信息安全风险管理论文

摘要：随着互联网络、信息技术等的飞速发展，电网企业的网络与信息系统存在着来自内外部的不同的安全风险，有必要对电网企业的信息安全进行风险管理研究。在综合阐述信息安全风险相关理论的基础上，对电网企业信息安全的内容进行了分类说明。深入分析了当前电网企业信息安全面临的各类风险因素及其影响。今天小编为大家推荐《信息安全风险管理论文(精选3篇)》，欢迎阅读，希望大家能够喜欢。

信息安全风险管理论文 篇1：

信息安全风险管理在报业集团管理中的应用

摘要:该文概述了信息安全风险管理的内容和步骤,结合报业集团管理的一些实际情况,论述了信息安全管理在报业集团管理中的应用。

关键词:信息安全风险管理;风险识别;确立目标;风险评估;风险控制和缓解;监控与审查

The Application of ISRM in Newspaper Group

CHEN hua

(Quanzhou Evening Paper,Quanzhou 362000,China)

Key words: Information security risk management; risk identify; establishment object; risk assessment; risk control; monitor and examination

1 引言

目前,全国大部分报社都以采编系统为中心,纷纷建设起财务管理系统、报纸发行管理系统、报纸广告管理系统、印务生产管理系统、资产管理系统、信息内容管理系统等,组建了一个立体的、全方位、功能强大的计算机网络,全面提升了報业的核心竞争力。 但从国内报业信息技术发展的角度来看,我们的信息化应用应进入高端应用阶段,即全面信息化阶段。而随着报业信息化的不断发展, 信息的安全与风险管理问题已经成为报业集团普遍关注的问题。如何进行信息化的风险管理,保障数据和空间的安全,以安全保发展,在发展中求安全成为提高报业集团信息化管理的关键因素之一。

风险管理是信息安全保障工作的一个主流范式,信息安全防范工作越来越基于风险管理。风险管理即人们通过对这些不确定性发生的可能性,以及实际发生以后所产生的影响和后果来评价风险,制定风险等级并采取相应的措施进行防范和应对。

信息安全风险管理的几个内容和步骤包括风险识别、确立目标、风险分析、风险评估、风险控制和监控与审查等内容(图1),目的在于尽可能地降低风险的发生以及风险发生以后所带来的损失和威胁。

2 信息风险管理的几个步骤

1)风险识别:在项目范围内进行安全域划分,按安全程度的高低制定信息风险响应的等级,安全程度越低的风险响应度越高,反之则越低。

2)确立目标:根据要保护系统的业务目标和特性,确定风险管理对象。

3)风险评估:分安全域进行资料搜集和整理,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等。在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表等。

4)风险控制和缓解:实施有效控制,将风险降低到可接受的程度,即力图减小威胁发生的可能性和带来的影响。对于不同安全等级要求的信息和信息系统,以及信息系统的不同阶段,我们都需要选择适当的安全控制方式。大致有降低可能性、减少影响、风险转移、风险规避、风险接受等几种方式。

5)监控与审查:对上述步骤进行监控审查,一是监视和控制风险管理过程,即过程质量管理;二是分析和平衡成本效益,即成本效益管理,以保证效果的有效性。同时跟踪受保护系统自身或所处环境的变化,以保证上述步骤的结果有效性。监控与审查依据对当前步骤的监控和审查结果,控制上述几个步骤的主循环,形成许多局部循环。由此,保证主循环中各步骤的有效性。

