林 明

（格拉斯哥大学，苏格兰 格拉斯哥 G12 8QQ）

0 引言

信息系统是我国国民经济体系重要的组成部分，我国信息化建设始于20 世纪60 年代初，至今已有60多年的历史。目前，信息与网络技术在信息系统中得到了广泛的应用，已成为各级企业生产、运营与管理的基础设施。因此，信息系统的安全、可靠和稳定运行也成为企业、机构信息化建设中的重要内容。信息安全风险评估是信息安全保护与管理的基础工作，是信息系统风险管理中最重要的环节。通过风险评估来确定信息系统的安全性，并在此基础上对信息安全保障体系的建设进行有序规划，是各级企业与机构在信息安全工作中避免防护不当、提高防护效果和收益的主要方法。

信息安全的目标主要体现在机密性、完整性和可用性等方面。风险评估是信息安全保障体系建设的出发点，它的重要意义在于可以改变传统的以技术驱动为主导的安全体系结构设计以及进行详细的安全方案的制订。然而想要在一个广泛的范围中对复杂的系统进行全面的风险评估，需要建立各方面都很完善的评估指标体系。只有对每一项指标都有一个深刻的认识，才能有效地对系统进行风险评估，才能及时发现问题，才能为最高管理层制订安全风险管理的计划与实施提供参考措施和基础数据，并辅助其做出正确决策。

1 风险评估过程

信息安全风险评估是信息安全管理的核心内容，对信息安全管理有重大意义。一方面信息安全风险评估可以明确组织信息安全现状，另一方面信息安全风险评估可以确定信息系统的主要安全风险，以便管理员及时采取相应措施应对。全面分析各种安全风险因素，更有利于指导信息系统安全管理体系的建设，制定全面可靠的安全策略。

信息安全组成要素主要有：资产价值、对资产的威胁以及威胁发生的可能性、资产的脆弱性、现有的安全保护。风险评估的过程就是综合以上因素而导出风险的过程。

信息安全风险评估需要循序渐进，由表及里。因此在信息安全风险评估中首先应当对系统进行初步评估分析，以此了解系统中的关键资产及其面对的首要威胁。然后对关键资产与其首要威胁进行详细评估，在此基础上确定安全保护措施，并且完成评估结果、分析、总结等后续工作。图1 即为具体评估过程。

图1 信息安全风险评估过程

1.1 初步的评估分析

进行风险评估时，首先应该进行一个初步的风险评估分析，用以确定组织机构中每一个具体系统应该采用的评估方法（定量的方法、定性的方法）。主要目的是确定信息系统及其处理的业务系统的价值以及从组织机构的业务角度观察到的风险。因此需要考虑以下因素。

（1）信息系统要达到的业务目的；

（2）组织对该信息系统的依赖程度；

（3）对此信息系统投入的成本。

初步评估后就可以选择对组织机构较为重要的信息系统进行详细的风险评估。

1.2 详细的风险评估分析

详细的安全风险评估分析包括对风险的鉴别与度量。详细的风险评估可以通过事件发生的概率与后果的严重性来鉴别。其分析结果可以作为决定具体安全防范措施的依据，达到把风险降低到可接受程度的目的。

1.3 选择适合的安全防护措施

经过了详细的安全风险评估后根据评估结果选择最合适的安全防护措施，如果安全防护措施需要对整个系统进行重大调整或者系统产生新的安全问题则需要对详细的风险评估结果进行全面的反馈，并重新考虑评估结果。

1.4 保存评估结果

在进行风险评估分析时会借助结构分析、计算机辅助或是人工等多种定性或定量的方法。当详细的风险评估分析完成后，所有的分析结果都应被妥善保存。这对未来评估相似系统时也有借鉴作用。

