信息安全评估

信息安全评估（共12篇）

信息安全评估 篇1

信息系统安全是动态和相对的。任何一个系统都有其脆弱性和安全漏洞, 存在一定的安全风险。为保护信息资产、降低信息风险, 信息安全风险管理已逐渐成为信息安全保障的一个重要模式。信息安全风险评估作为风险管理的重要环节已成为全球信息安全工作的热点。由于测量船特殊的工作环境, 测量船的信息安全保障难度更大, 信息安全风险评估显得尤为重要。

1. 风险评估内涵

信息安全风险评估是指从内 (资产、脆弱性、已有控制) 和外 (威胁、安全事件) 2方面对信息处理系统综合分析评估, 计算出实际的安全风险等级, 判断面临的风险, 从而为选择实施各类防御管控措施提供依据。风险评估是一项周期性工作, 是进行风险管理, 采取技术与管理措施安全加固的前提。由于风险评估的结果将直接影响到信息系统防护措施的选择, 从而在一定程度上决定了风险管理的成效。风险评估可以概括为: (1) 风险评估是一个技术与管理的过程。 (2) 风险评估是根据威胁、脆弱性判断系统风险的过程。 (3) 风险评估贯穿于系统建设生命周期的各阶段。

2. 信息安全风险评估方法

(1) 安全风险评估。

信息安全风险指有害事件发生的可能性和该事件可能对组织的使命所产生影响的函数。为确定这种可能性, 需分析系统的威胁以及由此表现出的脆弱性。影响是按照系统在单位任务实施中的重要程度来确定的。风险评估以现实系统安全为目的, 按照科学的程序和方法, 对系统中的危险要素进行充分的定性、定量分析, 并作出综合评价, 以便针对存在的问题, 根据当前科学技术和经济条件, 提出有效的安全措施, 消除危险或将危险降到最低程度。即:风险评估是对系统存在的固有和潜在危险及风险性进行定性和定量分析, 得出系统发送危险的可能性和程度评价, 以寻求最低的事故率、最少的损失和最优的安全投资效益。

(2) 风险评估的主要内容。

(1) 技术层面。评估和分析网络和主机上存在的安全技术风险, 包括物理环境、网络设备、主机系统、操作系统、数据库、应用系统等软、硬件设备。

(2) 管理层面。从本单位的工作性质、人员组成、组织结构、管理制度、网络系统运行保障措施及其他运行管理规范等角度, 分析业务运作和管理方面存在的安全缺陷。

(3) 风险评估方法。

(1) 技术评估和整体评估。技术评估是指对组织的技术基础结构和程序系统、及时地检查, 包括对组织内部计算环境的安全性及对内外攻击脆弱性的完整性攻击。

整体风险评估扩展了上述技术评估的范围, 着眼于分析组织内部与安全相关的风险, 包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。

(2) 定性评估和定量评估。定性分析方法是使用最广泛的风险分析方法。根据组织本身历史事件的统计记录等方法确定资产的价值权重, 威胁发生的可能性以及如将其赋值为“极低、低、中、高、极高”。

(3) 基于知识的评估和基于模型的评估。基于知识的风险评估方法主要依靠经验进行。经验从安全专家处获取并凭此来解决相似场景的风险评估问题。该方法的优越性在于能直接提供推荐的保护措施、结构框架和实施计划。

(4) 信息安全风险的计算。

(1) 计算安全事件发生的可能性。根据威胁出现频率及弱点的状况, 计算威胁利用脆弱性导致安全事件发生的可能性。具体评估中, 应综合攻击者技术能力、脆弱性被利用的难易程度、资产吸引力等因素判断安全事件发生的可能性。

(2) 计算安全事件发生后的损失。根据资产价值及脆弱性的严重程度, 计算安全事件一旦发生后的损失。部分安全事件损失的发生不仅针对该资产本身, 还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也不一样。

(3) 计算风险值。根据计算出的安全事件发生的可能性以及安全事件的损失计算风险值。

3. 风险评估模型选择

参考多个国际风险评估标准, 建立了由安全风险管理流程模型、安全风险关系模型和安全风险计算模型共同组成的安全风险模型 (见图1) 。

(1) 安全风险管理过程模型。

(1) 风险评估过程。信息安全评估包括技术评估和管理评估。

(2) 安全风险报告。提交安全风险报告, 获知安全风险状况是安全评估的主要目标。

(3) 风险评估管理系统。根据单位安全风险分析与风险评估的结果, 建立本单位的风险管理系统, 将风险评估结果入库保存, 为安全管理和问题追踪提供数据基础。

(4) 安全需求分析。根据本单位安全风险评估报告, 确定有效安全需求。

(5) 安全建议。依据风险评估结果, 提出相关建议, 协助构建本单位安全体系结构, 结合组织本地、远程网络架构, 为制定完整动态的安全解决方案提供参考。

(6) 风险控制。根据安全风险报告, 结合单位特点, 针对面对的安全风险, 分析将面对的安全影响, 提供相应的风险控制建议。

(7) 监控审核。风险管理过程中每一个步骤都需要进行监控和审核程序, 保证整个评估过程规范、安全、可信。

(8) 沟通、咨询与文档管理。整个风险管理过程的沟通、咨询是保证风险评估项目成功实施的关键因素。

(2) 安全风险关系模型。

安全风险关系模型以风险为中心, 形象地描述了面临的风险、弱点、威胁及其相应的资产价值、防护需求、保护措施等动态循环的复杂关系。

(3) 安全风险计算模型。

安全风险计算模型中详细、具体地提供了风险计算的方法, 通过威胁级别、威胁发生的概率及风险评估矩阵得出安全风险。

4. 结语

本文在综合风险和比较多种评估标准和方法的基础上, 针对现行网络的安全现状和安全需求, 提出了网络风险评估的模型和风险计算方法, 以及时发现、弥补和减少信息安全漏洞, 为提高涉密信息系统的安全性, 降低网络失泄密风险提供一定的帮助。

参考文献

[1]向宏.信息安全测评与风险评估[M].北京:电子工业出版社, 2009.

[2]王英梅, 王胜开, 陈国顺, 等.信息安全风险评估[M].北京:电子工业出版社, 2007.

信息安全评估 篇2

【关键词】信息系统;信息安全;风险评估;评估方法

一、信息安全风险评估的评估实施流程

信息安全风险评估包括：资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议，在风险评估之后就是要进行安全整改。

网省公司信息系统风险评估的主要内容包括：资产评估、威胁评估、脆弱性评估和现有安全措施评估，一般采用全面风险评估的方法，以安全顾问访谈、管理问卷调查、安全文档分析等方式，并结合了漏洞扫描、人工安全检查等手段，对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估，经过充分的分析后，得到了信息系统的安全现状。

二、信息安全风险评估实施方法

2.1 资产评估

网省公司资产识别主要针对提供特定业务服务能力的应用系统展开，通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分，这四个部分在信息系统的实例中都显现为独立的资产实体，例如：典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。

综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。

2.2 威胁评估

威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中，根据各单位业务系统的具体系统情况，结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查，下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述：

2.3 脆弱性评估

脆弱性评估内容包括管理、运维和技术三方面的内容，具体实施可参照公司相应的技术或管理标准以及评估发起方的要求，根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考：

管理脆弱性：安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。

运维脆弱性：信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。

技术脆弱性：网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。

管理、运维、技术三方面脆弱性是相互关联的，管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生，运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行，运维和管理的.脆弱性主要通过访谈和调查问卷来发现。此外，对以往的安全事件的统计和分析也是确定脆弱性的主要方法。

三、现有安全措施评估

通过现有安全措施指评估安全措施的部署、使用和管理情况，确定这些措施所保护的资产范围，以及对系统面临风险的消除程度。

3.1 安全技术措施评估

通过对各单位安全设备、防病毒系统的部署、使用和管理情况，对特征库的更新方式、以及最近更新时间，设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析，并确定级别。

3.2 安全管理措施评估

访谈被评估单位是否成立了信息安全领导小组，并以文件的形式明确了信息安全领导小组成员和相关职责，是否结合实际提出符合自身发展的信息化建设策略，其中包括是否制定了信息安全工作的总体方针和安全策略，建立健全了各类安全管理制度，对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。

3.3 物理与环境安全

查看被访谈单位信息机房是否有完善的物理环境保障措施，是否有健全的漏水监测系统，灭火系统是否安全可用，有无温湿度监测及越限报警功能，是否配备精密空调严格调节控制机房内温度及湿度，保障机房设备的良好运行环境。

3.4 应急响应与恢复管理

为正确、有效和快速处理网络信息系统突发事件，最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响，需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制，应对网络信息系统突发事件的组织指挥能力和应急处置能力，是否及时修订本单位的网络信息系统突发事件应急预案，并进行严格的评审、发布。

3.5 安全整改

被评估单位根据信息安全风险评估结果，对本单位存在的安全风险进行整改消除，从安全技术及安全管理两方面，落实信息安全风险控制及管理，确保信息系统安全稳定运行。

四、结语

公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施，各单位结合风险评估实践情况，以技术促安全、以管理保安全，确保公司信息系统稳定运行，为公司发展提供有力信息支撑。

参考文献

[1]中国国家标准化管理委员会，信息安全技术一信息安全风险评估规范，

浅谈网络信息安全风险评估问题 篇3

【摘要】我国的信息化进程时间比较短，在网络信息技术高速发展的过程中，其安全问题也不断地暴露出来。信息安全风险评估是建立信息安全体系的基础，是信息系统安全工程的一个关键组成部分。本文探讨了目前网络信息安全风险评估工作中急需解决的问题。

【关键词】信息安全：风险评估：脆弱性：威胁

【中图分类号】TP309 【文献标识码】A 【文章编号】1672-5158（2013）04-0047-01

1 引言

随着信息技术的飞速发展，关系国计民生的关键信息资源的规模越来越大，信息系统的复杂程度越来越高，保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点，它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定，以成本一效益平衡的原则，通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性，并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。

2 网络信息安全的内容和主要因素分析

“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全，而从广义的角度考虑，还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。