3 信息安全风险管理在报业集团管理中的应用

3.1 风险识别是项目风险管理的重要环节

若不能准确地识别项目面临的潜在风险,就会失去处理这些风险的最佳时机。风险识别的基础是历史数据、经验和洞察力,同时严重依赖于关键项目人员的经验和洞察力。

风险识别的方法可依据信息来源的客观和主观性分类。基于客观信息源的风险识别方法之一为流程图法,即每个工程项目建设之初建立一个工程项目的总流程图与各分流程图,它们要展示项目实施的全部活动。它能统一描述项目工作步骤;显示出项目的重点环节;能将实际的流程与想象中的状况进行比较;便于检查工作进展情况。这是一种非常有用的结构化方法,它可以帮助分析和了解项目风险所处的具体环节及各环节之间存在的风险。基于主观信息源的风险识别方法之一为集思广益法,即召集项目的有关人员或邀请相关领域的专家,发挥大家的创造性思维来获取未来信息的一种直观预测和识别方法。通过与会者之间的信息交流和相互启发,从而达到互相补充并产生“组合效应”,使预测和识别的结果更准确。

3.2 确立目标即根据风险识别中制定的响应等级确定风险管理对象

采编系统的正常、安全和高效运作是报业集团管理的核心要素,财务、发行、广告、印刷等系统也是报业集团不可或缺的环节,在不同时期也有着不同程度的重要性。确立目标首先要了解信息系统的业务目标,其次要了解信息系统的业务、管理和技术特性,包括业务内容、业务流程、管理制度及技术支持平台,最后结合该系统当前时期在整个报业集团运作中的地位及安全等级,根据实际情况出具《信息系统安全报告》,以时间进程确定当前及未来的风险管理目标。

3.3 风险评估是针对确立的风险管理对象所面临的风险进行识别、分析和评价

综合了信息资产面临的威胁、存在的弱点、造成的影响的可能性的评估。风险评估包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段。在信息安全风险管理过程中,接受对象确立的输出,为风险控制提供输入,监控与审查和沟通与咨询贯穿其四个阶段,如图2所示。

风险评估在报业信息化安全管理中的具体应用体现在以下几个步骤:

1) 在项目范围内进行安全域划分;如核心数据交换区、接口区、内部系统接入区、外部系统接入区等。

2) 分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与

策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;

3) 在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;

4) 对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。

3.4 风险控制和缓解牵涉到确定风险控制策略、风险和安全控制措施的优先级选定、制定安全计划并实施控制措施等活动

要消减风险,就必须实施相应的安全措施,而实施安全控制措施要有所付出,包括购买、安装、维护等方面所需的人力和物力,所以组织的决策者就应该找到一个利益和代价的平衡点,根据组织的实际情况来选择最恰当的安全措施,将组织面临的风险减少到可接受的水平,使组织资源和利益可能受到的负面影响降低到最低程度。

风险控制方式主要有规避、转移和降低三种方式,在报业集团信息化应用中体现为以下三个方面:

3.4.1 规避方式

通过不使用面临风险的资产来避免风险。比如,将报社的核心业务,如新闻采编、财务、广告等系统与互联网隔离并独立运作,从而防止敏感信息的泄漏,避免外部的有害入侵和不良攻击。

3.4.2 降低方式

通过对面临风险的资产实施有效控制最大化的降低风险。从构成风险的五个方面,即威胁源、威胁行为、脆弱性、资产和影响着手来降低风险。在技术上体现为,采取身份认证措施,提高网络接入的严密性,从而抵制身份假冒这种威胁行为的能力;及时给系统打补丁(特别是针对安全漏洞的补丁),关闭无用的网络服务端口,从而减少系统的脆弱性;建立资产的安全域,从而保证资产不受侵犯;采取容灾备份、应急响应和业务连续计划等措施,从而减少安全事件造成的影响程度。从管理上体现为,通过安全教育和意识培训强化职员的安全意识和操作能力,避免不规范的操作导致风险。

3.4.3 转移方式

通过将面临风险的资产或其价值转移更安全的地方来避免或降低风险。比如,目前许多媒体都开设自己的网站,但要经营和维护好一个网站不但需要一支坚实和过硬的技术团队,并且由于媒体的特殊性,媒体网站的安全性尤为重要。因此有的报业集团为了发展壮大网站,同时也为了规避风险,采取技术外包或第三方维护的方式,将网站的主要服务器架设在电信运营商或某些专业技术公司机房内,由专业技术人员进行维护和管理。

