張?jiān)h

摘要：隨著我國計算機(jī)及科技的快速發(fā)展，越來越多的信息用于計算機(jī)存儲，因此，信息安全的問題受重視的程度越來越高。社會上目前也有一些比較權(quán)威的安全信息評估標(biāo)準(zhǔn)，但有些安全信息標(biāo)準(zhǔn)的安全特性、信息的針對性不夠全面，以及計算過程做不到完整等。就目前安全信息評估標(biāo)準(zhǔn)存在的這些問題，本文主要以保密性、完整性、可用性為基礎(chǔ)作為安全系統(tǒng)最終實(shí)現(xiàn)的目標(biāo)，針對這一系列的目標(biāo)提出了全新的安全系統(tǒng)評估方法。

關(guān)鍵詞：多目標(biāo);信息安全;風(fēng)險評估方法

計算機(jī)與科學(xué)技術(shù)在不斷發(fā)展，網(wǎng)絡(luò)的規(guī)模也在不斷擴(kuò)大，數(shù)據(jù)化的信息量也在增大，同時也給了一些不法分子盜取信息的機(jī)會，保證信息的安全可靠難度也越來越高。因?yàn)橄到y(tǒng)的安全性存在一定的隱患，與網(wǎng)絡(luò)操作相關(guān)聯(lián)的軟件、操作系統(tǒng)、硬盤設(shè)備，不可避免的都會存在一些安全的漏洞，這也給系統(tǒng)外的安全問題有了可乘之機(jī)，給信息的安全性無意或者是有意帶來了一些問題，如果可以對系統(tǒng)的安全性有一個合理的評估，對有可能會發(fā)生的風(fēng)險有一個有效或者可靠的衡量，對信息系統(tǒng)的改進(jìn)有一個進(jìn)一步的指導(dǎo)工作，那信息系統(tǒng)安全性就會有一個很大的提高。

一、簡單系統(tǒng)所進(jìn)行的風(fēng)險評估

信息安全風(fēng)險性的評估可以對一個特定的信息系統(tǒng)進(jìn)行，這樣進(jìn)行評估其一可以提供比較直觀的信息系統(tǒng)的安全評價給相關(guān)的系統(tǒng)管理者，定性和定量的評價都可以用這種評價方法;其二是將不同時期的風(fēng)險評價結(jié)果進(jìn)行對比，通過對比可以對某些安全措施是否有效進(jìn)行一個檢測。以保密性、可用性、完整性等一系列的特性為基礎(chǔ)，對信息系統(tǒng)進(jìn)行設(shè)計，以此來達(dá)到最終的保證系統(tǒng)信息安全性目標(biāo)的實(shí)現(xiàn)。以設(shè)計方案或者是安全策略為目標(biāo)對最終方案的達(dá)成進(jìn)行推進(jìn)，如果可以有效的進(jìn)行下去，可以將信息安全風(fēng)險的評估逐漸轉(zhuǎn)變?yōu)槎嗄繕?biāo)的決策問題。

二、信息安全系統(tǒng)評估的實(shí)施方法

1.資產(chǎn)評估

能夠提供特性的業(yè)務(wù)和服務(wù)能力的系統(tǒng)是網(wǎng)省公司進(jìn)行資產(chǎn)識別的主要項(xiàng)目，作為一個實(shí)用的應(yīng)用系統(tǒng)，通?？梢苑譃樗膫€部分，主要是包括數(shù)據(jù)的存儲、業(yè)務(wù)的處理以及提供業(yè)務(wù)服務(wù)和客戶端這四個相關(guān)的組成部分，相關(guān)的獨(dú)立的信息系統(tǒng)中，這四個部分都可以顯現(xiàn)為資產(chǎn)實(shí)體的獨(dú)立性，對資產(chǎn)的使命、本身資產(chǎn)的具體價值、應(yīng)用系統(tǒng)對于資產(chǎn)的重要價值、資產(chǎn)部署的位置以及影響范圍等因素對信息資產(chǎn)的價值進(jìn)行評估，這是資產(chǎn)從定量化判斷到定量化賦值的相關(guān)一些環(huán)節(jié)，是資產(chǎn)賦值的重要評估方法。

2.威脅評估

通過相應(yīng)的技術(shù)手段、數(shù)據(jù)的統(tǒng)計以及相關(guān)的經(jīng)驗(yàn)對信息系統(tǒng)可能會面臨到思維威脅過程進(jìn)行一個客觀判定，具體實(shí)施時，以各個單位系統(tǒng)的具體的業(yè)務(wù)情況為基礎(chǔ)，和以往發(fā)生的信息安全事件，網(wǎng)絡(luò)、系統(tǒng)管理員對相關(guān)的威脅網(wǎng)絡(luò)安全性問題的事件以及未來發(fā)生的可能性或者是對事件發(fā)展的未來趨勢進(jìn)行調(diào)查，并按照威脅的主體以及可能發(fā)生的各種威脅進(jìn)行評估。