网络信息安全具有如下5个特征：（1）保密性。即信息不泄露给非授权的个人或实体。（2）完整性。即信息未经授权不能被修改、破坏。（3）可用性。即能保证合法的用户正常访问相关的信息。（4）可控性。即信息的内容及传播过程能够被有效地合法控制。（5）可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛，根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。

而通过有效的网络信息安全风险因素分析，就能够为此复杂问题的解决找到一个考虑问题的立足点，能够将复杂的问题量化，同时，也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。

网络信息安全的风险因素主要有以下6大类：（1）自然界因素，如地震、火灾、风灾、水灾、雷电等；（2）社会因素，主要是人类社会的各种活动，如暴力、战争、盗窃等；（3）网络硬件的因素，如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响；（4）软件的因素，包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等；（5）人为的因素，主要包括网络信息使用者和参与者的各种行为带来的影响因素，如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等；（6）其他因素，包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。

3 安全风险评估方法

3.1定制个性化的评估方法

虽然已经有许多标准评估方法和流程，但在实践过程中，不应只是这些方法的套用和拷贝，而是以他们作为参考，根据企业的特点及安全风险评估的能力，进行“基因”重组，定制个性化的评估方法，使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。

3.2安全整体框架的设计

风险评估的目的，不仅在于明确风险，更重要的是为管理风险提供基础和依据。作为评估直接输出，用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异，加上在操作层面可参考的模板很少，使得整体框架应用较少。但是，企业至少应该完成近期1～2年内框架，这样才能做到有律可依。

3.3多用户决策评估

不同层面的用户能看到不同的问题，要全面了解风险，必须进行多用户沟通评估。将评估过程作为多用户“决策”过程，对于了解风险、理解风险、管理风险、落实行动，具有极大的意义。事实证明，多用户参与的效果非常明显。多用户“决策”评估，也需要一个具体的流程和方法。

3.4敏感性分析

由于企业的系统越发复杂且互相关联，使得风险越来越隐蔽。要提高评估效果，必须进行深入关联分析，比如对一个老漏洞，不是简单地分析它的影响和解决措施，而是要推断出可能相关的其他技术和管理漏洞，找出病“根”，开出有效的“处方”。这需要强大的评估经验知识库支撑，同时要求评估者具有敏锐的分析能力。

3.5集中化决策管理

安全风险评估需要具有多种知识和能力的人参与，对这些能力和知识的管理，有助于提高评估的效果。集中化决策管理，是评估项目成功的保障条件之一，它不仅是项目管理问题，而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人，去执行相应的关键任务。如控制台审计和渗透性测试，由不具备攻防经验和知识的人执行，就达不到任何效果。

4 风险评估的过程

4.1前期准备阶段

主要任务是明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。

4.2中期现场阶段

编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究阶段。

4.3后期评估阶段

撰写系统测试报告。进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。

5风险评估的错误理解

（1）不能把最终的系统风险评估报告认为是结果唯一。

（2）不能认为风险评估可以发现所有的安全问题。

（3）不能认为风险评估可以一劳永逸的解决安全问题。

（4）不能认为风险评估就是漏洞扫描。

（5）不能认为风险评估就是 IT部门的工作，与其它部门无关。

（6）不能认为风险评估是对所有信息资产都进行评估。

6结束语

总之，风险评估可以明确信息系统的安全状况和主要安全风险。风险评估是信息系统安全技术体系与管理体系建设的基础。通过风险评估及早发现安全隐患并采取相应的加固方案是信息系统安全工程的重要组成部分，是建立信息系统安全体系的基础和前提。加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求，但是，信息安全评估工作的实施也存在一定的难题，涉及信息安全评估的行业或系统各不相同，并不是所有的评估方法都适用于任何一个行业，要选择合适的评估方法，或开发适合于某一特定行业或系统的特定评估方法，是当前很现实的问题，也会成为下一步研究的重点。

参考文献

[1]王毅刚，吴昌伦.信息安全风险评估的策划[J].信息技术与标准化，2004，（09）

高校信息安全风险评估 篇4

关键词：高校,信息安全,风险值,风险评估

1、引言

伴随着信息技术的飞速发展, 我国高校信息化建设不断取得新的成果, 高校信息的安全是学校正常运行的保证。据统计, 1 0 0%的一类重点本科高校拥有校园网, 10%以上的高校已经开始建设数字化校园。各个院校对网络和信息系统的依赖程度越来越大, 同时面临的信息安全问题也更加复杂化, 如何在有限的人力、物力、财力条件下最大限度保障信息安全是每个院校面临的共同问题。因此, 对高校进行信息安全风险评估势在必行。

2、风险评估分析方法

目前风险评估方法主要分为定性分析、定量分析和综合分析三大类。

2.1 定性分析方法

定性分析方法是依据研究者的知识、经验、历史教训、政策走向等非量化资料对系统风险状况做出判断的过程。它主要以对调查对象的深入了解做出个案记录为基本资料, 对资料进行编码整理, 在此基础上做出调查结论。定性分析方法优点是可以挖掘出一些蕴藏很深的思想, 使评估的结论更全面深刻;缺点是主观性强, 对评估者要求很高。

2.2 定量分析方法

定量分析方法是指运用数量指标对风险进行评估。定量分析方法是用直观的数据来表述评估的结果。优点是分类清楚, 比较客观;缺点是容易简单化、模糊化, 会造成误解和曲解。

2.3 综合分析方法

定量分析是定性分析的基础和前提, 定性分析应该建立在定量分析的基础上才能揭示客观事物的内在规律。有些评估要素可以用量化的形式来表达, 而另一些要素量化起来很困难甚至不可能量化。在复杂的信息系统风险评估中, 不能将定性分析方法与定量分析方法简单的割裂开来, 而是将这两种方法融合起来, 这就是综合分析方法。本文采用综合分析方法。

3、风险计算模型

利用综合相乘法构造风险值计算公式:

风险值=资产估值×威胁估值×脆弱性估值

综合相乘法是将划定评估对象的资产、威胁、脆弱性以及它们相关的因素影响、威胁发生的可能性、威胁的严重程度、威胁发生成功的可能性、资产的脆弱程度等综合考虑, 评估出资产、威胁和脆弱性的相对等级, 然后用相乘的方法计算出风险的相对值, 根据风险等级的划分范围算出风险的等级。风险计算方法如下:

3.1 资产的评估

资产划分为5个等级, 从1到5代表5个级别的资产赋值, 资产的赋值等于该资产造成的影响程度等级。根据信息生命周期理论, 信息的价值也在变化中, 现在重要的信息, 也许几年后价值就降低, 所以每次对资产评估时, 资产的价值相对于上次评估都有可能变化。资产分级方式如下表:

3.2 威胁的评估

威胁划分为5个等级, 从1到5代表5个级别威胁发生的可能性, 也代表威胁级别的赋值。等级越大, 威胁发生的可能性越大。由于时间和环境等因素变化, 有可能以前存在的威胁现在不存在了, 也有可能会随着时间的推移而增加某些新威胁, 所以资产所面临的威胁级别是变动的。根据评估经验和历史数据确定威胁的级别, 具体分级如下表:

3.3 脆弱性评估

脆弱性划分为5个等级, 从1到5代表5个级别资产的脆弱程度, 也代表脆弱性级别的赋值。等级越大, 脆弱性程度越高。本文脆弱性考虑的因素有技术脆弱性和管理脆弱性。本文的脆弱性分类是指在施行现有安全措施后仍存在的漏洞及被利用的可能性。具体分级如下表:

3.4 风险等级的划分与评价

确定风险值的大小是明确不同威胁对资产所产生的风险的相对值。这里引入风险值矩阵表。

风险值计算公式为:

注:R表示风险值;A表示资产估值;T表示威胁估值;V表示脆弱性估值。

计算后的风险值矩阵表如下表:

注:表中括号内为各级别的赋值

经评估小组讨论确定等级对应的风险值。本文将风险等级划分为5级, 如下表:

4、风险评估流程

风险评估流程包括风险评估准备、风险因素识别、风险分析和风险控制四个阶段。

4.1 风险评估准备阶段分为评估准备和确定评估对象两个步骤

评估准备:制订评估程序, 选择科学的评估方法, 召集专家组成评估小组。

确定评估对象:明确各信息系统数据、软硬件资产, 划定评估范围。具体如下表:

4.2 风险因素识别阶段分为资产识别、威胁识别和脆弱性识别三个模块

资产识别:在划定的评估范围内, 列出所有网络上的物理资产、软件资产和数据资产。

威胁识别:识别出任何可能危害到一个信息系统的环境或事件。

脆弱性识别:识别系统安全流程、设计、实现或内部控制中的缺陷或薄弱环节。

4.3 风险分析阶段分为识别现有的安全控制和风险计算两个步骤

识别现有安全控制:分析现有安全控制措施可以减少利用现有系统的薄弱点产生的威胁的可能性及系统可利用的薄弱点造成的损失。

风险计算:采用综合分析法分析现有系统的风险值。

4.4 风险控制阶段的流程

经过风险计算后, 现有的风险能否接受, 如能接受则保持现有安全措施并实施现有风险管理措施;如有个别环节暴露的风险不能承受, 则将该环节控制措施重新修订后再次进行评估;如此反复直到所有环节面临的风险均能承受后, 实施风险管理措施。详见下表:

5、结束语

高校的信息化建设对高校的和谐发展具有重要意义。采用科学合理的方法对高校的信息安全进行评估, 根据评估结果采取有效措施保障高校的信息安全, 确保高校内各信息系统稳定安全的运行, 为高校建设保驾护航。

参考文献

[1]杨永清, 孙媛媛.高校信息安全风险评估探索.科技情报开发与经济.2006.17.

[2]杨洋, 姚淑珍.一种基于威胁分析的信息安全风险评估方法.计算机工程与应用.2009.45 (3) .

