刘志龙 张淋江
(河南牧业经济学院 数字化管理中心,河南 郑州450011)
高校信息安全是高校各项工作正常开展的重要保障,随着高校各项工作的开展对信息系统的依赖性越来越强,高校面临的各种信息安全威胁也越来越大。然而高校的风险防范意识比较淡薄,信息安全的防御措施及能力与其他行业相比,较为薄弱,导致高校的网络设备受到攻击,使校园网网速过慢甚至瘫痪。SQL注入导致高校的财务系统、招生就业系统、教学管理系统、办公系统等关键系统中的信息泄露甚至被修改,高校主网站被挂马影响高校形象等一系列威胁高校安定的信息安全问题不断出现,给高校的信息资产造成不可挽回的巨大损失[1-2]。因此,在高校信息化建设飞速发展的阶段,信息系统已经涉及高校的方方面面,加强风险防范意识,构建高校信息安全风险评估体系指导信息安全管理已刻不容缓。
信息安全风险评估是从风险管理角度出发,构建风险评估模型,建立风险评估体系,运用风险评估方法,系统地分析信息系统所面临的风险威胁及系统的脆弱性/漏洞,评估风险发生带来的危害程度,提出应对风险的安全控制措施,规避和控制信息安全风险,降低风险发生的概率,将风险控制在可承受的范围,为信息安全风险评估提供科学依据。
随着信息安全风险评估研究工作的不断深入,形成了多种不同的信息安全风险评估方法,这些方法的出现大大缩短了信息安全风险评估的时间,节省了大量的资源,提高了信息安全风险评估的效率和准确性,为防范信息安全中出现的风险提供了理论依据[3]。
目前,常用的信息安全风险评估的方法有定量评估方法、定性评估方法和定性与定量相结合的综合评估方法。其中,定量评估方法是根据信息系统中风险相关数据,利用具体的评估算法计算出评估结果,并对结果进行分析,它能够直观地反应评估结果,更容易被人们接受。但是该方法主要依赖于数学模型来描述风险,在量化的过程中将原本复杂的事物理想化,一般适用于风险评估材料齐全且数学理论基础较好的情况,常见的定量评估方法有Markov分析法、聚类分析方法、决策树分析方法、风险审计技术等。定性评估方法是评估者利用自己拥有的专业知识和积累的经验对信息系统存在的风险进行识别和评价,并提出应对风险的安全控制措施。它对评估者知识和经验的要求较高,一般适用于风险评估数据不全或者数学理论基础较为薄弱的情况,常见的定性评估方法有故障树分析法(FTA)、故障模式影响及危害性分析方法(RMECA)、德尔菲法(Delphi)等。在风险评估的实际过程中,采用较多的是定性与定量相结合的综合风险评估方法,该方法可以将复杂问题按照层次化结构分解成多个简单的问题进行分析,大大节省了评估时间、人力和费用,提高了风险评估的准确性和效率,常见的定性与定量相结合的综合评估方法有层次分析法。
信息安全风险评估模型是信息安全风险评估的理论基础,是提高信息安全风险评估准确性和效率的重要前提。信息安全风险评估模型如图1所示,造成信息安全风险的主要因素有威胁、信息资产、信息系统的脆弱性及漏洞和未被控制的残余风险,信息系统的威胁越大、脆弱性越暴露、漏洞越多、信息资产的价值越大、未被控制的风险越多,则信息系统面临的风险也越多,风险越多,信息系统的安全性越低。业务系统主要依赖于服务器和软件等信息资产,业务系统越关键,对服务器等硬件和软件资源的要求就越高,被攻击的价值也就越大,面临的风险也就越大。资产的价值和防范风险的意识会导出信息系统的安全需求。当信息系统的安全需求被相应的安全控制措施满足时,就会降低发生风险的概率。然而有些风险由于成本过高、控制难度较大,往往不进行控制,这部分不被控制的风险具有潜在的威胁,应该受到密切监视,它可能会增加信息系统的风险。
图1 信息安全的风险评估模型
随着高校数字化校园建设和信息化建设的不断推进,高校业务处理对信息系统的依赖性越来越强。由于部分高校缺乏危机意识、防范风险的制度和措施,没有一套完善的信息系统风险评估体系预防风险,当遇到信息安全的突发事件时,只能被动地采用“救火式”的方法处理风险危机,使得信息系统面临的风险不断增加。为了及时应对信息系统面临的各种风险威胁,各个部门、各个环节应密切配合、协调,对高校信息安全面临的各种风险及应对策略应进行调研分析,建立信息安全的风险评估体系,实现风险评估的规范化和制度化,逐步形成监控风险和控制风险的有效机制[5]。
高校信息安全面临的风险一般可以分为技术脆弱性/漏洞风险和非技术性风险[6]。
2.1.1 技术脆弱性/漏洞风险
