石輝+姚琦

摘 要：從企業(yè)內(nèi)部業(yè)務出發(fā)，優(yōu)化信息安全風險評估基本模型，設(shè)計了一個企業(yè)信息安全風險自評估實施模型，并深入分析了該模型的內(nèi)容，使其適用于企業(yè)依托自身力量來有效開展自評估活動，從而提高企業(yè)信息安全風險防護能力。

關(guān)鍵詞：信息安全；自評估；風險評估；模型設(shè)計

中圖分類號：TP309 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2017.12.019

企業(yè)信息安全風險評估主要有2種模式，即他評估和自評估。相比較而言，自評估展現(xiàn)出越來越多的優(yōu)點，比如外部依賴性小、投入費用低、評估周期短、次生風險低和可以提高內(nèi)部安全意識等。除此之外，信息安全風險的動態(tài)化決定信息安全評估工作應是長期持續(xù)的，大部分的內(nèi)部信息安全風險評估內(nèi)容企業(yè)可采用自評估方式來完成。但信息安全風險評估的專業(yè)性、技術(shù)性、標準性比較高，企業(yè)難以掌握復雜的評估技術(shù)和方法。本文以企業(yè)業(yè)務為出發(fā)點，對信息安全風險評估基本模型進行優(yōu)化，設(shè)計了一個更適用于企業(yè)依托自身力量來有效開展自評估的實施模型，以提高企業(yè)信息安全風險防護能力。

1 信息安全風險評估基本模型

對風險評估模型的研究一直是信息安全風險評估領(lǐng)域的研究熱點之一。風險評估基本模型是一種基于資產(chǎn)、威脅和脆弱性的信息安全風險評估模型。其中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，估價準則依賴于對其影響范圍的分析；威脅評估是對資產(chǎn)所受威脅發(fā)生可能性和威脅嚴重程度的評估；脆弱性評估是對資產(chǎn)脆弱程度的評估，也是對資產(chǎn)被威脅、利用成功的可能性的評估。

信息安全風險評估基本模型的評估過程就是對資產(chǎn)信息、威脅信息和脆弱性信息進行綜合分析評估并且生成風險信息的過程，包含確定評估范圍、資產(chǎn)識別階段、安全威脅/脆弱性評估、風險分析和風險管理等階段?；谛畔踩L險評估基本模型，很多學者從不同角度和目的做了優(yōu)化和完善。但是，信息安全風險評估模型的研究還處于探索和完善階段，已有的研究存在一些缺陷，主要表現(xiàn)為以下3點：①缺乏對評估內(nèi)容的逐層細化，難以評價和量化各要素，可操作性比較差；②缺乏對風險評估基本要素屬性的綜合思考，難以體現(xiàn)評估要素與企業(yè)業(yè)務的關(guān)系；③大部分模型比較復雜，評估方法和流程操作起來費時費力，企業(yè)難以采用。

2 基于基本模型的企業(yè)信息安全自評估模型

針對信息安全風險評估模型的不足，本文綜合考慮企業(yè)自身的業(yè)務和內(nèi)部約束條件，在基本模型和相關(guān)研究成果的基礎(chǔ)上，提出更加簡單、有效的企業(yè)信息安全風險自評估模型。本文認為，企業(yè)信息安全風險自評估模型應遵循自主、簡單、規(guī)范性、可行性和可擴展性的原則，基本思路是從企業(yè)業(yè)務出發(fā)，多角度研究自評估模型中資產(chǎn)、威脅、脆弱性的關(guān)系和指標，應用相關(guān)統(tǒng)計分析方法統(tǒng)計，運用層次分析法（AHP）評價、量化相關(guān)要素和風險，最終構(gòu)建一個科學、合理、可操作的企業(yè)自評估模型。在此過程中，需要解決3方面的問題：①明確評估的對象、內(nèi)容和流程；②構(gòu)建評價方法，統(tǒng)一評估和度量風險基本要素；③統(tǒng)一不同層面、角度的評估結(jié)果。

