信息系统的风险评估过程与评估方法

杨利霞

信息系统的风险评估过程与评估方法
4 Z6 h4 ?2 U6 ^; m就像做投资一样，信息网络也存在风险，如果不了解信息网络风险并加以控制或解决的话，网络的安全就无法保证，各种的信息也许就会毫无保障，网络世界会紊乱无章。对于信息网络，万方安全认为，我们要对其进行一个风险的评估，然后再找方法去解决，尽最大的力度去减少风险所带来的威胁或损失。
1 a7 v" j$ ?2 ~+ O* z" |  o
信息安全风险评估是进行量化评估一件事情给人们的生活、生命、财产等各个方面造成的影响和损失的可能性的工作，而信息系统的信息安全风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量，是对信息资产威胁、脆弱点以及由此带来的风险大小的评估。
. v5 o" s. k0 a* V* I
一、信息安全风险评估过程
6 x6 m. c- s8 E* C  Z
信息安全风险评估的过程是一个动态循环的过程，对信息安全风险评估的结果起着重要的作用。信息安全风险评估过程就是在评估标准的指导下，综合利用相关评估技术、评估方法、评估工具，针对信息系统展开全方位的评估工作的完整历程。


0 F, m4 c6 g/ J% @/ Q
一、信息安全风险评估过程

信息安全风险评估的过程是一个动态循环的过程，对信息安全风险评估的结果起着重要的作用。信息安全风险评估过程就是在评估标准的指导下，综合利用相关评估技术、评估方法、评估工具，针对信息系统展开全方位的评估工作的完整历程。

信息安全风险评估具体评估过程如下:



图1-1信息安全风险评估的过程
+ Z7 I9 `" L: a4 R! |8 a
# h6 N8 m) {: O, @8 ?' B& p( h1.要确定保护的对象(或者资产)是什么，即确定资产
# N$ y7 w* t  {) `; |$ j4 T
- d7 l. i' c5 L4 H2 D安全评估的第一步是确定信息系统的资产，并明确资产的价值，资产的价值是由对组织、合作伙伴、供应商、客户和其他利益相关方在安全事件中对完整性、可用性和保密性的影响来衡量的。资产的范围很广，一切需要加以保护的东西都算作资产，包括:软件资产、信息资产、纸庚文件、公司形象和声誉、人员、物理资产、服务等。资产的评估应当从关键业务开始，最终覆盖所有的关键资产。

2. 脆弱性和威胁分析

6 T/ @+ T" r$ t/ Q* r对资产进行细致周密的分析，确定要保护的资产存在哪些威胁，导致威胁的问题所在，发现它的脆弱点及由脆弱点所引发的威胁，统计分析发生概率、被利用后所造成的损失等。

3. 制定及评估控制措施
/ v5 k" \! I/ Y; R( m/ N2 y
在分析各种威胁及它们发生可能性基础上，研究消除、转移、减轻威胁风险的手段。这一阶段不需要做出什么决策，重要是要考虑可以采用的各种安全防范措施和它们的实施成本。

制定出的控制措施应当全面，在有针对性的同时，要考虑、系统地、根本性的解决方法，为下一阶段的决策作充足的准备，同时将风险和措施文档化。
' \0 N" {$ u3 a0 k0 C
/ T2 k) T# l. e, T3 x: f: I5 G/ o4. 决策
  ~# z/ T( U8 j$ @7 u  X4 ]
1 ~" ~$ [+ ~8 L2 o* ?这一阶段包括评估影响，排列风险，制定决策。应当从3个方面来考虑最终的决策:避免风险、接受风险、转移风险。对安全风险决策后，明确信息系统所要接受的残余风险。在分析和决策过程中，要尽可能多地让更多的人参与进来，从管理罩的代表到业务部门的主管，从技术人员到非技术人员。采取安全措施将风险带来的损失降低到最低程度
$ n% j& B- q/ w% x+ r
2 M  _8 ]& W  b. L5 k4 y5 ?$ D: E5. 沟通与交流

由上一阶段所做出的决策，必须经过领导层的签字和批准，并与各方面就决策结论进行沟通。这是很重要的一个过程，沟通能确保所有人员对风险有清醒地认识，并有可能在发现一些以前没有注意到的脆弱点。
, j) m! A5 t# X3 j
6. 监督实施