4 结束语

监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失。监控与审查贯穿于整个信息安全风险的进程中,并分别输出相应的监控与审查记录。在风险识别阶段可从资产、威胁性和脆弱性识别的流程、成本与效果进行监控,对时效性进行审查;在目标确立阶段从风险控制的需求、信息系统调查的流程进行监控,对得出的结论进行审查;在风险评估阶段从已有安全措施、威胁源、威胁行为、脆弱性、资产价值和影响程度分析的流程与成本进行监控,对评估产生的效果进行审查;在风险控制阶段从风险控制方式和措施选择的流程、成本及效果进行监控,对实施的时效性进行审查。并且针对各个阶段监控和审查的范围、对象、时间、过程、结果和措施等出具审查记录。

作者：陈　华

信息安全风险管理论文 篇2：

电网企业信息安全风险管理研究

摘要：随着互联网络、信息技术等的飞速发展，电网企业的网络与信息系统存在着来自内外部的不同的安全风险，有必要对电网企业的信息安全进行风险管理研究。在综合阐述信息安全风险相关理论的基础上，对电网企业信息安全的内容进行了分类说明。深入分析了当前电网企业信息安全面临的各类风险因素及其影响。从多个层面提出了控制电网企业信息安全风险的应对措施，在此基础上构建了一套综合、全面的信息安全风险管理体系，从风险事前预防、事前转移、过程控制、事后处理等多个环节进行信息安全风险的管理与防范。

关键词：电网企业；信息安全；风险；应对措施；管理体系

作者简介：王旭（1964-），男，浙江宁波人，新疆电力公司电力科学研究院，高级工程师。（新疆 乌鲁木齐 830011）张建业（1972-），男，浙江浦江人，新疆电力公司科技信通部，高级工程师，华北电力大学经济与管理学院博士研究生。（新疆 乌鲁木齐 830002）

基金项目：本文系国家自然科学基金资助项目（基金号：71271084）的研究成果。

信息安全风险是信息化时代企业发展和内部管理所面临的一个迫切问题，网络化、信息化的飞速发展能够给企业带来无限的发展机遇，同时也让应用信息化技术的企业面临着各种不同的风险威胁，这些风险因素一旦发生，将对企业的日常运营、战略目标的实现甚至长远发展产生无法估计的影响。有效的信息安全风险管理体系对于企业规避信息安全风险、减少不必要的损失具有重要作用。

对于电网企业来说，信息化建设是推动电网企业智能化、现代化等长远发展的核心推动力，但网络病毒、黑客入侵等一系列风险因素，使得电网企业信息安全同样面临着巨大的挑战，必须对电网企业面临的各类信息安全风险进行有效控制，以保证电网企业的信息化内容正常运行。

一、电网企业信息安全风险分析

电网企业的信息安全风险就是企业的信息系统和网络等面临的来自各方面的风险威胁，各种内外部的、潜在的和可知的危险可能会带来的风险威胁等。随着网络环境的复杂性不断增加，新的信息技术的不断应用发展，电网企业的信息安全面临的风险因素也更为繁多复杂，同时由于其注重信息安全的行业特点，电网企业的信息安全风险管理面临的压力更大。为此需要对这些风险因素进行规范、合理的识别分析，进而建立综合的风险管理体系。

电网企业的信息安全面临着来自不同层次、多个方面的风险因素，有来自外部环境的风险威胁，也有企业内部的风险影响；有技术方面的安全风险，也有人员操作方面的安全风险等。具体的信息安全风险因素主要包括以下几个方面：

1.木马病毒入侵的安全风险

随着网络技术的不断发展、电网企业内外部网络环境的日益成熟和网络应用的不断增多，各种病毒也更为复杂、难解。木马等病毒的传染、渗透、传播的能力变得异常强大，其入侵方式也由以前的单一、简单变得隐蔽、复杂，尤其是Internet网络和企业网络环境为木马等病毒的传播和生存提供了可靠的环境。

