信息安全风险评估指标体系的探究.pdfVIP

140 信息经济与国民经济增长方式的转变 信息安全风险评估指标体系研究 郭宁 (首都经济贸易大学信息学院北京 100026) 摘要：信息安全风险评估作为信息安全管理体系建设的基础具有重要的作用．风险评估离不 开风险评估指标体系的建立和获取指标的工具．本文对风险评估指标体系进行了简要介绍，分 析了体系中的指标特征．提出了风险评估的指标采集技术与评估方法． ’ 关键词：信息安全，风险评估，指标体系 一、引言 随着信息技术的飞速发展，关系国计民生的关键信息资源的规模越来越大，信息系统 的复杂程度越来越高，保障信息资源、信息系统的安全是国民经济发展和信息化建设的需 要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的 I山发点，它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全 方案的制定，以成本一效益平衡的原则，通过对用户关心的重要信息资产(如数据、软件、 硬件、服务、文档、人员等)的分级、安全威胁发生的可能性及严重性分析、对系统物理 环境、硬件没备、安全管理等方面的安全脆弱性或薄弱环节进行分析，并通过对已有安全 控制措施的确认，借助定量、定性分析的方法，推断出用户关心的重要资产当前的安全风 险，并根据风险的严重级别制定风险处理计划，从而建立一套完整的、健壮的安全风险防 御体系。为进一步制定安全风险投资预算计划、安全风险投资回报分析、人员组织计划、 建立安全体系、制定安全政策、引入安全控制措施而提供基础数据；辅助最高管理层对安 全风险管理的计划与实践做出正确决策。 然而，要在一个广泛的范围内对复杂的系统进行全面的风险评估，就需要建立完善的 评估指标体系，只有对各项指标有一个清醒的认识，才能够为有效实施风险评估奠定坚实 的基础。有了这样的体系才能及时发现问题，利用先进的信息技术有针对性地解决信息系 统运作过程中的效率、成本、服务、管理等方面的问题。 二、信息安全风险评估指标体系概述． 指标是评估的工具，是反映评估对象属性的指示标志。指标体系则是根据评估目标和 评估内容的要求构建的一组相关指标，据以搜集评估对象的有关信息资料，反映评估对象 的基本面貌、特征和水平。信息安全风险的评估体系是一系列指标的构成体，这些指标之 问存在有机的联系并相互作用，指标体系通过揭示这种联系和相互作用的规律来反映信息 系统的安全状况，考察系统结构的稳定性和抵御风险的能力，辨明安全风险和风险演变的 动向币¨发展趋势，最终达到对风险进行有效控制的目的。 15408将风 侄信息安全的标准化中，主要的风险评估模型有以下几类：国际标准ISO 第二部分信息化 141 险要素定义为属主、资产、攻击者、威胁、漏洞、风险、措施等7个方面，该标准对于系 统中人所带来的风险比较强调，将属主从资产中分离出来，将攻击者从威胁分离出来；国 际标准ISO 13335则将风险要素定义为资产、资产价值、威胁、脆弱性、风险、防护需求、 防护措施等7个方面，该标准是将资产价值从资产中提炼出来，将防护需求从防护措施中 提炼出来，这是对于系统中要素属性的强调；我国国务院信息化工作办公室推出的信息 安全风险评估指南》将风险要素定义为使命、资产、资产价值、威胁、脆弱性、事件、风 险、残余风险、防护需求、防护措施等10个方面，它比ISO133351扩展了三个要素，即 使命、残余风险和事件。将使命要素引入是将工作本身之外的原因纳入到模型中。强调了 整个风险管理工作是被机构的高层推动的。残余风险是风险的一个部分，主要是强调“安 全不可能做到百分之百”。各个要素之间的关系如图l所示。 (、：!!!量竺竺，) 脆弱性 墨查二丫再磊 ‘—广 迪 利用J