工程師，大學(xué)本科，黃河水利委員會(huì)信息中心。