高校信息系统面临的技术性/漏洞风险主要包括数据存储风险、系统权限设置风险、软件编码风险、硬件设备风险和网络安全风险等。其中数据存储风险主要体现在数据存储空间不足、数据备份策略不健全、数据库安全性低容易导致SQL注入篡改数据库中的数据、数据不被加密在传输过程中容易被篡改或删除、数据库结构不合理等方面;系统设置权限风险主要体现在访问控制策略失效、系统访问权限过大、客户身份认证失败等;软件编码风险主要体现在操作失误、系统漏洞、系统接口不安全、代码健壮性差、系统运行环境改变等;硬件设备风险主要体现在服务器配置过低、物理设备损坏、网络带宽不足、网络硬件防护设备不齐全等;网络安全风险主要体现在网络恶意攻击使网络瘫痪、服务劫持、拒绝服务、利用端口漏洞破坏系统、内外网设置缺陷、网站挂马、非法访问系统、窃取和篡改网络传输数据等。
2.1.2 非技术性风险
高校信息系统面临的非技术性风险主要包括人为疏忽行为、管理不到位、技术失效、蓄意行为和不可抗拒风险等。其中人为疏忽行为主要体现在由于人为过失或非法操作导致服务器硬件损坏,系统和数据无法恢复等;管理不到位主要体现在没有安装杀毒软件、没有做系统备份策略和系统安全防护策略等;技术失效主要体现在硬件寿命设计缺陷、软件服务到期、软件后门等;蓄意行为主要体现在恶意软件、系统设备带木马程序、蓄意泄漏机密文件、黑客与信息敲诈等;不可抗拒风险主要体现为地震、雷击等自然灾害造成的风险。
在对信息安全进行风险评估时,可以根据风险评估等级、风险发生概率大小、风险影响大小、控制风险的难易程度和风险管理的成本,给出处理与应对风险的相应策略,供高校决策部门和相关技术部门参考,来降低风险对信息系统的影响。高校应对信息安全面临风险的应对策略主要有风险规避、风险转嫁、风险预防、风险控制、风险承受和风险追踪等。其中风险规避是高校在风险发生之前,采取相关技术措施消除风险因素,避免风险发生;风险转嫁是高校不能完全避免风险发生时,为了降低风险造成的损失,将风险转嫁给其他组织或个人承担,并支付风险承担者一定费用;风险预防是高校在风险发生之前密切监视风险的动态,采取相应风险防范措施,以降低风险发生的概率;风险控制是高校在风险发生时采取各种技术手段降低风险影响后果,缩小风险影响范围等;风险承受是高校在综合考虑控制风险难度、控制风险花费、风险发生概率和高校风险承受能力等情况下,选择自行承担风险的方式;风险追踪是高校在发现风险时,对风险的来源及发起者进行跟踪,查到根源后追究其相应责任,客观上可以降低风险发生的频率。
高校信息安全风险评估过程包括风险评估目标确定、风险识别、风险评价、风险控制策略选择和风险评估效果分析几个环节,这些环节是相辅相成,缺一不可的。
风险评估目标是高校开展信息安全风险评估的首要步骤。高校在对信息安全进行风险评估时,应当制定准确的风险评估目标。风险评估目标主要包括风险评价标准、风险因素标准、风险控制目标、风险控制费用标准、风险防范措施制定、风险评估效果评价、风险发生后果影响等。
风险识别是高校信息安全风险评估过程中最重要也最难的环节。风险识别直接关系到风险评价结果及风险等级的确定,关系到风险控制策略的选择,如果不能正确识别风险,就不能采取正确的风险控制策略去规避和控制风险,会大大增加风险发生的可能性。
风险评价是高校信息安全风险评估过程中的主要环节。它主要包括对风险成因、发生概率、影响范围、威胁程度、损失大小等因素进行定性和定量分析,通过特定的风险评估方法进行测算分析,确定风险的等级及危害程度。
高校在综合考虑风险承受能力、风险控制费用、风险危害程度、风险发生概率和风险评估目标等因素的基础上,根据风险评价结果,选取相应的风险控制策略,来降低风险发生的概率及带来的危害。
风险评估效果分析是高校结合自身的实际情况对风险评估等级的判断是否准确、风险识别的准确性、风险评估目标是否达标、风险控制策略是否得当、风险评估过程的科学性、风险评估数据和算法的合理性进行综合分析的过程。它对高校提高信息安全风险评估的准确性和科学性有一定的指导作用。
高校信息安全风险评估是一个系统化工程。建立高校信息安全评估体系,加强风险防范意识,可以使高校有效预防和控制信息安全中出现的各种风险,降低风险发生的概率,减少风险带来的损失,为高校的稳定发展提供重要保障。
[1]刘莹,顾卫东.信息安全风险评估研究综述[J].青岛大学学报:工程技术版,2008(6):37-43
[2]徐辉.高校风险评估管理体系研究[J].浙江工贸职业技术学院学报,2008(9):59-64.
[3]李鹤田,刘云,等.信息系统安全风险评估研究综述[J].中国安全科学学报,2006(1):108-113.
[4]卫成业.信息安全风险评估模型[J].学术与技术,2002(4)10-15.
[5]陈健,吉久明,等.基于单威胁分析的高校综合信息安全风险评估方法研究[J].情报杂志2013(2):169-173.
[6]丁倩,刘天桢.基于结构方程模型的两类信息安全风险综合评估[J].武汉理工大学学报:信息与管理工程版,2014(12):862-865.
[7]杨永清,孙媛媛.高校信息安全风险评估探索[J].科技情报开发与经济,2006(6):100-102.