3.脆弱性評估

有關(guān)脆弱性的評估主要包括管理、運(yùn)維、技術(shù)，其主要是圍繞這三個方面進(jìn)行評估的，這三者可以說是相輔相成的，既可以獨(dú)立進(jìn)行評估，也可以是相互關(guān)聯(lián)的，如果信息系統(tǒng)存在管理脆弱，相關(guān)的運(yùn)維脆弱和技術(shù)脆弱方面的問題也很有可能被引發(fā)，這三者也可以說是密不可分的。技術(shù)性是否脆弱的判定方法可以用掃描的工具或者是人工的審計等主要的方法，還可以訪談和調(diào)查問卷的形式，去收集意見和建議，以此來發(fā)現(xiàn)管理和運(yùn)維脆弱的主要問題和存在的不足之處。除此之外，相關(guān)的脆弱性評估還可以依據(jù)之前信息系統(tǒng)所發(fā)生的安全事件，對所發(fā)生安全事件的原因及次數(shù)進(jìn)行統(tǒng)一的收集整理和分析，這是對脆弱性評估的主要方法。

三、風(fēng)險評估標(biāo)準(zhǔn)中存在的不足之處

1.沒有完整的安全特性

目前國內(nèi)對于風(fēng)險的控制只考慮了非授權(quán)主體的控制，控制的范圍僅包括可用性、完整性和可用性，沒有考慮到授權(quán)主體的不正常行為，這恰是信息系統(tǒng)存在的一個隱患，授權(quán)主體的不正常行為也很有可能對信息系統(tǒng)的安全性存在威脅，比如信息系統(tǒng)的可控性以及信息的不可否認(rèn)性，通過控制授權(quán)主體，對系統(tǒng)信息的可用性、完整性以及保密性有一個補(bǔ)充保障的作用，控制范圍主要包括要求授權(quán)的用戶只可以在授權(quán)范圍內(nèi)查看其所授權(quán)的信息，對授權(quán)用戶的行為進(jìn)行檢查和監(jiān)督，防止一些授權(quán)用戶人為或者是無意的對系統(tǒng)的信息進(jìn)行破壞。

2.對系統(tǒng)的評估沒有針對性

行業(yè)不同，對其所處的信息系統(tǒng)安全性的需求也是不一樣的，如現(xiàn)在非常普遍的智能信息系統(tǒng)，因?yàn)槠浜唵伪憬莸氖褂梅绞?，為人們的生活帶去了很多便利，不同的安全指?biāo)在不同工程系統(tǒng)的意義以及重要性，國標(biāo)就沒有做到充分的考慮，將保密性、完整性和可用性進(jìn)行同等的看待，那將會使評估的結(jié)果失實(shí)。

3.沒有完整的評估計算

所屬資產(chǎn)的風(fēng)險等級以及風(fēng)險值在進(jìn)行分析計算以后，對所有資產(chǎn)的等級以及風(fēng)險值沒有進(jìn)一步的進(jìn)行結(jié)合評估，所以沒有得到全系統(tǒng)的風(fēng)險值以及風(fēng)險等級的評估結(jié)果。針對于不同的系統(tǒng)結(jié)構(gòu)，計算方式的組合也會存在一定的差異，最終會導(dǎo)致評估的結(jié)論有很大差距。

四、目前現(xiàn)有的安全評估措施

1.現(xiàn)有的安全措施評估

對各個單位相關(guān)的安全設(shè)備、所部署的防病毒系統(tǒng)、具體的使用以及管理的情況，特征庫的更新方式和具體的更新時間，有關(guān)設(shè)備資源的使用效率、系統(tǒng)本身的工作狀況，對于曾經(jīng)出現(xiàn)過的系統(tǒng)異常情況、曾經(jīng)存在的安全性問題、保存日志的相關(guān)情況進(jìn)行一個合理的評估，此類評估方法對事后的安全行為進(jìn)行評估，沒有辦法對未來有可能發(fā)生的存在與信息系統(tǒng)有關(guān)的安全問題進(jìn)行準(zhǔn)確的預(yù)測，所以目前經(jīng)常會發(fā)生信息系統(tǒng)信息泄露的問題。此外，信息系統(tǒng)中信息系統(tǒng)管理員的個數(shù)、相關(guān)管理員操作系統(tǒng)口令的安全系數(shù)等相關(guān)的系統(tǒng)信息進(jìn)行等級的確認(rèn)，對具體的級別進(jìn)行確認(rèn)。

2.安全管理措施的評估

對被評估單位進(jìn)行相關(guān)的訪談，確認(rèn)其是否成立了有關(guān)信息安全技術(shù)的小組，是否通過文件的形式對安全小組的成員進(jìn)行了確認(rèn)，成員的具體職責(zé)進(jìn)行了相對應(yīng)的明確，所提出的信息化發(fā)展策略是否與自身的實(shí)際做到了相結(jié)合，并與社會的發(fā)展相呼應(yīng)，具體包括信息安全工作總體方針的制定和相關(guān)安全策略的實(shí)施，信息系統(tǒng)的安全管理制度是否有效的進(jìn)行了建立和完善，對日常的操作和管理流程是否有一個明確的規(guī)范，對于維護(hù)信息系統(tǒng)安全的小組成員，單位應(yīng)做到定期的對小組內(nèi)成員進(jìn)行培訓(xùn)，提升其相關(guān)的專業(yè)知識，對國家最新頒布的法律法規(guī)以及相關(guān)的安全政策等進(jìn)行學(xué)習(xí)，通過對信息系統(tǒng)中安全成員的專業(yè)知識提升和職業(yè)素養(yǎng)的提升，從而達(dá)到對安全信息系統(tǒng)的維護(hù)工作效率進(jìn)行提升。

