一种企业信息安全风险评估模型

成昂轩+王健弘

摘要： 随着企业系统的信息化程度不断加深，企业信息安全风险评估迎来了新的挑战。针对当前评估方法指标单一且缺乏直观性特点，该文设计了一种企业信息安全风险评估模型，该模型依据信息安全风险评估流程对信息系统进行风险评估，从系统安全事件的损失和资产价值两个方面描述系统的风险情况，并在二维坐标系上对系统进行划分，直观地描述了系统的风险情况。

关键词：企业信息安全；风险评估；破坏程度；资产价值

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）25-0032-02

Abstract： With the enhancing degree of information technology to of enterprise systems， the enterprise information security risk assessment will be in face of challenges. Because of the single index and lack of intuitive features of the current evaluation methods， we design an enterprise information security risk assessment model， which assesses risks of information systems according to the information security risk assessment process. It describes the system from two respects， the extent of damage about security events and asset value， and classify systems in the two-dimensional coordinate to intuitively describe the risk situation of the system.

Key words： enterprise information security； risk assessment； damage extent； asset value

隨着计算机技术高速发展，企业办公的信息化程度也在不断加深。从纸质化办公到企业信息系统的大规模使用，安全问题伴随着信息化而来，如何对企业信息安全风险进行评估是一个必须要考虑的问题。依据国标GB/T20984-2007中的定义，信息安全风险评估是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学定量评价的过程[1]。

目前信息安全风险评估研究很多，文献[2]介绍的层次分析法是一种定性与定量相结合的多层次交叉分析方法，该方法要求将企业系统分为多个决策对象，将这些决策对象与事先制定的决策标准依次进行两两比较，用这些比较结果进行归一化处理后求和的值来进行风险评估。层次分析法要求对系统进行分割，这增加了方法的复杂性。文献[3]和文献[4]分别采用的基于信息资产和基于安全事件的风险评估方法，文献[3]中风险评估矩阵对信息资产划分不够细致，文献[4]中所采用的系统风险评估方式只有考虑了风险值，较为单一不够全面。

本文所提出的企业信息安全风险评估模型，按照信息安全风险评估流程进行风险评估，从系统安全事件的损失和资产价值两个方面描述系统的风险情况，并在二维坐标系上对系统风险进行划分。文章第1节介绍信息资源的分类以及如何赋值，第2节介绍信息资源脆弱性以及安全威胁识别与评估，第3节介绍企业信息安全风险评估模型，第4节是结束语。

1 企业信息资源分类与赋值

资源调查主要完成资源识别、资源价值计算等工作，是风险评估的基础。资源是指对企业有用的信息或资源，是安全策略保护的对象。资源的存在形式是多种多样的，可以是有形的、无形的，也可以是两者组合形成的信息服务，包括硬件、软件、文档、数据、服务、人员等。由于资源实现了信息相关业务，而资源面临的威胁会导致资源的保密性、可用性、完整性受损，从而造成安全风险事件。

1.1 信息资源分类

企业或机构的信息资源通常会分散存在于各类不同的系统之中，比如人力资源系统、财务统计系统，办公系统等，而对于具有多种业务的企业或机构，各业务部门对应的系统数量可能还会更多。这时首先需要对不同系统之中的信息资源进行恰当分类，基于此才能进行下一步的风险评估工作。对于实际项目中的具体信息资源分类方法，需要评估人员依据企业或机构的具体状况灵活处理。

由于不同类型的资源涉及的属性不同，资源识别的活动需要依据资源分类而开展，依照资源的每个分类，分别调查属于此类的所有资源的相关属性信息。

1.2 信息资源赋值

资源赋值是对资源安全重要性进行的估值。在对企业或机构信息系统的资源进行估值的过程中，除了需要统计信息资源的成本价值之外，更需要考虑该信息资源对于机构或企业信息系统安全的重要性。由于信息资源重要性描述带有主观性，为了保证信息资源赋值的准确性和一致性，需要建立一套统一的信息资源估值标准。

对资源进行估值的过程，也就是分析各类安全事件对其保密性、完整性和可用性影响的过程。安全事件包括人为或突发性引起的对资源破坏，这些破坏可能会导致某些资源毁灭，危及信息系统并使其丧失保密性、完整性和可用性，最终导致经济损失。一般情况下，安全事件影响主要从以下几方面来考虑：（1）违反相关规章制度或法律；（2）影响正常业务进行；（3）造成人员人身伤害；（4）造成企业机密外泄。

通过对信息资源的保密性、完整性和可用性三个安全属性的考察分析，能够基本反映出该资源的价值，最终资源的安全重要性估值是依据上述三个安全属性的赋值级别通过综合评定得出。依据经验，三个安全属性之中，属性值最大的一个对最终的资源估值影响最大，较高的属性值具有较大的权重，资源的整体安全属性赋值与三个安全属性值并不是线性关系，因此采用以下基于对数的经验公式来计算信息资源的安全价值V：endprint