2 n. {0 I- h+ r) i最后的步骤是安全措施的实施。实施过程要始终在监督下进行，以确保决策能够贯第穿于工作之中。在实施的同时，要密切注意和分析新的威胁并对控制措施进行必要的修改。
0 M! r0 l* P4 r' M/ M' E7 c
二、信息安全风险评估方法
& B) r+ r, Y( c& v9 e
5 g" L& ~) y: z+ q6 O. g9 L当发现一件事情可能带有的风险之后，我们就要去运用一些方法去找出以及评估这些风险了，在评估过程中使用何种方法对评估的有效性同样占有举足轻重的地位。信息安全风险评估的方法有很多种但无论是何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。

, A" D# e0 c5 f0 `* O首先，先说一下可分为三大类的信息安全风险评估方法：定性的信息安全风险评估方法、定量的信息安全风险评估方法、定性与定量相结合的评估方法。


3 t" l1 C" u, f
图1-2信息安全风险评估的方法


1.定性评估方法
7 q5 o: M  S; E* L" ^" m
定性评估方法的优点是避免了定量方法的缺点，可以挖掘出一些蕴藏很深的思想，使评估的结论更全面、更深刻;但它的主观性很强，对评估者本身的要求很高。

定性的评估方法主要根据研究者的经验、知识、政策走向、历史教训及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料，之后通过一个理论推导演绎的分析框架，对资料进行编码整理，在此基础上做出调查结论。
! V. ^) w" {' e- X( b9 }: n; D
2 S, C9 Q) a" E: c/ p1 I定性分析方法主要有逻辑分析法、德尔斐法、因素分析法、历史比较法。

2.定量评估方法
/ t5 N" d4 O( z# u0 G; i
定量的评估方法是指运用数量指标来对风险进行评估。
& e( f3 C7 {1 Z& p* p6 n* T! ?) D
% s( S3 @, K1 _" f; @* R定量的评估方法的优点是用直观的数据来表述评估的结果，看起来比较客观，而且一目了然，定量分析方法的采用，可以使研究结果更严密，更科学，更深刻。有时，一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的;但常常为了量化，使本来比较复杂的事物简单化、模糊化了，有的风险因素被量化以后还可能被误解和曲解。

& q* j4 I; c# ?# B定量分析方法主要有等风险图法、决策树法、因子分析法、时序模墅、回归模型、聚类分析法等。

3. 定性与定量相结合的综合评估方法

系统信息安全风险评估是一个复杂的过程，需要考虑的因素很多，有些评估要素是可以用量化的形式来表达，而对有些要素的量化又是很因难甚至是不可能的，所以不主张在信息安全风险评估过程中一昧地追求量化，也不认为一切都是量化的信息安全风险评估过程是科学、准确的。
. E* ?3 \6 t/ X$ l% K6 {
定量分析是定性分析的基础和前提，定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂，是彤成概念、观点，做出判断，得出结论所必须依靠的，在复杂的信息系统信息安全风险评估过程中，不能将定性分析和定量分析两种方法简单的割裂开来。而是应该将这两种方法融合起来，采用综合的评估方法。

% D+ k# n6 r0 P其次，再来说说典型的信息安全风险评估方法

在信息系统信息安全风险评估过程中，层次分析法经常被用到，它是一种综合的评佑方法，这是一种定性与定量相结合的多目标决策分析方法，其核心是将决策者的经验判断给予量化，从而为决策者提供定量形式的决策依据。该方法对系统进行分层次、拟定量、规范化处理，在评估过程中经历系统分解、安全性判断和综合判断三个阶段。
6 W) {( G& ?$ f; l
% Q3 o4 H6 \: \, i% G* R, a- f基本步骤为：
2 S9 {9 B  Q) b% y
(1)系统分解，建立层次结构模型；
- O" s! Y; K) z
7 t7 j7 ^+ M$ a# @(2)构造判断矩阵，通过单层次计算进行安全性判断；

2 o* d& i. E1 T# y5 B% t2 L: P(3)层次总排序，完成综合判。
; h: H! f0 U! k' l
0 `8 @# n1 p/ x9 B9 [6 ?! T# {在信息安全风险评估过程中选择合适的信息安全风险评估方法可以得到最好的评估结果使得整个信息安全风险评估得到最好的解决方案是我们所追求的的目标，因此要对每一种的评估方法都要去了解去熟悉然后拿去应用，这才是我们学习的一个目标。


7 u9 K  x6 D0 X! {: D8 S