2.黑客非法攻击的安全风险

近年来各种各样的黑客非法攻击异常频繁，成为困扰世界范围内众多企业的问题。由于黑客具有非常高超的计算机技术能力，他们经常利用计算机设备、信息系统、网络协议和数据库等方面的缺陷与漏洞，通过运用网络监听、密码破解、程序渗透、信息炸弹等手段侵入企业的计算机系统，盗窃企业的保密信息、重要数据、业务资料等，从而进行信息数据破坏或者占用系统的资源等。

3.信息传递过程的安全风险

由于电网企业与很多的外部企业、研究机构等有着广泛的工作联系与业务合作，因此很多日常信息、数据资料等都需要通过互联网进行传输沟通，在这个传输过程中的各类信息都会面临各种不同的安全风险。

4.权限设置的安全风险

信息系统根据不同的业务内容对不同的部门、员工开放不同的系统模块，用户根据其登陆的权限设置访问其范围内的系统内容。每个信息系统都有用户管理功能，对用户权限进行管理和控制，能够在一定程度上增加安全性，但仍然存在一定的问题。很多电网企业内都存在不同的信息系统，各系统之间都是独立存在，没有统一的用户管理，使用起来极不方便，难以保证用户账号的有效管理和使用安全。另外，电网企业的信息系统的用户权限管理功能设置过于简单，不能够灵活实现更为详细的权限控制等。

5.信息设备损坏产生的安全风险

电网企业内的各类业务信息、数据资料、工作内容等信息都是依托于相应的软硬件设备而存储、传递、应用的，当这些计算机硬件设备、信息系统、数据存储设备、用电支撑设备等由于企业内外部不同作用力的影响而出现瘫痪、停止工作等突发状况时，会带来重要信息内容的泄露、丢失等安全风险隐患。

6.人员操作失误形成的安全风险

电网企业内的专业信息技术人员、业务人员、管理人员对信息系统的操作能力存在一定的差异，一些人员的意识较为陈旧、操作能力较差，在对信息系统、网络连接、数据库等的应用过程中，由于对这些技术内容不熟悉从而产生了一些错误操作，为此产生了许多意想不到的安全风险。同时，在运用过程中存在的思想偏差、理解偏误、粗心大意等导致的误操作也会产生相应的安全风险。

7.技术更新变化带来的安全风险

当前的信息技术、系统开发、网络应用、数据库存储等都在日新月异地飞速变化，几乎每天都会发生更新换代的升级变化，没有任何的信息技术能够长时间使用。电网企业原有信息系统等设备进行升级换代或者与新的数据库内容进行新旧结合以及转换时，会因为兼容性差、不能匹配等原因造成一定的信息安全风险。

二、信息安全风险应对机制

电网企业的信息安全承担着极为重要的作用，而其面临的安全风险也是多方面的，仅从信息系统、技术设备的单一角度进行信息安全风险管理远远不够，对于其他很多潜在的风险因素难以有效应对。因此需要从信息技术技术、企业管理、风险控制等多个维度来建立相应的措施，以应对可能出现的各类风险，从而从硬性技术层面到柔性管理层次形成多维度的风险管理手段。电网企业信息安全风险应对机制框架结构如图1所示。

电网企业的信息安全风险管理应对机制是以风险控制角度为核心、信息技术角度为支持、企业管理角度为保障的双向支持、互为影响的一个环状模型，三者之间紧密配合、共同发挥风险应对的作用，具体内容如表1所示。

三、信息安全风险管理体系

电网企业信息安全风险管理体系是进行信息安全风险管理的核心内容，其他的制度建设等方面的应对机制都是为了更好地使风险管理体系发挥有效的作用，能够在不同的情况下进行信息安全风险威胁的提前预防、风险发生时的控制、事后风险影响的结果处理等。