2.1 基于AHP的信息安全風險要素度量方法

AHP（Analytic Hierarchy Process，層次分析法）是一種定性分析與定量分析相結(jié)合的多目標決策分析方法，其基本步驟是：①分析問題，建立遞階結(jié)構(gòu)（評價模型）；②構(gòu)造比較判斷矩陣；③層次單排序；④一致性檢驗；⑤層次總排序與一致性檢驗；⑥選擇最優(yōu)的解決方案。

資產(chǎn)、威脅、脆弱性作為信息安全風險自評估模型的3個基本要素，需要分別識別和分析，并提煉出各自的評價指標。本文結(jié)合已有的理論和實踐成果，從自主性、簡單性、可行性和科學性原則出發(fā)，基于相關(guān)標準、企業(yè)環(huán)境和企業(yè)業(yè)務影響分析，提出信息資產(chǎn)的評價因素應包含經(jīng)濟、名譽、法律法規(guī)、業(yè)務運營、社會秩序、商業(yè)利益和個人利益，等等，威脅可能性評價指標應包含威脅攻擊力、威脅動機、資產(chǎn)誘因和威脅頻率等，脆弱性嚴重程度賦值的評價因素應包含可用性、機密性和完整性。

根據(jù)資產(chǎn)受到損害時對其評價因素帶來的損失為資產(chǎn)價值賦值（比如從1～4取值），數(shù)值越大，表明資產(chǎn)價值越高。得

到各評價因素的綜合分值后，分值最大的為該資產(chǎn)的價值，即資產(chǎn)價值為A=max（i）。根據(jù)威脅評價指標和脆弱性評價因素，利用AHP方法建立威脅、脆弱性評價體系，體系由目標層、準則層和指標層（方案層）構(gòu)成。為了方便對不同威脅發(fā)生可能性概率、不同脆弱性的嚴重程度進行類比、度量，使用統(tǒng)一的度量標準，采用相對等級的方式處理評價結(jié)果（比如從1～4取值），數(shù)值越大，威脅發(fā)生的可能性越高，帶來的損害越大。通過AHP用數(shù)量形式表達和處理個人主觀判斷結(jié)果，采用專家和團隊評分進一步比較各要素的重要性，并做一致性檢驗，最終確定各要素的值。

2.2 企業(yè)信息安全自評估風險計算

在對資產(chǎn)價值、威脅、脆弱性分析和量化后，還要確定各要素之間的組合方式和具體的計算方法?！缎畔踩L險評估規(guī)范》（2007）對風險值的計算提出了如下函數(shù)：

風險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））. （1）

式（1）中：R為安全風險計算函數(shù)；A為資產(chǎn)；T為威脅；V為脆弱性；L為威脅利用資產(chǎn)的脆弱性導致安全事件的可能性；F為安全事件發(fā)生后造成的損失；Ia為安全事件所作用的資產(chǎn)價值；Va為脆弱性嚴重程度。

信息安全風險值的計算方法主要有矩陣法、相乘法和預先價值矩陣查表法等，并且可以將多種方法結(jié)合使用。因為相乘法操作簡單，所以，在風險分析中的應用比較廣泛。該方法是一種定量的計算方法，主要思路是利用2個相關(guān)要素值的乘積計算出結(jié)果要素的值。按照簡單性、科學性原則，對于企業(yè)自評估，本文認為，相乘法比較適合企業(yè)使用，但不限于該方法。根據(jù)相乘法，企業(yè)信息安全風險值的計算過程是：①計算威脅利用資產(chǎn)的脆弱性導致安全事件的可能性，即L=L（T，V）=T×V；②計算安全事件發(fā)生后造成的損失，即F=F（Ia，Va）=Ia×Va；③計算風險值，即R=R（L，F(xiàn)）=L×F.

