基于PDCA模型下的信息安全风险评估

2014-11-27郭丽华

天津职业院校联合学报 2014年6期

郭丽华

（天津城市职业学院，天津 300250）

1 引言

1.1 研究背景

随着国内企业的发展壮大并走向国际化，企业、事业单位信息系统的网络要求能够安全的拓展到众多的分支机构、客户、供应商、远程办公等。一些小型单位选择了Internet作为发展信息系统的平台，但是因为Internet是开放性的互联网络，信息安全隐患较大。所以一些中大型单位使用了专用的虚拟网作为信息平台。在进行信息处理的过程中，无论是互联网还是虚拟网，都会出现不同级别的安全风险问题。

所以，通过运用管理学原理，结合单位的实际情况对信息资产进行保护，是信息资源管理者必须履行的工作职责，也是对单位利益的保障。

1.2 企事业单位信息安全问题现状

现今单位对于业务或工作内容的发布、沟通、交易等运作环节，都是基于网络信息的传输，依靠各个信息终端之间的信息传输来完成交易。与传统的办公方式不同，网络办公最大的安全保障就是要确保这些信息传递的稳定性、可靠性、完整性和保密性。保障信息的传输是反映发送者真实的意愿，避开现有的、以及潜在的威胁。

目前发生在我国企事业单位的信息安全威胁，主要因为技术方面和管理方面的不完善所致，具体来看有以下几点。

1.2.1 信息截获

信息截获是会导致受害者信息流失的直接手段，通常不法分子会通过在网上安装电磁波截获装置，木马病毒等手段，获取商业机密、用户密码等重要信息，进而造成受害者财产、无形资产的流失。

1.2.2 信息篡改

信息篡改的过程是当不法分子获取了资源的访问权后，对某些资源进行篡改，破坏信息的真实性以及完整性，从而使单位的信息及资产遭受打击，甚至会损害到单位合作人的利益。除了这两种比较常见的信息威胁之外，还有信息欺诈、信息否认、交易欺诈等不常见的信息威胁存在，同样会威胁企事业单位的切身利益。

2 目前的解决方案与信息风险管理指南

2.1 目前的解决方案

针对经常发生的信息安全风险，大多数企事业单位都会采用技术和法律方面的安全措施保障日常工作中的信息，不会遭到破坏、更改和泄露。从技术方面来讲，我国使用的是网络安全技术架构，这个方案就是在信息传递的每一层次上均对信息加以保护，这一过程主要包括五个层次：网络服务层、加密技术层、安全认证层、安全协议层以及应用系统层，它可以保证网络工作过程中信息数据安全完整的逻辑结构。具体的安全技术手段有：网络安全扫描、防火墙技术、网络入侵检测、防病毒技术。除了这些经常使用的技术，公司和个人还可以使用加密技术、数字摘要、数字签名、数字时间戳、数字证书、CA认证、SSL协议、SET协议等技术来对信息进行保护。从法律方面来讲，在传统的商务活动中，我国法律可以有效的保护绝大多数的参与者，以及他们的财产。这是因为由于几十年的发展，我国已经建立了相对健全的关于传统商务活动的法律制度。但是由于企事业单位通过网络进行日常工作、贸易交流的时间太短，我国还没有建立相对完善的法律法规，面对已经发生和有可能发生的安全威胁，我们要结合实际情况，完善我国的信息网络安全法以及电子商务法。

2.2 信息风险管理指南

目前我国的企事业单位在日常运营和工作中，都会涉及到和其他单位或者机构的贸易往来，在这个过程中，企事业承担着商业信息、资金和科技研发等诸多方面的安全风险，个人也存在经济风险。所以，企事业单位建立完善的信息风险管理制度是极为重要的。参考了美国质量管理专家休哈特博士提出的PDCA循环模型，以及风险的量化分析方法。我认为建立企事业信息安全风险体系，要依据以下步骤：信息风险管理指南——PDCA模型结合信息安全管理、资产设备分类、信息风险识别、定量的风险分析、风险应对措施、剩余风险监测。

3 PDCA模型下的信息安全风险测评

3.1 信息风险管理指南——PDCA模型结合信息安全管理

首先，PDCA模型是一个遵循了管理学原理的质量管理模型，其内容便是PDCA四个单词的全称——Plan（计划），Do（执行），Check（检查）和Action（处理）。其具体的运作过程是针对目标来确定计划，然后具体运作计划中的内容，总结运作计划的结果，找到其中值得延续的优点和需要改进的缺点，最后对检查的结果进行处理，对于没有解决的问题，提交给下一次PDCA模型中去解决。在参考了PDCA模型在一些行业中使用的案例，我认为PDCA模型也可以运用于信息安全管理中，单位需要管理的范围包括了电脑和其他网络设施内部的信息安全以及外部的其他设备。管理者需要参考完善合理的管理方案来管理信息安全，而PDCA模型正是一套严谨而合适的管理模型作为参考。

