计算机信息安全风险的评估与方法

一、计算机信息系统安全风险评估的作用分析

根据以往学者研究及实践表明，对计算机信息安全保障的工作可归纳为安全管理、安全组织以及安全技术等三方面的体系建设。而确保其保障工作的顺利展开需以信息安全的风险评估作为核心内容。因此对风险评估的作用主要体现在：首先，信息安全保障需以风险评估作为基础。对计算机信息系统进行风险评估过程多集中在对系统所面临的安全性、可靠性等方面的风险，并在此基础上做出相应的防范、控制、转移以及分散等策略。其次，信息安全风险管理中的风险评估是重要环节。从《信息安全管理系统要求》中不难发现，对ISMS的建立、实施以及维护等方面都应充分发挥风险评估的作用。最后，风险评估的核查作用。验收信息系统设计安装等是否满足安全标准时，风险评估可提供具体的数据参考。同时在维护信息系统贵过程中，通过风险评估也可将系统对环境变化的适应能力以及相关的安全措施进行核查。若出现信息系统出现故障问题时，风险评估又可对其中的风险作出分析并采取相应的技术或管理措施。

二、计算机信息系统安全风险的评估方法分析

（一）以定性与定量为主的评估方法

计算机信息系统安全风险评估方法中应用较为广泛的主要为定性评估方式，其分析内容大多为信息系统威胁事件可能发生的概率及其可能造成的损失。通常以指定期望值进行表示如高值、中值以及低值等。但这种方式无法将风险的大小作出正确判断。另外定量分析方法对威胁事件发生的可能性与其所造成的损失评估时，首先会对特定资产价值进行分析，再以客观数据为依据对威胁频率进行计算，当完成威胁影响系数的计算后，便将三者综合分析，最终推出计算风险的等级。

（二）以知识和模型为基础的风险评估

以知识为基础的风险评估通常会根据安全专家的评估经验为依据，优势在于风险评估的结构框架、实施计划以及保护措施可被提供，对较为相似的机构可直接利用以往的保护措施等便可实现机构安全风险的降低。另外以模型为基础的评估方式可将计算机信息系统自身的风险及其与外部环境交互过程中存在的不利因素等进行分析，以此实现对系统安全风险的定性评估。

（三）动态评估与分析方式

计算信息系统风险管理实际又可理解为信息安全管理的具体过程，一般会将信息安全方针的制定、风险的评估与控制、控制方式的选择等内容包含在内。整个评估与分析方式具有一定的动态特征，以PDCA为典型代表，其计划、实施、检查以及改进实现了对风险的动态管理。

（四）典型风险评估与差距分析方法分析

典型风险评估主要包括FTA、FMECA、Hazop等方法，对计算机信息系统设计中潜在的故障与薄弱之处，都可提出相应的解决措施，以FTA故障树分析为典型代表，在分析家算计信息系统的安全性与可靠性方面极为有效。差距分析方式往往以识别、判断以及具体分析的方式对系统的安全要求与当前的系统现状存在的差距进行系统风险的确定，存在的差距越大则证明存在的风险越大。

三、结论

计算机信息系统风险的评估是解决当前信息时代下网络问题的必然途径。在实际评估过程中，需以具体的评估标准为依据，立足于自身计算机信息系统的安全现状，选择相应的风险评估方法。这样才可促使计算机信息系统的安全性与可靠性得以保障，发挥其在各领域中的应用效果，同时对计算机信息系统安全风险评估标准研究过程主要需从具体的等级保护标准、安全保障评估的具体框架、风险评估的基本原则以及具体过程等方面着手，使整个计算机信息系统风险研究评估达到最佳化。

作者：张小兵 单位：赤峰学院计算机与信息工程学院