信息安全风险评估

学院：商学院

专业：信息管理与信息系统

姓名：徐彬

学号：0812104613

目录

一、信息安全风险评估简介... 3

二、信息安全风险评估流程... 3

1.风险评估准备... 3

2.资产识别... 3

3.威胁识别... 3

4.脆弱性识别... 4

5.风险分析... 4

三、信息安全风险评估策略方法... 5

1）定量分析方法... 5

2）定性分析方法... 5

3）综合分析方法... 6

四、信息安全风险评估的注意事项... 6

1、各级领导对评估工作的重视... 6

2、加强评估工作的组织和管理... 6

3、注意评估过程中的风险控制。... 6

4、做好各方的协调配合工作。... 7

5、提供评估所必须的保障条件。... 7

信息安全风险评估

一、信息安全风险评估简介

    信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化解信息安全风险，将风险控制在可以接受的水平，最大限度地保障网络正常运行和信息安全提供科学依据。

二、信息安全风险评估流程

    信息安全风险评估的典型过程主要分为风险评估准备、资产识别、威胁识别、脆弱性识别和风险分析5个阶段。

    1.风险评估准备

    该阶段的主要任务是制订评估工作计划，包括评估目标、评估范围、制订信息安全风险评估工作方案，并根据评估工作需要，组建评估团队，明确各方职责。

    在风险评估准备阶段，需要多次与被评估方磋商，了解被评估方关注的重点，明确风险评估的范围和目标，为整个风险评估工作提供向导。在确定评估范围和目标之后，根据被评估对象的网络规模、复杂度、特殊性，成立评估工作小组，明确各方人员组成及职责分工。建立评估团队后，由评估工作人员进行现场调研，由被评估方介绍网络构建情况，安全管理制度和采取的安全防护措施以及业务运行情况。评估工作小组根据调研情况撰写信息安全风险评估工作方案。

    2.资产识别

    做好风险评估准备阶段的相关工作之后，需要通过多种途径采集评估对象的资产信息，为风险评估后续各阶段的工作提供基本素材。

    资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时，以被评估方提供的资产清单为依据，对重要和关键资产进行标注，对评估范围内的资产详细分类，防止遗漏，划入风险评估范围和边界内的每一项资产都应经过仔细确认。

    3.威胁识别

    在识别威胁时，应根据资产目前所处的环境条件和以前的记录情况来判断，威胁识别主要通过采集入侵检测系统（IDS）的报警信息、威胁问卷调查和对技术人员做顾问访谈的方式。为了确保收集到的威胁信息客观准确，威胁问卷调查的对象要覆盖被评估对象的领导层、技术主管、网络管理人员、系统管理人员、安全管理人员和普通员工等。顾问访谈要针对不同的访谈对象制订不同的访谈提纲。

    威胁识别的关键在于确认引发威胁的人或事物，威胁源可能是蓄意也可能是偶然的因素，通常包括人、系统和自然环境等。一项资产可能面临多个威胁，而一个威胁也可能对不同的资产造成影响。威胁识别完成后还应该对威胁发生的可能性进行评估，列出威胁清单，描述威胁属性，并对威胁出现的频率赋值。

    4.脆弱性识别

    脆弱性识别是风险评估工作过程中最为复杂、较难把握的环节，同时也是非常重要的环节，对评估工作小组成员的专业技术水平要求较高。脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性调查主要通过发放管理脆弱性调查问卷、顾问访谈以及收集分析现有的管理制度来完成；技术脆弱性检测主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。

    在工作过程中，应注意脆弱性识别的全面性，包括物理、网络、应用和管理等方面。为了分析脆弱性影响的严重程度，最好对关键资产的脆弱性进行深度检测和验证，比如关键服务的身份认证等。识别完成之后，还要对具体资产的脆弱性严重程度进行赋值。脆弱性严重程度可以等级化处理，不同等级分别表示资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。

    5.风险分析

    构成风险的要素主要有资产、威胁和脆弱性，在识别了这些要素之后，就可以确定存在什么风险。风险分析阶段需要完成的工作主要有3项：风险计算、形成风险评估报告和给出风险控制建议。风险计算是针对每一项信息资产、根据其自身存在的脆弱性列表、所面临的威胁列表，考虑资产自身在信息系统中的重要程度（资产赋值），依据风险计算公式，计算出该信息资产的风险值，最终形成风险列表。风险评估报告主要结合风险评估工作过程中采集到的中间数据，对信息系统中的安全风险进行定性和定量分析。风险控制建议主要由评估工作小组在对被评估对象的安全现状进行综合分析的基础上，有针对性地给出。

    风险只能被预防、避免、降低、转移或接受，而不可能完全消除。高风险和严重风险是不可接受的，必须选择实施相应的对策来消减。对于中等风险和低风险，可以选择接受，一般评估工作小组应针对被评估对象的中低风险给出风险控制建议。

    此阶段的输出主要包括：《信息安全风险评估风险列表》、《信息安全风险评估报告》、《信息安全风险评估风险控制建议》等。

 