信息安全评估 篇5

1.医院信息系统安全风险评估的概念

医院信息系统安全风险评估是指依据有关信息安全技术标准，对医院信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评价的活动过程，它要评价医院信息系统的脆弱性、医院信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的来识别医院信息系统的安全风险。2．国内外信息系统安全风险评估的概况

美国政府就发布了《自动化数据处理风险评估指南》。其后颁布的关于信息安全的基本政策文件《联邦信息资源安全》" 3．我国医院信息系统安全风险评估工作现状及存在的问题 4.医院信息系统安全风险评估工作流程(1)确定医院信息资产列表及信息资产价值(2)识别脆弱性(3)识别脆弱性

它可能存在于网络安全体系理论中网络应用所划分的’个层次，即网络层、系统层、用户层、应用层、数据层，(4)识别威胁

威胁来源应主要考虑这几个方面，即非授权故意行为、人为错误、软件设计错误带来的威胁、设备损坏、线路故障、自然灾害医院信息系统的安全威胁可通过部署入侵检测系统(,-.)，采集入侵者的,/地址及目的,/地址、目的端口、攻击特征、当前用户和进程等攻击信息，通过统计分析，从概率上分析一段时间内攻击的类型、强度和频度来获取，分析现有的安全控管措施

（5）确定可能性

(6)确定风险

(7)建议安全防护措施。

(8)记录结果

5.医院信息系统安全风险评估结果的处置措施

(1)避免：采取措施，完全消除医院信息系统的安全风险

(2)降低：采取措施降代风险造成实际损害的可能性，降低其影响。（3）接受

（4）转嫁：通过责任外包、保险等方式%(’转嫁：通过责任外包、保险等方式（5）回避

信息安全评估 篇6

关键词:信息安全;风险评估;模型;层次结构;ERM框架模型

中图分类号:TP309文献标识码:A文章编号:1006-8937(2009)14-0007-03

1基于层次结构的风险评估模型

1.1基于层次结构的风险评估基本概念

基于层次结构的风险评估模型,评估方法为层次分析法。层次分析方法是一种定性和定量分析相结合的评估方法。层次分析法的关键是:将一些定性但不易量化的因素进行量化,从在评判与决策过程中有量化的参考依据。层次分析法对信息系统进行分层次、拟定量、规范化处理。主要步骤如下:

①建立层次结构模型。

②构造判断矩阵。

③数学计算。

④层次总排序。

1.2建立层次结构风险评估模型

文章采用ISO17799国际标准作为风险的分类标准。ISO17799规定了用于组织实施信息安全的管理体制,以信息管理体制为指导依据对信息系统对象进行分解,找出主要因素。ISO17799由10个控制主题组成,每个主题又由几个子类组成,子类中又规定了安全要素,以下给出了10个控制主题。

①信息安全方针。

②企业组织安全。

③资产的分类和控制。

④人为因素的安全防范。

⑤实体和环境安全。

⑥通讯和操作管理。

⑦访问控制。

⑧系统开发和维护。

⑨商业连续性管理。

⑩符合性。

1.3基于层次结构的风险评估模型在制造业企业中的基本运用

制造业企业通常组织机构庞大,流程较为复杂(如图1)。并且所涉及的风险的种类较也为复杂(如图2)。有效的识别风险,归类风险,评估风险对于制造业企业的风险管理有着至关重要的作用。而层次结构的风险评估模型由于采用层次结构设计,并非简单地将信息系统分解成各个层次,层次间存在着紧密的联系,且每个层次的评估结果也直接影响到上下层次的评估。同时在风险评估的过程中考虑了人为因素在内的安全评估综合方法,采用了ISO17799国际标准作为风险的分类标准,并充分考虑各个安全因素之间的相互影响,引入关系矩阵,以多层分析的模糊逻辑为模型,实现了风险评估综合决策。采用三层结构将复杂的关系分解为由局部简单关系构成的递增层次结构关系。

基于层次结构的风险评估的一般步骤:

①确定评估因素集。根据ISO17799的规定,将因素集U分为子集,再将每个子集Ui 根据安全风险评估的要求分成若干子集Ui.j即{Ui.0,Ui.1,…Ui..m},再将每个子集Ui.j,分成若干因素,Ui.j.k,。

②判断矩阵及权重。采用了3级层次评估的方式,并将前一级的评估结果作为下一级的评估输入。

③评价集。设V(v0,v1,v2,v3,v4)为评价集,它们分别代表“很低”、“较低”、“中等”、“较高”、“很高”,它们由低到高表示了要素5系统的安全程度。 并对这7种准则按取0或1分别打分再求和得到评价分值。

④模糊判断。采用3级模糊评估方式,运用关系矩阵,确定隶属度,最后选取隶属度最大者所对应得评价集元素作为对系统得综合评估结果,其结果是“很低”、“较低”、“中等”、“较高”、“很高”中的任何一个。

2COSO的ERM框架模型

2.1COSO的ERM概况介绍

COSO(Committee of Sponsoring Organization)的ERM(Enterprise Risk management)框架模式越来越广泛应用于美国及加拿大企业,但是该框架不具有实践性,没有基于企业流程,并且在执行中富有挑战性。许多公司基于现有的COSO以及一个被称为澳大利亚/新西兰的标准来建立自己的ERM构架。澳大利亚/新西兰标准为建立和执行风险管理程序提供了一般指引,图3所示模型代表一种逻辑和系统方法论,应用于建立风险定义、分析、评估、应对、沟通和实时监控环节。该模型是可重复进行的,能应用于公司、业务单元、服务机构及项目层面的风险管理活动。重复管理程序的时间可根据进度表决定 (如每年进行战略风险评估),或者根据事件来决定(如外部事件、标明超过风险门槛水平的报告、或被提议的项目)。

2.2COSO的ERM模型在制造业企业中的运用

2.2.1ERM模型介绍

①ERM 模型: 建立风险评估基础。

②ERM模型:识别风险和风险因素。

③ERM模型:分析风险。

④ERM模型:整合风险。

⑤ERM 模型:评估风险。

⑥ERM 模型:应对风险。

2.2.2ERM模型在制造业中的运用

中国某钢铁公司是我国勘察计行业的龙头企业,拥有巨额的注册资本,公司经营范围广泛涉及冶金、建筑、房地产、市政、环境等领域的技术咨询、工程设计、工程总承包、工程监理以及相关设备成套。

对于钢铁企业来说,保守商业秘密就是一个必须重视的重要环节。从最基本的层次来说,诸如企业成本核算与控制、核心设计图纸、报价体系、集成商和代理商的利润激励体制、新的投资和扩张计划等等,都制约和决定着企业的竞争优势。正是高瞻远瞩地意识到了企业关键数据的重要意义,这家钢铁公司开始加强对这些核心数据的管理和科学保护。这家公司选择的是ERM体系。该公司对国内外的多家信息安全产品进行了全方位的严格测试,广泛涉及复杂网络环境应用测试、业务系统的兼容性评估、系统稳定性以及易用性考察,最终选择ERM整体解决方案因为ERM系统的高加密强度、稳定性、易用性以及可靠的系统平台能够降低信息安全管理风险,深化了企业的执行和管理力度。

ERM系统通过精准细致的数据应用权限控制、人员级别管理以及内部信息共享行为的合法性控制,有效防止了机密数据信息被窃取、外泄和破坏,同时,ERM系统的革命性扩展能力也帮助企业极大地降低了安全体系的成本花费。

2.3制造业中ERM安全备份模块

为了帮助企业保护其内部核心数据信息的完整性和安全性,提升企业重要文档的抗破坏能力, ERM安全备份模块(简称:安全备份模块如图4)显得尤为重要。

2.3.1ERM安全备份模块主要功能(如表1)

2.3.2ERM安全备份模块主要优势

①安全性。ERM安全备份模块以高强度的数据加密技术为依托,对企业的核心数据信息进行实时备份。任意格式电子文档(CAD、Office、PDF、JPG等)在新建后均自动备份到备份服务器中。并且所有备份文档在传输、存储和恢复过程中均以加密形式存在,有效杜绝了窃密、泄密和破坏事件的发生,充分确保了企业核心数据信息的完整性和安全性。

②稳定性。机密文件安全备份是整个信息安全管理过程中的重要一环,也是企业在面临数据毁坏这种致命安全风险时的有力保护手段。为了帮助企业保证业务流程的连续性。

③灵活性。ERM安全备份模块充分利用企业现有网络和设备,为用户定制了能够全面满足各种企业安全管理需求的备份模块。对于需要实施文件备份的企业用户,管理员可以通过策略灵活指定需要备份的文件源和文件类型。

3结 语

文章提出了信息安全风险评估的两种模型,基于层次结构的风险评估模型是建立在一种定量与定性结合的风险评估方法上,通过层次的模糊综合评估来计算一个值,定义了值得范围对应的“很低”、“较低”、“中等”、“较高”、“很高”来进行风险评估。针对相应的风险程度,写改进的意见、如何改善完成整个风险评估的流程,制定风险防范措施,加强内部控制,提供解除风险的方法,减少因为相关的风险而面临的问题。ERM法是针对企业的具体情况,设定单体风险档案,通过对减值点相对应的相关风险进行描述,以问卷的形式请相关负责人员对其评分,来确定是“很高”“高”“中”“低”“很低”,来确定风险。填写一些缓解措施,来相应地采取措施,应对风险、解除风险。两种模型都在制造业企业信息资产的风险评估中得到广泛运用。

参考文献:

[1] 中国信息安全组织论坛[DB/OL].http://www.infosecurity.org.cn/forum/,2009-07-20.

[2] 孙强,陈伟,王东红.信息安全管理——全球最佳实务与实施指南[M].北京:清华大学出版社,2004.

[3] 潘宏伟.基于模糊层次分析法的信息安全风险评估研究[D].南京:南京师范大学,2007.

[4] 朱岩,杨永田,张玉清,等.基于层次结构的信息安全评估模型研究[J].计算机工程与应用,2006,(6):40-43.

[5] 黄勤,张月琴,刘益良.信息安全风险模块化层次评估方法研究[J].计算机科学,2007,(10):309-311.

[6] 杨继华,许春香.信息安全多层次综合量化评价模型研究[J].情报,2006,(9):64-66.

[7] 刘楠.信息系统规划阶段风险评估模型[D].哈尔滨:哈尔滨工业大学,2006.