电网企业信息安全风险管理体系框架结构如图2所示。

1.信息安全风险评估

电网企业信息安全风险评估是风险管理体系的第一部分，风险评估效果的好坏直接影响着后面风险管理环节的执行情况。通过风险评估的准确执行，能够有效识别、分析各种不同风险的种类、来源、影响程度等内容，为后续的风险预防、控制等奠定良好的基础。

信息安全风险评估主要由风险案例库、风险因素分析系统、风险定量定性转化系统、数据统计归纳库、风险分析结果传输体系等构成，通过几个模块的有机结合来科学分析评估电网企业遇到的各类信息安全风险因素。

2.风险事前预防

电网企业信息安全风险事前预防就是在风险没有发生时对各种风险进行提前预防，通过建立的预防计划方案来提前避免风险的发生，从而保证信息的安全性。这是风险管理体系希望达到的最佳效果，因此该环节非常重要。

通过对风险案例库的经常性学习，使相关部门和人员对各类风险有了总体的认识和了解；通过建立相应的风险预警装置来提前警告风险的发生，使电网企业能够提前采取措施来避免风险发生；运用信息安全风险管理制度加强员工的行为能力，避免风险产生；通过信息技术的相关配置，从信息系统、网络、数据等方面提前对一些病毒风险等进行处理。

出色地执行电网企业的信息安全风险预防工作，能够避免很多不必要的麻烦，从而有效减少后面风险控制工作内容。

3.风险威胁转移

将可能发生或者即将到来的信息安全风险有效转移到其他的地方，可使得安全风险没有在电网企业的信息系统中发生，避免了风险带来的威胁损害。风险转移同风险的事前预防一样，能够在很大程度上将信息安全风险带来的威胁降低到最小，避免其带来的各类损失。

4.风险过程控制

在对信息安全造成威胁的风险发生时，采取各种方法、手段进行风险的最小化控制，使风险本身随着控制的进行而逐渐变小甚至消失，将风险发生后造成的影响降低到最小或者控制在能够承受的合理范围内。

主要从信息系统、数据库、网络系统、计算机基础设备等技术方面进行控制；从制度、标准、规范等管理层面进行控制；从人员培训、部门协调等组织结构层面进行控制；从风险发生时制定的风险控制措施、计划进行控制；形成动态反馈的风险发生、控制效果的反馈机制，以便及时对控制方案进行调整完善。

5.风险事后处理

信息安全风险发生后，对电网企业的信息系统、网络、数据库等造成一定的影响，已经没有时间进行及时有效的风险控制，此时的工作重点在于如何采取挽救措施对风险造成的信息安全损失进行弥补，将其影响程度降低到最低。

从电网企业的信息安全风险评估开始，到信息安全风险的预防、风险发生时的控制以及风险后果的处理，对整个过程进行深入的分析、总结，发现风险管理体系存在诸多不足和缺陷，控制计划在某些方面需要进行改进完善。将本次发生的信息安全风险控制过程整理进入案例库，以便下次的风险预防借鉴。

电网企业信息安全风险管理体系中的各个流程环节都是按照一定的流程顺序、风险发生种类、大小而进行的，其具体的流程如图3所示。

6.非常态风险应急处理

在电网企业对信息安全进行风险管理的过程中，有时会出现一些案例库、控制计划之外的非常态风险，这些风险没有以往成功的风险管理经验可以借鉴，这时就需要在电网企业信息安全风险管理体系中建立相应的非常态风险应急处理模块。

电网企业信息安全非常态风险应急处理主要是当意外的紧急风险发生时，能够迅速启动应急预案组织相关人员进行风险应对控制、风险预防和控制等；若风险已经发生，此时能够及时还原数据、隔离外部风险入侵，使信息系统、网络、数据库在最快的时间内恢复正常运作。