上式中，class表示機密性属性的赋值，Comp表示完整性属性的赋值，Serv表示可用性赋值，[]表示对小数点后第一位四舍五入取整数。从该公式可以看出：赋值最高的属性对最终的资源的安全价值起主导作用。

2 企业信息资源脆弱性以及安全威胁识别与评估

要准确评估企业信息安全存在的风险，必须对企业系统存在的脆弱性进行识别，并根据脆弱性严重程度对它们进行分类，赋予相应的值来衡量威胁程度的大小。系统存在的所有脆弱性是系统安全威胁的一部分，在识别安全威胁的基础上准确评估安全威胁出现概率，可以基于脆弱性严重程度对出安全事件造成的损失进行计算。

2.1 脆弱性识别和严重程度因子确定

依据2009年ISO/IEC SC 27发布的国际标准《SD6：Glossary of Information Security Terms》定义：脆弱性是可以被一个或多个威胁利用的一个或一组资产的弱点，是违反某些环境中安全功能要求的评估对象中的弱点，是在信息系统（包括其安全控制）或其环境的设计及实施中的缺陷、弱点或特性[5]。一般可以从安全策略、访问控制[6]、状态空间和信息安全风险管理[7]等多个角度对脆弱性进行分类。脆弱性严重程度因子一般分为5级，如表1所示。

2.2 安全威胁的识别与评估

安全威胁通常是基于威胁的主体、动机、资源和途径等多个相关属性进行描述。形成威胁的原因可以大致分为认为原因和环境因素。依据人为威胁的动机，人为原因还可以继续细分为恶意与非恶意原因两类。环境因素包含不可抗因素和其他因素。安全威胁对企业或机构信息系统的作用形式主要包括以下三类：直接或者间接的攻击；对信息系统机密性、完整性以及可用性等造成损伤；偶发或蓄意的安全事件。

威胁赋值评估的最主要参数是威胁出现的频率，该参数通常是根据相关的统计数据以及评估者经验进行评估。在评估威胁发生概率过程中，需要综合考虑下面三个方面：（1）过往的安全事件中报告过的安全威胁及其频率的统计；（2）实际环境中通过日志统计以及工具检测发现的安全威胁及其频率的统计；（3）近年来针对整个社会或某些特定行业发布的威胁及其频率统计，以及发布的威胁预警。

可以将安全威胁出现概率进行量化处理，将所有威胁概率（TP）在1.0-0.1范围内量化排序，不同等级分别代表威胁发生的概率的高低，根据这个等级范围，TP为0.1的威胁发生的概率最低，而TP为1的威胁则一定会发生。

3 企业信息安全风险评估模型

风险评估模型要素刻画了信息的安全性，通过对模型中各个要素的估值，能够反映出系统的安全风险状况。信息系统安全风险评估模型的模型要素包括：资源，脆弱性，威胁以及控制措施。图1描述了模型要素之间客观存在的关系。

最终的风险值用（V， L）二维坐标来表示，在实际风险评估中对于不同的企业系统，各个企业标准可能不同。如图3所示，企业可以选定根据各自的资产价值划分和安全事件损失承受标准，定义不同的风险标准即（v， l）来进行分类评估，这样就可以把风险值分为4类，并对这4类分别赋予不同风险等级，另外根据图上点的分布，可以准确掌握每一类的分布情况。

4 总结

本文设计了一种企业信息安全风险评估模型，依据信息安全风险评估流程，分别从信息资源的重要性、威胁发生的频率以及脆弱性的严重程度三个角度对企业信息系统进行评估，采用从安全事件的损失和资产价值两个方面描述系统的风险情况，同时在二维坐标系上对系统进行划分，全面地对企业信息安全威胁的风险进行了评估。

参考文献：

[1] GB/T20984-2007.信息安全技术信息安全风险评估规范.

[2] 曾立梅，蒋文豪.基于AHP法的信息安全风险评估研究[J]. 电脑知识与技术， 2010，6（19）：5129-5131.

[3] 陈芳，赵海，黄镇. 基于信息资产的风险评估方法的研究与实现[J]. 信息技术与标准化， 2014（6）：15-19.

[4] Lulu He. An Enterprise Information Security Risk Assessment and Implementation of The Implementation Method.Peking： Beijing University of Posts and Telecommunications，2010.

[5] ISO/IEC SC 27， SD6：Glossary of Information Security Terms.

[6] 吴世忠，刘晖，郭涛，等. 信息安全漏洞分析基础[M]. 北京：科学出版社， 2013.

[7] Longley. D， Shain M， Caell W. Information Security： Dictionary of Concepts， Standards and Terms. New York， USA： MacMillan， 1992.endprint