[8] 赵冬梅,马建峰,王跃生.信息系统的模糊风险评估模型[J].通信学报,200,(7).

[9] SO ERM管理框架模型与澳大利亚/新西兰标准[S], AS/NZS 4360.

涉密信息系统信息安全风险评估 篇7

1 涉密信息系统风险评估

针对涉密信息系统开展风险评估工作时, 其内容主要涉及三部分, 即自我评估、检查评估以及委托评估三个主要的方面。就一般性保密管理层来说, 进行委托评估还无法满足其最基本的要求。因此, 在涉密信息系统风险的评估分析的过程中主要是按照国家标准, 由能自主开展日常评估工作的涉密信息系统人员进行评估, 但是信息系统本身的脆弱性、资产的鉴定以及对威胁的评估, 都需要通过资产被威胁利用的实际受损度以及可能存在的安全事件来计算其风险等级。

2 涉密信息系统信息安全风险评估实践

2.1 前期准备

针对涉密信息系统开展风险评估的前期准备工作能为评估的全过程提供安全性保障, 具体包括风险评估目标以及范畴的制定, 成立专业化的管理团队, 以及评估方式等。通过上述一系列的制定之后, 还需要获取最高级别人员的支持, 最后签订相对应的保密协议。当目标阶段以及评估范畴确定之后, 相关的评估人员需要按照规范标准以及分级保护指南, 同时和涉密信息系统的负责人进行彼此之间的沟通与协商, 这样才可以确定评估范围。在风险范畴划分之后, 还需要针对评估系统对象的实际特点, 将评估目标进一步落实。

2.2 实践调研

在涉密信息系统信息安全风险评估的实践调研环节, 评估风险主要是从涉密信息系统里获取主要信息、组织及其脆弱性、安全管理等状况, 为接下来开展分析工作、制定管理规划等打下坚实的基础。在该环节, 最核心的工作室人员、资产以及安全威胁三个方面的调查, 当然, 也离不开安全技术和需求两个方面的安全性分析。而通过搜集文档、进行问卷调查、扫描并分析漏洞等手段就能识别关于涉密信息系统信息安全的关键数据, 并确定风险评估的综合化目标。在资产的识别过程中, 考虑到资产的信息和价值化资源, 再加上其本身的保护性质, 所以, 利用不同形式资产的识别也可以将资产进一步的细化, 如有形资产、无形资产、软硬件、文档、代码和形象服务等。当然, 资产的识别, 不但要对成本价格问题加以分析, 还应对业务的重要性、安全性进行合理的考量, 然后按照可用性、完整性以及机密性来对资产价值加以识别。在识别安全的具体环节之中, 还需要考虑到不同等级的可用性、完整性以及机密性要求, 这样就可以通过计算加权赋值的方式, 将最终的资产价值结果识别出来。

在威胁识别阶段, 首先就应该明显潜在威胁出现的起因, 然后对具体的破坏因素做好科学的识别与处理, 其中主要包含了人为因素、威胁因素、蓄意或者是偶发事件、直接或者是间接攻击信息等因素的识别。在搜集威胁方面存在的因素时, 就可以利用现场的调查、问卷分析以及访谈访问等诸多形式进行。另外, 与系统服务功能相互结合也可以进一步明确可能存在的不良威胁。其脆弱性主要是薄弱的、对资产可能产生威胁的可不靠环节, 所以, 对于脆弱性的识别, 也可以将其看成为弱点的识别。实际上, 每一种资产, 其本身都存在弱点, 只要没有针对性的威胁出现, 其资产就不会受到威胁, 但是如果拥有足够强健的涉密信息系统, 那么无论威胁多种, 都不可能出现不安全的事件, 也不会引发不必要的威胁。所以, 只有资产存在的弱点, 才有可能将资产危害事件引导出现。当然, 资产弱点实际上是相当隐蔽的, 其脆弱性只会出现在固定的环境。如果针对涉密信息系统的信息实施了不正确的、不可靠的安全措施, 安全措施就无法发挥出应有的功效, 这本身就会演变成弱点, 因而识别脆弱性的方法务必要科学、合理, 需要认真的核查每一项资产, 这样才能够将脆弱性方面的因素找出来, 同时也可以对其等级和严重性进行合理的评估。在具体的操作中, 通过脆弱性数据的识别可以源自资产的所有者、涉密信息系统的专业软件人员或业务专家等, 然后利用人工的核查、问卷调查、渗透性的测试、工具检测等方法就能够有效识别脆弱性。

对于确认安全措施, 需针对各类安全管理措施做好预防处理工作, 以免发生重复实施的现象, 从而及时剔除其中不足或者是不恰当的措施, 然后利用更为高匹配度的措施来将其替代。安全措施涵盖两个部门, 主要是保护和预防。保护要求的是通过安全事件几率的降低, 来确保信息的安全, 不会受到任何不利因素的影响, 比如说持续性的业务计划等;而预防则是考虑到威胁与脆弱性等一系列的因素来降低发生安全事件的几率, 如入侵检测。通过一定的安全措施, 就可以控制好涉密信息系统本身的脆弱性, 从而确认无需在每一项资产、组件的薄弱环节都实施安全措施。

2.3 风险的全面分析与处置

在分析涉密信息系统信息安全风险的环节, 其中对发生安全事件的可能程度进行分析是最关键的, 以及在发生安全事件之后计算其带来的损失、具体的风险值。在计算风险值时, 可选用相乘法或矩阵法;在处理风险时, 要明确实际的安全策略, 其中也包含了风险的规避、接受以及降低等多个方面。此外, 按照涉密信息系统的特征来对风险处置的内容加以明确, 并把它细分成两个部分, 即建议、实施。在实践环节, 对两个方面进行综合的考虑, 或者是针对实际要求, 对于某一层面的处理进行单独的分析与实施。

3 结语

涉密信息系统的安全是涉密信息系统效能得以发挥的重要前提。风险评估本身属于一种系统化、有效的手段, 可以对信息系统中现有的分及格线进行有效的识别, 从而制定合理的处置手段。

摘要：对于信息系统正常运行而言, 信息安全风险评估是有效方式之一。本文在分析涉密信息系统风险评估基本内容的基础上, 对于具体的风险评估过程进行阐述, 希望可以确保涉密信息系统的信息安全。

关键词：涉密信息系统,信息安全,风险评估

参考文献

[1]陈颂, 王光伟, 刘欣宇, 杜娟.信息系统安全风险评估研究[J].通信技术, 2012 (01) :128-130.

信息安全评估 篇8

随着计算机技术和Internet的迅速发展,和近几年网络信息安全事件的频繁发生,网络信息安全问题逐渐渗透到各个行业领域,成为人们关注的焦点。为了提前预防安全事件的发生,避免损失,网络信息安全评估成为了解网络安全性能的关键环节。海洋领域事关国计民生,尤其是部分涉海数据,成为国家的秘密级、甚至机密级保护数据。海洋网络,即各地海洋局内传输海洋业务数据的网络的安全性受到了各地海洋局相关部门的密切关注。

对海洋网络安全进行评估,就是对海洋网络各个环节的安全保护措施进行评价和估值,判断其是否满足相应的安全需求。本文基于某地海洋局的实际情况,利用层次分析的思想,对海洋网络中的安全评估要素进行分层,采用三层结构将复杂关系分解为由局部简单关系构成的递增层次结构关系,对各个层的评估要素进行权重赋值。根据海洋网络的特殊性和该地海洋局相关领导的要求,本文不对安全评估模型进行改进,只是采用比较成熟的模型或方法对海洋网络安全风险进行评估。考虑到模糊分析法在评估方面的应用已经趋于成熟化和稳定化,本文采用模糊分析法对海洋网络进行评估。

另外,鉴于海洋网络的行业特点,其他网络的权重赋值法不适用于海洋网络。本文的评估要素权重赋值采用专家打分法,邀请海洋领域的相关专家对各个评估要素进行打分,考虑到评判打分过程中的个体主观性,打分过程采用德尔菲法。

1 评估要素的层次结构

1.1 海洋网络的安全需求

由于海洋网络承载的业务数据的敏感性,该地方海洋局上级单位要求该海洋网络的核心网络安全等级必须满足国家信息系统安全保护等级第三级[1](以后简称“等级保护三级”)的要求。根据等级保护三级的要求和海洋网络的具体特征,海洋网络的安全评估要素从以下方面考虑:技术要素安全和管理要素安全。很多专家认为,管理的重要程度高于技术。技术要素安全可分为物理安全、主机安全、数据安全、网络安全和应用安全。在此,我们可明确知道海洋数据安全的重要程度是不言而喻的。管理要素主要包括系统运维管理、网络系统建设管理和安全制度管理。

在此要特别说明海洋数据。海洋数据类型复杂多样,其中包含海域使用管理现状数据,以及海洋基础资料数据。其中海洋基础资料数据是最底层的基础数据之一,包含了13种基础类型数据。按照国家海洋数据平台建设的构想,海洋基础地理数据库建设包括:建立全球1∶400万, 我国全海域1∶100万、1∶50 万、1∶25 万、近海1∶10 万,重点海域1∶5万、1∶1万等各种比例尺的数字线划图(DLG)、数字栅格数据库(DRG)、数字高程模型(DEM)和地名数据库等。其中海洋数据中的大比例尺数据和长周期序列数据是保密级数据。具体定义如下:

(1) 长序列数据

长序列数据,即长周期数据。例如海岸带50年变化数据等。它能宏观反映海洋的变化,以及整体表现海洋的状态。该数据为保密数据。因此对于数据的存储,应给出明确定义,即对某一观测数据其周期超过一定时长,为保密的长序列数据,只有具有权限的工作人员,或经领导批示后才可以使用长序列数据。

(2) 大比例尺数据

除时间尺度的长序列数据外,在空间尺度上大比例尺数据也是保密级数据。同样对于数据的存储,空间尺度高于规定限制,为保密级数据。同时,可根据比例尺度的不同设置不同的保密等级,只有具有权限的工作人员,或经领导批示后才可以使用大比例尺数据。