3.2 资产设备分类

在信息风险评估的开始，我们要确定需要保护的信息资产设备的分类，在这个分类中，我们要将物理资产和应用系统资产进行分离，避免后面工作的重复性。

3.3 信息风险识别

风险识别是对要发生的事故进行分析。信息风险识别的具体做法就是，识别出潜在的威胁和漏洞。

企事业单位的资产会受到诸多方面的威胁，而这些威胁有可能酝酿成为安全事故，从而对企事业的资产、系统以及组织带来危害。而这种危害的来源便是外界对企事业内部的信息以及信息处理设施造成的直接性或间接性攻击。与这些威胁相关的信息可以从企事业信息安全体系的管理人员以及一些相关的业务流程中获得。企事业的一项资产有可能受到诸多威胁，而一种威胁也可能会损害到企业的诸多资产。威胁大致可以分为以下几种：对信息、信息设施以及网络服务的未授权访问；恶意软件的攻击；信息的未授权修改以及人为错误等。漏洞会利用资产的脆弱性，容易存在于系统之中，虽然漏洞本身并不会引起损坏，但是它却为威胁提供了影响资产的条件，漏洞大致可以分为以下几种：物理保护的欠缺或不适当；通行口令的选择不当；网络的连接欠缺保护以及安全培训不足等。在企事业的日常运营中，分析威胁和漏洞的方法一般都依赖于评估人员、技术人员的主观想法和个人经验，在查找威胁和漏洞的过程中缺乏合理而全面的系统方法，会造成遗漏威胁的结果。所以，我们需要根据企事业在各个领域已经采取的安全措施以及信息安全还需要提高的方面，设计出企事业在各个领域用于信息安全风险评估的报告。

3.4 定量的风险分析

在进行定量的风险分析之前，我们要确定风险定量分析需要用到的四个要素，分别是资产的价值、威胁、漏洞与风险。用一个概括的公式来表示：风险值等于资产价值、漏洞和威胁的总值。参考了彭俊好等人编写的《基于效用的安全风险度量模型》一文，我学习到科学进行风险度量的方法，首先，资产作为风险定量分析中最重要的一项，其内容有双重含义，首先指的是某资产本身的固有价值，还包括这项资产在整个系统中的价值。因此，根据业界对信息的安全等级提出的CIA模型（即信息安全在机密性、完整性和可用性），我们在对资产做出估值的时候，可以使用以下公式：

其中，V表示资产的价值，C表示资产的机密性值，I表示资产的完整性值，A表示资产的可用性值。

漏洞值L作为漏洞的一项属性，具体的定量要参考风险评估计算方法知识库。威胁值T的定量是根据威胁对资产的影响值TS和威胁可能造成影响的概率TP决定的。资产影响值TS是指威胁发生后对资产的三个属性（C，I，A）造成的影响，由CIA的三个权重构成资产影像值的权重数组，计算方法是将CIA的三项具体数值与CIA对应的权重相乘求和后除以3，再做开平方根可以得到资产影响值TS。威胁造成影响的概率TP是根据人们对一种威胁所掌握的经验，以及威胁发生的条件，发生的次数还进行长期统计的结果，根据企业公司的不同，TP值应作为固定信息存储在知识库中。最后，根据资产影响值TS和影响概率TP得出威胁值T，T的估值根据以下公式：

根据得到的资产价值V，漏洞值L以及威胁值T，可以得到风险值R的最终计算公式：

在得到了风险的具体数值之后，依据各类国家标准，可以将风险的严重程度定义为多种级别，例如表3－1是依据国家标准，将网络安全风险分为4种不同严重程度的风险描述。

表3－1 风险严重程度及描述

3.5 风险应对措施

根据风险定量后的结果，依据不同严重程度的风险，可以采取不同的风险应对措施。可以依据不同的情况，使用表3－2中的解决方法。对于任何企事业单位而言，物理资产的保护都需要公司内各个部门的配合，我总结出适用于一般单位的物理资产风险应对措施，表3－3中列出了具体措施。

表3－2 针对应用系统的应对措施

表3－3 针对物理资产的应对措施

3.6 剩余风险监测

剩余风险监测是每一个风险评估工作都要进行的一道程序，对任何企事业单位来说，剩余风险监测更为重要。首先针对已经完成的风险监测及风险应对的结果，针对比较严重的风险，要对其跟踪，识别遗漏风险和再次出现的风险。其次，由于网络信息交流是一种活跃的信息往来，对于外部合作伙伴要进行风险控制，尤其是针对长期合作的伙伴，要了解他们对于信息安全是否有控制的能力，有可能的话，对合作伙伴的经营状况，是否出现过信息泄露事件以及信用状况都充分掌握，这些内容是保障单位不会受到外在风险的重要依据。