计算机风险评估怎么写

悬赏分：30 - 解决时间：2009-7-19 16:15

1、涉密计算机和和信息系统安全保密审计报告？

2、涉密计算机和信息系统风险自评估？

希望给出例子，说明根据什么来写，谢谢！

提问者： liuxianming218 - 三级

最佳答案

第一个问题。你系统肯定装绑定、防护之类的软件了吧。你把里面的U盘记录、打印记录等打出来就是审计报告。还有你的杀毒软件，全面扫描后的记录就是审计报告

第二个问题，根据审计报告进行风险评估，比如有病毒，怎么处理？有不明U盘插入，怎么处理？

这两个问题在新标准才要求的，只要你写了过的去检查人员不会为难你们的。

涉密信息系统设计阶段风险评估的研究

上海三零卫士信息安全有限公司 叶铭

上海市国家保密局 张若虹

摘要：分级保护系列标准的发布与实施，标志着我国在是涉密信息系统的信息安全理念进入了风险管理的时期。作为风险管理过程中的一个重要手段，风险评估的价值随之凸现。但由于对涉密信息系统的特殊性，涉密信息系统建设和使用单位比较关注方案的合规性，导致风险评估的工作被忽视。结合涉密信息系统的特点，本文通过对风险测度与控制的探讨，结合涉密信息系统的特点，阐述了风险评估对涉密信息系统建设在业务安全与安全保密管理方面的重要价值，最后结合实践提出了涉密信息系统在设计阶段进行风险评估的一种方法。

关键词：风险评估 涉密信息系统

一、引言

从20xx年到20xx年，涉密信息系统的信息安全保密的基本要求从最初的“按照最高密级防护”发展到了“分级分域防护”，标志着我国信息安全保密的防护理念已经从对信息相关系统与环境“严防死守”阶段转变为以信息为核心的“风险管理”阶段。在构建分级保护信息安全保密体系过程中，特别在涉密信息系统的安全措施选择与保护需求调整过程中，风险评估作为科学决策的依据扮演着重要的角色。 然而在涉密信息系统分级保护工作的实际落实过程中，一方面由于涉密信息系统的相关标准在技术以及管理方面提出了非常详细的要求，另一方面，在涉密信息系统分级保护工程建设完成后的测评阶段，主要针对系统建设所采取的各项信息安全保密管理与技术措施情况进行合规性的测试与评判，上述两个因素导致了涉密系统建设和使用单位关注点着重放在系统建设的合规性方面，在对系统定级工作完成后，主要是对照标准的要求进行设计与建设，忽略了风险评估在此期间的作用。

本文通过对信息安全风险的状态与控制能力两个测度探讨入手，从控制的角度分析了信息安全风险控制的效益性与层次性特点，阐述了涉密信息系统风险评估的目的与意义，在此基础上，根据涉密信息系统的特点，提出了涉密信息系统风险评估的方法与建议。

二、风险测度与风险控制

信息安全风险有两个基本测度：一是状态测度，反映的是在某一时间点，信息安全风险相关的缺陷、

威胁，资产的实际状态，反映的是风险要素之间的静态关系，如发现系统中存在的漏洞数量，日志中的报警数量等；二是风险控制的能力测度，表示是在一定的时间范围中将风险状态控制在可接受的范围内的能力，反映的是系统状态调整与环境变化之间动态作用的关系，如漏洞修补能力等。

从控制的角度来看，信息安全风险控制具有以下特点：

１．层次性

信息安全风险存在于信息系统在各个阶段，如下图所示，并且对信息系统建设和使用单位安全管理组织的各层面具有不同的意义。

图 风险层次关系示意

（注图中：1 阶段内的总体风险 2阶段风险累积曲线 3日风险损失） （1）决策层：在信息系统建设和使用单位的决策层，信息安全风险总体控制目标是一个期间总量的概念，是在一定的时间阶段内预期的总损失，以及单一事件的最大损失，作为决策层，首先希望能够将总体的风险预期损失能够控制在一定的范围内，并且不发生超出承受能力的信息安全事件（如超过XX小时业务中断等）。

（2）管理层：信息安全的风险是以信息安全事件的形式进行释放的，对于管理层来说，在风险的总量控制目标的基础上，还需要将风险能够以一个平稳、可控的方式进行释放，管理层着眼点是过程是趋势。