1.2 评估要素的层次结构

根据上节的分析,该海洋局网络安全评估要素如表1所示。

根据表1,评估要素集U分为两个因素子集,即U={U1,U2},且子集具体分为8个子集Ui={Ui,0,Ui,1,…,Ui,8},其中,i∈{1,2},在此基础上,再将每个子集Ui ,j分成26个因子ui,j,k,即

Ui,j={ui,j,0,Ui,j,2,…,Ui,j,26},其中i∈{1,2},j∈{1,2,…,8}。

由此,本文将评估要素分为三层。

2 模糊风险评估模型

2.1 德尔菲方法

德尔菲法是为避免集体讨论存在的屈从权威或盲目服从的缺陷提出的一种定性预测、评估方法。为消除成员间的相互影响,参加的专家可相互不了解,运用匿名方式反复多次征询专家意见和进行背对背交流,以充分发挥专家们的智慧、知识和经验,最后汇总得到一个较好反映与体现意志的预测、评估结果[2]。德尔菲法简单易行,具有一定的科学性和实用性,避免同时集体评议时产生的害怕权威随声附和的现象。

在使用德尔菲方法时,将上一章节的内容以及海洋方面相关内容提供给专家,专家据此客观了解受评个体,在此基础上利用专家知识给出评估要素权重等评估值。

2.2 评估要素权重的确定

由于每一层的安全要素之间的相互影响,在这里采用3级评估方式,并把前一级的评估结果作为下一级评估的输入。

根据上一节评估要素的层次分类,专家们利用德尔菲法对各层评估要素进行专家打分,打分范围为区间[0,1]之内,要求每一个评估要素子集的所有下一级评估要素权重之和为1。为了消除个体之间太大的差别性,分别取各层打分值的加权平均,即:

假设有评估专家m位,对同一要素的权重打分结果共有n种,打分为a1的一共x1位,打分a2的有x2位,打分an的有xn位,x1+x2+…+xn=m,则该评估要素的权重值ai为:

再通过专家商议,对每一层所有权重值进行调整,得到每一层每一个评估要素的权重系数。权重系数越大,说明该评估要素在整个网络安全中越重要。

即在每一层中,对于要素集U和子集Ui以及Ui ,j内的每一个元素,存在一个权重系数ai,ai,j,ai,j,k,即权重向量为:

2.3 评估矩阵与综合评估

(1) 第三级评估

设V={v1,v2,v3,v4,v5}为评价集,分别代表风险不可接受、一般、可接受、常规、安全。

对Ui ,j 中的第k个因子ui,j,k进行评价,设该评估对象评估结果隶属于评估集中vl(l∈{1,2,3,4,5})的隶属度为$S{}_{i,j,k}=\frac{t(v{}_l)}{m}$,t(vl)是所有专家中认为评估对象隶属于vl的人数,m是评估专家总人数。si,j,k即为认为评估对象ui,j,k隶属于vl的人数占总人数的比例,即评估因子ui,j,k隶属于评估集V 的隶属度。

由si,j,k构建单要素评估矩阵Si,j,由于评估集共有5个项,故该矩阵共有5列,矩阵的行数为评估因子ui,j,k所属的评估子集Ui ,j所包含的总因子数。

因此,因素集Ui ,j的综合评价集为:Bi,j=Ai,j·Si,j。

根据第1节可知,第三层共有8个评价集Bi,j。

(2) 第二级评估

第二级评估因素的评估由第三级的综合评估结果作为输入,即第二级评估要素ui的评估矩阵Si由和ui属于同一个评估集的所有因素的Bi,j组成,在此,某一个具体的Bi,j作为评估矩阵Si的一行。

因此,因素集Ui的综合评价集为:Bi=Ai·Si。

根据第1节可知,第二层共有2个评价集Bi。

(3) 第一级评估

第一级评估类似于第二级的方法,同样是以第二级的综合评估结果作为输入,组成评估矩阵S,则该层的综合评估为 B=A·S。

由此得到的B 为一个1×5 的评估向量。给评估集V中的每一个元素赋值,分别为{20,40,60,80,100},使其每一个元素与B中对应的元素相乘,求和,即可得到整个网络的安全风险值。

3 实例应用

用以上方法对某地海洋局的实际情况打分并进行综合评估。

邀请25位海洋领域的相关权威专家,采用德菲尔法对海洋网络的评估要素进行权重打分赋值,并采取2.2节所述的方法最终确定每个评估要素的权重值。

得到以下数据,即各层的权重向量:

A=(0.4,0.6) A1=(0.2,0.2,0.15,0.05,0.4)

A2=(0.4,0.3,0.3)

A11=(0.2,0.2,0.3,0.3) A12=(0.2,0.3,0.3,0.2)

A13=(0.2,0.2,0.2,0.2,0.2)

A14=(1) A15=(0.45,0.45,0.1)

A21=(0.1,0.2,0.2,0.25,0.25) A22=(0.5,0.5)

A23=(0.5,0.5)

接下来对第三级的各个评估因子的进行评价,结果如下:

然后由Bi,j=Ai,j·Si,j ,可得到B11到B2 3 ,此处由于数据繁多,省略计算过程。

再根据Bi=Ai·Si,可得到B1=(0.082 0.0349 0.429 0.217 0.011),B2=(0.082 0.23116 0.44996 0.208 0.0044),则第一级评估矩阵:

B=A·S=(0.082 0.153 0.423 0.212 0.007)

设评估集中的五个等级分别代表:20,40,60,80,100,则整个网络系统的风险值G=0.082×20+0.153×40+0.429×60+0.212×80+0.007×100=50.22。

4 结 语

本文以国家信息系统安全保护等级第三级的要求为依据,对某地海洋局的网络信息安全现状进行评估。首先将评估要素进行分层,然后根据分层结果,采用德菲尔方法,通过权威专家打分,得到权重向量和评估矩阵,最后进行综合评估,得到整个网络的整体安全情况。该评估比较客观地反映了该海洋局内部网络的安全性,有参考意义。由于打分专家的数量有限,打分结果或许会有专业偏差。下一步工作为建立专家知识数据库,收集尽可能多的相关专家意见和相关知识模型,建立计算模型,减少综合评估中的人为计算量。

参考文献

[1]信息安全技术信息系统安全等级保护基本要求[S].

[2]孙红卫,何德全.从定性到定量的信息安全模糊综合评估[J].系统工程理论与实践,2006(12).

[3]朱岩,杨永田,张玉清,等.基于层次结构的信息安全评估模型研究[J].计算机工程与应用,2004,40(6):40-43.

[4]刘建华,侯红霞,吴昊.电信数据网安全评估中权重的确定方法[J].现代电子技术,2010(9).

[5]肖龙,戴宗坤.信息系统风险的多级模糊综合评估模型[J].四川大学学报:工程科学版,2004(5).

[6]上海市海洋局,上海海洋大学.海洋公共服务信息安全体系研究开题报告[R].2010-08.

信息安全风险评估策略研究 篇9

信息安全风险评估是信息安全保障体系建立过程中的重要的评估方法和决策机制。没有准确及时的风险评估, 将使得各个机构无法对其信息安全的状况做出准确的判断。我国的信息安全风险评估工作是随着对信息安全问题认识的逐步深化不断发展的。

二、风险评估依据

风险评估依据国家政策法规、技术法规与管理要求、行业标准或国际标准进行, 主要包括以下内容:

政策法规:《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》;《国家信息化领导小组关于加强信息安全保障工作的意见》。

国际标准:BS 7799-1《信息安全管理实施细则》;BS7799-2《信息安全管理体系规范》;SSE-CMM《系统安全工程能力成熟模型》。

国家标准:GB 17859-1999《计算机信息系统安全保护等级划分准则》;GB/T 18336:1-3:2001《信息技术安全性评估准则》。

三、风险评估原则

风险评估原则包括以下内容:

1、可控性原则:

包括人员可控性、工具可控性和项目过程可控性。人员可控性要求所有参与信息安全评估的人员均应进行严格的资格审查和备案, 明确其职责分工, 并对人员工作岗位的变更执行严格的审批手续, 确保人员可控;工具可控性要求所使用的风险评估工具均应通过多方综合性能比对、精心挑选, 并取得有关专家论证和相关部门的认证;项目过程可控性要求评估项目管理将依据项目管理方法学, 重视项目管理的沟通管理, 达到项目过程的可控性。

2、完整性原则:

严格按照委托单位的评估要求和制定的范围进行全面的评估服务。

3、最小影响原则:

从项目管理层面和工具技术层面, 力求将风险评估对信息系统正常运行的可能影响降低到最低限度。

4、保密原则:与评估对象签署保密协议和非侵害行协议。

四、风险评估原理

1、要素关系模型

风险评估各要素关系如图1-1所示。图中, 方框部分的内容为风险评估的基本要素, 椭圆部分的内容是与这些要素相关的属性, 也是风险评估要素的一部分。

2、风险计算模型

风险计算模型是对通过风险分析计算风险值的过程的抽象, 它主要包括资产评估、威胁评估、脆弱性评估以及风险分析, 如图1-2所示。

风险计算的过程是:

2.1对信息资产进行识别, 并对资产赋值。

2.2对威胁进行分析, 并对威胁发生的可能性赋值。

2.3识别信息资产的脆弱性, 并对弱点的严重程度赋值。

2.4根据威胁和脆弱性计算安全事件发生的可能性。

2.5集合信息资产的重要性和在此资产上发生安全事件的可能性计算信息资产的风险值

3、实施流程

风险评估流程图给出了风险评估实施的步骤, 如图1-3所示。

五、结语

风险评估是实施风险管理的重要环节, 提高信息保障能力和水平建设的基本方法。经过几年的努力, 我过在风险评估方面取得了很大的成就, 积累了一些经验。今后, 我们还应该更加重视信息化带来的安全风险, 做好信息安全风险评估的各项工作。