2.3 企業(yè)信息安全自評估模型和流程設(shè)計

企業(yè)信息安全風險自評估的基本目的是依據(jù)企業(yè)自身業(yè)務，識別出信息系統(tǒng)中存在的主要安全風險，并排列優(yōu)先級，為風險信息計算提供數(shù)據(jù)支撐，進而為提出風險應對措施提供建議?；谏鲜龇椒?，本文提出了企業(yè)信息安全風險自評估模型，如圖1所示。

企業(yè)信息安全風險自評估模型的實施分為范圍確定、資產(chǎn)識別與量化、威脅分析、脆弱性分析、風險分析與計算、風險應對建議6個階段，每個階段的具體任務如圖2所示。

本文提出的自評估模型綜合了企業(yè)自評估的約束條件、風險評估的基本原理、關(guān)鍵環(huán)節(jié)與流程、基本要素度量等，具有以下5個特點：①模型提供了統(tǒng)一的資產(chǎn)、威脅、脆弱性3個基本要素的度量和評價方法，依據(jù)模型中的評價指標可以進行量化和排序。②模型將企業(yè)業(yè)務與風險評估結(jié)合起來，體現(xiàn)了IT服務企業(yè)、服務業(yè)務的理念，在一定程度上反映出了信息安全風險評估對業(yè)務的影響程度和對企業(yè)的價值。③模型滿足信息安全的動態(tài)性要求，適應企業(yè)業(yè)務不斷發(fā)展和調(diào)整的需要。當業(yè)務調(diào)整時，企業(yè)僅需分析業(yè)務信息流，識別出相關(guān)資產(chǎn)、威脅和脆弱性等。④模型滿足信息安全的持續(xù)性要求，企業(yè)可建立相關(guān)制度，將自評估設(shè)立為日常性工作。當業(yè)務無法調(diào)整時，自評估活動僅需識別和分析新的脆弱性和威脅信息，從而節(jié)省大量資源。⑤模型具有較強的適應性，適用于不同類型的企業(yè)，企業(yè)可根據(jù)實際情況裁減和優(yōu)化，根據(jù)各自的偏好選擇風險計算方法。

3 結(jié)束語

本文在研究國內(nèi)外風險評估模型、風險分析方法的基礎(chǔ)上，結(jié)合企業(yè)內(nèi)部進行信息安全風險自評估的需求和難點，提出了一種適用于企業(yè)內(nèi)部自評估的信息安全風險評估模型和流程。本文提出的模型為企業(yè)自評估提供方法和思路，在一定程度上解決了其他模型過程復雜、可操作性差的問題。但是，該模型仍需要通過更多的實踐并結(jié)合不同行業(yè)的特點，總結(jié)、歸納各類要素的評價指標和評價方法，進一步簡化和優(yōu)化自評估模型，使之在更大范圍內(nèi)具有通用性，從而為企業(yè)信息安全風險管理提供一定的幫助。

參考文獻

[1]Erik Johansson，Pontus Johnson.Assessment of enterprise information security-an architecture theory diagram definition.Proceedings CSER，2005（3）.

[2]Farahmand，F(xiàn).，Navathe，S.B.，Sharp，GP.，et al.A management Perspective on risk of security threats to information systems.Information Technology and Management，2005，6（2）.

[3]Lin，P.P.System security threats and controls.The CPA Journal，2006，76（7）.

[4]馮登國，張陽，張玉清.信息安全風險評估綜述[J].通信學報，2004，25（7）.

[5]艾明，向宏，康冶平.風險評估中威脅發(fā)生可能性的定量分析方法[J].微計算機信息，2007（23）.

[6]陳亮.信息系統(tǒng)安全風險評估模型研究[J].中國人民公安大學學報（自然學版），2007（4）.

[7]范紅.信息安全風險評估國家標準現(xiàn)狀與展望[J].信息網(wǎng)絡安全，2006（1）.

[8]譚良，佘堃，周明天.信息安全評估標準研究[J].小型微型計算機系統(tǒng)，2006，27（4）.

[9]陳雷霆，文立玉，李志剛.信息安全評估研究[J].電子科技大學學報，2005，34（3）.

[10]汪應洛.系統(tǒng)工程[M].第三版.北京：機械工業(yè)出版社，2003.

本文部分參考文獻因著錄項目不全被刪除。

〔編輯：白潔〕

文章編號：2095-6835（2017）12-0021-02