三、信息安全风险评估策略方法

 目前，信息安全风险评估的方法层出不穷，这些方法在很大程度上缩短了信息安全风险评估所花费的资源、时间 ，提高了评估的效率，改善了评估的效果。按照各因素计算数据要求的程度，可以将这些方法分为为定量分析方法、定性分析方法和综合分析方法。

1）定量分析方法

定量分析方法是指对度量风险的所有要素赋予一定的数值，依据这些数据，建立数学模型，把整个信息安全风险评估的过程和结果进行量化，然后对各项指标进行计算分析，通过这些被量化的数值对信息系统的安全风险进行评估判定。简单地说 ，定量分析就是用数量化的指标数值来对风险进行评估。比较常见的定量分析方法有 Markov 分析法、时序序列分析法、因子分析法、决策树法、聚类分析法、熵权系数法等。定量分析方法的优点是分类清楚，比较客观；缺点是容易简单化、模糊化 ，造成误解和曲解。

2）定性分析方法

定性分析方法不需要严格量化各个属性，只是采用人为的判断 ，依赖于分析者的经验、直觉等一些非量化的指标 ，主观性很强 ，对风险评估者的经验等要求很高。它可以较好的挖掘出一些蕴藏很深的思想 ，使做出的评估结论更全面、更深刻。在采用定性分析方法进行评估时，不使用具体的数量化的数据，而是对各个指标给出一定的指定期望值，利用这样一种非量化的形式对信息系统的安全风险做出判断。常见的定性分析方法有德尔菲法（Delphi Method）、可操作的关键威胁、资产和脆弱评估方法（OCTAVE，Operationally Critical Threat，Asset and Vulnerability Evaluation）等。定性分析方法的优点是可以挖掘出一些蕴藏很深的思想，使评估的结论更全面深刻 ；缺点是主观性强 ，对评估者要求很高。

3）综合分析方法

定量分析方法和定性分析方法是相辅相成、相互联系的。定量分析法是定性分析法的基础和前提，反过来，定性分析法又是建立在定量分析法基础上揭示客观事物内在规律的。在复杂的校园信息化信息系统风险评估中，要将定量分析法和定性分析法融合起来使用 ，这就是综合分析方法。在本文中针对数字化校园的信息安全风险评估中也采用综合分析方法。

四、信息安全风险评估的注意事项

做好风险评估工作，特别要注意以下5方面的工作。

1、各级领导对评估工作的重视

风险评估工作只有得到各级领导的广泛认同和支持，才能顺利地开展并卓有成效地进行，获得客观、真实和有效的评估结果，作为今后信息安全建设的重要参考依据。

2、加强评估工作的组织和管理

信息安全风险评估工作启动后，应及时组建评估项目组，加强对整个评估工作的组织和管理。项目组主要包括项目领导小组、项目负责人和项目工作小组。

3、注意评估过程中的风险控制。

评估工作过程中所面临的风险，主要是敏感信息泄露和评估过程中的各种技术性评估带来的。规避敏感信息泄露风险，主要应该注意几点：一是参与评估的人员必须遵守国家有关信息安全的法律法规以及总行关于信息安全的相关管理规定，承担相应的义务和责任；二是被评估方应与参与评估的所有人员签订具有法律约束力的保密协议；三是评估过程中做好审核确认工作。对于规避技术性评估所带来的风险，例如进行漏洞扫描有时引起扫描对象宕机等，在制订各种技术性评估方案时，应当由被评估方和评估方共同审核确认，尽量避免采取可能造成不良影响的操作，最好事先经过测试。

4、做好各方的协调配合工作。

信息安全风险评估工作涉及信息系统的主管部门、建设单位或上级机关、运行维护部门、使用部门、安全管理部门和保密部门以及技术支持单位和产品或服务提供商。因此需要高层领导直接组织，需要被评估方和评估方的密切配合，相互支持。

5、提供评估所必须的保障条件。

在评估过程中，要考虑完成信息安全风险评估工作的相关保障条件，包括人员、时间和经费等。人员保障主要涉及完成风险评估工作的相关人员。评估工作小组的人员可以从被评估方的技术部门选派，也可选择国内可以信赖的第三方专业评估机构。特殊需要的专业技术人员可以根据评估工作的需要临时抽调。为了使评估结果真实、客观、有效，需要有一定的时间保障，尤其是评估准备阶段，需要花较长的时间精心准备。此外，风险评估还要有一定的经费支持，可能涉及咨询、技术服务、培训、管理、购置评估专用设备、购置工具和软件等费用。

 

第二篇：信息安全风险评估

信息安全风险评估

陕西省数字证书认证中心

信息安全风险评估

很高兴有机会跟大家探讨一下风险评估方面的问题，首先简单地讲一下信息安全风险评估的概念。近两年来，信息安全风险评估问题是我们信息安全界的热门话题之一，也是大家都非常关心的一个问题。从国际上的情况来看，也是各国都在探索的一个问题。

