风险评估方法在企业信息安全管理中的应用探讨

中国一冶集团有限公司 刘 玮

1.企业信息安全评估的内容

企业在运行中会产生大量的运营数据，这些数据既有日常办公方面的数据，也有涉及企业生产和研发方面的数据。随着企业规模的扩大，对这些信息的管理大都是建立在一定的信息管理系统基础上的，如ERP资源管理系统、MES系统等。这些管理系统管理的内容包含了企业运行中的各类信息，就涉及到如何保障系统运行中信息安全的问题。不同的信息管理模式会伴随不同的信息泄露风险，因此需要对企业的信息管理风险程度进行评估，在此基础上寻找弥补信息安全隐患的策略。对企业信息安全的评估主要有以下几个方面的内容。

1.1 评估企业的管理制度

企业管理制度是企业有序运行的基础，企业的信息安全也和此密切相关。很多企业信息外泄的案例都和企业管理制度漏洞直接联系。因此在评估企业信息安全时企业的管理制度是必要的环节之一。在这个层面上评估企业信息安全主要是评估以下几类基本的管理制度。①企业信息系统的使用制度；②企业信息系统的维护制度；③企业信息系统操作人员培训制度；④系统设备和文件管理制度。

1.2 企业信息系统计算机安全评估

实践表明大量的企业信息外泄都和计算机系统的安全漏洞有关系，因此对企业信息系统的安全评估是必不可少的环节。这类问题的评估需要专业计算机人员来进行，弥补系统安全漏洞是保障企业信息安全的重要手段。定期或不定期的对企业信息系统的运行日志和统计资料进行检查是一种行之有效的方法。

2.企业信息安全风险定量评估方法

对上述几类评估内容的定量估计是衡量企业信息安全的量化手段，其衡量得出的数值就是企业信息安全的风险值或安全程度指标。企业信息安全的定量风险评估考虑因素主要有三个：资产价值、威胁和脆弱性。在定量评估中这三类因素都需要用定量数据采集的方式来进行合成计算，安全风险的数学表达式为：R=f(A,V,T)。其中R为风险指标，A表示企业资产指标，为T代表威胁，V为脆弱性指标。上述三类因素的基础数据都需要从实践中通过调研和测试来获得。

2.1 企业信息安全估价的描述方法

企业的资产既包括有形的资产，也包括无形的资源，表现形式也从机械设备到软件文档等多种多样。企业信息安全又有其特殊性。企业信息安全的安全属性估价需要从资产的保密性、完整性和可用性三个方面来展开评估。由于企业各类资产的形式各异，资产的安全级别无法用通用的量化标准来记性评估，因此采用的方法为定性的CIA模糊集合方式来描述，如“资产安全级别”=｛“很高”、“高”、“中等”、“低”、“较低”｝等模糊语言来描述，对应的论域为｛5、4、3、2、1｝。企业信息安全安全的保密性、完整性和可用性三个方面的属性都可以用上述模糊语言来定性描述，综合上述三类安全属性的公式为：S= l n[(eC+eI+eA)/3]。上式中C,I,A分别为企业信息安全的保密性、完整性和可用性的赋值，取值为1,2…5，S为综合评定指标。笔者这里提供一些评价指标的选取标准：

（1）信息保密性的评定标准

①很高：这类级别的企业信息包含企业的核心关键决策信息，信息泄漏将严重影响企业的利益；②高：这类级别的企业信息泄露会对到企业经济效益造成明显损害；③中等：企业的一般性的经营、决策信息，泄露对企业不利；④低：这类企业信息一般指企业内部部门的局部信息；⑤较低：企业可对外界公布的信息类型。

（2）信息完整性的评定标准

①很高：这类级别的企业信息包含企业的核心关键决策信息，其完整性直接决定企业的业务完整性，一旦缺失就无法弥补；②高：这类信息修改必须经过高层授权，一旦缺失将严重影响业务，一旦缺失弥补难度很大；③中等：企业的一般性的经营、决策信息，其修改需授权，缺失后可弥补；④低：这类企业信息一般指企业内部部门的局部信息，缺失后对企业运行影响较小，易于弥补；⑤较低：企业可对外界公布的信息类型，缺失后对企业运行无明显影响。

（3）信息可用性的评定标准

①很高：这类信息具有最重要的实用性，企业的运作必须依照运行的信息类型；②高：这类信息的可用性价值较高，企业运作对其依赖性较高；③中等：这类信息属于可部分不可用的类型，部分不可用不影响企业的正常运作；④低：这类企业信息一般指企业内部部门的局部信息，信息不可用不会造成明显影响；⑤较低：这类信息使用性不高，信息不可用的影响可以忽略。

