信息安全风险评估综述

摘 要 21世纪是信息化时代，信息系统在当代扮演的作用日益重要。信息系统主要由计算机硬件、网络系统、计算机软件、通讯设备、用户群、网路协议、网络规章制度、信息流等组成的综合性系统、信息系统的出现极大方便信息共享和信息传输方式，信息处理效率及质量显著提高。信息安全是信息系统重要组成部分，风险评估是信息系统重要组成部分。本文就信息安全风险评估展开综述。

【关键词】信息系统 安全风险评估 定性 定量

随着社会经济快速发展，信息传递无论是速度还是容量均不断创造新的高度。信息传递方式与人们的生活、工作、学习息息相关。信息产业发展蒸蒸日上，建立在信息技术基础上的信息系统存在一定风险，易受到黑客攻击，且信息系统充斥各种病毒，系统运行过程存在一定风险。基于此必须做好信息系统安全建设，进行安全风险评估，奠定安全基础。

1 风险评估概述

互联网快速发展极大提高人们的生活、工作、学习效率，与此同时发来一系列安全隐患。人们通过互联网可实现信息有效获取，信息传递过程中仍旧可能出现信息被第三方截取情况，信息保密性、完整性、可靠性等均收到影响。网络环境虽然方便信息处理方式，但也带来一系列安全隐患。

从信息安全角度而言，风险评估就是对信息系统自身存在的的种种弱点进行分析，判断可能存在的威胁、可能造成的影响等。综合风险可能性，便于更好展开风险管理。风险评估是研究信息安全的重要途径之一，属于组织信息安全管理体系策划过程。

风险评估主要内容包括：识别信息系统可能面对的各种风险、风险出现的概率、风险可能导致的后果、风险消除策略、风险控制策略等。信息系统构成极为复杂，因此信息系统安全风险评估是一项综合性工作，其组织架构较为繁杂，主要包括技术体系、组织结构、法律体系、标准体系、业务体系等。

20世纪八十年代，以美国、加拿大为代表的发达国家已建立起风险评估体系。我国风险评估体系建立较晚，至今只有十几年时间。目前我国安全风险评估已得到相关部门高度重视，为其快速发展奠定坚实基础。

网络环境虽然带来无穷便利，却也带来各种安全隐患。互联网环境下信息系统易被黑客攻击。一切社会因素均与信息系统联系在一起，人们生活在同一信息系统下总是希望自身隐私得到保护，因此在建设信息系统是必须做好信息安全风险评估，规避信息系统存在的各种风险，提高信息系统安全性，让人们生活在安全信息环境中。

2 信息安全风险评估方法

网络的出现对人们的生活和思维方式带来极大变革，信息交流更加方便，资源共享程度无限扩大，但是网络是一个较为开放的系统，对进入网络系统的人并未有一定约束，因此必然导致安全隐患的出现。随着信息系统建设不断深入，信息系统必将对社会经济、政治、文化、教育等造成巨大影响。基于此需要提升信息系统安全风险评估合理性，降低安全隐患，让人们在安全的信息环境下生活和工作。

2.1 定性评估方法

定性评估是信息安全风险评估使用最频繁的方法，此法基于评估者通过特有评估方法，总结经验、历史等无法量化 因素对系统风险进行综合评估，从而得出评估结果。该中方法更注重安全风险可能导致的后果，忽略安全时间可能发生的概率。定性评估中有很多因素无法量化处理，因此其评估结果本身就存在一定不确定性，此种评估方法适用于各项数据收集不充分情况。

定性评估虽然在概率上无法保障，但可挖掘出一些较为深刻的思想，其结论主观性较强，可预判断一些主观性结论。基于此需要评估人员具较高职业素养，不受限与数据及经验的束缚。典型定性评估方法有逻辑评估法、历史比较法、德尔菲法。

德尔菲法是定性评估中较为常见评估方法之一，经过多轮征询，将专家的意见进行归结，总结专家预测趋势，从而做出评估，预测未来市场发展趋势，得出预测结论。从本质上来说，德尔菲法是一种匿名预测函询法，其流程为：征求专家匿名意见――对该项数据进行归纳整理――反馈意见给专家――收集专家意见――…――得出一致意见。德尔菲法是一种循环往复的预测方法可逐渐消除不确定因素，促进预测符合实际。

2.2 定量评估方法

定量评估与定性评估是相互对立的，此种方法需要建立在一切因素均标准化基础上。定量评估首先需要收集相关数据，且需保证数据准确性，之后利用数学方法建立模型，验证各种过程从而得出结论。定量评估需要准备充足资料，是一种利用公式进行结果推到的方法。从本质上来说定量评估客服定性评估存在的不足，更具备客观性。定量评估可将复杂评估过程量化，但该种方法需要建立在准确数据基础上。定量评估方法主观性不足，其结论不够深刻具体。定量评估方法中具有代表性的方法为故障树评估法。

故障树评估法采用逻辑思维进行风险评估，其特点是直观明了，思路清晰。是一种演绎逻辑推理方法，其推理过程由果及因，即在推理中由结果推到原因，主要运用于风险预测阶段，得出风险发生具体概率，并以此为基础得出风险控制方法。

2.3 定性评估与定量评结合综合评价方法

由前文可知定性评估和定量评估各自存在优缺点。定性评估主观性较强，客观性不足。定量评估主观性不足，客观性较强。因此将二者结合起来便可起到互补不足的效果。定性评估需要耗费少量人力、物力、财力成本，建立在评估者资质基础上。定量评估运用数学方法展开工作，预测结果较为准确，逻辑性较强，但成本较高。从本质上来看，定性为定量的依据，定量是对定性的具体化，因此只有将二者结合起来才能实现最佳评估效果。

3 信息安全风险评估过程

信息安全风险评估建立在一定评估标准基础上，评估标准是评估活动开展的基础和前提。信息安全风险评估过程需要评估技术、工具、方法等全面支持，在此基础上展开全面风险评估，结合实际情况选择合适评估方法。正确的评估方法可提高信息安全风险评估结果准确性，这就要求评估过程中需建立正确评估方法，克服评估过程存在的不足，从而取得最佳结果。

4 结束语

当今信息系统不断发展完善，为保证信息系统运行环境的安全性必须对信息系统进行安全风险评估。信息安全风险评估具有多种方法，实际评估中应该结合实际情况选择合适方法，提高信息安全风险评估结果准确性，为建立安全信息环境奠定坚实基础。

参考文献

[1]应力.信息安全风险评估标准与方法综述[J].上海标准化，2014（05）：34-39.

[2]张玉清.信息安全风险评估综述[J].通信学报，2015（02）：45-53.

[3]温大顺.信息安全风险评估综述[J].网络安全技术与应用，2013（01）：16-25.

作者单位

山东省青岛第五十八中学2014级高二（2班） 山东省青岛市 266100