3.評估物理與環(huán)境安全

想要對信息系統(tǒng)的安全性提供完整的保障，除了要對軟件系統(tǒng)的安全性能進(jìn)行提升以外，相關(guān)信息系統(tǒng)的硬件功能也要有一個合理的提升，首先就是要對機(jī)房的環(huán)境有一個可靠的保障，其中包括是否具備完整的物理防護(hù)措施，或者是防漏水的檢測系統(tǒng)是否健全，所裝置的防漏水監(jiān)測是否達(dá)到足夠的靈敏程度，如果機(jī)房溫度過高，是否有高溫警報系統(tǒng)或者是高溫處理系統(tǒng)，對于高溫報警后是否有相關(guān)的高位處理措施，機(jī)房內(nèi)是否裝有可以降低溫度的嚴(yán)密的空調(diào)，其對機(jī)房內(nèi)溫度的調(diào)節(jié)是否是有效的;對機(jī)房內(nèi)的電源也要有一個有效的防護(hù)措施，對電源的插頭或者是接口處每天要進(jìn)行檢查，并對檢查的結(jié)果每天進(jìn)行記錄，對電源的可使用性要有保障，相關(guān)的責(zé)任具體到個人，可以采用獎懲制度，提高工作人員的責(zé)任心，使其嚴(yán)格做好防控措施，避免因?yàn)殡娫吹耐蝗粨p壞或者是人為的故意破壞從而導(dǎo)致信息系統(tǒng)的數(shù)據(jù)沒有成功保存，帶來不必要的損失。

4.應(yīng)急措施與恢復(fù)的管理

網(wǎng)絡(luò)不同于其他事物，網(wǎng)絡(luò)中很多數(shù)據(jù)的損壞都是一瞬間的，或許是無意的一個操作就會導(dǎo)致信息系統(tǒng)的全面崩盤，也可能會導(dǎo)致信息系統(tǒng)中所有的數(shù)據(jù)因此泄露，因此，想要進(jìn)一步提高信息系統(tǒng)的安全性，首先就要對信息安全系統(tǒng)可能會發(fā)生的突發(fā)狀況做好應(yīng)急措施，對信息系統(tǒng)中的數(shù)據(jù)要有一個恢復(fù)數(shù)據(jù)的功能，避免因意外情況導(dǎo)致的信息系統(tǒng)數(shù)據(jù)泄露或者丟失。為了最大限度的減少突發(fā)事件對網(wǎng)絡(luò)信息系統(tǒng)帶來的不良影響，在對安全系統(tǒng)進(jìn)行評估時，首先就要對信息系統(tǒng)的應(yīng)急措施與恢復(fù)管理措施進(jìn)行監(jiān)測，確保其所制定的相關(guān)措施可以有效的避免因信息系統(tǒng)突發(fā)的狀況而帶來的損失。

5.進(jìn)行信息系統(tǒng)的完善與改進(jìn)

在信息系統(tǒng)評估完成以后，要根據(jù)評估所指出的問題進(jìn)行有效的整改，全面消除信息系統(tǒng)可能存在的安全風(fēng)險，對于未來可能發(fā)生的安全風(fēng)險也要根據(jù)評估的結(jié)果或者是以往發(fā)生的相關(guān)安全性的問題進(jìn)行合理的防范和避免，以安全技術(shù)和安全管理為基礎(chǔ)，對信息系統(tǒng)的安全風(fēng)險防控管理進(jìn)行落實(shí)，對信息系統(tǒng)的安全穩(wěn)定運(yùn)行提供一個可靠的保障。

結(jié)語

綜上所述，在信息系統(tǒng)安全的評估過程中，不能夠僅單一的對其安全性去進(jìn)行評估，單一評估的結(jié)果缺乏全面性和有效性，需要從多個方面、多個角度出發(fā)進(jìn)行有效的評估，保證評估的客觀性和真實(shí)性，這樣才可以對信息系統(tǒng)所面臨的安全隱患進(jìn)行準(zhǔn)確的預(yù)測，相關(guān)的防護(hù)措施才會有效。

參考文獻(xiàn)：

[1]薛正，馬婷婷，于洋. 基于多目標(biāo)決策的信息安全風(fēng)險評估方法研究[J]. 科技資訊，2019，（002）：1-3.

[2]郭秀峰. 基于評判矩陣的網(wǎng)絡(luò)信息安全風(fēng)險評估[J]. 信息與電腦（理論版），2019（18）.

[3]嚴(yán)華健、張國富、蘇兆品、劉揚(yáng). 救災(zāi)物資高維多目標(biāo)自適應(yīng)分配問題建模與求解[J]. 計算機(jī)應(yīng)用，2020，（8）：10.