信息系统安全风险评估方法和技术研究

郭璇

随着我国计算机信息技术的不断发展，我国对信息系统的安全要求愈加提高，而对信息系统进行安全风险评估对于我国信息安全工作中遇到的相关问题有着很不错的预防作用。针对这种情况，本文就信息系统安全风险评估方法和技术进行相关研究，希望能对我国相关事业的更好发展尽一份力。

【关键词】信息系统安全 风险评估方法 技术研究

随着我国经济与社会的不断发展，我国信息系统为了满足日益增长的信息管理需求也变得愈加复杂，信息系统的安全程度也日益引起社会各界的关注。为了解决我国信息系统可能面临的种种威胁，我们需要一种针对于信息系统的安全评估方法来识别信息系统可能面临的风险，并将其扼杀于无形，所以我们说对信息系统安全风险评估方法和技术进行相关研究有着极为深刻的现实意义。

1 信息系统安全评估的工作流程

1.1 资产识别

所谓资产，在这里指的是对相关信息系统的主体组织来说具有价值的信息资源，也是我们研究的信息安全评估所保护的对象。这里的资产一般可以分为数据、软件、硬件、文档、服务与人员等类别，在进行具体的信息系统安全评估中，相关工作人员可以对所评估的系统主体中不同的资产赋予不同的等级，并根据相关机密性、完整性与可用性作为等级赋予的参考。在这种信息系统的安全评估中，对系统主体的赋值过程，也是对系统资产机密性、完整性与可用性达成程度的分析，而通过这些分析相关工作人员会得到一个较为综合的评估结果。

1.2 脆弱性识别

所谓脆弱性，在这里指的是对相关信息系统的主体组织来说一个或多个资产弱点的总称。在进行具体的信息系统安全评估中，相关工作人员对所评估的系统主体资产为核心，并在具体评估中将每个资产的弱点进行分别标注，最后运用得到的每个资产的弱点对该信息系统中的资产进行总体评估。此外，相关工作人员也可以通过对评估的系统主体物理、网络、应用等层级进行逐级评估，并在最后将评估得到的资产报告与相关威胁相结合。在通过脆弱性是别发对信息系统的安全评估中，相关工作人员可以选择物理环境、服务器、网络结构、数据库、应用系统、技术管理与组织管理多方面进行评估，通过发现其脆弱点进行具体的评估工作。

1.3 威胁识别

所谓威胁，在这里指的是对相关信息系统的主体组织来说，在其信息系统存在脆弱性以及相关安全措施缺乏的前提下，相关威胁作用到信息系统的某个安全资产上，并造成了一定程度破坏的信息安全风险。威胁识别是通过评估信息系统中存在的问题，查出这些直接威胁或间接威胁的过程，在相关人员进行具体的威胁识别工作中，其需要建立风险分析所需要的威胁场景进行相关威胁的识别。

1.4 风险分析

在对相关相关信息系统进行资产识别、脆弱识别与威胁识别后，相关信息系统的评估人员就应进入信息系统的风险评估阶段，在这个阶段相关工作人员的工作是对于相关风险进行分析与计算。

2 信息系统的风险评估方法

2.1 基于知识的信息系统风险分析方法

在基于知识的信息系统风险分析方法的具体操作中，主要依靠的是相关风险评估工作的工作人员自身的经验，通过对相关信息系统资料的采集，通过自身知识储备与相关信息系统风险评估的标准进行比较，找出该信息系统中存在的不合适的地方，并通过相关标准与业界常用的最佳方法选择出相应的安全措施，起到对信息系统风险控制与消除的作用。

2.2 基于技术的信息系统风险分析方法

在基于技术的信息系统风险分析方法的具体操作中，主要依靠的是相关风险评估工作的工作人员自身的技术能力，通过对相关信息系统基础结构与程序系统的检查，对相应的信息系统内部安全性与脆弱的的完整估计，并以此解决信息系统中发现的种种风险隐患。这种基于技术的信息系统风险分析方法对相关技术分析较多，但在管理上较为薄弱，对于相关信息系统的管理分析上较为不足。

2.3 信息系统定量分析方法

在信息系统风险分析中，所谓定量分析方法指的是通过将相关信息系统中的资产价值与风险进行等量化财物价值的一种相关风险评估方法。在信息系统的定量分析法中，其本身具有量化的数据支持这一优点，这就使得信息系统中的相关安全威胁对系统内资产造成的损失可以通过财物进行相关衡量，这种直观的衡量方式能够使相关信息系统的主体机构管理层较为容易的理解与接收信息系统风险分析。不过，信息系统定量分析方法在使用中也有着其缺点，那就是其量化的财物损失数据大多是以参与者的主观意见为基础，这就使得在具体方法的使用中，量化财务数据缺乏一定程度的客观性。

3 结论

随着我国信息技术的不断发展，为了保障我国民众个人或企业组织的信息安全，信息系统的风险评估的相关发展已成为信息技术安全发展的重要方向之一。虽然我国现阶段关于信息系统风险评估的相关技术标准尚未出台，但我国各地的相关信息系统风险评估机构都在密切关注着相关标准出台的进展，而其自身所进行的相关信息系统风险评估方法的研究，也对我国信息安全保障体系的发展与建立提供了重要保障。

参考文献

[1]李鹤田，刘云，何德全.信息系统安全风险评估研究综述疆[J].中国安全科学学报，2006，01：108-113+0-1.

[2]张利，彭建芬，杜宇鸽，王庆.信息安全风险评估的综合评估方法综述[J].清华大学学报（自然科学版），2012，10：1364-1369.

[3]唐作其，陈选文，戴海涛，郭峰.多属性群决策理论信息安全风险评估方法研究[J].计算机工程与应用，2011，15：104-107+144.

[4]杨晓明，罗衡峰，范成瑜，陈明军，周世杰，张利.信息系统安全风险评估技术分析[J].计算机应用，2008，08：1920-1923.

作者单位

公安海警学院 浙江省宁波市 315800