论信息安全风险评估 .pdfVIP

论信息安全风险评估

【摘要】本文介绍了信息安全风险评估的基本概述，信息安全风险评估基

本要素及通用的信息安全风险评估过程。提出在实际工作中结合实际情况进行剪

裁，完成自己的风险评估实践。

【关键词】信息安全；风险评估

1企业信息安全风险评估概述

信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭

到破坏对整个系统造成的预计损失数量。是针对威胁、脆弱点以及它可能导致的

风险大小而评估的。对信息安全进行风险分析和评估的目的就是：企业能知道信

息系统中是否有安全隐患的存在，并估测这些风险将会造成的安全威胁与可能造

成的损失，经过这些判断来决定修复或者对于安全信息系统的建立。

信息系统风险分析和评估能够有效的保护企业信息，但同时它也是一个较为

复杂的过程，建立一个完善的信息安全风险评估需要具备相应的标准体系、技术

体系、组织架构、业务体系同时也要遵循相关的法律法规。

2企业信息安全风险评估的作用

信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预

防为主方针的充分体现，它能够把信息化工作的安全控制关口前移，超前防范。

针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的

信息安全风险评估，这样能够在第一时间发现各种所存在的安全隐患，然后再运

用科学的方法对风险进行分析，从而解决信息化过程中不同层次和阶段的安全问

题。

在信息系统的规划设计阶段，信息安全风险评估工作的实行，可以使企业在

充分考虑经营管理目标的条件下，对信息系统的各个结构进行完善从而满足企业

业务发展和系统发展的安全需求，有效的避免事后的安全事故。这种信息安全风

险评估是必不可少的，它很好地体现了“预防为主”方针的具体体现，可以有效降

低整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系

建设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工

作。因此企业信息安全风险评估工作需要落到实处，从而促进其进一步又好又快

发展。

3信息安全风险评估的基本要素

使命：一个组织机构通过信息化形成的能力要来进行的工作任务。使命是信

息化的目的，一个信息系统如果不能实现具体的工作任务是没有意义的。对企业

来说，信息系统的使命是业务战略。

依赖度：一个组织机构的使命对信息系统和信息的依靠程度。依赖度越高，

风险评估的任务就越重要

资产：对组织具有价值的信息或资源，是安全策略保护的对象

资产价值：体现了资产在重要程度或敏感程度上的表现特征。作为资产的属

性，资产价值同时也是对资产进行识别的重要内容。

威胁：一般指会对系统或组织造成不良后果的不希望事故潜在起因。

脆弱性：可能被威胁所利用的资产或若干资产的脆弱环节。通常脆弱性也被

称作是弱点或漏洞。

威胁是外因，脆弱性是内因，威胁只有通过利用脆弱性才能造成安全事件。

风险：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安

全事件的发生及其对组织造成的影响。衡量风险的指标有两种，分别是由意外事

件发生的概率或者是发生后可能造成的影响。

残余风险：就是指在安全保障手段之后，防护能力有了提升，但是危险并没

有完全消失。

安全需求：为了保证组织机构能够正常的工作，因此在信息安全保障措施方

面提出的要求。

安全保障措施：为了降低脆弱性，应对威胁，保护资产而进行的预防和控制

意外事件的后果，检测、响应意外事件，使得灾难恢复迅速，同时打击信息违法

行为而采取的各种实践、规程和机制的总称。

4信息安全风险评估的基本过程

目前信息安全风险评估有大量成熟的过程指南和最佳实践，但风险评估过程

的本质是搜集资产、威胁、漏洞、影响等资料和数据，其过程和流程有一定的通

用性。

4.1识别和特征化系统

信息安全风险评估的第一步就是确定评估的工作范围，界定风险评估工作的

边界，并识别和特征化工作范围内信息系统的各种资产、支持的业务流程及相应

的管理信息等。下图是一个信息系统描述规范：

4.2识别和特征化漏洞

漏洞是在信息系统、系统安全程序、管理控制、物理设计、内部控制等可能

被攻击者利用来获得未授权的信息或破坏关键处理的弱点。识别和特征化漏洞工

作的目的是开发一个信息系统漏洞列表。一般常用的识别系统漏洞的方法包括：

（1）使用以前的风险评估报告、系统异常