参考文献

[1]范红、冯登国:《信息安全风险评估方法与应用》, 清华大学出版社, 2007年。

[2]王英梅、王胜开、陈国顺:《信息安全风险评估》, 电子工业出版, 2007年。

浅析信息安全的风险评估 篇10

1. 信息安全风险评估概述

信息安全风险评估所指的是信息系统因为自身存在着安全弱点, 当在自然或者自然的威胁之下发生安全问题的可能性, 安全风险是指安全事件发生可能性及事件会造成的影响来进行综合衡量, 在信息安全的管理环节中, 每个环节都存在着安全风险。信息安全的风险评估所指的是从风险管理的角度看, 采用科学的手段及方法, 对网络信息系统存在的脆弱性及面临的威胁进行系统地分析, 对安全事件发生可能带来的危害程度进行评估, 同时提出有针对的防护对策及整改措施, 从而有效地化解及防范信息安全的风险, 或把风险控制在能够接受的范围内, 这样能够最大限度地为信息安全及网络保障提供相关的科学依据。

2. 信息安全的风险评估原则、风险计算模型及评估方法

2.1 信息安全的风险评估原则

信息安全的风险评估原则主要包括可控性、保密性、最小影响及完整性四个原则。可控性原则包含人员、项目过程及工具的可控性, 人员的可控性是指凡是参与信息的安全评估人员都应该资格的审查及备案, 要对职责进行明确的分工, 当人员的工作岗位发生变更时, 要严格执行审批手续, 从而确定人员的可控;项目过程的可控是指要运用项目管理的方法学进行项目管理的评估, 并重视项目管理中的沟通管理, 从而有效地实现项目过程的可控;工具的可控是指对风险评估工具应运用多方的性能比对及精心挑选, 同时要取得相关部门及相关专家的论证及认证。保密原则所指的是要跟相关的评估对象签订非侵害行为协议及保密协议。最小影响原则所指的是通过工具技术及项目管理层面对信息系统进行风险评估, 从而将影响正常运行的影响降到最低。完整性原则所指的是严格依照委托单位的制定范围及评估要求进行有效地全面评估服务。

2.2 信息安全风险计算模型

风险计算模型所指的是对风险进行分析及计算风险值过程的抽象, 包括脆弱性评估、威胁评估、资产评估及风险分析, 如图所示。

风险计算过程为:对资产进行识别, 且对资产进行赋值;对威胁分析且对其威胁的可能性给予赋值;对资产的脆弱性进行识别, 且对其严重程度给予赋值;依据脆弱及威胁性来计算安全事件会发生的可能性;同时依据资产重要性来评估发生安全事件的风险值;通过指标体系中的指标风险值进行定性及定量的评估方法来综合分析, 从而得出信息安全风险的评估值。

3. 信息安全风险评估方法

信息安全的风险评估方法有很多, 按照计算方法可以分为三种, 定量、定性及定量和定性相结合的风险评估方法。定量风险评估方法是一种较为精确的风险评估法, 常用数学形式来进行表达, 当风险对信息会带来较大的危险或者资料比较充足时, 可运用定量风险进行评估。进行定量评估的优点是能够用较为直观的数据进行表述, 这样评估的结果较为客观, 研究结果更为科学;其缺点是在量化中, 一些较为复杂的事物被模糊及简单化了, 一些风险因素可能被曲解或者误解, 再加上资产价值及发生概率量化较为困难, 这种方法使用起来其难度是比较高的, 定量评估法中的分析方法有回归模型、聚类分析法、因子分析法、决策树法、时序模型及等风险图法等。定性风险评估法是指根据研究者的经验、知识、政策走向、特殊变例及历史教训等非量化的资料对系统的风险状况作出相应判断的过程。主要对调查对象进行深入访谈并作出个案记录作为基本的资料, 运用理论对分析框架进行推导演绎, 并编码整理资料, 以作出结论。定性分析法有历史比较法、因素分析法、德尔菲法及逻辑分析法。这种方法的优点是所需要的时间、人力资源及费用比较少, 缺点是主观性太强, 往往不太准确。在进行风险评估中, 一些评估的要素是能够用量化形式进行表达的, 有些要素用量化是比较困难的, 在信息安全的风险评估中一味地用量化是不准确科学的, 定量风险分析是进行定性风险分析的前提和基础, 定性分析是灵魂, 需要在定量分析之上来揭示客观事物的规律, 在进行信息安全的风险评估时, 不应该将定量分析及定性分析简单割裂, 而是将这两种评估方法有机的结合起来, 进行定量与定性的综合评估。按照实施手段可以区分为动态系统技术和基于树的技术, 动态系统技术有马尔可夫分析方法、尝试法、动态事件树的分析法及动态事件逻辑分析法等, 其中马尔可夫分析法还可以称为马尔可夫转移矩阵法, 所指的是在马儿可夫的过程之下, 运用随机变量的变化情况对变量的未来变化情况进行预测的一种方法。基于树技术的方法主要有事件树分析法、故障树分析法及因果树分析法等。

4.信息安全分风险评估的发展方向

3.1 由单纯技术风险评估向一体风险评估的转变以及基于知识和模型评估的重视

单纯技术评估所强调的是组织技术中的脆弱性, 信息安全的一体化风险评估拓展了技术风险评估的范围, 它所强调的是业务风险分析方法, 其核心是业务过程层次中的风险识别, 能够有效地保证业务组织的持续性, 一体化风险评估所着眼的是组织和安全相关的风险, 主要包含内外部环境风险源、组织结构及技术基础, 并基于信息及人的风险, 并按照目标或者组织业务影响的大小来对安全风险排序。基于知识风险评估的方法是指依照安全专家处所获得的经验对相似场景进行解决的风险评估, 这种风险评估方法能够更直接地提供所推荐的结构框架、实施计划及保护措施。基于模型风险评估的方法是指能够对信息系统中的内部机制所涉及的危险因素和当系统跟外界交互时产生的不正常有害行为给予建模, 从而对信息系统的安全威胁及系统弱点进行定性分析, 注重模型评估及知识风险评估是很有必要的分析方法。

3.2 运用信息安全风险评估的辅助工具来加速评估的进程

在风险评估工具运用之前, 所采用的是手工劳动, 劳动量大并且易出现纰漏, 而且还不可避免的带有风险评估人员的主观性, 风险评估工具的运用有效地解决了手工评估所带来的局限性, 像英国的CRAMM评估能够用于商业影响评估及识别、资产的建模、威胁与弱点的评估、安全需求的定义、风险等级的评估等。COBRA风险评估工具, 它所依据的是专家系统及知识库问卷系统, 能够有效地对脆弱点及威胁点的相对重要性进行评估, 且给出相应的解决方案, 风险评估工具还有很多, 在进行信息安全的风险评估时, 要运用多种辅助工具来加速评估的进程。

5. 总结

对信息安全进行风险评估是对信息安全的有效保障, 进行风险评估不仅能够提高相关人员的信息安全的风险意识及防范措施, 还能够运用分先评估进行信息系统的等级建设及保护性能的技术支持, 对信息安全中的不确定性因素进行风险评估, 并采取不同的措施进行处理, 从而保证信息系统的安全有效运行。

参考文献

[1]沈吉锋, 张永志, 潘军.信息安全风险评估分析方法简述[J].电脑知识与技术, 2010 (05)

[2]翟亚红.浅析信息安全风险评估与等级保护的关系[J].信息安全与通信保密, 2011 (04)

英国学校信息化自我评估框架评介 篇11

一、学校信息化自我评估框架概述

学校信息化自我评估框架是以英国教育通讯与技术署为首的团队完成的，其他参与机构包括英国教育与技能部、全国学校领导者学院等。学校信息化自我评估框架经过数十个学校使用后又重新进行了修改。英国教育通讯与技术署为学校信息化自我评估框架提供了在线评估工具。

学校信息化自我评估框架的设计是用来帮助学校评估应用信息通信技术（ICT）的效果，并为学校教与学的进一步提高做出规划。学校信息化自我评估框架有一系列的描述符，这些描述符使学校能够知道在哪些方面应用ICT会更加有效；应用这个框架会使学校知道：学校当前是处于一个什么样的位置，学校未来的发展方向在哪里，怎样去完成未来发展的目标。

学校信息化自我评估框架共包括8个要素，具体要素内容以及之间的关系如图1所示。

二、学校信息化自我评估框架的具体内容

该框架由8个不同的要素组成，为学校的ICT发展提供了一幅全面的蓝图。每一部分分成多条内容，每一条内容又进一步分成了不同的方面。下面介绍其主要条目。

1．要素1——领导和管理

（1）对ICT的构想

这个构想应该做到以下几个方面：能够被所有的成员所认同和掌握；使其他关系密切的人也能够参与进来，比如地方官员、父母和社会团体；支持和加强学校在学习、教学、管理和行政方面的目标规划；从技术、实践和国家政策方面的新动态对其进行检测。

（2）实现ICT构想的策略

这一条确保了有一个实现ICT构想的策略。这个ICT策略应该做到如下几个方面：对整个学校的规划应该具有整体性；考虑学校当前的发展阶段；承认进行细致财政计划的重要性，这种财政计划要考虑到所有相关方面的费用及其对结果所产生的冲击影响；承认需要计划的长期可支撑性。

（3）应用ICT提高机构的效率与效果

应该考虑管理信息系统和操作性数据使用的效果。学校领导应该策略性地使用ICT去提高交流和其在一系列活动中的效率。

（4）监控和评估

学校怎样去监控和评估ICT战略的效果对于确保进步是至关重要的。监控和评估应该做到以下几点：贯穿于整个学校；有事实依据；包括对影响学习结果的因素进行监控和评估。

2．要素2——课程

（1）设定计划的ICT课程

ICT能力可以作为一门独立科目被教授，也可以在别的科目中进行教授，同时也可以综合以上两种情况进行教授。当然，该条还关心使学生能将ICT贯穿于科目学习中以及使ICT在学与教方面更加普遍应用。

（2）学生实际的ICT体验

学校必须考虑到计划的和实际经历之间的不同以及学生经验的范围、质量和一致性。

（3）课程领导和评估

课程很少是一成不变的，特别是在ICT环境下，必须适应和对以下几个方面做出反应：日益增长的资源；发展起来的新的科技和应用软件；随着教师对应用ICT支持教学方面越来越多的理解而带来的教师专业发展实践的不断更新。

