廖桂梅

（廣東互維科技有限公司 廣東廣州 510663）

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評價(jià)方法探微

廖桂梅

（廣東互維科技有限公司 廣東廣州 510663）

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評價(jià)可為構(gòu)建可靠、安全的系統(tǒng)提供支持，要做好安全評價(jià)方法的選擇與應(yīng)用，以提升風(fēng)險(xiǎn)評估效益。本文分析了計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評價(jià)作用與指標(biāo)體系，探究了評價(jià)準(zhǔn)則與方法，希望能為信息系統(tǒng)安全評價(jià)提供參考。

網(wǎng)絡(luò)信息系統(tǒng)；安全評價(jià)；風(fēng)險(xiǎn)評估；方法

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)作為近年來廣泛應(yīng)用于多個(gè)領(lǐng)域的重要技術(shù)，在協(xié)助生產(chǎn)、解決問題、方便生活等諸多方面有出色表現(xiàn)，但是由于計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)信息系統(tǒng)的特殊性，其運(yùn)行與應(yīng)用過程中承擔(dān)著巨大的網(wǎng)絡(luò)風(fēng)險(xiǎn)，做好系統(tǒng)安全維護(hù)與評價(jià)有助于降低運(yùn)行風(fēng)險(xiǎn)，改善應(yīng)用現(xiàn)狀。計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評價(jià)要立足于安全風(fēng)險(xiǎn)評估，結(jié)合系統(tǒng)具體運(yùn)行需求選擇針對性評價(jià)方法以作改善。

1 計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評價(jià)作用與指標(biāo)體系

1.1 安全評價(jià)作用

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全保障主要由安全管理、安全技術(shù)、安全組織三大體系構(gòu)成，保障信息安全的核心是風(fēng)險(xiǎn)評估，風(fēng)險(xiǎn)評估集中體現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)多個(gè)環(huán)節(jié)。

計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行與應(yīng)用離不開完善且準(zhǔn)確的風(fēng)險(xiǎn)評估，以風(fēng)險(xiǎn)評估為基礎(chǔ)，可對系統(tǒng)運(yùn)行時(shí)所面臨的外部威脅、內(nèi)部隱患等做出全面評價(jià)，有助于制定相應(yīng)的解決對策，改善運(yùn)行環(huán)境、降低運(yùn)行風(fēng)險(xiǎn)，達(dá)到預(yù)防、控制安全風(fēng)險(xiǎn)的目的。信息安全風(fēng)險(xiǎn)管理作為風(fēng)險(xiǎn)評估的重要環(huán)節(jié)，從信息系統(tǒng)建立、運(yùn)行、實(shí)施、維護(hù)等多個(gè)環(huán)節(jié)都離不開其作用，風(fēng)險(xiǎn)評估可發(fā)揮自身強(qiáng)大核查作用對各類安全標(biāo)準(zhǔn)等進(jìn)行驗(yàn)證、驗(yàn)收，提供具體的風(fēng)險(xiǎn)參數(shù)以供分析與參考，在維護(hù)過程中對安全技術(shù)、安全管理作用進(jìn)行核查及評價(jià)，以判斷系統(tǒng)對環(huán)境變化的適應(yīng)能力，在發(fā)現(xiàn)問題或出現(xiàn)技術(shù)故障時(shí)，及時(shí)采取針對性處理舉措予以解決。

1.2 安全評價(jià)指標(biāo)體系

系統(tǒng)安全評價(jià)作為現(xiàn)代計(jì)算機(jī)體系運(yùn)行的重要內(nèi)容，可評價(jià)系統(tǒng)運(yùn)行風(fēng)險(xiǎn)與危險(xiǎn)性，通過細(xì)致、全面的分析對系統(tǒng)情況做綜合評價(jià)，以及時(shí)、準(zhǔn)確的了解系統(tǒng)中薄弱部分與危險(xiǎn)環(huán)節(jié)，為安全管理提供重要依據(jù)。計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全評價(jià)指標(biāo)體系主要包括五大部分內(nèi)容，分別是實(shí)體與環(huán)境安全、組織管理與安全制度、安全技術(shù)措施、網(wǎng)絡(luò)與通信安全、軟件與信息安全，以這五部分內(nèi)容為基礎(chǔ)構(gòu)建完整且可靠的風(fēng)險(xiǎn)評估體系。

實(shí)體與環(huán)境安全主要以周圍環(huán)境、外部安全舉措（如有無防火、防水、防靜電、防雷、防盜措施等）評估為主；組織管理與安全制度主要以有無專門的安全信息管理規(guī)章制度、是否配備專門信息管理人員、有無事故處理預(yù)案、信息設(shè)備及數(shù)據(jù)管理制度是否完善等；安全技術(shù)操作包括有無數(shù)據(jù)備份恢復(fù)技術(shù)對策、防黑客入侵防病毒木馬措施、有無系統(tǒng)操作日志及系統(tǒng)安全審計(jì)功能等；網(wǎng)絡(luò)與通信安全包括是否有并采取加密舉措、系統(tǒng)運(yùn)行有無安全審計(jì)跟蹤、通信設(shè)備有無專門醒目標(biāo)志、通信線路及控制裝置有無備份等；軟件及信息安全包括有無用戶識別舉措、應(yīng)用軟件有無防破壞舉措、數(shù)據(jù)庫及系統(tǒng)運(yùn)行狀態(tài)有無監(jiān)控跟蹤等。以這些內(nèi)容為基礎(chǔ)，共同構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評價(jià)體系。