2.2 企业信息安全威胁程度的量化方法

企业信息安全的威胁通常定义为潜在的破坏性因素或突发事件。威胁是客观存在的，既可能来自于系统的用户（合法用户或非法入侵）操作，也可能来自于系统的物理组件的损坏。这两类威胁中最大也最常见的是系统用户在操作方面的失误、非法用户利用系统漏洞来窃取企业机密信息，以及计算机病毒对信息系统的侵袭等。但这些事件都不易量化，在做风险评估时需要依赖专家经验，对各种潜在的威胁因素给出一定的概率值，对各类威胁因素可按照和上节类似的方法，用形如：“威胁程度”=｛“很高”、“高”、“中等”、“低”、“较低”｝等模糊集合来表达，对应于相应的论域｛5、4、3、2、1｝。建议评定标准如下：①很高：风险事件发生的频率很高，或对企业信息安全具有明显的威胁，但又很难避免的情形；②高：风险事件发生的可能性较大或有发生先例；③中等：风险事件有可能发生，但尚未实际发生过的情形；④较低：风险事件发生的可能性较小，通常情况下不会发生；⑤很低：几乎不可能发生的风险事件类型；

2.3 信息系统脆弱性的量化方法

信息系统脆弱性的评估和系统面临的威胁是紧密相关的，所有的实际威胁都是利用系统安全的薄弱环节来发挥破坏性作用的，因此信息系统的脆弱性和威胁存点对点或单点对多点的关系。为便于计算，也采用和衡量系统威胁程度时相同的表示方法，“系统脆弱性”=｛“很高”、“高”、“中等”、“低”、“较低”｝，对应于相应的论域｛5、4、3、2、1｝。建议评定标准为：①很高：这类评定往往要基于企业信息系统存在明显而易于攻击的技术漏洞或者是管理规范上的缺陷，极易被非法使用的情形；②高：企业信息系统存在一定的技术漏洞或管理规范上的缺陷，容易被攻击和利用；③中等：企业信息系统存在不易被发现（的技术漏洞，或必须经过人为非法操作才能被攻击的管理规范上的漏洞；④低：企业信息系统不存在明显的技术漏洞，或企业信息管理制度较为完善，不易被攻击利用；⑤较低：企业信息系统技术较为完善，管理制度也较为合理，被攻击点可能性很小。

2.4 信息安全的风险计算

按照风险的定义，风险包括风险事件发生的可能性和相应的后果。在企业信息系统中，各组成部分发生风险事件后的后果是不一样的，其严重程度也存在差异。因此在风险计算时需要明确两个方面的内容，一是风险的计算方式，二是对风险计算量化数值的评价。各因素风险值的计算按：R=A×V×T来计算，即按资产价值、资产脆弱性和资产面临的威胁性的乘积来衡量某种信息资产的风险值。上述几类因素的取值按照评价论域中的取值来作为乘积因子。在计算出风险值之后，还需要建立起以风险值为基础的风险评价体系。

由前文的分析可见，风险的定量估计是一个由三类风险因素的线性乘积得出的。每一类信息的最高等级论域数值为5，最低为1，因此组合情况下风险值的最高值为125，最低值为1。由此可建立其与之对应的风险定量评价体系。笔者建议采用与之对应的5级评定方式：①很高：风险值估计范围在100～125之间，表明企业信息系统存在很高的安全风险，发生信息泄露的可能性非常高；②高：风险估计值在75～100之间，表明企业信息系统存在较大的安全风险，发生信息泄露的可能性较大；③中等：风险估计值在50～75之间，企业信息系统的安全风险一般，经过审查后能够避免风险事件；④低：风险估计值在25～50之间，企业信息系统发生信息泄露的可能性很小；⑤很低：风险估计值在0～25之间，企业信息系统比较安全，但需要定期维护。

3.结语

企业信息系统安全管理关系到企业的内部运营数据的安全，是需要引起高度重视的问题。本文将企业信息安全评估中几类常用的信息类型进行了风险量化评估，给出了以线性乘积为基础的风险量化方法，最后给出了分等级的企业信息安全综合评定。

[1]沈昌样.关于强化信息安全保障体系的思考[J].信息安全与通信保密,2009,06.

[2]沈昌祥,马东平,等.信息安全工程学导论[M].电子工业出版社,2009,9.

[3]熊松锰,张志平.构建网络信息的安全防护体系[J].情报学报,2011,22.

[4]范红.信息安全风险评估方法与应用[M].清华大学出版社,2008.