信息系统的风险评估是保证信息系统安全的重要措施之一,通过客观分析,我们可以很明显的发现,信息系统的风险评估方法虽然多种多样,各有所长。但是却过分依赖于现实经验,以往的经验固然很重要,然而过度依赖则会使研究人员在评估过程中无法做到完全客观的评估,从而降低了风险评估结果的科学性。
1信息系统安全风险概述
众所周知,信息系统主要由信息技术系统、系统运行环境以及信息资源三部分组成,因此,着三项也是信息系统安全风险的重点评估对象。信息技术系统包括计算机的硬件、软件以及其他固件,主要负责信息采集、处理等。系统运行环境包括信息系统运行中的内部环境和外部环境,在对系统运行环境进行安全风险评估时,需要充分考虑到信息系统自身安全配置与管理运行等综合因素。信息是进行信息系统安全评估的主要保护对象,一般而言,攻击的最终目的就是为了破坏或者获取信息,主要包括信息数据与相关代码[1]。
2信息安全风险评估研究现状
随着信息系统的发展,其内部结构也越来越复杂,因此,信息系统的安全风险已经不仅仅是由外部攻击而引起的,也很有可能是来自内部破坏或者信息系统自身的安全漏洞。到目前为止,国外关于信息安全风险评估已经初步形成了较为全面系统的研究方式,包括基础设施、网络环境、操作系统、安全数据库等多个方面。相对而言,我国信息安全技术的研究起步较晚,目前主要存在的问题包括风险标准较为落后、缺乏适合的系统理论与先进的研究设施、风险评估模型不成熟以及缺乏专业人才。信息系统的安全风险评估已经成为信息技术的重点研究项目,这项研究对我国社会发展与经济建设都有着至关重要的影响,对此,我国应该加强基础建设和资金投人,引进国外较为先进的指导理论与评估软件,并尽快培养出既有专业技术和管理能力的人才,以保证信息系统的安全运行气
3信息安全风险评估量化方法研究
3.1安全风险的定量分析
一般而言,风险事件的发生是主要还是由于信息系统自身存在漏洞或者管理弱点,在信息系统存在问题时,如果遇到外在的威胁就可能出现风险事件。而其主要因素可以概括为风险事件发生的可能性与威胁行为发生的可能性两个层次。
信息系统受到攻击的动机一般分为主动攻击和意外事件两类,其中,多数风险事件的发生都是由于系统受到主动攻击。因此,在进行风险评估时要充分考虑到对方的破坏动机与破坏能力,以此计算风险发生的可能性。在对安全风险进行定量分析时,要严格按照分析程序,步骤包括分析风险影响、选择影响评估项、确定各评估项的权重以及计算风险影响值。
3.2模糊综合评判法的风险量化评估
模糊综合评判法是以模糊数学为基础,根据其中的隶属理论从而将定性评价转化为定量评价,概括而言,就是指利用模糊数学的优势对受到多重因素影响或制约的事物做出一个客观整体的评价。
运用模糊综合评价法进行信息系统安全评估,具有结果清晰、系统性强的特点,适合解决非确定性问题。模糊综合评价法中主要涉及的步骤为构建模糊综合评价指标、构建完成相关的权重向量、构建评价矩阵以及将评价矩阵与权重进行合成。
在对评价因素的特征进行系统分析之后,以各评价因素的特征为根据,确定评价值与评价因素之间的隶属度函数,对于确定两者之间的隶属度函数方法并没有严格的规定,通常研究人员会采用F统计方法,也可以与经验丰富的专业学者进行商讨,从而借助专业学者的现实经验进行评价,做出最后的评价结果。但是客观而言,过度依赖现实经验虽然可以减少研究步骤,降低工作难度,但是最终的结果可能会失去客观性与科学性,因此,对于关系社会发展与经济的信息系统,最好根据具体情况,对评价因素进行系统性的筛选,科学客观的确定评价值与评价因素值之间的隶属度函数关系,并且要合理的确定评价因素的权重[3]。
3.3故障树分析法的风险量化评估
故障树分析法是安全系统工程发展的重要标志,它可以运用逻辑方法对潜在的风险进行直观的分析,分析结果具有很强的逻辑性和系统性,可以对系统安全问题作出准确的预测,因此,故障树分析法既适用于定性分析也适用于定量分析。顾名思义,故障树分析法就是一种倒立树状逻辑因果的关系图,它有自身独特的表示方法和语言形式,可以清晰明了的描述出系统中各个事件之间的因果关系。通过研究故障树图可以完整的发现各级之间的关联作用,也正是因此,故障树图分析法的应用可以预知故障事件的发生。故障树逻辑图的构成主要依赖于逻辑门,因此它既可以分析由单一构件而引起的系统故障,也可以分析由多个构件在不同模式下而产生的系统故障问题。运用故障树分析法进行的风险评估结果具有较高的安全性与可靠性,而且通过研究,故障树分析法还在不断的完善,其应用范围也将越来越广泛,分析结果也会更加具有说服力'
4结语
随着社会对信息系统的依赖性逐渐增大,信息系统的安全问题已经直接影响到社会经济的发展趋势,但是信息系统复杂且庞大,对专业性和严谨性都有较高的要求。因此,只有防患于未然才是最好的解决办法,在问题发生之前,通过客观系统的分析,对信息系统做出清晰准确的安全评估,并根据评估结果制定有效的防范于解决措施,以免问题扩大,造成更严重的影响。
参考文献
[1]黄芳芳.信息安全风险评估量化模型的研究与应用[D].湖北工业大学,2010.
[2]李鹏宇.基于层次分析法的信息安全风险评估量化方法研究[D].江西财经大学,2012.
[3]段小强.信息系统风险评估量化计算模型的研究[D].湖北工业大学,2014.
[4]刘学.信息系统安全风险的自动识别和量化方法研究[D].山东师范大学,2010.