（3）控制层：对于控制层来说，其着眼点是对具体信息安全事件，需要考虑的是信息安全事件控制的及时性和有效性，需要能够降低信息安全事件发生频度，降低信息安全事件损失，提高控制的效率降低控制成本，其着眼点是具体的信息安全事件。

信息系统建设和使用单位通过上述三个层面的将信息安全风险管理目标从总体目标分解为过程目标，最终落实到具体的事件控制目标，涉密信息系统同样遵循相应的控制方式。

２．效益性

信息安全风险的是以预期的各类信息安全事件及其损失的方式进行衡量的，预期的各类信息安全事件的发生将造成信息失泄密、服务中断、信息被篡改等后果，继而使国家利益受到损失。各涉密信息系统建

设和使用单位通过实施各类信息安全风险控制措施对信息资产进行保护，具体的收益体现在两个方面，其一是通过控制措施可以降低信息安全事件发生的频度，如打补丁等预防措施，其二则是可以减少信息安全事件造成的影响，如应急响应以及备份与恢复措施等，通过上述的方式可以减少损失从而使各单位获益。各类控制措施的实现需要成本，如管理措施需要投入人员，技术方式则需要购置与维护设备、培训操作人员等。因此，各单位的信息安全风险控制是一个控制投入与预期风险损失减少，或者是控制投入与残余风险接受之间的投入产出关系,而其理性的追求应该是寻求风险控制投入与预期风险降低之间的平衡。 由于涉密信息泄漏事件的产生涉及的是国家利益，因此，在机密性相关的风险评估不能单纯从个体组织的角度进行损失去衡量投入与产出的关系，需要参考国家的强制规范要求进行控制，这些强制的技术与管理要求所表示的就是国家权威机构认可的风险控制与残余风险之间投入与产出的决策平衡点。而对于关系到信息的完整性与可用性价值的部分，则可以按照组织自主的要求，选择有效的措施控制风险（如备份与恢复，设备与链路冗余等）。

三、涉密信息系统风险评估的目的与作用

对于涉密信息系统来说风险评估的目的与作用如下：

1．获取风险的状态信息为解决方案的制定提供支持

通过风险评估的方式，可以全面掌握涉密信息系统中的信息资产情况、信息资产面临的威胁、存在的漏洞以及所采取的直接控制措施（包括技术措施与相应的管理措施），可以对系统的风险状态有一个相对客观的了解。风险状态信息的获取可以通过技术调查以及获取操作记录与日志等方式进行，力求客观。风险的状态信息可以为解决方案的制定提供支持。

对于涉密信息系统来说，典型的风险状态信息如下：

ａ）信息资产：包括各类的信息资源、应用系统、软硬件资源、网络平台等。

ｂ）威胁信息：包括病毒信息（来自于防病毒系统日志）、入侵信息（来自于防火墙、入侵检测、服务器日志）、违规操作信息（来自于终端审计、网络审计、应用系统审计等）、物理环境等。 ｃ）漏洞信息：通过扫描或配置检查方式获取的主机、终端、网络设备等存在的漏洞。

ｄ）控制措施：实际安装部署的各类安全保密设备（软件）的安装、部署、配置信息等。

风险状态评估相对比较客观地反映了在某一个时间点，涉密信息系统面临的风险。根据风险状态的情况可以为方案设计提供基本依据，在信息的可用性与完整性分析方面与用户的具体业务结合紧密，比较适用于新建涉密信息系统。

２．获取风险控制的能力为控制措施的调整提供依据

风险控制的能力关注的则是一定的时间阶段内将涉密信息系统的风险状态控制在期望范围内的能力。风险控制能力相关信息的获取主要通过对日常维护、安全事件处置等活动的调查的方式进行。风险控制能力与各单位的信息安全保密管理体系直接相关，可以为各单位的控制措施决策提供依据。

对于涉密信息系统来说，典型的风险控制能力信息如下：

ａ）控制层：面对的是具体的信息资产与威胁，相应的实时性要求与专业性要求比较高，对于涉密信息系统来说，主要是“三员”的专业技能与相应的操作规范及其执行情况（如介质管理、系统审计、系统安全、事件处置等），关注要点是人员的专业技能情况、操作管理制度及操作执行的具体记录。

