中小企业信息安全风险评估

[摘 要] 随着社会经济水平的提高，促使我国的中小企业如雨后春笋般快速崛起。由于信息平台已经成为了企业发展的重要支撑，因此作为企业的管理者而言，要提前意识到信息系统的风险，提高企业信息系统的安全性。文章结合当下企业实况，浅析中小企业信息安全评估方法，希望有利于中小企业的经营发展。

[关键词] 中小企业；信息安全；风险评估

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 043

[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194（2015）21- 0090- 02

信息安全风险评估是以风险管理为基础，通过科学的方法和手段，对企业信息系统所面临的威胁与存在的脆弱性进行全面分析，以安全事故对企业生产经营有可能带来的危害展开评估，进而制定出有效的防御及整改措施[1]。信息安全风险评估在企业信息安全保障体系中占据着十分重要的地位，其不但是重要的评价方法，同时也是利于企业决策的有效机制。如果缺乏准确及时的风险评估，便不能准确的判断出企业所存在的信息安全问题，因此加强企业信息安全风险评估，对每一个中小企业来说，都意义重大。

1 中小企业信息安全评估方法

为了进一步评估信息系统的安全风险，多种风险评估方法被开发出来并在企业中得以运用。定性评估法，定量评估法以及半定量评估法是目前较为常用的几种方法。风险评估中的定量评估方法，主要是结合企业特点，根据评估内容和评估流程，从众多的信息系统、人员和设备中，利用分类分别计算比例的方法，对评估对象合理选定，并进行数量采样[2]。并在此基础上，分析企业信息系统中资产价值、威胁性以及脆弱性三者之间存在的函数关系，从而根据企业实际情况选取恰当的风险计算方法，合理计算出企业信息安全风险评估数值。本文认为定量方法对当前的中小企业来说更具实用价值，主要可从风险计算方法、威胁可能性量化赋值方法着手。

1.1 风险计算方法

后果（Consequence）及可能性（Likelihood）是风险具有的两个基本属性。风险对信息系统的影响，说到底也是这两个因素所造成的。资产的不同自然也使其面临的主要威胁存在差异。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性，随着弱点严重级别的提高会增加一该资产面临风险的后果。通常来说， 某项资产风险的可能性为资产脆弱性与存在威胁的可能性的函数，同时风险后果则为资产价值（影响）的函数。本论文采用如下算式来得到资产的风险赋值：

风险值=资产价值×威胁可能性×资产脆弱性

上述公式主要考虑到各参数采取的取值并不十分精确，因而加入了以往的经验和判断，在国际中对此类数据则通常采用数学乘法或矩阵等方法。而采用线性相乘，则主要是为了方便进行计算。企业实施风险分析可以从风险信息和数据，进行不同程度的改进。并根据计算出的风险值的数值范围，确定相应的风险等级。风险数值与风险等级对应的关系见表1。

1.2 脆弱性量化赋值方法

脆弱性和威胁所存在的对应关系，应在评估时充分考虑到，要知道相对应的脆弱性是威胁起作用的基本因素，因此脆弱性与威胁基本上是通过一一对应的形式呈现出来的。对脆弱性大小的评定需要结合评估采集的调研结果、安全漏洞扫描结果以及人工安全检查结果。参照国际通行做法和专家经验，将资产存在的脆弱性分为5个等级，分别是很高（VH）、高（H）、中（M）、低（L）、可忽略（N），并且从高到低分别赋值5-1，具体参照表2。

威胁可能性属性非常难以度量.它依赖于具体的资产、弱点。并且这两个属性都和时间有关系。在威胁评估过程中，评估者的专家经验非常重要。

2 结 语

目前，信息系统已经被广泛运用到中小企业的日常管理工作中，对其的重视程度也越来越高。对中小企业来说，定期进行信息安全风险评估是信息安全工作得以顺利实施的有效保障，通过有效的信息安全风险评估方法则是科学合理地开展信息安全风险评估的前提条件。因此，新形势下中小企业的信息安全风险评估工作必须要做到与时俱进，不断创新，从而以适应快速发展的社会需求。

主要参考文献

[1]刘江.企业信息安全管理及风险评估体系研究[D].上海：复旦大学，2012.

[2]何璐璐.企业信息安全风险评估实施方法研究[D].北京：北京邮电大学，2010.