吴 丹

辽宁公安司法管理干部学院

安全风险评估模型及方法研究

吴 丹

辽宁公安司法管理干部学院

推动经济发展的重要力量是信息技术，只有信息技术快速发展，才能帮助企业快速发展，支撑企业的业务拓展和创新。信息系统安全管理是一项复杂的系统工程管理，在这套系统中安全风险评估具有核心的地位，信息系统安全风险评估是整个信息系统安全的基础和前提，本文主要研究现阶段信息安全风险评估的方法，基于层次结构的信息安全风险评估方法，分析安全风险评估模型的问题，总结和展望安全风险评估模型的未来。

安全风险；评估模型；方法

一、安全风险评估模型的现状及问题

（一）安全风险评估模式的现状。解决信息安全问题的有效方法就是信息安全风险评估，一个有效的风险评估能够明确信息系统的安全现状，现阶段一些实力比较强的专业信息安全公司都开展了安全风险评估服务，政府等相关部门也通过安全风险评估发现了很多潜在的安全风险，社会各界逐渐认识到信息安全风险评估的重要性，大力推广和开展信息安全风险评估活动是保障信息安全必要的措施，现阶段安全风险评估模式工作人员风险管理意识淡薄，很多企业在发放资金的时候未严格执行信贷发放操作程序，在发放的过程中没有按照严格的标准进行操作，发放把关不严。安全风险评估模型是自上而下，先取得上级意向，再向下逐级办理，这种安全风险评估模式与商业银行自下而上实行贷款营销的逆程序操作一样，这种风险评估模式使相当一部分信贷管理人员淡薄了风险意识，有的工作人员甚至会出现第一手调查材料就存在虚假、谎报、瞒报等不真实反映的瑕疵行为。

（二）安全风险评估模型需要解决的问题。安全风险评估模型需要解决以下几个问题：第一、安全风险评估模式需要明确需要评估的对象和评估的内容，将要评估的事物的特点分析清楚，确定信息安全风险评估的主要内容和要解决的问题。第二、要清楚如何解决评估问题，在安全风险评估之前要明确对象的指标体系，最好能够建设一个合适的评价方案，通过一定的数据来分析，评估和度量对象的基本要素。第三、在安全风险评估的过程中要解决各个要素之间的关系以及各个要素之间会出现的问题，从不同的层面和不同的角度来探讨评估的结果，将评估的结果用专业的技术来分析统计出来。第四、在安全风险评估的过程中，模型仅仅是依据，要想解决模型本身与评估方法结合、评估流程的问题，需要贯彻到整个评估的过程中，掌握整个操作流程的主动权。从组织形式角度规定了专家知识的垄断地位和从对象角度规定了适合于专家知识发挥作用的范围中可以看到，其实从组织形式角度排除了其他知识进入安全风险评估过程的可能性。因为所谓的安全风险评估专家委员会是由食品、农业、营养、医学等方面的专家组成，其中没有社会团体代表或者公众代表。

二、安全风险评估模式的方法研究

（一）安全风险评估模式构建的原则。安全风险评估模式构建的时候有五大原则：第一、自主原则。企业自身是评估的主题，建立评估模型的时候要站在企业的角度来构建，只有建设的模型适合企业，企业才能自主实施安全风险评估，才有助于企业理解和操作，帮助企业完成自评估。第二、简单原则。风险评估工作是是一个对专业要求很高的工作，风险评估模型虽然很简洁，但是在很多地方都有专业化的一面，简洁的流程是为了帮助工作人员的理解，帮助工作人员掌握基础的操作流程。第三、规范性原则。风险评估模式的基本思路都与相关的国内外标准一致，各个主要要素之间的关系也要和相关的规范一致。第四、可行性原则。可行性原则有两方面的要求，一方面是指评估的指标、内容的可度量性，在对相关要素进行评估的时候，评估的指标和内容可以量化，这些要素可以采用定量的方式来评估，有些评估的内容很难量化，就采用定性的方法来评估。另外一方面是评估中运用到的技术手段和方法都具有可操作性，评估的内容和指标都可以通过技术测试和顾问分析等方法获得。第五、可扩展性原则。每个企业都有自己的文化，每个企业的发展模式和发展背景都不相同，安全风险评估模式不能一成不变，只有模型能够适应不同的企业，无论企业规模大小都有相应的模型对应，模型具有一定的灵活性和可扩展性，才能满足不同企业的需求。

（二）安全风险评估模型的构建思路。安全风险评估的三个基本要素是脆弱性、威胁、资产，如果想要构建一个安全风险评估模型，需要对资产、威胁、脆弱性这三个要素进行分析和识别。安全风险评估是按预定的目的确定研究对象的内容，并将这种研究对象的内容变为客观定量的计算值，或者是主观效用的行为，多指多内容和指标对象的综合评价。根据传统评价模式来看，安全风险评估模式有很多弊端，主要有指标体系不规范、不全面、主观成分较重，从安全风险评估模式的本质上看，安全风险评估模式是以半定量、半定性或定性分析作为主要分析方式。现代的风险评价模式是一中新兴的评价模式，这种新兴的评价模式体现了评价发展的方向。这种模式相对比较规范、全面，这种指标可以通过计算机软件进行编程，将评估的内容和标准量化，这样有助于工作人员进行分析和评价，更有助于得出安全风险评价的准确结果。也可以采用风险评估参与的方法来进行安全风险评估，所谓评估参与是指，风险评估协调委员会中公众小组、专家小组、企业界代表小组运用自身的知识，参与到风险评估的整个过程中。参与风险评估之所以将评估参与作为一个新的结构贯穿于其安全风险评估中，一个很重要的原因就是整合食品安全风险评估中的专家知识和公众知识，利用专家知识和公众知识增加评估结论的科学性和准确性，与此同时，这也是食品安全风险具有社会建构性的逻辑要求。

三、总结

总而言之，安全风险评估相关模型是风险管理的基础，本文主要通过系统分析和总结已有的模型，安全风险评估模型的现状，提出了合理的分类方法，建立了风险评估模型体系。解决了现有风险评估研究中模型混杂的问题，为风险评估的研究提供了重要的知识框架。在此框架下各界人士仍需对各种模型的合理性和适应性进行更深入研究和验证，从而使风险管理工作能够更加有效地开展。

[1]戚湧,王艳,李千目等.基于情景感知的网络安全风险评估模型与方法[J].计算机工程,2013,39(4):158-164.

[2]成科,宋海声,安占福等.基于GA参数优化的t-SVR网络安全风险评估方法[J].计算机工程与应用,2014,(12):91-95.

[3]陈建莉.基于未确知数学的网络安全风险评估模型[J].空军工程大学学报（自然科学版）,2014,15(2):91-94.