ｂ）管理层：管理层的工作包括对风险信息的收集与分析，处理变更情况，以及对控制工作进行维护与调整优化。管理层对实时性要求不高，但需要有对控制操作执行的监督以及对变更及环境等因素综合分析的知识与协同工作机制，关注的要点是检查、纠正预防措施以及变更管理流程及风险分析能力。

ｃ）决策层：决策层主要工作是对信息安全投资及重大变更进行决策与应急事件进行指挥，需要组织各信息安全层面提供比较有效的决策支持信息，以及决策知识支持。关注的要点是安全保密决策组织、决策能力、应急协调能力。

风险控制能力反映了各单位在一定的时间阶段，控制风险状态、适应环境变化的能力。风险控制能力

评估结合风险状态信息的评估与用户的安全保密管理体系结合紧密，为涉密信息系统控制措施调整提供了基本依据，同时也为涉密信息系统的运行阶段、改扩建阶段，信息安全保密管理的持续改进提供有效的支持。

涉密信息系统风险评估建议

涉密信息系统在风险评估的基本流程、计算方法等方面可以借鉴非涉密信息系统的方法，但在信息资产的识别方面，需要将资产自身的价值以及系统对此资产的依赖程度，以及资产密级分别进行识别，以确定其资产在可用性、保密性以及完整性方面的价值。

１．风险评估的过程

包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段[4]。实际操作中可分为六个步骤：

(1) 确立评估对象：明确涉密信息系统信息资产、应用系统、软硬件资产、网络资产、人员和系统使命等，给出系统功能、边界，确立评估范围并提请报批。

(2) 评估准备：按要求制定评估计划，确定评估程序，选择合适的评估方法和工具，组建涉密系统管理小组，进行分工，监督审查评估活动。

(3) 风险识别：识别评估范围里的涉密信息相关资产与一般资产，按照保密性、完整性、可用性三个方面分别执行详细评估或基线评估等不同的评估；分别识别各类信息面临的威胁，进行分类整理；识别资产自身存在的脆弱性（包括漏洞、缺陷等）；识别现有安全措施(包括操作管理措施和技术措施)。

(4) 风险分析：结合资产的属性，分析脆弱性被威胁利用的可能性及后果和现有安全保密措施的在事件防范与影响控制方面的有效性，分别按照保密性、完整性、可用性进行风险分析，其中保密性措施分析关键分析安全措施与标准要求的差距、完整性与可用性则按照通用的要求进行分析。

(5) 风险评估：评价分析风险的状态信息，结合安全保密风险控制能力的情况，由各涉密系统建设和使用单位的有关人员与信息安全专家共同组成专家小组，编制风险评估报告，并推荐安全保密措施，形成风险评估报告，上报各单位涉密信息系统保密管理领导小组进行决策。

(6) 风险控制：风险评估报告通过审批后，按批示要求采取有效措施，对风险进行处置，调整系统的状态，规避、降低、转移或接受风险，使各单位对涉密信息系统建立起风险控制能力，从而使风险得到有效控制。

２．涉密信息系统风险的计算

涉密信息系统风险分析包含涉密资产、脆弱性、威胁等关键要素。每个要素有各自的属性：涉密资产的属性是资产密级，脆弱性的属性是脆弱性被威胁利用后对资产带来的威胁的严重程度，威胁的属性是威胁发生的可能性。

风险状态的计算方法：

Ri= fi(A，V，T)=fi(Ia，L(Va，T))

其中，Ri 表示风险；i=1（保密性)，2（完整性），3（可用性）

A 表示涉密信息资产；

V 表示脆弱性；

T 表示威胁；

Ia 表示涉密资产发生安全事件后对业务的影响(也称为涉密资产的重要程度，分别根据保密性、完整性、可用性进行分析)；

Va 表示某一涉密资产本身的脆弱性；L 表示威胁利用涉密资产脆弱性造成安全事件发生的可能性。 ３．风险结果的判定

确定风险数值的大小不是组织风险评估的最终目的，而是明确不同威胁对涉密资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的涉密资产应被优先分配资源进行保护。

