陈硕 金成明
(国网辽宁省电力有限公司信息通信分公司)
摘要:信息安全风险评估属于保护信息系统安全性的重要工作,使用风险评估模式能够确定现阶段信息系统的运行情况,确定安全需求,为了达到这一目的,需要制定出系统的信息安全评估模型,本文主要分析信息安全评估的模型的建立和考虑因素。
关键词:信息安全评估;模型;方法
信息系统属于国民经济的有机组成部分,目前,我国的信息与网络技术已经在信息系统中得到了普及性应用,成为各个产业发展不可或缺的重要组成部分,因此,如何保障信息系统的安全性也成为了相关学界探讨的重要问题。信息安全风险评估属于保护信息系统安全性的重要工作,使用风险评估模式能够确定现阶段信息系统的运行情况,确定安全需求,并在此基础上制定出科学的规避措施。
1 信息系统的风险评估简介
风险评估是实施安全规范与保护工作的基础条件,科学的风险评估可以在安全提升与安全花费上实现平衡,安全水平与相关的开销并非正比关系,采用科学的风险评估与资产评估,就可以提升企业的安全性,降低经营风险。但是,对于风险的量化是非常复杂的,风险来源、风险发生概率、风险后果与表现形式都是存在差异的,必须要使用精细的数学模型进行规划。同时,一个资产可能是由多个组件和系统组成的,每一个系统都可能存在大量的风险,不同风险的属性都是不同的,各个属性之间具有一定的依赖性,风险的发生可能与时间、资产、配置环境等因素有关。在评估信息安全风险时,需要综合考虑到各种问题。信息安全评估模式模型图详见图1:
图1 信息安全评估模式模型图
一般情况下,风险评估主要针对信息资产来进行,信息资产的价值、风险状况、弱点、安全措施、面临危险都与风险的发生可能密切相关。
2 资产与威胁评估内容
2.1 资产的评估
2.1.1 资产评估的概念
资产就是企业中具有价值且需要进行保护的东西,资产的存在形式是多种多样的,有有型资产、无形资产、软件、硬件、服务、代码、文档、企业形象等等,不同的资产类型是具有不同的价值属性的,也各有特征,其存在的弱点、危险,需要制定的安全措施也并不相同。不同资产在信息系统中扮演的角色是不同的,肩负的使命也不同,关于信息资产价值的内涵,必须要关注其对于企业发展的重要性,不仅需要考虑到设备价值,还要考虑其他的因素。
2.1.2 资产的属性分析
信息系统资产的安全属性是存在差异的,信息资产的属性主要由完整性、机密性以及可用性三个内容组成,不同的安全属性反映着信息系统资产保护功能与安全控制功能的差异。分析不同系统的安全属性,可以得出资产价值数值。为了提升分析的准确性,可以为信息系统信息资产予以赋值,这可以更加系统、全面的反映出资产价值,这样可以分析出资产的威胁、弱点以及属性,并对其进行量化处理。
2.2 资产的评估
2.2.1 威胁的概念
威胁即信息系统资产引发的不期望事件造成的损害,对信息系统的直接攻击和间接攻击都是引起威胁的元凶,如非授权篡改、泄漏、删除等等,都会损害信息系统的可用性、完整性以及机密性。威胁可能为偶发事件,也可能是蓄意事件,一般情况下,威胁是需要利用信息系统的,如果存在问题,必然会影响信息系统的正常运行。从宏观角度而言,威胁来源可以分为不可抗力威胁、蓄意行为、设备错误、设施错误、人为错误几种。
2.2.2 威胁的属性
威胁的属性包括可能性、影响两个内容,可能性与造成的损失会被赋予相应的数值,分别为很高、高、中等、低、可忽略,对于几个内容,从高到低赋值分别为4到0。其中,可能性的属性是很难进行度量的,对于资产的依赖性极高,同时,这一属性与时间也有密切的关系,因此,对于威胁的评估,必须要综合考虑到各类影响因素。
3 资产的识别与赋值
3.1 信息资产的类型
信息资产分为服务、数据、软件、硬件、文档、设备、人员、其他几种类型,其中服务是最为重要的,一般都以商业业务、运行管理的形式来存在,此类资产最需要保护的属性就是其可用性,对于部分重要的资产,机密性与完整性也是必须要考虑到的内容;数据则是企业竞争优势、知识产权与商业机密载体,是需要重点保护的对象,如,公司的薪酬数据与财务信息都是机密性数据,其重要性与机密性是正比关系;软件则是企业重要的固定资产,一般情况下,企业软件资产属于无形资产。
3.2 信息资产的赋值
不同信息资产的安全属性是不同的,其中,完整性、机密性与可用性是其中最为重要的属性,不同的安全属性表示着保护功能与安全控制的不同,为了分析安全属性的不同,就可以计算出资产价值属性。对信息资产赋值即可有效反映出资产价值,为了分析资产的威胁、弱点与风险属性,需要进行量化处理。在信息资产完整性上,是具有几个不同等级的,这会受到资产价值的影响,分别为很高、高、中等、低、可忽略几种,信息资产的机密性与可用性也是采用该种分类方式。
资产价值能够反映出资产的整体价值,具有机密性、完整性与可用性的特征,研究显示,在这几个属性之中,机密性对于资产价值的影响是最大的,当然,其安全属性赋值不会对属性值的增加出现线性增加问题,如果属性值较高,那么权重也会较大。
3.3 弱点管理信息管理措施
根据资产的价值、使用与弱点,需要对信息库进行周期性更新,这也是开展风险管理工作的基础条件,为此,需要采用合理的技术手段。关于资产弱点信息库,需要首先考虑自然属性,包括资产编号、资产编号、资产价值、资产责任人、资产自然属性等,资产自然属性可以在管理系统中获取,或者由专门的系统进行采集。其次,需要考虑到资产的安全属性,这包括资产弱点符号、弱点发现时间、安全属性赋值、弱点描述、威胁编号、威胁描述、知识信息。在评估安全属性信息时,需要应用专门的信息,采用人工手段来进行维护。
4 结语
总而言之,信息安全评估模型的建立需要考虑到多种因素,首先要对风险进行系统的分析,得出具体的风险级别,同时,要加强弱点信息管理,采用专门的信息系统开展管理工作,这样才能够保障信息安全评估模型的科学性。
参考文献:
[1] 李鹤田,刘云,何德全.信息系统安全风险评估研究综述疆[J].中国安全科学学报.2006(01)
[2] 胡燕祝,王晓宏.信息资源共享系统可靠性模型的研究[J].中国安全科学学报.2005(06)
论文作者:陈硕,金成明
论文发表刊物:《电力设备》2015年3期
论文发表时间:2015/11/2
标签:资产论文; 属性论文; 信息系统论文; 价值论文; 信息论文; 信息安全论文; 风险论文; 《电力设备》2015年3期论文;