第一个方面，什么叫信息安全风险评估呢？信息系统的安全风险，我在这里列了四个要素来综合起来说明这个问题，系统存在着脆弱性，就是我们常说的技术上的漏洞，可以被利用的漏洞，我们有时候讲脆弱性。再加上人为或自然的威胁，导致一些信息安全事件的发生的可能性及其造成的影响，特别是负面影响。也就是说脆弱性和威胁是原因，可能性和影响是结果，当然还有一些其他的要素。信息安全风险评估是指对信息系统及其处理的传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程，我想人们认识能力和实践能力，从阶段性的考虑来说总是有局限性的。

因此信息系统存在的脆弱性是不可避免的，经过几十年的研究，大家发现这是由于人为的错误所造成的，对于现在我们所使用的一个庞大的、复杂的技术系统来说，恐怕在长时间内是不可避免的。因此，在现实环境中，人们总是要面临着各种各样的威胁，或者是信息安全风险是必然的。在这种情况下，通过适当的、足够的，有时候是综合的安全措施来控制风险，最终目的是使残余下来的风险可以降低到最低程度。任何信息系统都会有安全风险，所以，人们追求的所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在的残余风险可被接受的信息系统。

第二个方面，风险评估的意义和作用。1.风险评估是信息系统安全的基础性工作，它是观察过程的一个持续的工作。2.风险评估是分级防护和突出重点的具体体现。前面沈院士讲了等级保护，他有一个重要的思想，等级保护的出发点就是要突出重点，要突出重点要害部位，分级负责，分层实施。3.加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。风险评估对信息系统生命周期的支持，生命周期有几个阶段，有规划和启动阶段，设计开发或采购阶段等等。信息系统在设计阶段的时候，现在大家很关注的还是在设计阶段，国家对这方面也做了很多的工作。

信息安全风险评估的目标和目的，信息系统安全风险评估的总体目标是认清信息安全环境、信息安全状况，有助于达成公式，明确责任，采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性，这是一个非常非常重要的问题。我们检查性的评估，都是为了使信息安全评估策略贯彻得到始终如一的支持。

第三个方面，信息安全风险评估的基本要素。探讨信息安全风险评估的基本要求，有助于我们思考一些问题。现在的信息系统可以是一个组织乃至个人组织、乃至国家完成使命的一种手段，因此要从使命出发。由于信息化取得了很多的成果，得到了很广泛的应用，所以他们就产生了资产，这个资产的问题，我们和经济学家探讨的时候还有一些不同的看法，但是他们也有普遍的认识，我们用信息资产这个概念来描述我们信息化的成果，或者我们在信息化过程中从中衡量，也许信息资产的概念是最直接的概念，当然它也存在一个量化问题。信息安全威胁方面，我们当前信息化过程中有来自很多方面的威胁，既有人为的，也有自然的，都可能对我们信息系统造成威胁。信息安全事件是大家现在比较关注的一个话题，通过

我们以前调研发现，人们只有在具体的事件中才能逐渐认识信息安全的利益所在，所以我们在评估的时候要关注以往发生的事情和别人发生的事情。残余风险，风险不可能完全消除，由于信息化的发展，信息系统已经渗透到这个社会生活的各个方面，已经逐渐成为一个谁也离不开的东西，因此的信息化所带来得好处，会受到方方面面的危险，因此它的风险也许在相当长的时间之内完全消除是不现实的，所以必须承认即使我们采取了措施，即使我们加强了保护，即使我们投入了很多的资源，最终我们还是要面临风险。因此，这个风险管理、风险意识，特别是现在的情况下，要引起我们的注意。安全措施，在我们采取的安全措施再去评估，要考虑对安全措施加以评估，我们已有的安全措施是否还有效，是否有待加强。前面几位先生都讲到安全措施一般分为保护、检测、响应，还有恢复，当然还有管理，现在大家讨论的话题说这个措施要从管理、技术、运行三个方面去考虑。通过安全措施对资产加以保护，对脆弱性加以弥补，从而可降低风险。实施了安全措施后，威胁只能形成残余风险。而这个过程中往往是很多措施共同起作用的过程，所以27号文件就提出来，积极防预、综合防范的策略原则。我们要考虑采取措施往往是综合的，特别是安全比较高的系统往往采取综合性的措施加以防范。

下面，我们看一下我国信息系统安全风险评估的现状和问题。我国信息系统安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的。早期的信息安全工作中心是信息保密，通过保密检查来发现问题，改进提高。存在的问题，1.信息系统安全风险评估的研究积累不足。2.缺乏信息系统安全风险评估的规范化标准。3.缺乏人才。4.信息系统安全风险评估的角色和责任有待进一步明确，这里涉及到一些人、管理体系、决策和责任有待进一步完善。5.风险评估存在的风险，由于与信息系统漏洞有关的信息，而造成的一些风险。

我国在信息安全产品的测评认证方面开展了一些工作，积累了一些经验，但是对信息系统的风险评估还处于起步阶段，有待规范提高，并需纳入等级保护的机制中，已经显现的问题和可能发生的问题，也有待深入研究，提出解决方法。

希望借这个机会呼吁一下，大家共同来研究信息安全风险评估问题，把我们的信息安全工作做得更好。谢谢大家！

（作者:国信办网络与信息安全组专家 贾颖禾）