3．要素3——学与教

（1）教师的计划使用和评估

在已经成功地将ICT植入学与教中的学校里，所有的员工能够做到如下几点：对怎样应用ICT去支持教学的过程有一个清晰的理解；有规律地计划ICT在他们教学中的应用；在学生已有的ICT性能知识的基础之上，提供一些自己的体验，这样有利用激发学生对ICT的应用；批评性地评价应该按照这样一条原理——ICT应用的情况如何，校内外同行之间意见交流的情况如何。

（2）用ICT进行学习

这条是从学习者的角度思考使用ICT，它着眼于这几个方面：学习者期望从ICT的使用中获得什么；学习者不得不决定是否去选择使用ICT的时机，也就是说，在什么样的时机下，学习者不得不考虑是否选择使用ICT；在使用数字化资源的过程中所发展起来的技术。

（3）学与教的领导

学校里的领导者们怎样去促进、探究和发展ICT在教学中的应用。积极有效的实践能够保证以下几个方面：ICT被策略性地领导；所有的学科或课程带头人能够持续地实施ICT并促进ICT的使用；在ICT的使用上能够有一些创新之处。

4．要素4——评价

（1）评价ICT和使用ICT评价

这条考虑的是怎样对ICT的性能进行评估，它也帮助学校思考是否有效利用了ICT去管理了评估过程。进行这样的评估的两种环境是：①ICT作为一门独立学科；②将ICT应用到别的学科里。

5．要素5——教师专业发展

（1） 计划

试图去促进以下几个方面：经常和系统地对员工的ICT技能进行评估、确定个别化和学校总体上的需要、使学校的教师专业发展和ICT发展战略清晰地联系起来。

（2） 实施

这一条反映了学校为其教师ICT技能的发展所做的准备的范围和质量情况。其关注的是以下几个方面：怎样使教师获得支持；怎样使实践在学校里得到共享；教师专业发展机会的品质和范围；个体和整个学校的准备。

（3）评估

这一条关注的是对教师在ICT方面的发展进行一个总体上的管理和评估。它试图加强系统上的监控和评估，从而进行对准备的质量和效果的分析，制订针对结果的计划。

6．要素6——拓展学习的机会

（1）意识和理解

这一条反映的是所有职员对运用ICT在校外拓展学习机会的意识和理解的层次。这里包括校外学生接触ICT以及学生父母及家庭应用ICT的方式。

学校应该做到如下几点：知道进行拓展学习时所需要解决的问题；超越传统的学校教育观念，给他们提供更宽、更广的学习准备。

（2）计划和实施

学校计划和有效应用ICT去支持学校拓展学习机会政策的方式在这里是很重要的。学校的领导层应该考虑到这些：怎样将政策转化为实践，也就是怎样将政策进行有效地实施；影响用ICT为学生拓展学习机会的因素有哪些。

7．要素7——资源

（1）条件准备

这一条考虑的是在学校中应用ICT资源所需的物质准备、管理和支持。它集中在以下几个方面：ICT所需的物质环境；影响物质环境的因素有哪些，这里的物质环境直接影响教学的质量；ICT资源的丰富性。

（2） 接触

这里考虑师生访问ICT资源的便易性以及能够提供访问途径的区域的范围。它包括了以下几个方面：学校的因特网接口及相关需要；有效的技术支持；将学与教联结最紧密的所需。

（3）管理

这一条涉及的是通过课程的有效分析和管理而对原有的ICT资源进行拓展和更换的程度，它试图促进如下几个方面：未来规划；用最优方法构建程序。

8．要素8——学生学业成绩的影响

（1）学生在ICT能力方面的进步

这一条关注以下两个方面：通过长期的学习，所有不同群类的学生在ICT能力方面的进步的程度如何；怎样让学生能够独立地将他们已具备的ICT能力发挥出来，并应用到实际当中去。

（2）学生更长远的进步

学生在学习过程中，由于广泛地与ICT进行接触，从而在提高学习方面取得了进步，那么要获得更广泛的进步是这一条所要考虑的一个方面。除此之外，还考虑到了如下几个方面：ICT作为一项发展学生创造力、调查研究和解决问题等学习技能的工具，所起到作用的程度如何；这些学习技能的锻炼和培养要包含在为学生设计的课程计划和实践当中去。

（3）态度和行为

这条考虑以下两个方面：怎样通过学生经常使用ICT端正他们的学习态度，激发他们的学习动机和学习行为；怎样激发学生的兴趣、主动性和好奇心，以及这些因素又会怎样推动学生对校内外ICT的潜能进行探究。换句话说，这些因素在推动学生探究ICT的潜能过程中会起到什么样的作用。

三、英国学校信息化自我评估框架的评论与启示

英国学校信息化自我评估框架已经成为英国权威的学校信息化评估指标，目前已经有600多所学校采用该指标进行了学校评估。该评估指标对我国的信息化建设也具有借鉴意义。

1.学校信息化建设应该评估先行

学校信息化自我评估框架既是一个评估指标体系，又是一个学校信息化建设的指南。按照学校信息化自我评估框架的内容，既考察学校目前的建设情况，同时也明确未来的建设方向。而我国，在信息化建设过程中，始终没有解决好评估的问题。理想的情况是，在学校启动教育信息化建设的同时，应该配有专门的评估方案，以便对其效益进行评估，并及时对信息化建设做出必要的调整。

2．评估方案的本土化

学校信息化自我评估框架虽然是一个比较优秀的学校信息化评估方案，但是也需要根据各地的具体情况做本地化调整。实际上,从世界各地的评估指标项目来看, 很多都具有参考价值, 但难以在其他情境中直接应用。因此,对于我们的本土化研究来说, 一方面,我们在根据国际上教育信息化项目制订评估指标的同时,需要以现有的评估指标为参照; 另一方面,对于我们研制的评估指标,应该考虑留有一定的“本地化”空间,以便能够经过调整应用于其他评估情境。

3．综合、系统地评估学校信息化

学校信息化建设是一个综合性的工程，涉及方方面面。一直以来，我们主要是从软件、硬件、人的方面来评估学校信息化建设。而英国的学校信息化自我评估框架则综合、系统地考虑了学校信息化建设的各个方面。其中领导与管理的评估是国内有关评估所缺少的，值得我们借鉴。此外，学生的学业成绩也作为了一个方面成为评估的内容。信息化的建设说到底是为了学习者的学业，所以把学业成绩作为评估中的一个方面是比较恰当的。

4．评估方案的可操作性和导向性

在全面反映评价内容的基础上力求简洁，在保证评价方法科学的基础上使计算方法简单明了，同时评估所需的各项数据通过调查能够获得，这就是评估的可操作性原则。英国的学校信息化自我评估框架具备此种功能。另外，充分发挥评估的导向作用，在设计评估模型时，通过设立相应的评价指标和赋予指标不同的评估权重，有目的地引导中小学信息化的发展。英国的学校信息化自我评估框架就是为了促进学校的发展而采取的有效措施，不是政府考核的依据，而是学校采取自愿评估的方式。“以评促建”，加快中小学信息化的发展。

英国的学校信息化自我评论框架为我们提供了一个很好的借鉴，然而需要国内信息化的研究者和建设者能够根据我国国情，为我国的中小学学校设计一个自我评估的指标体系，从而引领我国学校信息化建设有序、健康地发展。

参考文献

[1]Self-review framework，http://becta.org.uk/schools/selfreview.

[2]Ways to use the self-review framework Guidance for leaders，http://www.becta.org.uk/publications.

[3]李志涛．中小学信息化评估指标的比较研究与探讨[J]．中小学信息技术教育，2005，（6）．

信息安全风险评估标准研究 篇12

21世纪以来, 在我国信息化进程全面加快, 网络和信息系统的基础性、全局性作用日益增强的同时, 信息系统与互联网面临的风险也在不断加大。信息安全风险评估的迅速发展, 很大程度上满足了我国信息安全的需要。然而, 信息安全风险评估在国内才刚刚起步, 尚无有效的风险评估标准, 这给我国信息安全风险评估的实施设置了重大障碍, 因此对当前的信息安全风险评估标准进行深入的研究, 不仅有利于加快我国信息安全风险评估工作的步伐, 对于有效保证信息安全也有着及其重要的意义。

目前, 国际和国内比较重要的风险评估标准有:CC、GB/T 18336、BS7799、ISO/IEC 13335、OCTAVE方法、SSE-CMM、《信息安全风险评估指南》等。本文将主要的信息安全风险评估标准大体上分成了三类:技术类标准、管理类标准、评估方法类标准, 并在此基础上对相关标准进行了研究, 对其产生背景、相关内容、适用范围及异同等方面进行介绍和比较。

1 技术类标准

技术类标准主要包括信息安全产品和系统安全的安全性测评标准 (简称CC) 、GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》、系统安全工程能力成熟度模型 (简称SSE-CMM) 等标准。

1.1 CC与GB/T18336

CC, 即信息安全产品和系统安全的安全性测评标准。CC标准由六个国家 (美、加、英、法、德、荷) 于1996年提出, 并于1999年称为国际标准ISO/IEC 15408, 是目前国际上最通行的信息技术产品和系统安全性评估准则。

CC标准定义了评价信息技术产品和系统安全性的基本准则, 并把安全要求分为规范产品和系统安全行为的功能要求以及如何有效实施这些功能的保证要求。

CC标准采用类、族、组件层次结构化方式定义信息系统或技术产品的安全功能。每个功能类表示一个安全主题, 由类名、类介绍、一个或多个功能族组成, 族是在同一个安全主题下侧重面不同的安全功能, 功能组件由组件标识、组件依赖关系、一个或多个功能元素组成, 功能元素是不可拆分的最小安全功能模式。CC标准的安全保证要求则对安全保证级 (EAL) 进行了详细介绍。

CC是侧重于对系统和产品的技术指标的评估标准, 它不包括对信息安全管理、密码安全和物理安全方面的评测。CC标准目前已被多个国家接受, 用于对操作系统、防火墙等多种产品的安全性进行评估。

