周欣元

摘 要 21世紀(jì)是信息化時(shí)代，信息系統(tǒng)在當(dāng)代扮演的作用日益重要。信息系統(tǒng)主要由計(jì)算機(jī)硬件、網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)軟件、通訊設(shè)備、用戶群、網(wǎng)路協(xié)議、網(wǎng)絡(luò)規(guī)章制度、信息流等組成的綜合性系統(tǒng)、信息系統(tǒng)的出現(xiàn)極大方便信息共享和信息傳輸方式，信息處理效率及質(zhì)量顯著提高。信息安全是信息系統(tǒng)重要組成部分，風(fēng)險(xiǎn)評估是信息系統(tǒng)重要組成部分。本文就信息安全風(fēng)險(xiǎn)評估展開綜述。

【關(guān)鍵詞】信息系統(tǒng) 安全風(fēng)險(xiǎn)評估 定性 定量

隨著社會(huì)經(jīng)濟(jì)快速發(fā)展，信息傳遞無論是速度還是容量均不斷創(chuàng)造新的高度。信息傳遞方式與人們的生活、工作、學(xué)習(xí)息息相關(guān)。信息產(chǎn)業(yè)發(fā)展蒸蒸日上，建立在信息技術(shù)基礎(chǔ)上的信息系統(tǒng)存在一定風(fēng)險(xiǎn)，易受到黑客攻擊，且信息系統(tǒng)充斥各種病毒，系統(tǒng)運(yùn)行過程存在一定風(fēng)險(xiǎn)?；诖吮仨氉龊眯畔⑾到y(tǒng)安全建設(shè)，進(jìn)行安全風(fēng)險(xiǎn)評估，奠定安全基礎(chǔ)。

1 風(fēng)險(xiǎn)評估概述

互聯(lián)網(wǎng)快速發(fā)展極大提高人們的生活、工作、學(xué)習(xí)效率，與此同時(shí)發(fā)來一系列安全隱患。人們通過互聯(lián)網(wǎng)可實(shí)現(xiàn)信息有效獲取，信息傳遞過程中仍舊可能出現(xiàn)信息被第三方截取情況，信息保密性、完整性、可靠性等均收到影響。網(wǎng)絡(luò)環(huán)境雖然方便信息處理方式，但也帶來一系列安全隱患。

從信息安全角度而言，風(fēng)險(xiǎn)評估就是對信息系統(tǒng)自身存在的的種種弱點(diǎn)進(jìn)行分析，判斷可能存在的威脅、可能造成的影響等。綜合風(fēng)險(xiǎn)可能性，便于更好展開風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)評估是研究信息安全的重要途徑之一，屬于組織信息安全管理體系策劃過程。

風(fēng)險(xiǎn)評估主要內(nèi)容包括：識(shí)別信息系統(tǒng)可能面對的各種風(fēng)險(xiǎn)、風(fēng)險(xiǎn)出現(xiàn)的概率、風(fēng)險(xiǎn)可能導(dǎo)致的后果、風(fēng)險(xiǎn)消除策略、風(fēng)險(xiǎn)控制策略等。信息系統(tǒng)構(gòu)成極為復(fù)雜，因此信息系統(tǒng)安全風(fēng)險(xiǎn)評估是一項(xiàng)綜合性工作，其組織架構(gòu)較為繁雜，主要包括技術(shù)體系、組織結(jié)構(gòu)、法律體系、標(biāo)準(zhǔn)體系、業(yè)務(wù)體系等。

20世紀(jì)八十年代，以美國、加拿大為代表的發(fā)達(dá)國家已建立起風(fēng)險(xiǎn)評估體系。我國風(fēng)險(xiǎn)評估體系建立較晚，至今只有十幾年時(shí)間。目前我國安全風(fēng)險(xiǎn)評估已得到相關(guān)部門高度重視，為其快速發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)。

網(wǎng)絡(luò)環(huán)境雖然帶來無窮便利，卻也帶來各種安全隱患?；ヂ?lián)網(wǎng)環(huán)境下信息系統(tǒng)易被黑客攻擊。一切社會(huì)因素均與信息系統(tǒng)聯(lián)系在一起，人們生活在同一信息系統(tǒng)下總是希望自身隱私得到保護(hù)，因此在建設(shè)信息系統(tǒng)是必須做好信息安全風(fēng)險(xiǎn)評估，規(guī)避信息系統(tǒng)存在的各種風(fēng)險(xiǎn)，提高信息系統(tǒng)安全性，讓人們生活在安全信息環(huán)境中。

2 信息安全風(fēng)險(xiǎn)評估方法

網(wǎng)絡(luò)的出現(xiàn)對人們的生活和思維方式帶來極大變革，信息交流更加方便，資源共享程度無限擴(kuò)大，但是網(wǎng)絡(luò)是一個(gè)較為開放的系統(tǒng)，對進(jìn)入網(wǎng)絡(luò)系統(tǒng)的人并未有一定約束，因此必然導(dǎo)致安全隱患的出現(xiàn)。隨著信息系統(tǒng)建設(shè)不斷深入，信息系統(tǒng)必將對社會(huì)經(jīng)濟(jì)、政治、文化、教育等造成巨大影響。基于此需要提升信息系統(tǒng)安全風(fēng)險(xiǎn)評估合理性，降低安全隱患，讓人們在安全的信息環(huán)境下生活和工作。