在风险结果的判定中，除了考虑风险的状态以外，还需要考虑风险的控制能力。对于某项具体的风险，如果已经建立了比较强的控制能力，那么在当下的评估中的风险状态可能是偶然的情况，相应的综合风险结论可以低一些。

在对涉密信息系统进行评估时可采用定性与定量相结合的方法，将风险的相关因素按照1-5级进行划分，进行风险值的计算。综合考虑风险控制能力后，简化的处理方式，可以将风险计算公式调整为：

风险 是在风险场景i下系统面临的信息安全风险。资产价值

与脆弱性严重程度的乘积除以已有预防措施 和影响控制措施乘积。总风险可以表述为：

随着涉密信息系统分级保护工作的推进，一方面对于涉密信息系统在信息安全保密建设方面提出了更加具体与明确的要求，另一方面随着信息应用的进一步深入，除了在保密性的要求以外，在完整性、可用性方面有着与具体业务联系紧密的个性化要求外，在系统投入运行后，系统在面临各种因素变化时，都需要针对各种变化对系统在业务与管理方面进行个性化的风险评估，为系统安全保密策略和措施的设计与调整提供决策支持，这是涉密信息系统安全保密保障的重要前提,也是使涉密信息系统安全保密管理科学化的依据。

 

第二篇：信息系统安全风险评估模型研究

中国人民公安大学学报(自然科学版)

20xx年第4期No142007　JournalofChinesePeopleπsPublicSecurityUniversity(ScienceandTechnology)　总第54期Sum54

信息系统安全风险评估模型研究

陈　　亮

(中国人民公安大学公安情报学系,北京　100038)

摘　要　保障信息系统安全是信息化社会的一项重要课题,在对信息系统安全风险生成机理的分

析基础上,设计了一个信息系统安全风险评估的计算模型。该模型对资产发生安全事件后对组织业务的影响,估,科学地衡量和评价了组织的信息系统安全风险,控制。关键词　信息安全;信息系统安全;中图分类号　G203

影响和后果来评价风险。信息系统安全风险就是指引起信息系统安全问题、事件可能或者实际带来的消极威胁。

闵京华等认为信息系统安全风险的构成分为五个方面:起源、方式、途径、受体和后果。起源是威胁的发起方,叫做威胁源;方式是威胁源实施威胁所采取的手段,叫做威胁行为;途径是威胁源实施威胁所利用的薄弱环节,叫做脆弱性或漏洞;受体是威胁的承受方,即资产;后果是威胁源实施威胁所造成的损失,叫做影响。它们之间的相互关系可表述为,风险的一个或多个起源,采用一种或多种方式,通过一种或多种途径,侵害一个或多个受体,造成系统不良后果。图1描绘了信息系统安全风险的生成机理,可表述为,威胁源利用脆弱性,对资产实施威胁行为,造成负面影响

。

0　引言

以信息技术为核心的新技术革命的兴起使人类社会步入新经济时代,然而,当我们从信息化、网络化的方便快捷中获得效率和利益的同时,信息安全问题呈现在我们的面前。如何衡量和评价组织的信息系统安全状况,如何预警基础设施、重大行业的信息系统安全,如何在突发事件发生时保护信息系统安全,如何在事前预防、事中控制、事后处理信息系统安全,这些问题都是值得研究者思考的。分析与解决上述问题需要构建一套科学合理、行之有效的信息系统安全风险评估方法。通过风险评估,决策者可以清晰地知道组织的信息系统安全处于何种状况,风险来自何处,系统的脆弱点在哪里,应采取何种处置措施。本文通过对信息系统风险生成机理的分析,提出风险评估因素论,并设计了一个信息系统安全风险评估的计算模型。1　信息系统安全风险的生成机理

明确信息系统安全风险的生成机理,是研究信息系统安全风险评估的前提。一般而言,风险是指行动或者事件的结果的不确定性。无论其结果是积极的机会还是消极的威胁,人们只能通过对这些不确定性发生的可能性,以及实际发生以后所产生的

　　作者简介　陈亮(1979—　),男,湖北孝感人,讲师,博士。

图1　信息系统安全风险生成机理

?50?