2001年, 我国将CC转化为国标GB/T 18336《信息技术安全技术信息技术安全性评估准则》。在信息安全风险评估工作中对系统和产品的技术指标的评估同样可以参照G B/T18336。因此, CC、ISO/IEC 15408、GB/T 18336实际是同一个标准, CC是最早的称谓, ISO/IEC 15408是正式的ISO标准, GB/T 18336则是我国等同采用ISO/IEC 15408之后的国标。

1.2 SSE-CMM

SSE-CMM即系统安全工程能力成熟度模型, 它源于CMM (能力成熟度模型) 的思想和方法。2002年成为国际标准ISO/IEC 21827。

SSE-CMM模型描述了一个组织的系统安全工程过程必须包含的基本特性。它将信息系统安全工程分为3个部分:风险、工程和保证。风险过程用于识别被开发产品或系统的潜在危险;工程过程针对危险性所面临的问题与其他工程一起来确定和实施解决方案;保证过程用来建立解决方案的信息并向用户转达安全信任。

SSE-CMM由11个安全过程区PA, 主要由管理安全控制、评估安全风险、评估威胁、评估薄弱点等组成, 每一个过程区也包含了许多基本实施BP。BP是强制项目, 只有当所有性质完全实现后, 才说满足了这个过程区的要求。SSE-CMM模型本身并不是安全技术模型, 但因其在评估过程中利用了许多技术类BP, 故将其归入技术类评估标准。

SSE-CMM是偏向于对组织的系统安全工程能力的评估标准。SSE-CMM更适合作为评估工程实施组织 (例如安全服务提供商) 能力与资质的标准。我国国家信息安全测评认证中心在审核专业机构信息安全服务资质时, 基本上即依据SSE-C M M来审核并划分等级。

1.3 技术类标准比较

SSE-CMM、CC作为风险评估的技术标准, 两者之间既有共同点也有不同点。CC和SSE-CMM均侧重于对产品开发、系统集成等安全过程或产品本身的测试和评估, 但CC针对的是安全系统或安全产品的测评, 而SSE-CMM针对的是安全工程过程。同时, 两者虽然综合了国际上现有评测准则和技术标准的精华, 给出了框架和原则要求, 但两者均没有考虑到信息系统和操作环境交互时相互影响而引入的随即性与不确定性。两者也不涉及管理细节和信息安全的具体实现、算法和评估方法。

2 管理标准

管理类标准主要包括BS7799、《信息技术IT安全管理指南》 (ISO/IEC 13335) 、NIST-SP800-26等标准。

2.1 BS7799

BS7799是英国标准协会 (BSI) 于1995年针对信息安全管理而制定的标准, 主要提出了有效实施信息系统风险管理的建议, 并介绍了风险管理的方法和过程。该标准由BS7799-1:1999和BS7799-2:1999两部分构成。

第一部分:BS7799-1:1999是信息安全管理实施细则, 即对信息安全管理给出建议, 供实施或维护安全的人员使用, 同时也为实施信息安全风险评估的操作人员提供详细的审计对象。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础, 并为组织之间的交往提供信任。该部分包括十大管理领域, 三十六个执行目标, 一百二十七种控制方法。

第二部分:BS7799-2:1999则是信息安全管理体系的一套规范。其中详细说明了建立、实施、维护信息安全管理体系的要求, 以建立适合需要的信息安全管理体系。该部分同时给出了建立信息安全管理体系的相关步骤。

2.2 NIST-SP800-26标准

NIST-SP800-26标准, 由美国国家标准技术协会发布, 亦称为IT系统安全自我评估指南。该标准主要以各种调查问题的形式给出。调查表的问题按主要控制域分为3类: (1) 管理控制; (2) 运行控制; (3) 技术控制。在每个控制域内都有若干个主题;例如, 运行控制域内有人员安全、应急计划、事件响应等主题。调查表总共有17个主题, 每个主题均包含了与系统相关的关键要素以及安全控制目标和技术。

2.3 管理类标准比较

NIST-SP800-26与BS7799同属管理标准, 但两者之间并没有直接的联系。BS7799讨论的主题广泛, 但对每项内容的讨论都没有深入下去。虽然该标准也涉及某些技术领域, 但并未强调技术细节, 因而也就无法作为信息安全风险评估的依据。而NIST-SP800-26标准则从三大控制域的角度以调查表的形式给出了诸多问题, 该文件可以作为实施B S 7 7 9 9-2过程中一些关键任务的指导和参考, 是对BS7799标准很好的补充和细化。同时, 通过对该标准中的问题进行剪裁和补充, 可以作为对不太重要的组织或系统的进行评估依据。

3 评估方法类标准

评估方法类标准主要包括OCTAVE方法、AS/NZS 4360、《信息安全风险评估指南》等标准。

3.1 OCTAVE方法

1999年, OCTAVE方法由美国卡耐基·梅隆大学软件工程研究所下属的CERT协调中心发布。它从信息系统所属的组织本身出发, 考虑组织外部和内部两方面, 分析信息系统可能存在的威胁, 对组织的信息系统进行评估。它是一种综合的、系统的、与具体环境相关的、可操作性强的信息安全风险评估和风险管理方法。

OCTAVE由一系列的原则、属性和输出所定义。原则是体现评估性质的基本概念, 它定义形成评估过程的基本原则。属性指与众不同的评估性质, 即特征, 它既是定义OCTAVE的基本要素所需的, 也是描述评估过程、控制评估项目所需的。输出是评估过程必须取得的结果。OCTAVE将风险评估过程分为3个阶段9个环节:

阶段一:建立基于资产的威胁配置文件。

(1) 标识高层管理知识 (收集高层管理部门的观点) ;

(2) 标识业务区域知识 (收集业务区域管理部门的观点) ;

(3) 标识一般员工知识 (收集员工的观点) ;

(4) 建立威胁配置文件 (建立威胁列表文件) 。

阶段二:标识基础结构的弱点。

(1) 标识关键资产 (识别关键单元) ;

(2) 评估选定的资产 (评估选定的单元) 。

阶段三:确定安全策略和计划。

(1) 执行风险分析;

(2) 开发保护策略A (提出保护策略、风险降低计划和行动列表) ;

(3) 开发保护策略B (审核保护策略、风险降低计划和行动列表) 。

虽然O C T A V E方法的3个阶段、9个环节都按照先后次序进行了编号, 但在评估的过程中, 由于安全问题的复杂性和多边性, 可以在识别所有这些安全问题的过程中存在许多潜在的反馈循环, 故O C T A V E本质上是非线性的和迭代的。

O C T A V E使组织通过技术和组织两方面的手段理清关键的资产、威胁和弱点。O C T A V E的相关调查过程、调查内容等在我国的信息安全风险评估中是适用的, 但风险处理计划、控制等方面稍显不足。

3.2 信息安全风险评估指南

近年来, 我国也针对信息安全风险评估开展了相关工作, 制定了一系列的管理规范与指南, 其中包括2005年制定并开展了相关试点工作的《信息安全风险评估指南》 (以下简称《评估指南》) 。

《评估指南》分为三个部分:

第一部分:着重介绍了与风险评估中相关的术语、定义、风险评估的模型和流程。

第二部分:信息安全风险评估的实施过程。该部分围绕信息安全的关键要素, 依据风险评估的相关流程, 重点阐述了风险评估前的准备、资产识别、威胁识别、脆弱性识别、安全措施的控制、已有安全措施的确认、风险识别、风险结果记录等八个步骤。

第三部分:附录部分。主要给出了结构化、非结构化的风险计算公式, 并对信息安全风险评估的方法、工具、实施案例做了简单的说明。

《评估指南》是我国第一个关于信息安全风险评估的国家级指南, 是目前国内开展信息安全风险评估工作主要参考和依照的唯一规范。它适用于信息系统的使用单位进行自我风险评估以及风险评估机构对信息系统进行独立的风险评估。

3.3 评估方法比较

OCTAVE方法、《评估指南》均为评估方法, 其共同之处在于两者均为从风险评估相关实践而演化成的标准, 在风险评估实践中具有很强的可操作性, 三者均将风险评估的实践分成若干相类似的环节。不同之处在于OCTAVE方法的风险评估是在其所定义的相关原则的指引下, 围绕信息系统所属的组织展开的评估, 且评估过程中尤其重视可操作性。《评估指南》则是在借鉴国内外相关标准的基础上制定的更符合中国国情的风险评估标准, 其中明确给出了独特的风险计算公式, 并附有风险评估的实施案例等, 对于指导国内的信息安全风险评估工作有着重要意义。

4 结论

本文主要介绍了CC、GB/T18336、BS7799、SSE-CMM、ISO/IEC 13335、OCTAVE、《信息安全风险评估指南》等诸多国内外信息安全风险评估标准。鉴于目前国际国内标准的多样性与复杂性, 本文以各标准制定策略及目标的不同、标准中体现出的定性与定量的思想为指导, 对上述标准进行了适当的分类, 并在各分类中介绍了相关标准的主要内容, 最后对各标准之间的异同进行了总结, 指明了其在具体实践中的使用范围, 为国内组织在开展信息安全风险评估时选择适用的标准提供了参考依据。

摘要：信息安全风险评估不仅是有效保证信息安全的前提, 也是制定信息安全管理措施的依据之一。信息安全风险评估标准作为风险评估的基础与依据, 在评估过程中更是发挥着越来越重要的作用。通过将信息安全风险评估标准划分为管理类、技术类、评估方法类等三类标准, 并以标准制定的目标为依据在各类内进行标准的异同比较与分析, 以期能够更好的指导我国信息安全风险评估工作。

关键词：信息安全,风险评估,BS7799,OCTAVE

参考文献

[1]吴亚非, 李新友, 禄凯.信息安全风险评估[M].北京:清华大学出版社.2007.

[2]科飞管理咨询公司.信息安全风险评估[M].北京:中国标准出版社.2005.

[3]范红, 冯登国, 吴亚非.信息安全风险评估方法与应用[M].北京:清华大学出版社.2006.

[4]张建军, 孟亚平.信息安全风险评估探索与实践[M].北京:中国标准出版社.2005.

[5]袁建军, 李京春, 岳俭.信息安全风险评估基础与实用技术[M].北京:国家信息技术安全研究中心, 2006.