曹彦

摘要：风险威胁无处不在，信息安全管理部门应对风险范围、影响值风险进行管理，将其控制在一定范围之内。

关键词：信息系统；信息安全；安全风险

中图分类号：TN918 文献识别码：A 文章编号：1001-828X（2018）025-0341-02

信息系统分布广、源头多，信息数据涉及各行各业，各种形式软硬件故障、病毒感染、入侵攻击、运维误操作引起的故障都可能会对关键数据安全带来極大的威胁和隐患。风险威胁无处不在，信息安全管理部门应对风险范围、影响值风险进行管理，将其控制在一定范围之内。估算风险值的前提要对评估对象进行资产、威胁进行识别，并进行定量的分析和量化，对已有的安全措施进行确认。

一、计算方法

1.资产的识别与赋值：资产的评估主要评估信息系统资产的价值、信息系统弱点被威胁利用的可能性、信息系统面临威胁的概率。参照《信息安全技术信息安全风险评估指南》中资产脆弱性和威胁识别相关内容进行赋值（分五个级别：非常高、高、中等、低、非常低，权重：5、4、3、2、1）。

2.风险值的计算：可以用字母“A”来表示疾控信息资产的价值，字母“V”来表示信息系统弱点被威胁利用的可能性，字母“T”来表示系统面临威胁的概率。风险值=R（A，T，V）=R（L（T，V），F（Ia，Va））。安全事件发生的可能性：L=T*V；安全事件发生造成的损失：F=V*A；资产的风险值：Rn=L*F；系统的风险值：R=Max（Rn）。Ia：安全事件所作用的资产价值；Va：脆弱性严重程度；L：威胁利用资产的脆弱性导致安全事件发生的可能性；F：安全事件发生后产生的损失。

3.风险的等级：设定信息系统风险值为资产风险值最大值R=Max（Rn）。可以根据风险值大小将风险等级分为5级：第一级（很低：1-125）、第二级（低：126-250）、第三级（中等：251-375）、第四级（高：376-500）、第五级（很高：501-625）

二、应用

假设评估对象为某应急指挥系统。

1.资产赋值

（1）资产识别。明确应急指挥系统资产为：服务器、网络交换机、入侵检测系统、防火墙、软件、数据库、技术资料。根据专家赋值法参照信息资产的保密性、完整性和可用性对信息资产的价值进行赋值，见表1。

（2）主要脆弱性问题确认：参照《信息安全技术信息安全风险评估指南》中威胁分类的定义，确认信息资产存在的主要脆弱性问题并赋值，见表1。

2.风险值计算

（1）通过脆弱性与发生概率的乘积来计算威胁发生的可能性L（L=V*T）。通过计算可见L值最大为20，最小为4，见表2。

f2）通过脆弱性与资产价值的乘积来计算威胁产生的损失F（F=A*V）。通过计算可见F值最大为20，最小值为10，见表2。

（3）通过威胁发生的可能性与威胁产生的损失的乘积计算相关脆弱性问题的风险值Rn（Rn=L*F）。Rn最大值为320，最小值为40，见表2。

3.结论评估

Rn最大值为320，最小值为40。根据风险分级标准：第一级（很低：1～125）、第二级（低：126～250）、第三级（中等：251～375）、第四级（高：376～500）、第五级（很高：501～625），应急指挥系统的风险值取最大值320，结论为系统风险中等。

从对风险子项Rn分值分析可见某应急指挥系统安全问题主要还在软件和管理措施上。信息系统风险整改过程中交换机弱口令、信息系统重要信息敏感性标记和用户审计问题风险值最大，为优先处理问题。

三、讨论

实际风险评估项目实施中，往往会遇到系统量大人员少，实际操作中要考虑以下问题：

1.脆弱性问题的遗漏

根据技术水平与工作经验，不同的人员对资产脆弱性问题的判断和标准会有所不同，可能会导致关键脆弱性问题的遗漏。实际操作中建议参照《信息安全技术信息安全风险评估规范》中资产、威胁、脆弱性分类进行对照识别。

2.赋值的偏差

本评估赋值依赖历史经验与专家判断，可能会因不同专家的不同判断而得出不同的结论。实际操作中应尽可能使用多名专家赋值取均值方法得到相对较为真实可靠的结果。

本方法作为信息系统安全风险评估的方法尝试，其结果能够反映信息系统资产当前安全风险状况，能够协助管理人员较便捷地识别出信息系统存在的风险点。