信息安全风险评估工作是一种针对于企业或者组织的信息系统进行信息安全风险管理的第一环节,由于信息安全风险评估的整个发生过程是与信息系统内部的信息资产保密性。可用性以及完整性等三个属性的区别和判断。在近些年来,计算机网络的大范围普及,使得组织业务的运行效率得到了极大提高,这在另一方面也使业务流程的风险管理环节出现了很多的漏洞,会对信息的保密性和安全性带来严重的威胁,基于此,就需要在对其详细了解的基础上,采取正确合理的信息安全风险评估方法,保证信息的安全完整。
1信息安全风险评估的方法
1.1定性分析方法
这是评估方法具有的一个明显特点就是它的主观性较强,在风险评估人员主观上对资产风险因素所面临的威胁以及漏洞等作出评估判断的过程。它的结构构成包括故障树分析法、事件树分析法以及原因———后果法等。(1)故障树分析法。这种分析方法的适用于对风险事件的发生源之间关系以及它的深层次原因进行探究的,它的主要目的是在发现信息故障后对信息安全所进行的定性分析。从它的运行原理来看,它是把信息系统中发生的结果来作为首要解决的问题,分析总结出不愿发生事件的形成因素,从而确定出各个因素之间的逻辑关系。(2)事件树分析方法。这种方法是在原有的信息系统风险基础上,来对这些信息安全风险事件发生可能产生的风险结果进行详细的分析探究,它的分析工作开展的一个显著特点就是需要对序列组中可能发生的危险事故的结果进行合理的列举,需要注意的是这并代表是最后的结果,只是其中的一个环节,但是它的缺点就是不适于进行大范围的普适。(3)原因———后果分析方法。这种分析方法从运行原理的实质上来看,它是对前两种分析方法的一种融合,它是前两种分析方法所具有显著特点的结合,但是,这种方法也有应用的缺点,就是它在大型的、复杂的信息系统中应用并起不到应有的效果。
1.2定量分析方法
这种分析方法是对定性方法的一种改进,削弱了定性方法的主观性,但是在一些大型复杂的信息系统中,就很可能造成一些定量数据难以获得,需要浪费较多的时间成本,基于此,它的应用最为广泛的是定量的故障树分析法和风险评审技术两种。
1.3定性分析和定量分析相结合的方法
这种两相结合的方法在现代应用领域中是最为常见的,也是最适合的形式,这两种方法相结合的主要目的是为了有效的弥补定性分析法和定量分析法之间的缺陷,因此,它的综合性就会相对强一些。这种分析模式,适用范围最为广泛的并且最为主流的是层次分析法。
2在业务流程基础上的信息安全风险评估方法
2.1信息资产的辨别
信息安全风险评估主要是针对于信息和信息处理设备所受到的威胁、影响以及威胁事件发生后所带来的损失而进行的评估预测,那么所进行评估的内容主要涉及到四个要素,即资产、威胁、漏洞以及原有的安全措施。对于这四个要素之间的关系论述,它们是属于相互关系、相互作用的因素,各自对系统风险的影响各不相同,共同构成复杂的风险评估系统工程。我们在实际的风险评估工作中,主要是对已经存在的风险提出一系列有效的安全防范措施,并依据风险措施实行采取合理的控制措施,从而使风险控制到最合理的范围内,那么这么讲就可以把它的具体实施流程划分为两大部分,即对风险的分析和对风险的控制。
2.2业务流程的风险模型分析
在业务开展的基本流程中,对于位置变动资产的识别可以在它的开始阶段就进行,这是对位置变动来说的,而对于位置固定的资产识别,就需要对每一个具体业务的节点进行逐一开展。对于位置固定资产的识别来说,因为其自身需要有大量的人工操作,因此它的风险一般是集中于业务节点环节上,并且各个节点上的风险类别、发生方式、起源以及造成的后果影响都是不相同的。此外,由于这些风险的产生是因为位置固定资产而引起的,因此,在业务流程的过程中一般只需要对位置固定资产的风险采取相应的控制措施就可以了,这样也就确保了位置别动不会对资产的保密性、完整性以及可用性造成威胁。
3总结
通过在业务流程基础上的对信息安全风险评估方法的分析,我们可以对其所面临的风险程度和大小有详细的掌握,有力弥补了传统风险分析方法的不足之处,对于具体的风险类型需要采取与之相适应的评估方法,以确保评估结果的精确合理。
作者:陈秋园 单位:广东电网有限责任公司肇庆供电局
