信息安全风险评估关键技术研究

卫星君

摘 要 互联网信息技术在为我们生活带来便利的同时也带来了一系列信息安全问题。随着互联网技术的普及，绝大多部分机构和单位的重要资料都保存在信息系统中，一旦面临攻击或者威胁，将会造成难以想象的损失。信息安全风险评估理论最早起源于国外，引入我国后不少学者开始进行深入的研究，并取得了一定的成效。

关键词 信息安全风险评估；关键技术；研究

中图分类号 TP3 文献标识码 A 文章编号 1674-6708（2017）181-0025-02

信息安全风险评估就是建设更加完善的信息安全系统的保障，因此本文分析信息安全风险评估关键技术具有很强烈的现实意义。

1 信息安全风险评估概念及流程

1.1 风险评估概念

信息安全风险评估主要指的是对网络环境和信息系统中所面临的威胁以及信息系统资产和系统的脆弱性采取针对性的安全控制措施，对风险的判断需要从信息系统的管理和技术两个层面入手。

1.2 风险评估流程

风险评估需要经歷一个完整的过程：1）准备阶段，此阶段需要确定风险评估的范围、目标以及方法等；2）实施阶段，分别对资产、威胁和脆弱性等展开一系列的评估；3）分析阶段，包含量化分析和对风险的计算。在整个过程中可以看出风险评估的实施阶段和对风险的分析阶段所起的作用比较重要，其中包含了几项比较关键的技术。

2 信息安全风险评估的关键技术

风险评估和控制软件主要包含6个方面的主要内容，而安全风险评估流程则是分为4个主要的模块，漏洞管理、风险分析和评估、威胁分析、漏洞管理和检测等。在信息安全风险评估的过程中包含以下几方面的关键技术。

2.1 资产管理技术分析

资产评估主要是对具有价值的资源和信息开展的评估，这些资产包含有形的文档、硬件等也包含悟性的形象和服务等。风险评估中的第一项任务就是进行资产评估。评估过程中应该确保资产的完整性和保密性，兼顾威胁。具体评估方法为：1）对资产进行分类，资产往往来源于不同的网络和业务管理系统。所以需要对资产按照形态和具体的用途进行相应的分类；2）对资产进行赋值，对所有的资产进行分类之后，需要为每一项资产进行赋值，将资产的权重分为5个不同的级别，从1到5分别代表不同的资产等级。资产评估并不是需要根据账面的价格进行衡量而是以相对价值作为衡量的标准，需要考虑到资产的成本价值，更应该明确资产评估对组织业务发展的重要性。在实际的资产评估过程中，商业利益、信誉影响、系统安全、系统破坏等都会对资产赋值产生影响。

2.2 威胁分析技术分析

威胁是客观存在的，可能会对组织或者资产构成潜在的破坏，它可以通过途径、动机、资源和主体等多种途径来实现，威胁可以分为环境因素和人为因素。环境因素分为不可抗因素和物理因素，人为因素可以分为非恶意和恶意因素。威胁评估步骤如下：1）威胁识别过程，需要根据资产所处的实际环境，按照自身的实际经验评估资产可能会面对的威胁，威胁的类型十分多样化，包含篡改、泄密、物理攻击、网络攻击、恶意代码、管理问题等。2）威胁评估，在威胁识别完成之后就需要对威胁发生的可能性进行评估。威胁评估句式需要根据威胁的种类和来源形成一个类别，在列表中对威胁发生的可能性进行定义，现将威胁的等级分为五级，威胁等级越高，发生的可能性越大。表1为威胁赋值表格。

2.3 脆弱性识别技术分析

脆弱性识别包含管理和技术两个层面，涉及到各个层面中的安全问题，而漏洞扫描则是对主机和网络设备等开展扫描检查。针对需要保护的资产进行脆弱性识别，找出所有威胁可以利用的脆弱性，再根据脆弱性的程度，及可能会被威胁利用的机会展开相应的评估。对于漏洞扫描大都需要依赖扫描软件，当前市场上也出现了不少强大的扫描工具，可以扫描出绝大多数当前已经公开的绝大多数系统漏洞。可以使用Nessus客户端对系统的漏洞情况进行扫描，此种扫描工具包含了比较强大的安全漏洞数据库，可以对系统漏洞进行高效、可靠安全的检测，在结束扫描之后，Nessus将会对收集到的信息和数据进行分析，输出信息。输出的信息包含存在的漏洞情况，漏洞的详细信息和处理漏洞的建立等。

2.4 风险分析和评估技术分析

信息安全风险评估的过程中除了进行资产评估、危险评估和脆弱性识别之后需要对风险进行相应的计算。采用科学可行的工具和方法评估威胁发生的可能性，并根据资产的重要性评估安全事件发生之后所产生的影响，即安全风险。风险值的计算需要考虑到资产因素、脆弱性因素和威胁因素等，在进行了定量和定性分析之后再计算最终的风险值。

风险值的计算公式为R=F（A.T.V）=F=（Ia，G（T，Va）），公式中风险值为R，安全风险计算函数为F，资产为A，脆弱性为V，威胁为T，资产的重要程度为Ia，资产的脆弱性程度为Va，脆弱性被威胁利用导致安全事故发生的可能性为L。将公式中的各项指标进行模型化转换，可以得到图1。

2.4.1 评估要素量化方法

本文论述两种量化评估要素的方法：1）权重法，根据评估要素中重要程度的不同设置不同的权限值，在经过加权治疗后得出最终的量化值。2）最高法，评估要素的量化值就是评估要素的最高等级值，公式为S=Max（Sj）

2.4.2 计算风险值的方法

根据计算风险值的模型，采用矩阵算法来计算风险值。分别计算风险事件的发生值、影响值和最终的风险值。风险事件发生值=L（资产的脆弱性，威胁值）=L（V，T），风险事件影响值I=（Ia，Va）。

2.4.3 风险评估结果

在综合分析完成之后的评估结果就是风险评估结果，这项结果将会成为风险评估机构开展风险管理的主要依据，风险评估结果包含：风险计算和风险分析。风险计算是对资产的重要程度及风险事件发生值等进行判定；进而得出判定结果；风险分析是总结系统的风险评估过程，进而得出残余风险和系统的风险状况。

3 结论

随着互联网技术的普及应用，信息化管理已经成功应用到绝大部分企业管理中。但是随之而来的是一系列的信息安全问题，如果出现安全问题将会给企业带来严重的经济损失。信息安全风险评估技术是对信息安全风险程度进行分析计算的基础上展开评估，为提高企业信息安全性奠定基础，提高企业信息安全管理水平。

参考文献

[1]安莉丽.网络安全风险评估关键技术研究[J].信息通信，2015（7）：143-144.