　陈　亮:信息系统安全风险评估模型研究　

2　风险评估因素论

系统安全风险评估的计算模型,如图2所示

。

对某事物进行风险评估时,可以根据评估对象

本身的特征,总能够找出最为关键的互为关联的几个因素,以获取对事物进行风险评估的方法、途径。在对信息系统安全进行风险评估研究时,作者把资产、威胁、脆弱性、安全措施等统称为风险因素,这些因素之间存在着复杂的相互关系,归纳起来有以下几点:

(1)资产具有价值,组织的业务战略对资产的依赖度越高,资产价值就越大。资产价值越大,对组织的影响就越大,从而其面临的风险越大;

(2)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;

(3)资产本身具有脆弱性。脆弱性越大,威胁利用脆弱性导致安全事件的可能性越大;

(4),;

(5)求。,需要结合资产价值考虑实施成本;

(6)安全措施可抵御威胁,降低威胁利用脆弱性产生的风险;

(7)实施安全措施后仍然会有残余风险存在。有些残余风险来自于安全措施可能不当或无效,以后需要继续控制,有些残余风险则是在综合考虑了安全成本与效益后未控制的风险,是可以被接受的。残余风险应受到密切监视,它可能会在将来诱发新的安全事件。

资产、威胁、脆弱性、安全措施等因素,不是一对一的简单对应,而是多对多的复杂映射关系。每项资产可能面临多个威胁,每个威胁可能利用多个脆弱点,特定威胁利用特定脆弱性可能产生多种影响,而针对某特定风险组织也可以选择不同的控制方式。

作者认为,信息系统安全风险评估首先应对资产、威胁、脆弱性等风险因素进行识别、赋值,然后抽出关键因素———安全事件发生的可能性(这由威胁、脆弱性因素决定)、资产发生安全事件后对组织业务的影响(这由资产的重要程度决定)———进行函数计算得到风险值。3　信息系统安全风险计算模型

图2　信息系统安全风险评估模型

R=f(A,V,T)=f(I,L(V,T))(1)

　　注:R表示风险;A表示资产;V表示资产的

脆弱性;T表示威胁;I表示资产发生安全事件后对组织业务的影响();L,并对资产赋(2)对资产的脆弱性进行识别,并对弱点的严重程度赋值;

(3)对每一个弱点,识别可能利用此弱点造成安全事件的威胁,并对威胁发生的可能性赋值;

(4)分析威胁利用资产脆弱性发生安全事件的可能性,即安全事件发生的可能性=L(威胁,资产脆弱性);

(5)根据资产的重要程度以及安全事件发生的可能性计算风险值,即风险值=R(资产重要程度,安全事件发生的可能性)。

已知风险是资产发生安全事件后对组织业务的影响(即资产的重要程度)I的函数,也是威胁利用资产的脆弱性造成安全事件发生的可能性L的函数。其中设I和L的域值为区间[0,1],用下标f表示安全事件未发生,用下标s表示安全事件发生。显然有If=1-Is,Lf=1-Ls,则风险R实际上是安全事件发生和其产生影响的似然估计。

R=f(资产发生安全事件后对组织业务的影响,威胁利用资产的脆弱性造成安全事件发生的可能性)=f(资产的重要程度,安全事件发生的可能性)

=1-If?Lf=1-(1-Is)

(1-Ls)

=Is+Ls-Is?Ls

311　对安全事件发生可能性的计算

(2)

造成信息安全事件发生的主要因素是威胁和资产的脆弱性。将这两个因素通过一定的算法,综合

?51?

根据上文对风险因素论的分析,给出一个信息

　陈　亮:信息系统安全风险评估模型研究　

于信息资产的风险评估中。设造成信息安全事件发生的影响因素集为U而威胁、脆弱性分别为u1,

u2,可按它们在不同类型信息资产安全中的作用分

′

U′={保密性、完整性、可用性}u2,u3}

′

′

={u1,

′

′

′

赋予各因素相应的权向量A′={a1,a2,a3},其值随所评估系统类型的不同而不同。同时,列出评价集:

V={v1,v2,v3,

v4,

v5},其中v1,

v2,

v3,

v4,v5表示保密性赋值、完整性赋值、可用性赋值

类,赋予相应的不同权值A=(a1,a2)。在对具体信息资产进行评估时,由专家根据威胁赋值表、脆弱性赋值表规定的评价集B={b1,b2,b3,b4,

)对b5}(分别对应“很高、高、中、低、很低”