1.5 界定系统边界

对系统的边界进行评估分析界定同样也是风险评估中一项重要的工作。一个明确定义的边界有助于减少不必要的工作及提高评估结果质量。一个清晰的系统边界描述的内容包括：

（1）信息资产（硬件、软件和信息等）；

（2）人员（组织雇员和外部人员等）；

（3）环境（建筑、设备等）；

（4）活动（对设备操作等）。

1.6 制定系统安全防范措施

合适的安全防范措施应当遵循的基本原则如下：

（1）所采用安全防范措施成本不高于风险发生时的损失。

（2）所采用的安全防范措施不应包括已经存在于安全计划但还未实施的安全措施。

（3）经过安全评估分析确定的不合理的安全措施极易成为新的安全漏洞，应当予以替换或取消。

1.7 风险评估总结

对系统进行风险分析后，应将相应数据予以汇总，并形成清晰明了的文档或图表。数值化和可视化的评估报告更易于非专业人士的阅读和理解。

2 安全风险评估量化模型

2.1 安全风险基本数学模型

国际标准化组织（ISO／IEC JTCl）为了对IT 安全管理提供有效的建议和支持提出了ISO 13335：信息安全管理指南。其中第一部分提供了基本的信息评估要素模型，以风险为中心，根据信息与相关设施的威胁、影响和资产脆弱性评估其发生的可能性。资产风险评估及量化计算的关系模型如图2 所示。

图2 资产风险评估及量化计算的关系模型

由此可得信息安全风险值（R）与威胁发生的可能性（Pt.）、资产的脆弱性（Pv.）、受威胁影响的资产价值（V）的基本量化模型如下：

2.2 风险度量标准

为了度量信息安全风险，需要对以上要素进行定量的度量标准。

2.2.1 V（资产价值）

基本量化评估模型中的资产所指的是有价值的目标资产。在风险评估中，资产的实际价值为绝对价值，可以用货币来表示；相反，由主体依据资产重要性等给定的则为相对的资产价值。出于客观考虑，模型中的资产价值更倾向于使用绝对价值。

2.2.2 TRO（威胁发生的频率）

这里所述的TRO 以年计算。例如，数据存储设备发生故障的频率为5 年一次，其TRO＝1／5；而被黑客攻击的频率为一年300 次，则其TRO＝300。

2.2.3 TEF（威胁的曝光系数）

TEF 被用来描述某一具体威胁发生后资产价值的损失程度，取值范围为0 至100%。

2.2.4 SME（安全措施的有效性系数）

采取安全措施可以被认为是减少了信息资产的脆弱性，以此来降低威胁的曝光系数。取值范围为0 到100%。

2.2.5 SME（安全措施成本）

SME 指实施安全措施需付出的成本，其计量方式与资产的绝对价值相同，用货币来表示。

2.3 安全风险定量评估模型

根据资产风险评估及量化计算的关系模型（图2），威胁i 带来的安全风险R可量化为：

当采取安全措施m 后将会引发新的威胁j，则安全风险R的量化公式为：

其中R＝V×TRO×TEF为采取安全措施后引发的新安全风险。

如果公式（2）与公式（3）中的要素都被客观地度量，那么风险评估就可以完全被量化。

2.4 信息系统安全风险度量

因为信息系统安全风险是由于系统本身面临的威胁以及系统自身弱点而产生并最终造成资产损失的风险，与传统风险管理类似，并且信息安全风险也有安全事件发生的随机性以及风险损失具有统计规律性等特点，所以，在信息安全风险评估领域也可以使用VaR模型度量风险。

VaR（Value at Risk）是由G30 集团在研究衍生品种的基础上，于1993 年发表的《衍生产品的实践和规则》报告中提出的度量市场风险的方法。其含义为在市场正常波动下，金融资产或证券组合可能的最大损失。更确切地指，在一定概率水平（置信度）下，金融资产或证券组合价值在未来特定时期内的最大可能损失。

用公式表示为：

其中P 为资产价值损失小于可能损失上限的概率，ΔP 为某一金融资产在持有期Δt 的损失额，VaR 为可能的损失上限，α 为给定的置信水平。

将经计算得出的R 带入公式中得到适用于信息系统安全风险的VaR 公式：

使用VaR 模型测量风险结论简洁明了。方法是建立在概率论与数理统计的基础上，不但具有很强的科学性，又表现出方法操作上的简便性。即使是没有任何专业背景的管理者都可以通过VaR 值对风险进行判断。

3 总结

随着信息技术的不断发展，信息系统覆盖的范围越来越大，其安全问题也越来越严重，愈演愈烈的信息安全威胁导致的灾难性事件也充分表明了信息安全风险管理的重要性。信息安全风险评估是信息安全风险管理的重要组成部分，探讨如何进行信息安全风险评估，在理论上和实际应用上都有十分重要的意义。

本文以信息安全风险评估流程图为中心，分步叙述了信息安全风险评估流程，并以此引出资产风险评估及量化计算的关系模型，导出基本量化模型公式，并引入传统风险管理与金融风险投资领域常用的风险度量技术VaR 模型，将信息安全风险量化模型变成一个能将风险量化的、简单、直观、科学合理的宜用模型。