馮翀

摘 要

對(duì)于信息系統(tǒng)正常運(yùn)行而言，信息安全風(fēng)險(xiǎn)評(píng)估是有效方式之一。本文在分析涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估基本內(nèi)容的基礎(chǔ)上，對(duì)于具體的風(fēng)險(xiǎn)評(píng)估過程進(jìn)行闡述，希望可以確保涉密信息系統(tǒng)的信息安全。

【關(guān)鍵詞】涉密信息系統(tǒng) 信息安全 風(fēng)險(xiǎn)評(píng)估

針對(duì)涉密信息系統(tǒng)來說，安全風(fēng)險(xiǎn)評(píng)估必須得到足夠的重視。利用風(fēng)險(xiǎn)評(píng)估，就可以分析其現(xiàn)狀，這樣就可以明確系統(tǒng)安全的基本需求；也可以確定主要面臨的安全風(fēng)險(xiǎn)，從而幫助相應(yīng)的機(jī)構(gòu)制定處置措施，指導(dǎo)安全技術(shù)體系以及管理體系建設(shè)，這樣才可以制定相對(duì)應(yīng)的安全策略與解決方法，確保信息系統(tǒng)安全技術(shù)體系得以建立。

1 涉密信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

針對(duì)涉密信息系統(tǒng)開展風(fēng)險(xiǎn)評(píng)估工作時(shí)，其內(nèi)容主要涉及三部分，即自我評(píng)估、檢查評(píng)估以及委托評(píng)估三個(gè)主要的方面。就一般性保密管理層來說，進(jìn)行委托評(píng)估還無法滿足其最基本的要求。因此，在涉密信息系統(tǒng)風(fēng)險(xiǎn)的評(píng)估分析的過程中主要是按照國(guó)家標(biāo)準(zhǔn)，由能自主開展日常評(píng)估工作的涉密信息系統(tǒng)人員進(jìn)行評(píng)估，但是信息系統(tǒng)本身的脆弱性、資產(chǎn)的鑒定以及對(duì)威脅的評(píng)估，都需要通過資產(chǎn)被威脅利用的實(shí)際受損度以及可能存在的安全事件來計(jì)算其風(fēng)險(xiǎn)等級(jí)。

2 涉密信息系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐

2.1 前期準(zhǔn)備

針對(duì)涉密信息系統(tǒng)開展風(fēng)險(xiǎn)評(píng)估的前期準(zhǔn)備工作能為評(píng)估的全過程提供安全性保障，具體包括風(fēng)險(xiǎn)評(píng)估目標(biāo)以及范疇的制定，成立專業(yè)化的管理團(tuán)隊(duì)，以及評(píng)估方式等。通過上述一系列的制定之后，還需要獲取最高級(jí)別人員的支持，最后簽訂相對(duì)應(yīng)的保密協(xié)議。當(dāng)目標(biāo)階段以及評(píng)估范疇確定之后，相關(guān)的評(píng)估人員需要按照規(guī)范標(biāo)準(zhǔn)以及分級(jí)保護(hù)指南，同時(shí)和涉密信息系統(tǒng)的負(fù)責(zé)人進(jìn)行彼此之間的溝通與協(xié)商，這樣才可以確定評(píng)估范圍。在風(fēng)險(xiǎn)范疇劃分之后，還需要針對(duì)評(píng)估系統(tǒng)對(duì)象的實(shí)際特點(diǎn)，將評(píng)估目標(biāo)進(jìn)一步落實(shí)。

2.2 實(shí)踐調(diào)研

在涉密信息系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)踐調(diào)研環(huán)節(jié)，評(píng)估風(fēng)險(xiǎn)主要是從涉密信息系統(tǒng)里獲取主要信息、組織及其脆弱性、安全管理等狀況，為接下來開展分析工作、制定管理規(guī)劃等打下堅(jiān)實(shí)的基礎(chǔ)。在該環(huán)節(jié)，最核心的工作室人員、資產(chǎn)以及安全威脅三個(gè)方面的調(diào)查，當(dāng)然，也離不開安全技術(shù)和需求兩個(gè)方面的安全性分析。而通過搜集文檔、進(jìn)行問卷調(diào)查、掃描并分析漏洞等手段就能識(shí)別關(guān)于涉密信息系統(tǒng)信息安全的關(guān)鍵數(shù)據(jù)，并確定風(fēng)險(xiǎn)評(píng)估的綜合化目標(biāo)。在資產(chǎn)的識(shí)別過程中，考慮到資產(chǎn)的信息和價(jià)值化資源，再加上其本身的保護(hù)性質(zhì)，所以，利用不同形式資產(chǎn)的識(shí)別也可以將資產(chǎn)進(jìn)一步的細(xì)化，如有形資產(chǎn)、無形資產(chǎn)、軟硬件、文檔、代碼和形象服務(wù)等。當(dāng)然，資產(chǎn)的識(shí)別，不但要對(duì)成本價(jià)格問題加以分析，還應(yīng)對(duì)業(yè)務(wù)的重要性、安全性進(jìn)行合理的考量，然后按照可用性、完整性以及機(jī)密性來對(duì)資產(chǎn)價(jià)值加以識(shí)別。在識(shí)別安全的具體環(huán)節(jié)之中，還需要考慮到不同等級(jí)的可用性、完整性以及機(jī)密性要求，這樣就可以通過計(jì)算加權(quán)賦值的方式，將最終的資產(chǎn)價(jià)值結(jié)果識(shí)別出來。