U中的单因素作评价。

其中在威胁评估中,要对组织需要保护的每一项关键资产进行威胁识别。对威胁的评价主要参考7项指标,即资产的吸引力;资产转化成报酬的容

规定的五个等级(极高、高、中等、低、可忽

略)。

采用综合评估的算法估算信息资产的总价值量,具体方法如下:

设原始观察矩阵X:

x11

易程度;威胁的技术力量;脆弱性被利用的难易程度;通过过去的安全事件报告或记录,统计各种发生过的威胁和其发生频率;在评估体实际环境中,通过入侵检测系统获取的威胁发生数据的统计和分析,各种日志中威胁发生的数据的统计和分析;定行业安全威胁。

产,,并对脆弱性的严重程度进行评估,即对脆弱性被威胁利用的可能性进行评估,最终为其所赋的相对等级值。对脆弱性的评价主要从技术和管理两个方面进行评估,涉及物理层、网络层、系统层、应用层、管理层等各个层面的安全问题。其中在技术方面主要是通过远程和本地两种方式进行系统扫描、对网络设备和主机等进行人工抽查,以保证技术脆弱性评估的全面性和有效性;管理脆弱性评估方面可以按照英国BS7799标准的安全管理要求对现有的安全管理制度及其执行情况进行检查,发现其中的管理漏洞和不足。

那么ui对量级bj的隶属度cij为cij参加评判的专家总数则安全事件发生的可能性=Ls=∏∏(aicijbj)

i=1j=1

ω…

1121

xn1

xn2

xn(5)

n为样本数(评估专家人数),l为评价变量

数。

由专家参照评价集V分别对因素集U′中各因素进行评价,即对信息资产的保密性、完整性、可用性进行评价,将原始观察矩阵X(式1-5)转化,可得模糊子集Mi={mi1,mi2,mi3,mi4,

mi5}(i=1,2,3)。由此得到的评判矩阵为:

m11

M=m21

m31

m12m22m32

m13m23m33

m14m24m34

m15m25m(6)

则资产的重要程度(资产发生安全事件后对组织业务的影响)可表示为:

Is=A′MV

T

(7)

313　风险的计算

通过式1、式4、式7可计算风险R。如何根

(3)

据R的大小来说明系统的安全性呢?我们可以定义R的评估集VR,其相应值为:

R

<40%40%-50%50%-60%60%-70%

>70%

25

=ACB

T

T

(4)

风险等级安全低风险中等风险高风险极高风险

其中C为隶属度矩阵,B为B的转置矩阵。312　对资产的重要程度的计算

　　一般认为R>70%是高风险,若系统为高风险信息系统,说明了实施安全工程组织能力成熟度不够;同时,要分析造成R值偏大的主要因素,并通过管理和技术的手段来降低这些因素,然后再次对R进行评估,直至把风险降低到组织可以接受的程度。值得注意的是,在上述的Ls和Is的评估过程中,各种影响因素权值的确定,在一定程度上

对资产发生安全事件后对组织业务的影响的评估可以转换为对资产重要程度的评估。对资产重要程度的转换主要考虑保密性、完整性、可用性三个因素,根据模糊综合评判法,设资产重要程度因素集为:?52?

　陈　亮:信息系统安全风险评估模型研究　反映了专家的主观意向。计算后的风险值可以通过模拟图3表示

。实践来完善,这样才能使我们的风险评估计算模型更加成熟完善。

参考文献

[1]闵京华,等1信息系统安全风险的概念模型和评估模

型[J]1信息安全与通信保密,2004(8):26-281

[2]ISO/IEC17799:

ment[S]120051

[3]范红1信息安全风险评估方法与应用[M]1北京:Informationtechnology-securitytech2niques-codeofpracticeforinformationsecuritymanage2

清华大学出版社,2006:1-101

[4]王娜,等1“5432战略”:国家信息安全保障体系框

图3　信息系统安全风险模拟图架研究[J]1通信学报,2004(7):1-91

[5]魏忠1[J],:45-4814　结语

信息系统安全的风险评估需要长期经验的积累,才能构成一组完好定义的操作规范。,(责任编辑　陈晓明)

?53?