刘文慧

（太原煤炭气化（集团）有限责任公司选煤分公司，太原 030024）

1 信息安全风险评估的内涵

信息安全指的是信息系统中的数据以及信息系统的软件、硬件受到保护的程度，并防止威胁系统正常运行以及盗取系统中的知识、数据等信息而采取的措施。从本质上来说，信息安全是一种思维方式，不是依靠某一种技术就能实现的，没有绝对的信息安全。信息安全风险指的是在信息系统的服务过程中，可能出现的人为因素或者自然因素对信息安全造成的威胁，以及发生信息安全问题对于经济、社会造成的损失。

信息安全风险评估指的就是相关的管理者，系统地、整体地分析信息系统可能面临的威胁，并利用科学有效的方法，评估发生信息安全问题造成的危害、影响以及损失，并针对此制定有效的防护措施，将信息安全风险控制在可接受的程度甚至化解信息安全问题，从而减少损失或者保证信息的安全。信息安全评估主要有四个方面：威胁、资产、弱点和风险。

2 对信息安全进行风险评估的重要性

几十年的时间之内，我国的信息技术已经取得了飞速的发展，并且涉及到我国社会和人民生活的每个方面，其扮演着越来越重要的角色。与此同时，信息技术也慢慢的发展成为一项重要的支柱产业，国家信息技术的发展程度也慢慢的变成了衡量一个国家综合实力的重要标准，其创造出的产品让人们的生活方式发生了翻天覆地的改变。信息技术还被广泛的应用于风险投资和企业的管理当中，为这些行业带来了巨大的发展动力。而信息技术的安全问题一旦发生，总是会对企业、社会造成不可估量的损失，这使得社会各界对于信息技术安全问题的关注度越来越大。在这样的情况下，信息安全风险评估工作就显得尤为重要了。

对信息安全进行风险评估，才是保证信息安全的有效措施。信息安全风险评估是相关组织、企业实现信息安全的关键步骤，通过信息安全风险评估，可以让人们准确、全面的了解信息系统的安全现状，并能及时的发现其中可能出现的问题，为决策者提供合理的信息安全指导方向，并提前制定好相应的防护措施，将可能出现的问题扼杀在摇篮当中，有效减少信息安全问题带来的损失。同时，进行信息安全风险评估工作还能提高人们的安全意识，提升人们对于信息安全的关注程度。

3 研究信息安全风险评估量化的方法

3.1 技术评估方法

技术评估指的是对信息系统的技术程序和结构进行系统的、及时的检查，包括计算机所处环境的安全性评估。技术评估的内容包括评估整个计算机的程序和结构；使用现有的软件工具分析计算机的全部组件；在完成技术检测之后要提供详细的检测报告，指出技术检测中出现的问题与弱点，并针对这些问题提出相应的解决措施。

3.2 工具辅助风险评估

工具辅助风险评估依靠着强大的计算机分析能力与准确的风险评估结果，受到越来越多人的青睐，随着工具辅助评估的发展，越来越多的辅助工具被研究出来，而且性能更加强大，其使用也越来越广泛。以往手动风险评估过程中，繁琐的评估程序与数据分析给工作人员带来了巨大的工作压力，而且评估结果也不如人意，容易出现疏漏导致评估结果出现偏差。在1985年，英国研发出了CRAMM风险辅助评估工具，为人们打开了软件辅助风险评估的大门。在1992年又有公司推出了COBRA工具，该工具的兼容性更加丰富，为人们提供了更加完整的风险评估服务。在之后的发展中，更多的工具被研发出来，为人们进行信息安全风险评估工作做出了巨大的贡献。

3.3 定性风险评估方法

定性分析风险评估方法是目前使用最为广泛的信息安全风险评估方法，这种方法侧重分析安全问题给人们所带来的损失，对于安全问题发生的概率关注度不高。在进行定性分析时，相关的工作人员先根据信息技术系统面临的安全威胁来判定安全风险的等级，然后在定性评估工作中指定期望值而不使用具体的分析数据，并设定每种风险的概率值和其影响值，从而分析出信息安全风险。

3.4 定量分析方法

定量分析方法也是一种较为常用的分析方法，它要求分析者特别关注安全威胁的量化数据和资产具有的价值。定量风险分析利用威胁事件可能造成的损失和威胁事件发生的概率这两个最基本的元素，将其相乘得出综合数据ALE，从理论上来说，ALE可以作为判定安全事件的风险等级。随着信息安全风险评估工作的快速发展，定量分析的计算方法也更加丰富多彩。较为常用的定量分析方法，是首先评估资产的价值V，然后根据实际情况和客观的数据来计算安全威胁发生的频率P，然后再计算出安全威胁的影响系数µ。根据以上计算出的三个参数，计算ALE的值：

ALE=V×P×µ

根据计算出的ALE的大小，可以对信息安全风险做出评估。

4 我们所面临的机遇和挑战

综上所述，信息安全风险评估是一个很好的渠道，从而优化和完善我们的信息化建设。但是就目前的形式，相当一部分企事业单位都没有很好的加以运用，即使有也是最初级的设备和操作方面的约束，基本没有做到量化指标，更谈不上风险评估了，只能亡羊补牢，不能防患于未然。我们需要做的还很多。

当然机遇和挑战是并存的。首先，我们现在已经意识到了这个问题，这是很重要的；其次，现阶段有可以借鉴的方式和方法，省去了摸索的艰难；再次，国家加大了政策导向和扶持，更增添了我们实施的信心和动力。

5 结束语

随着我国信息技术的快速发展和信息技术被越来越广泛的使用，信息安全风险评估工作和方法也经历了巨大的变革，从刚开始的手动评估风险到后来的工具辅助风险评估，以及定性与定量的风险评估等更加准确有效的风险评估手段。在信息系统安全领域，利用合理的措施进行信息安全风险评估工作是不可缺少的一环，其重要性是不言而喻的。我国目前的信息安全评估工作与世界前沿相比还有一定的差距，因此，相关的专家和工作人员也共同努力，深入研究，向先进的技术学习，为我国信息技术的安全工作做出更大的贡献。

[1] 吴亚非，李新友，禄凯.信息安全风险评估[M].北京：清华大学出版，2007.