四、总结

本文通过对电网企业信息安全重要性进行分析，提出了建立信息安全风险管理体系应对各种内外部风险威胁的必要性。在对电网企业信息安全的概念、特点等分析说明的基础上，深入研究了电网企业的信息安全所面临的各种不同的风险因素，建立了包括信息技术、企业管理、风险控制三个方面在内的电网企业信息安全风险应对机制。结合所建立的电网企业信息安全风险应对机制，本文构建了一套综合、全面的电网企业信息安全风险管理体系。该体系的构建能够从事前风险预防、事中风险控制、事后风险影响后果处理等三个环节进行全面的风险管理。

参考文献

[1]张浩，詹辉红，钱洪珍.电网企业信息安全管理体系建设中的风险管理实践[J].电力信息技术，2010，8（6）：21-24.

[2]刘金霞.电力企业给予风险管理的信息安全保障体系建设[J].网络安全技术与应用，2008，（1）：42-44.

[3]刘莹，顾卫东.信息安全风险评估研究综述[J].青岛大学学报（工程技术版），2008，23（2）：37-43.

[4]叶尔江，刘怀兴，张刚，等.基于和谐管理的信息安全风险管理研究[J].情报杂志，2006，（1）：10-11.

[5]王甜，徐晖，魏理豪，等.电力信息安全保障体系建设研究[J].广东电力，2010，23，（5）：38-42.

（责任编辑：孙晴）

作者：王旭?张建业?马鹏程

信息安全风险管理论文 篇3：

信息安全风险管理现状及发展趋势

摘要：梳理了三代风险管理，并对六因素在信息安全情境中的应用不足进行了分析，分析了开发基于业务的信息安全管理框架以及定量风险评估的迫切性。

关键词：信息安全 业务安全 风险管理

Business Based Information Security Risk Management Framework

Jia Haiyun， Zhang Chao （Inner Mongolia Autonomous Region Public Security Department）

Xie Zongxiao （China Financial Certification Authority）

Key words： information security， business security， risk management

1 风险管理及其模型

风险管理是组织管理活动的一部分，其管理的主要对象就是潜在的风险。GB/T 23694—2013 / ISO Guide 73：2009《风险管理 术语》认为，风险管理是由一系列的活动所组成，这些活动包括了标识、评价和处理以及可能影响组织正常运行事件的整个过程。

随着概率论的研究和发展，风险概念不再仅存在于原先的感性认识上。美国学者Haynes最早对风险进行了分类，对风险的本质进行了分析，并且首次定义风险为损失发生的可能性，这些研究为风险管理奠定了理论基础。1955年，美国宾夕法尼亚大学沃顿商学院的Schneider提出了“风险管理”的概念，从此使其逐渐发展成一门学科。20世纪70年代以后逐渐掀起了全球性的风险管理运动，法国、日本相继学习美国开始了风险管理研究。

风险管理的方法和实践最早应用于金融保险行业，在信息安全行业的应用比较晚[1]。由于行业不同，金融领域成功地实现了风险的定量化[2]，例如，风险价值模型（Value at Risk，VaR）。但是到目前为止，信息安全风险管理依然是以定性方法为主、定量方法为辅，并没有从根本上解决理论基础或数量化的问题。因此，应用于信息安全的风险管理大多是建立在简单的模型之上。当然，这并不意味着不够有效。Milton Friedman1）在论文The Methodology of Positive Economics中提出，一个模型的成功与否应该从预测功能方面来评价，而不是根据模型是否能有效地抓住所有现实世界中的细节来评价。也就是说，模型可以是简单的，只要能够预测未来和提高做决策过程的效率就是好的。一个简单的事实是，如果模型与客观世界的细节尽量吻合，那么任何条件的微小改变都会使模型失去原来的意义。因此，模型一般要简化复杂的结构，从而突出那些最重要的因素。也就是说，一个“好的”模型是那些可以帮助分析者从纷繁芜杂的背景中分离重要的变量的模型。

