信息安全风险评估方法及建议

信息安全风险评估方法及建议

付朋侠王峥李林蔚

（国网郑州供电公司河南郑州450006）

摘要：随着信息技术被广泛地应用于各行各业，各种信息安全事件的发生使得人们对信息安全的要求日益增高，企业也越来越重视信息安全的风险评估工作。本文就信息安全风险评估的方法展开综述，并提出建议。

关键词：信息安全；风险评估；资产；威胁；脆弱性

1、信息安全风险评估的概念

信息安全风险评估是根据国家、行业有关信息安全的标准，利用风险理论和方法对信息资产所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。

信息安全风险评估是信息安全风险管理的基础，通过信息安全风险评估，可全面准确地了解系统所面临的信息安全问题，找出目前的安全策略和实际需求的差距，为企业进行风险管理和风险控制提供最直接的依据。

2、信息安全风险评估的方式

信息安全风险评估可分为自评估和他评估两种方式。

2.1自评估是企业内部自发组织的对信息系统进行风险评估的方式，是为了进一步提高内部信息安全管理水平，减低安全风险，是信息安全风险评估的主要形式。

2.2他评估又称检查评估，是上级管理部门或负责信息安全的国家机关组织的风险评估，有助于督促企业提高信息安全管理水平。

两种评估可以利用企业或组织内部的技术力量，也可以请专门的风险评估机构来进行。

3、信息安全风险评估的方法

参照国内标准GB/T20984—2007《信息安全技术信息安全风险评估规范》、国际ISO/IECTR13335-3、NISTSP800-30等标准，信息安全风险评估分为三个个阶段：评估准备、检查测试、分析评估。

3.1评估准备

在进行信息安全风险评估前，应首先成立项目组、确定评估的目标、范围，进行系统的调研，确定评估的依据和方法，制定评估方案。

其中系统调研是评估依据和评估方法、评估圆满实施的重要基础。评估前应进行充分的系统调研。要根据业务目标和业务特性对系统网络、数据文档、管理制度、使用或管理人员等进行调查，可以通过问卷调查、人员访谈、现场考察、核查表等形式进行。

3.2检查测试

检查测试阶段主要包含资产的识别评估、威胁的识别评估、脆弱性的识别评估。

3.2.1资产的识别评估

识别风险评估范围内的每一项资产，对其进行分类，进一步评价赋值。评价赋值按照资产对业务的重要性和资产的相对货币价值可分为定性分析和定量分析两种办法。

3.2.2威胁的识别评估

识别系统可能所面临的威胁，可通过IDS采样分析、日志分析、访谈等方式进行收集。识别威胁后，按照威胁出现的频率和危害对威胁进行赋值。

3.2.3脆弱性的识别评估

威胁只有通过系统的脆弱性才能对资产造成影响，根据每项资产的弱点，识别资产的脆弱性，并跟据对资产损坏程度、技术的难易对已识别的脆弱性的严重程度赋值。脆弱性的识别主要通过漏洞扫描工具、渗透测试、组织管理制度的检查等方式获得。

3.3分析评估

通过分析上面的评估数据，建立资产、威胁、脆弱性关联表，进行风险值计算，确定风险等级。根据风险等级的接受程度，以及已有安全措施的需求分析，确定最终的风险控制目标。

针对风险控制目标，综合考虑实际风险控制需求，以及风险控制成本，提出适当的风险控制措施。

根据评估的过程和结果，编写信息安全风险评估报告，提交企业管理层供其分析决策使用。

4、实施信息安全风险评估的建议

风险是永远存在的，不可能完全消灭风险，信息安全风险评估的目的在于将风险控制在可接受的范围内。因此要根据信息系统及其信息的价值和威胁以及受影响的范围，以及信息系统生命周期的各个阶段的关键点来科学有效的进行风险控制，要坚持尊重实际、需求为主、突出重点、分级防护的原则。

参考文献：

[1]张泽虹赵冬梅编著信息安全管理与风险评估，电子工业出版社，2010；

[2]张玉清.信息安全风险评估综述[J].通信学报，2015（02）：45-53.