崔佳 劉平

摘 要：信息安全風(fēng)險評估作為信息系統(tǒng)管理工作中的一項重要內(nèi)容，能夠及時找出存在的信息安全隱患，并采取針對性的應(yīng)對措施，降低風(fēng)險的發(fā)生概率，對保證信息系統(tǒng)的安全性及穩(wěn)定性，充分發(fā)揮各項信息的利用價值具有重要意義。文章從信息系統(tǒng)管理中信息安全風(fēng)險評估概念出發(fā)，結(jié)合影響信息安全風(fēng)險的具體因素，對信息安全風(fēng)險評估措施進(jìn)行了討論分析，對信息化建設(shè)及長遠(yuǎn)發(fā)展具有指導(dǎo)和借鑒作用。

關(guān)鍵詞：信息系統(tǒng)管理；信息安全；風(fēng)險評估；誘發(fā)因素；具體措施

網(wǎng)絡(luò)的迅速發(fā)展和普及，推動社會進(jìn)入了信息化、數(shù)字化時代，各項信息在日常生活及生產(chǎn)活動中所發(fā)揮的作用越來越重要，已經(jīng)成為推動社會發(fā)展與進(jìn)步的必要資源。但是，在網(wǎng)絡(luò)技術(shù)發(fā)展和應(yīng)用過程中，網(wǎng)絡(luò)環(huán)境也變得越來越復(fù)雜，病毒木馬、惡意攻擊等現(xiàn)象屢見不鮮，對信息系統(tǒng)安全造成了嚴(yán)重威脅，再加上信息系統(tǒng)自身缺陷以及設(shè)備障礙等問題，都使得信息安全面臨著較大風(fēng)險，難以保證信息資源價值的充分發(fā)揮。如何提高信息系統(tǒng)的安全性能，確保信息安全，已經(jīng)引起了業(yè)內(nèi)人士的廣泛關(guān)注和重視。

1 信息系統(tǒng)管理中信息安全風(fēng)險評估概念

信息安全風(fēng)險評估是指，以信息系統(tǒng)管理為契機，以確保信息安全為基本原則，采用科學(xué)的方法和技術(shù)，對計算機網(wǎng)絡(luò)運行狀態(tài)和信息系統(tǒng)的工作性能進(jìn)行研究、分析，找出網(wǎng)絡(luò)和信息系統(tǒng)所面臨的威脅及存在的脆弱性，預(yù)測可能會出現(xiàn)的安全事件及其造成的影響，并采取針對性的措施加以解決和防護(hù)。

2 信息系統(tǒng)管理中信息安全風(fēng)險評估內(nèi)容

在對信息安全風(fēng)險進(jìn)行評估之前，需要明確信息安全風(fēng)險評估內(nèi)容，信息資產(chǎn)、信息威脅、信息脆弱性以及現(xiàn)有安全措施，都是信息安全風(fēng)險評估時需要考慮的因素。

2.1 信息資產(chǎn)評估

在對信息資產(chǎn)進(jìn)行評估之前，需要先對信息資產(chǎn)進(jìn)行識別，硬件資產(chǎn)、軟件資產(chǎn)以及數(shù)據(jù)資產(chǎn)都是信息系統(tǒng)中所包含的資產(chǎn)類型，這些都是信息資產(chǎn)識別時需要考慮的因素，需要列出詳細(xì)清單。在明確具體信息資產(chǎn)之后，根據(jù)信息資產(chǎn)在信息系統(tǒng)中所發(fā)揮的作用，對其重要性進(jìn)行判斷，評估信息資產(chǎn)價值。通過信息資產(chǎn)評估，需要確保其保密性、完整性和可用性[1]。

2.2 威脅評估

信息威脅是信息系統(tǒng)管理不希望發(fā)生的事件，但也是不可避免的一個問題，很容易引發(fā)信息安全風(fēng)險。造成信息威脅的因素有多種，因網(wǎng)絡(luò)自身的開放性、虛擬性特點，網(wǎng)絡(luò)環(huán)境變得尤為復(fù)雜，在存在大量有價值信息之外，還混雜有一些病毒木馬和惡意軟件，并且黑客入侵現(xiàn)象也比較常見。這些都會對信息安全造成威脅，因此需要進(jìn)行威脅評估。

2.3 脆弱性評估

脆弱性評估主要是從技術(shù)層面和管理層面進(jìn)行考慮的，能夠找出信息系統(tǒng)的薄弱環(huán)節(jié)，進(jìn)而采取針對性措施加以解決。在構(gòu)建信息系統(tǒng)時，系統(tǒng)本身可能會存在缺陷和不足，這些系統(tǒng)漏洞和弱點嚴(yán)重降低了信息系統(tǒng)的安全等級，很容易引發(fā)信息安全風(fēng)險問題。同時，因信息系統(tǒng)管理不善、管理力度不足等，也會使得信息系統(tǒng)具有脆弱性，抗風(fēng)險能力較弱。所以在對信息系統(tǒng)進(jìn)行脆弱性評估時，需要從這兩方面進(jìn)行考慮[2]。