2 信息安全风险管理的发展

一般认为，信息安全风险管理实践到目前大致经历了三次飞跃[3]。

第一代实践产生于集中式的大型机领域。假设面临的威胁环境是一定的，风险通过测量为这些设施预先设好的一系列的安全措施的遵守程度来計算或评价。这时候基本是利用检查表和基本的风险评估方法来选择信息系统的安全控制。当网络日益增多，计算环境越来越趋向于分布式时，第一代信息安全风险管理实践显然已经远远不能满足要求。

第二代方法，NIST2）开发出风险的通用框架，在风险评估中形成6个概念：资产（asset）、脆弱性（vulnerability）、威胁（threat）、可能性（likelihood）、影响（impact）和防护措施（safeguard）。第二代实践可以使分析师识别并评估资产，识别并完成威胁和脆弱性的评估等工作从而得到风险的大小。也可以执行简单的定量评估，例如ALE（Annual Loss Expectancy）法。整体而言，这代实践是针对单个的资产或者系统的。

第三代信息风险管理实践应该是对“整个系统”的评估而不是单独的系统或资产。这种框架是在整个组织业务运行风险的前提下构建的。因此，必须要搞明白与组织运行环境相关的所有因素，例如，组织目标、组织结构和文档体系等。在安全处理的问题上必须重视成本效益分析，这种成本效益分析的目的是使组织的收益最大化，而不是仅仅为了信息系统本身更加安全。这种更加注重整体的信息安全风险评估方法与组织业务休戚相关，从而使得安全不但是信息系统设计不可或缺的一部分，也是整个组织业务运营不可或缺的一部分。

信息风险管理方法和实践的发展历程，和技术在业务中的应用过程一样，从零星应用到大型机，到分布式作业环境，最后集成到业务运行各个方面，成为不可分割的一部分。在风险管理已经被公认为良好管理一部分的今天，其方法必然随着业务环境的改变和新技术的不断涌现而继续发展。

3 信息安全风险管理的框架

风险管理一般包括风险评估和风险处置的过程[4]，这在ISO 31000：2018《风险管理 指南》等标准中都有详细的描述，风险评估是风险管理中最为复杂和审慎的过程，在讨论框架时，包括上述三代风险管理框架的划分，实际都是以风险评估所应用的不同模型/方法来区分的，并没有可以强调风险评估和风险管理的不同，这可能主要是因为风险处置的过程一般都比较流程化，不需要复杂的模型。同理，在很多文献中，会用更细的风险分析过程来表征整体风险管理的框架。这是因为风险分析又是风险评估中最重要的步骤。

虽然原则上说，信息安全风险管理已经发展到第三代，但实际情况是，目前实践中，占主流的评估方法还是经典“六因素法”，即风险是资产、威胁、脆弱性、控制措施、可能性和影响的函数，其中的6个因素也可以简化为4个因素，因为“可能性”和“影响”是由前面的因素计算或推导而来。

普遍认为，风险存在两个最重要的维度，即可能性和影响。在目前常见的标准中，例如，ISO/IEC 27005：2018《信息安全风险管理》[5]，NIST SP800-30 Rev.1《风险评估实施指南》 以及GB/T 20984—2007《信息安全技术 信息安全风险评估规范》[6]等，应该如何计算风险，对这6个因素的处理，不尽相同，各有组合或者算法，但万变不离其宗，整体而言，还是应该通过资产、威胁、脆弱性和控制措施来获得风险发生的可能性和发生后的影响。

基于这样的共识，目前信息安全事件的风险建模，就是建立在安全事件发生的可能性和影响上，例如，文献[7]提出了一个真正定量的模型，用泊松分布：N～Poisson（λ）来刻画事件发生的可能性，用对数正态分布（logarithmic normal distribution）为基础的一个拼接分布来刻画事件发生后的影响。