在威脅識(shí)別階段，首先就應(yīng)該明顯潛在威脅出現(xiàn)的起因，然后對(duì)具體的破壞因素做好科學(xué)的識(shí)別與處理，其中主要包含了人為因素、威脅因素、蓄意或者是偶發(fā)事件、直接或者是間接攻擊信息等因素的識(shí)別。在搜集威脅方面存在的因素時(shí)，就可以利用現(xiàn)場(chǎng)的調(diào)查、問卷分析以及訪談訪問等諸多形式進(jìn)行。另外，與系統(tǒng)服務(wù)功能相互結(jié)合也可以進(jìn)一步明確可能存在的不良威脅。其脆弱性主要是薄弱的、對(duì)資產(chǎn)可能產(chǎn)生威脅的可不靠環(huán)節(jié)，所以，對(duì)于脆弱性的識(shí)別，也可以將其看成為弱點(diǎn)的識(shí)別。實(shí)際上，每一種資產(chǎn)，其本身都存在弱點(diǎn)，只要沒有針對(duì)性的威脅出現(xiàn)，其資產(chǎn)就不會(huì)受到威脅，但是如果擁有足夠強(qiáng)健的涉密信息系統(tǒng)，那么無論威脅多種，都不可能出現(xiàn)不安全的事件，也不會(huì)引發(fā)不必要的威脅。所以，只有資產(chǎn)存在的弱點(diǎn)，才有可能將資產(chǎn)危害事件引導(dǎo)出現(xiàn)。當(dāng)然，資產(chǎn)弱點(diǎn)實(shí)際上是相當(dāng)隱蔽的，其脆弱性只會(huì)出現(xiàn)在固定的環(huán)境。如果針對(duì)涉密信息系統(tǒng)的信息實(shí)施了不正確的、不可靠的安全措施，安全措施就無法發(fā)揮出應(yīng)有的功效，這本身就會(huì)演變成弱點(diǎn)，因而識(shí)別脆弱性的方法務(wù)必要科學(xué)、合理，需要認(rèn)真的核查每一項(xiàng)資產(chǎn)，這樣才能夠?qū)⒋嗳跣苑矫娴囊蛩卣页鰜?，同時(shí)也可以對(duì)其等級(jí)和嚴(yán)重性進(jìn)行合理的評(píng)估。在具體的操作中，通過脆弱性數(shù)據(jù)的識(shí)別可以源自資產(chǎn)的所有者、涉密信息系統(tǒng)的專業(yè)軟件人員或業(yè)務(wù)專家等，然后利用人工的核查、問卷調(diào)查、滲透性的測(cè)試、工具檢測(cè)等方法就能夠有效識(shí)別脆弱性。

對(duì)于確認(rèn)安全措施，需針對(duì)各類安全管理措施做好預(yù)防處理工作，以免發(fā)生重復(fù)實(shí)施的現(xiàn)象，從而及時(shí)剔除其中不足或者是不恰當(dāng)?shù)拇胧?，然后利用更為高匹配度的措施來將其替代。安全措施涵蓋兩個(gè)部門，主要是保護(hù)和預(yù)防。保護(hù)要求的是通過安全事件幾率的降低，來確保信息的安全，不會(huì)受到任何不利因素的影響，比如說持續(xù)性的業(yè)務(wù)計(jì)劃等；而預(yù)防則是考慮到威脅與脆弱性等一系列的因素來降低發(fā)生安全事件的幾率，如入侵檢測(cè)。通過一定的安全措施，就可以控制好涉密信息系統(tǒng)本身的脆弱性，從而確認(rèn)無需在每一項(xiàng)資產(chǎn)、組件的薄弱環(huán)節(jié)都實(shí)施安全措施。

2.3 風(fēng)險(xiǎn)的全面分析與處置

在分析涉密信息系統(tǒng)信息安全風(fēng)險(xiǎn)的環(huán)節(jié)，其中對(duì)發(fā)生安全事件的可能程度進(jìn)行分析是最關(guān)鍵的，以及在發(fā)生安全事件之后計(jì)算其帶來的損失、具體的風(fēng)險(xiǎn)值。在計(jì)算風(fēng)險(xiǎn)值時(shí)，可選用相乘法或矩陣法；在處理風(fēng)險(xiǎn)時(shí)，要明確實(shí)際的安全策略，其中也包含了風(fēng)險(xiǎn)的規(guī)避、接受以及降低等多個(gè)方面。此外，按照涉密信息系統(tǒng)的特征來對(duì)風(fēng)險(xiǎn)處置的內(nèi)容加以明確，并把它細(xì)分成兩個(gè)部分，即建議、實(shí)施。在實(shí)踐環(huán)節(jié)，對(duì)兩個(gè)方面進(jìn)行綜合的考慮，或者是針對(duì)實(shí)際要求，對(duì)于某一層面的處理進(jìn)行單獨(dú)的分析與實(shí)施。

3 結(jié)語

涉密信息系統(tǒng)的安全是涉密信息系統(tǒng)效能得以發(fā)揮的重要前提。風(fēng)險(xiǎn)評(píng)估本身屬于一種系統(tǒng)化、有效的手段，可以對(duì)信息系統(tǒng)中現(xiàn)有的分及格線進(jìn)行有效的識(shí)別，從而制定合理的處置手段。

參考文獻(xiàn)

[1]陳頌，王光偉，劉欣宇，杜娟.信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究[J].通信技術(shù)，2012（01）：128-130.

[2]朱信銘.信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)分析方法淺談[J].信息安全與技術(shù)，2010（08）：87-89.

作者單位

河南思軟電子科技有限公司 河南省鄭州市 450000