2 計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評價(jià)準(zhǔn)則與方法

2.1 評價(jià)準(zhǔn)則

網(wǎng)絡(luò)信息系統(tǒng)安全評價(jià)主要遵循充分性、適應(yīng)性、系統(tǒng)性、針對性、合理性五大原則。

充分性原則意味著選擇安全評價(jià)方法時(shí)要充分考慮系統(tǒng)特點(diǎn)、評價(jià)目標(biāo)與目的、評價(jià)方法優(yōu)缺點(diǎn)，以實(shí)現(xiàn)評價(jià)效益最大化；適應(yīng)性原則意味著安全評價(jià)方法的選擇與運(yùn)作必須基于系統(tǒng)特性與特點(diǎn)，符合評價(jià)方法的適用范圍；系統(tǒng)性原則而意味著評價(jià)方法的運(yùn)作必須能與被評價(jià)的系統(tǒng)形成和諧整體，具有較高的信度與準(zhǔn)確性；針對性原則意味著評價(jià)方法的選擇必須以評價(jià)目的與目標(biāo)為關(guān)鍵核心，所得的結(jié)果完全符合要求；合理性意味著評價(jià)方法的選擇除了要考慮評價(jià)結(jié)果之外，還要綜合考慮經(jīng)濟(jì)性、安全性等指標(biāo)，減少不必要的浪費(fèi)與損失。

2.2 安全評價(jià)方法

目前有關(guān)計(jì)算機(jī)系統(tǒng)安全評價(jià)的方法尚缺乏一套完整且通用的方法，根據(jù)系統(tǒng)特點(diǎn)、評價(jià)目標(biāo)、系統(tǒng)規(guī)模及復(fù)雜程度、工藝類型、危險(xiǎn)性、危害性等不同，評價(jià)方法各自不一，在適用范圍、評價(jià)原理與目標(biāo)、技術(shù)條件、優(yōu)缺點(diǎn)方面有所差異。

比如定性與定量為主的評估方法，作為目前應(yīng)用較廣的評估方式，定性評價(jià)主要針對系統(tǒng)威脅事件發(fā)生的概率及帶來的損失為基礎(chǔ)做出評估，通過期望值判斷作為風(fēng)險(xiǎn)評估依據(jù)，但是對風(fēng)險(xiǎn)大小及嚴(yán)重程度缺乏正確判斷；定量評價(jià)是對特定資產(chǎn)價(jià)值作為分析，結(jié)合客觀數(shù)據(jù)、威脅頻率進(jìn)行計(jì)算，結(jié)合威脅事件發(fā)生可能性與損失這三類結(jié)果進(jìn)行綜合判斷，以最終確定風(fēng)險(xiǎn)等級與危害。動態(tài)評估與分析的評價(jià)方法是將計(jì)算機(jī)系統(tǒng)信息管理視為安全管理過程的具體化運(yùn)作，將風(fēng)險(xiǎn)評估控制、安全方針制定及控制方式選擇等內(nèi)容包含在內(nèi)做全程風(fēng)險(xiǎn)的動態(tài)評估，是一種風(fēng)險(xiǎn)的動態(tài)評估運(yùn)作方法。以知識與模型為基礎(chǔ)的安全風(fēng)險(xiǎn)評估帶有典型的穩(wěn)定性，知識評價(jià)結(jié)合以往安全評估經(jīng)驗(yàn)對現(xiàn)行運(yùn)作風(fēng)險(xiǎn)與問題進(jìn)行評價(jià)，結(jié)合以往評價(jià)模型、知識框架、保護(hù)措施等對現(xiàn)行體系進(jìn)行優(yōu)化，是一種安全風(fēng)險(xiǎn)較低、重復(fù)利用率高的評價(jià)方法；以模型為基礎(chǔ)是將信息系統(tǒng)運(yùn)行過程中的風(fēng)險(xiǎn)與外部環(huán)境交互過程中的不利因素做綜合分析，以特定評價(jià)模型進(jìn)行運(yùn)作以實(shí)現(xiàn)對風(fēng)險(xiǎn)的定性評估。

目前計(jì)算機(jī)信息系統(tǒng)安全評價(jià)中應(yīng)用具體方法較多，比如安全檢查表將諸多項(xiàng)目內(nèi)容進(jìn)行分析以確定系統(tǒng)運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)不安全風(fēng)險(xiǎn)因素并進(jìn)行整改，是一種適用于各個(gè)階段的風(fēng)險(xiǎn)定性辨識方法，在辨識容易引發(fā)事故、傷害、損失及環(huán)境危害的裝置條件、操作規(guī)程方面有一定優(yōu)勢；事件樹分析可準(zhǔn)確辨識初始事件成為事故的可能過程與危害，在預(yù)測不安全因素、事故、評判事故后果及尋求預(yù)防手段方面有一定優(yōu)勢；風(fēng)險(xiǎn)矩陣分析主要是選擇關(guān)鍵裝置或風(fēng)險(xiǎn)區(qū)域做安全設(shè)計(jì)、緊急預(yù)案評價(jià)，可確定風(fēng)險(xiǎn)屬性、規(guī)模出列相關(guān)矩陣表，為后續(xù)風(fēng)險(xiǎn)管控提供依據(jù)。

3 結(jié)束語

綜上所述，計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評價(jià)可為解決系統(tǒng)運(yùn)行風(fēng)險(xiǎn)提供可靠依據(jù)，有助于提升系統(tǒng)運(yùn)行可靠性與安全性，實(shí)現(xiàn)風(fēng)險(xiǎn)評估最優(yōu)化，為信息系統(tǒng)的高效開發(fā)、應(yīng)用提供有力支持。

[1]張育軍.試論計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全評價(jià)方法[J].電子技術(shù)與軟件工程，2015（10）：208.

TP393.0

A

1004-7344（2016）03-0248-01

2016-1-11