以损失建模作为理论依据的定量风险评估，可能是以后信息安全风险评估最重要的发展方向。因为唯有定量的度量风险，如同VaR法那样，才能为决策者提供有力的依据。目前定性评估的结果体现为风险等级（rank），实际只是给出组织内部风险相对的大小，这样的列表很难作为投资依据。

4 由基于资产转向基于业务的评估

经典“六因素法”在信息安全情境中的不足还是较为明显的。

首先，也是最重要的一点，“六因素法”起源于航天、核工业和化工等这样的重工业领域，在这些领域中，保护资产是最重要的目标，在“六因素法”中表现得也很明确，其中从识别资产开始，后续的威胁和脆弱性实际都是围绕资产展开的。这是因为，例如，在航天工业中，最重要的资产和待保护的资产是一致的，可能是待发射的火箭。在信息安全情境中有所不同，最重要的资产是信息系统中存储的“信息”和信息系统能够提供的“服务”[8]，但是绝大部分的控制往往都是针对信息系统的，例如，防火墙、防病毒和入侵检测系统（IDS）等。在实践中，最为直观的评估对象也是信息系统。这就导致了信息安全风险评估中引用“六因素法”的效果，并没有原来的应用情境更契合。

其次，由于威胁脆弱性对作用的对象，在信息安全情境中，与具体的控制往往对应不起来，所以容易导致风险评估和结果以及最后的风险控制，实际上并没有很完整的逻辑链条，而是取决于评估者的直觉，或者定性的判断。这种情况在重工业中并不存在，仍然以航天为例，因为其中评估和控制的对象都是要保护的最重要的资产。

如果评估对象改为“信息”，那么信息纷繁芜杂，以每条信息都要识别威胁脆弱性对来实施，根本不现实。因此，应该将评估对象定位在与“服务”类似的概念，即“业务”。虽然业务或者服务是一个虚拟概念，并没有直观的物理实体与之对应，但是并不难梳理，由于以业务为主线可以分为诸多子业务，信息系统正是为了保障这些业务或子业务的正常运行而存在的。至此，信息安全风险评估分为基于保护业务的评估和基于保护数据的评估两种，基于业务的评估更偏重于“可用性”，基于数据的评估则偏重于“机密性”和“完整性”。当然，从更广义角度来看，数据也是为了保障其业务。这都可以列入基于业务的风险管理之列。

5 結论与讨论

综上所述，基于资产的经典“六因素法”在应用中还是存在一定的实际问题，在本文中分析了问题产生的原因，以及后续可能的发展方向，首先，基于损失建模的定量风险评估应该是之后的主流方向之一;其次，如果依然延续目前的定量分析框架，评估对象也尽量不能以识别资产开始，而是应该从识别业务作为起点。

参考文献

[1] 赵战生，谢宗晓. 信息安全风险评估 概念、方法和实践：第2版[M]. 北京：中国标准出版社，2016.

[2] 谢宗晓，刘振华，张文卿.VaR法在信息安全风险评估中的应用探讨[J].微计算机信息， 2006（18）：76-77+131.

[3] WRIGHT M . Third Generation Risk ManagementPractices [J]. Computer Fraud & Security， 1999（2）：9-12.

[4] 谢宗晓.信息安全风险管理相关词汇定义与解析[J].中国标准导报，2016（4）：26-29.

[5] 谢宗晓，许定航.ISO/IEC 27005：2018解读及其三次版本演化[J].中国质量与标准导报， 2018（9）：16-18.

[6] 谢宗晓，刘立科.信息安全风险评估/管理相关国家标准介绍[J].中国标准导报， 2016（5）：30-33.

[7] BOUVERET A. Cyber Risk for the Financial Sector： AFramework for Quantitative Assessment [DB/OL].IMF Working Papers. https：//www.elibrary.imf.org/.

[8] 公安部信息系统安全标准化技术委员会. 信息安全技术网络安全等级保护定级指南：GA/T 1389—2017[S]. 北京：中国标准出版社， 2017.

作者：贾海云 张超 谢宗晓