关于信息安全风险评估指标采集技术的几点考虑研究.pdfVIP

大会论文 ·169· 关于信息安全风险评估指标采集技术的几点考虑 范 红 吕俊杰 国家信息中心 航空航天大学经济管理学院 摘要：信息安全成为国家安全的重要组成部分，因此为保证信息安全，建立信息安全管理 体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基 础，在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工 具，本文首先对风险管理和风险评估的关系进行了分析，然后对指标体系技术进行 了简要介绍，并依据此技术提出了风险评估的指标采集技术。在分析指标采集技术 和风险评估关系的基础上，提出了信息安全指标采集技术的实现路线。 关键词：信息安全风险评估指标采集 随着信息技术的发展，信息安全风险分析方法 也逐渐发展起来，由最初的单一技术手段发展成为 一、信息安全风险评估和风险管理 技术与管理相结合的科学方法。信息安全风险评估 在信息安全管理中占据着重要的位置。 1．信息安全风险管理的目的。一个机构要利用其 最早发表的信息安全风险评估方法是由1979拥有的资产来完成其使命。在信息时代，信息成为第 年美国标准局发布了FIPs65，自动的数据处理风险 一战略资源，更是起着至关重要的作用。因此，信息 分析指南。该指南基于年损失率ALE为大型数据处 资产的安全是关系到该机构能否完成其使命的大 理中心提出了风险评估标准，在上世纪80年代末到 事。资产与风险是天生的一对矛盾，资产价值越高， 90年代初，市场上开发了很多与基于该指南的商业 面临的风险就越大。信息资产有着与传统资产不同 的特性，面临着新型风险。信息安全风险管理的目的 工具，如@Risk，BDSS，及Buddy等。由于ALE风险 分析方法过于侧重细节而影响了其可行性，导致该 就是要缓解和平衡这一对矛盾，将风险控制到可接 方面没有获得广泛应用。整个上世纪90年代，对于 受的程度，保护信息及其相关资产，最终保证机构能 信息安全风险分析方法的研究并没有取得实质进 够完成其使命。 展，更多的研究侧重于风险评估的流程研究，所采取 2．信息安全风险评估的目的。信息安全风险评 估，则是指依据国家有关信息安全技术标准，对信息 的方法大多是调查问卷方式，如OCTACVE。目前，关 系统及由其处理、传输和存储的信息的保密性、完整 于风险评估的标准也很多，如CC，SSE—CMM， IS017799等等。 性和可用性等安全属性进行科学评价的过程，它要评 本文根据信息安全风险管理的特征，根据 估信息系统的脆弱性、信息系统面临的威胁以及脆弱 性被威胁源利用后所产生的实际负面影响，并根据安 IS017799信息安全风险管理指南和风险评估指南的 规定，提出了一种在信息安全风险管理过程中采用 全事件发生的可能性和负面影响的程度来识别信息 指标采集技术的思路。 系统的安全风险。 ·17口· 第二十次全国计算机安全学术交流会论文 3．信息安全风险评估和风险管理的关系。信息安 系统造成危害的环境或事件，包括人、自然以及环境 全风险管理要依靠风险评估的结果来确定随后的风 等多种因素。 险控制和审核批准活动。风险评估使得机构能够准 指标采集技术为解决风险评估中因素众多，因素 确誓定位”风险管理的策略、实践和工具，能够将安全 间关系错综复杂，主观性强等诸多问题提供了一