衛(wèi)星君

摘 要 互聯(lián)網信息技術在為我們生活帶來便利的同時也帶來了一系列信息安全問題。隨著互聯(lián)網技術的普及，絕大多部分機構和單位的重要資料都保存在信息系統(tǒng)中，一旦面臨攻擊或者威脅，將會造成難以想象的損失。信息安全風險評估理論最早起源于國外，引入我國后不少學者開始進行深入的研究，并取得了一定的成效。

關鍵詞 信息安全風險評估；關鍵技術；研究

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2017）181-0025-02

信息安全風險評估就是建設更加完善的信息安全系統(tǒng)的保障，因此本文分析信息安全風險評估關鍵技術具有很強烈的現(xiàn)實意義。

1 信息安全風險評估概念及流程

1.1 風險評估概念

信息安全風險評估主要指的是對網絡環(huán)境和信息系統(tǒng)中所面臨的威脅以及信息系統(tǒng)資產和系統(tǒng)的脆弱性采取針對性的安全控制措施，對風險的判斷需要從信息系統(tǒng)的管理和技術兩個層面入手。

1.2 風險評估流程

風險評估需要經歷一個完整的過程：1）準備階段，此階段需要確定風險評估的范圍、目標以及方法等；2）實施階段，分別對資產、威脅和脆弱性等展開一系列的評估；3）分析階段，包含量化分析和對風險的計算。在整個過程中可以看出風險評估的實施階段和對風險的分析階段所起的作用比較重要，其中包含了幾項比較關鍵的技術。

2 信息安全風險評估的關鍵技術

風險評估和控制軟件主要包含6個方面的主要內容，而安全風險評估流程則是分為4個主要的模塊，漏洞管理、風險分析和評估、威脅分析、漏洞管理和檢測等。在信息安全風險評估的過程中包含以下幾方面的關鍵技術。

2.1 資產管理技術分析

資產評估主要是對具有價值的資源和信息開展的評估，這些資產包含有形的文檔、硬件等也包含悟性的形象和服務等。風險評估中的第一項任務就是進行資產評估。評估過程中應該確保資產的完整性和保密性，兼顧威脅。具體評估方法為：1）對資產進行分類，資產往往來源于不同的網絡和業(yè)務管理系統(tǒng)。所以需要對資產按照形態(tài)和具體的用途進行相應的分類；2）對資產進行賦值，對所有的資產進行分類之后，需要為每一項資產進行賦值，將資產的權重分為5個不同的級別，從1到5分別代表不同的資產等級。資產評估并不是需要根據(jù)賬面的價格進行衡量而是以相對價值作為衡量的標準，需要考慮到資產的成本價值，更應該明確資產評估對組織業(yè)務發(fā)展的重要性。在實際的資產評估過程中，商業(yè)利益、信譽影響、系統(tǒng)安全、系統(tǒng)破壞等都會對資產賦值產生影響。

2.2 威脅分析技術分析

威脅是客觀存在的，可能會對組織或者資產構成潛在的破壞，它可以通過途徑、動機、資源和主體等多種途徑來實現(xiàn)，威脅可以分為環(huán)境因素和人為因素。環(huán)境因素分為不可抗因素和物理因素，人為因素可以分為非惡意和惡意因素。威脅評估步驟如下：1）威脅識別過程，需要根據(jù)資產所處的實際環(huán)境，按照自身的實際經驗評估資產可能會面對的威脅，威脅的類型十分多樣化，包含篡改、泄密、物理攻擊、網絡攻擊、惡意代碼、管理問題等。2）威脅評估，在威脅識別完成之后就需要對威脅發(fā)生的可能性進行評估。威脅評估句式需要根據(jù)威脅的種類和來源形成一個類別，在列表中對威脅發(fā)生的可能性進行定義，現(xiàn)將威脅的等級分為五級，威脅等級越高，發(fā)生的可能性越大。表1為威脅賦值表格。

2.3 脆弱性識別技術分析

脆弱性識別包含管理和技術兩個層面，涉及到各個層面中的安全問題，而漏洞掃描則是對主機和網絡設備等開展掃描檢查。針對需要保護的資產進行脆弱性識別，找出所有威脅可以利用的脆弱性，再根據(jù)脆弱性的程度，及可能會被威脅利用的機會展開相應的評估。對于漏洞掃描大都需要依賴掃描軟件，當前市場上也出現(xiàn)了不少強大的掃描工具，可以掃描出絕大多數(shù)當前已經公開的絕大多數(shù)系統(tǒng)漏洞?？梢允褂肗essus客戶端對系統(tǒng)的漏洞情況進行掃描，此種掃描工具包含了比較強大的安全漏洞數(shù)據(jù)庫，可以對系統(tǒng)漏洞進行高效、可靠安全的檢測，在結束掃描之后，Nessus將會對收集到的信息和數(shù)據(jù)進行分析，輸出信息。輸出的信息包含存在的漏洞情況，漏洞的詳細信息和處理漏洞的建立等。

2.4 風險分析和評估技術分析

信息安全風險評估的過程中除了進行資產評估、危險評估和脆弱性識別之后需要對風險進行相應的計算。采用科學可行的工具和方法評估威脅發(fā)生的可能性，并根據(jù)資產的重要性評估安全事件發(fā)生之后所產生的影響，即安全風險。風險值的計算需要考慮到資產因素、脆弱性因素和威脅因素等，在進行了定量和定性分析之后再計算最終的風險值。

風險值的計算公式為R=F（A.T.V）=F=（Ia，G（T，Va）），公式中風險值為R，安全風險計算函數(shù)為F，資產為A，脆弱性為V，威脅為T，資產的重要程度為Ia，資產的脆弱性程度為Va，脆弱性被威脅利用導致安全事故發(fā)生的可能性為L。將公式中的各項指標進行模型化轉換，可以得到圖1。

2.4.1 評估要素量化方法

本文論述兩種量化評估要素的方法：1）權重法，根據(jù)評估要素中重要程度的不同設置不同的權限值，在經過加權治療后得出最終的量化值。2）最高法，評估要素的量化值就是評估要素的最高等級值，公式為S=Max（Sj）

2.4.2 計算風險值的方法

根據(jù)計算風險值的模型，采用矩陣算法來計算風險值。分別計算風險事件的發(fā)生值、影響值和最終的風險值。風險事件發(fā)生值=L（資產的脆弱性，威脅值）=L（V，T），風險事件影響值I=（Ia，Va）。

2.4.3 風險評估結果

在綜合分析完成之后的評估結果就是風險評估結果，這項結果將會成為風險評估機構開展風險管理的主要依據(jù)，風險評估結果包含：風險計算和風險分析。風險計算是對資產的重要程度及風險事件發(fā)生值等進行判定；進而得出判定結果；風險分析是總結系統(tǒng)的風險評估過程，進而得出殘余風險和系統(tǒng)的風險狀況。

3 結論

隨著互聯(lián)網技術的普及應用，信息化管理已經成功應用到絕大部分企業(yè)管理中。但是隨之而來的是一系列的信息安全問題，如果出現(xiàn)安全問題將會給企業(yè)帶來嚴重的經濟損失。信息安全風險評估技術是對信息安全風險程度進行分析計算的基礎上展開評估，為提高企業(yè)信息安全性奠定基礎，提高企業(yè)信息安全管理水平。

參考文獻

[1]安莉麗.網絡安全風險評估關鍵技術研究[J].信息通信，2015（7）：143-144.