2.1 定性評估方法

定性評估是信息安全風(fēng)險(xiǎn)評估使用最頻繁的方法，此法基于評估者通過特有評估方法，總結(jié)經(jīng)驗(yàn)、歷史等無法量化 因素對系統(tǒng)風(fēng)險(xiǎn)進(jìn)行綜合評估，從而得出評估結(jié)果。該中方法更注重安全風(fēng)險(xiǎn)可能導(dǎo)致的后果，忽略安全時(shí)間可能發(fā)生的概率。定性評估中有很多因素?zé)o法量化處理，因此其評估結(jié)果本身就存在一定不確定性，此種評估方法適用于各項(xiàng)數(shù)據(jù)收集不充分情況。

定性評估雖然在概率上無法保障，但可挖掘出一些較為深刻的思想，其結(jié)論主觀性較強(qiáng)，可預(yù)判斷一些主觀性結(jié)論。基于此需要評估人員具較高職業(yè)素養(yǎng)，不受限與數(shù)據(jù)及經(jīng)驗(yàn)的束縛。典型定性評估方法有邏輯評估法、歷史比較法、德爾菲法。

德爾菲法是定性評估中較為常見評估方法之一，經(jīng)過多輪征詢，將專家的意見進(jìn)行歸結(jié)，總結(jié)專家預(yù)測趨勢，從而做出評估，預(yù)測未來市場發(fā)展趨勢，得出預(yù)測結(jié)論。從本質(zhì)上來說，德爾菲法是一種匿名預(yù)測函詢法，其流程為：征求專家匿名意見——對該項(xiàng)數(shù)據(jù)進(jìn)行歸納整理——反饋意見給專家——收集專家意見——…——得出一致意見。德爾菲法是一種循環(huán)往復(fù)的預(yù)測方法可逐漸消除不確定因素，促進(jìn)預(yù)測符合實(shí)際。

2.2 定量評估方法

定量評估與定性評估是相互對立的，此種方法需要建立在一切因素均標(biāo)準(zhǔn)化基礎(chǔ)上。定量評估首先需要收集相關(guān)數(shù)據(jù)，且需保證數(shù)據(jù)準(zhǔn)確性，之后利用數(shù)學(xué)方法建立模型，驗(yàn)證各種過程從而得出結(jié)論。定量評估需要準(zhǔn)備充足資料，是一種利用公式進(jìn)行結(jié)果推到的方法。從本質(zhì)上來說定量評估客服定性評估存在的不足，更具備客觀性。定量評估可將復(fù)雜評估過程量化，但該種方法需要建立在準(zhǔn)確數(shù)據(jù)基礎(chǔ)上。定量評估方法主觀性不足，其結(jié)論不夠深刻具體。定量評估方法中具有代表性的方法為故障樹評估法。

故障樹評估法采用邏輯思維進(jìn)行風(fēng)險(xiǎn)評估，其特點(diǎn)是直觀明了，思路清晰。是一種演繹邏輯推理方法，其推理過程由果及因，即在推理中由結(jié)果推到原因，主要運(yùn)用于風(fēng)險(xiǎn)預(yù)測階段，得出風(fēng)險(xiǎn)發(fā)生具體概率，并以此為基礎(chǔ)得出風(fēng)險(xiǎn)控制方法。

2.3 定性評估與定量評結(jié)合綜合評價(jià)方法

由前文可知定性評估和定量評估各自存在優(yōu)缺點(diǎn)。定性評估主觀性較強(qiáng)，客觀性不足。定量評估主觀性不足，客觀性較強(qiáng)。因此將二者結(jié)合起來便可起到互補(bǔ)不足的效果。定性評估需要耗費(fèi)少量人力、物力、財(cái)力成本，建立在評估者資質(zhì)基礎(chǔ)上。定量評估運(yùn)用數(shù)學(xué)方法展開工作，預(yù)測結(jié)果較為準(zhǔn)確，邏輯性較強(qiáng)，但成本較高。從本質(zhì)上來看，定性為定量的依據(jù)，定量是對定性的具體化，因此只有將二者結(jié)合起來才能實(shí)現(xiàn)最佳評估效果。

3 信息安全風(fēng)險(xiǎn)評估過程

信息安全風(fēng)險(xiǎn)評估建立在一定評估標(biāo)準(zhǔn)基礎(chǔ)上，評估標(biāo)準(zhǔn)是評估活動(dòng)開展的基礎(chǔ)和前提。信息安全風(fēng)險(xiǎn)評估過程需要評估技術(shù)、工具、方法等全面支持，在此基礎(chǔ)上展開全面風(fēng)險(xiǎn)評估，結(jié)合實(shí)際情況選擇合適評估方法。正確的評估方法可提高信息安全風(fēng)險(xiǎn)評估結(jié)果準(zhǔn)確性，這就要求評估過程中需建立正確評估方法，克服評估過程存在的不足，從而取得最佳結(jié)果。

4 結(jié)束語

當(dāng)今信息系統(tǒng)不斷發(fā)展完善，為保證信息系統(tǒng)運(yùn)行環(huán)境的安全性必須對信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估。信息安全風(fēng)險(xiǎn)評估具有多種方法，實(shí)際評估中應(yīng)該結(jié)合實(shí)際情況選擇合適方法，提高信息安全風(fēng)險(xiǎn)評估結(jié)果準(zhǔn)確性，為建立安全信息環(huán)境奠定堅(jiān)實(shí)基礎(chǔ)。

參考文獻(xiàn)

[1]應(yīng)力.信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)與方法綜述[J].上海標(biāo)準(zhǔn)化，2014（05）：34-39.

[2]張玉清.信息安全風(fēng)險(xiǎn)評估綜述[J].通信學(xué)報(bào)，2015（02）：45-53.

[3]溫大順.信息安全風(fēng)險(xiǎn)評估綜述[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（01）：16-25.

作者單位

山東省青島第五十八中學(xué)2014級高二（2班） 山東省青島市 266100