2.4 現(xiàn)有安全措施評估

現(xiàn)有安全措施是預(yù)防信息安全風(fēng)險，并對信息系統(tǒng)進(jìn)行保護(hù)的主要方式，是在識別信息安全風(fēng)險之后，所采取的針對性措施，主要是通過控制風(fēng)險和降低風(fēng)險來保障信息安全的。如果安全措施不到位或者不具備針對性，將無法發(fā)揮其基本作用，信息系統(tǒng)安全性將會大大降低，所以必須對現(xiàn)有安全措施的有效性進(jìn)行評估。

3 信息系統(tǒng)管理中信息安全風(fēng)險評估方法

在確定信息安全風(fēng)險評估內(nèi)容之后，需要采取最為合適的方法完成信息安全風(fēng)險評估，并構(gòu)建完善的信息安全風(fēng)險評估體系，對信息安全風(fēng)險進(jìn)行綜合分析。

3.1 風(fēng)險評估方法

當(dāng)前常用的信息安全風(fēng)險評估方法主要有定性評估法、人工評估法、定量評估法、工具輔助評估法等多種，其中定性評估法和人工評估法使用最為廣泛。定性評估法的主要評估依據(jù)是信息安全風(fēng)險造成的影響及損失，很少將風(fēng)險出現(xiàn)的次數(shù)考慮在內(nèi)，評估工作一般是由風(fēng)險評估機構(gòu)或者專家完成的，進(jìn)而得到信息安全風(fēng)險具體等級。定性評估法主觀性較強，評估結(jié)果與實際結(jié)果容易出現(xiàn)較大出入，往往表現(xiàn)為風(fēng)險控制不到位。人工評估法是指采用人工作業(yè)方式，對信息安全風(fēng)險評估內(nèi)容進(jìn)行全面分析，以此來判斷風(fēng)險發(fā)生概率及具體影響，并結(jié)合風(fēng)險效益，采取最為合理、有效的對策，實現(xiàn)對信息安全風(fēng)險的預(yù)防和控制，以此來降低風(fēng)險發(fā)生概率。

3.2 風(fēng)險評估體系

風(fēng)險評估體系的構(gòu)建，是信息安全風(fēng)險評估過程中非常重要的一個環(huán)節(jié)，能夠?qū)λ酗L(fēng)險問題進(jìn)行全面性的綜合考慮。在構(gòu)建風(fēng)險評估體系時，一般采用層次分析法來實現(xiàn)，能夠?qū)π畔踩L(fēng)險中包括的所有要素之間的相對重要的權(quán)數(shù)進(jìn)行評價，結(jié)合所有要素的排序進(jìn)行橫向比較分析，評估信息安全的風(fēng)險。風(fēng)險評估體系的構(gòu)建，能夠使信息安全風(fēng)險評估更加規(guī)范化、科學(xué)化、全面化，可以將資產(chǎn)、威脅信、脆弱性、安全措施等所有要素考慮在內(nèi)，提供更加可靠的依據(jù)，在很大程度上提高了風(fēng)險評估結(jié)果的準(zhǔn)確性，對加強信息安全風(fēng)險控制力度，提高信息系統(tǒng)管理水平具有重要意義。

4 結(jié)束語

在信息系統(tǒng)管理工作中，通過信息安全風(fēng)險評估，能夠?qū)⑿畔踩L(fēng)險控制在可接受范圍內(nèi)，使信息系統(tǒng)能夠以安全平穩(wěn)狀態(tài)運行，避免出現(xiàn)信息泄露、系統(tǒng)入侵現(xiàn)象，可以確保信息具有較高的保密性、安全性、完整性及真實性，為信息資源價值的有效利用提供基礎(chǔ)保障。只有從影響信息安全風(fēng)險的主要因素出發(fā)，明確信息安全風(fēng)險評估內(nèi)容，并運用科學(xué)、有效的評估方法，構(gòu)建完善的風(fēng)險評估體系，對信息系統(tǒng)所面臨的安全風(fēng)險威脅做出準(zhǔn)確判斷，才能采取針對性的預(yù)防和處理措施加以改善，提高信息系統(tǒng)管理水平和管理質(zhì)量。

參考文獻(xiàn)

[1]陳綺琦.對信息系統(tǒng)管理中信息安全風(fēng)險評估研究[J].信息系統(tǒng)工程，2016，（7）：77.

[2]溫盈盈.對信息系統(tǒng)管理中信息安全風(fēng)險評估研究[J].數(shù)字技術(shù)與應(yīng)用，2015，（1）：173.

（作者單位：國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心）