1、信息平安風(fēng)險(xiǎn)評(píng)估模型設(shè)計(jì)分析 摘要：從企業(yè)內(nèi)部業(yè)務(wù)出發(fā)，優(yōu)化信息平安風(fēng)險(xiǎn)評(píng)估根本模型，設(shè)計(jì)了一個(gè)企業(yè)信息平安風(fēng)險(xiǎn)自評(píng)估施行模型，并深化分析了該模型的內(nèi)容，使其適用于企業(yè)依托自身力量來(lái)有效開展自評(píng)估活動(dòng)，從而進(jìn)步企業(yè)信息平安風(fēng)險(xiǎn)防護(hù)才能。關(guān)鍵詞：信息平安；自評(píng)估；風(fēng)險(xiǎn)評(píng)估；模型設(shè)計(jì)企業(yè)信息平安風(fēng)險(xiǎn)評(píng)估主要有2種形式，即他評(píng)估和自評(píng)估。相比擬而言，自評(píng)估展現(xiàn)出越來(lái)越多的優(yōu)點(diǎn)，比方外部依賴性小、投入費(fèi)用低、評(píng)估周期短、次生風(fēng)險(xiǎn)低和可以進(jìn)步內(nèi)部平安意識(shí)等。除此之外，信息平安風(fēng)險(xiǎn)的動(dòng)態(tài)化決定信息平安評(píng)估工作應(yīng)是長(zhǎng)期持續(xù)的，大局部的內(nèi)部信息平安風(fēng)險(xiǎn)評(píng)估內(nèi)容企業(yè)可采用自評(píng)估方式來(lái)完成。但信息平安風(fēng)險(xiǎn)評(píng)估的專

2、業(yè)性、技術(shù)性、標(biāo)準(zhǔn)性比擬高，企業(yè)難以掌握復(fù)雜的評(píng)估技術(shù)和方法。本文以企業(yè)業(yè)務(wù)為出發(fā)點(diǎn)，對(duì)信息平安風(fēng)險(xiǎn)評(píng)估根本模型進(jìn)展優(yōu)化，設(shè)計(jì)了一個(gè)更適用于企業(yè)依托自身力量來(lái)有效開展自評(píng)估的施行模型，以進(jìn)步企業(yè)信息平安風(fēng)險(xiǎn)防護(hù)才能。1信息平安風(fēng)險(xiǎn)評(píng)估根本模型對(duì)風(fēng)險(xiǎn)評(píng)估模型的研究一直是信息平安風(fēng)險(xiǎn)評(píng)估領(lǐng)域的研究熱點(diǎn)之一。風(fēng)險(xiǎn)評(píng)估根本模型是一種基于資產(chǎn)、威脅和脆弱性的信息平安風(fēng)險(xiǎn)評(píng)估模型。其中，資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)展相對(duì)估價(jià)，估價(jià)準(zhǔn)那么依賴于對(duì)其影響范圍的分析；威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性和威脅嚴(yán)重程度的評(píng)估；脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估，也是對(duì)資產(chǎn)被威脅、利用成功的可能性的評(píng)估。信息平安風(fēng)險(xiǎn)評(píng)估根

3、本模型的評(píng)估過(guò)程就是對(duì)資產(chǎn)信息、威脅信息和脆弱性信息進(jìn)展綜合分析評(píng)估并且生成風(fēng)險(xiǎn)信息的過(guò)程，包含確定評(píng)估范圍、資產(chǎn)識(shí)別階段、平安威脅/脆弱性評(píng)估、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理等階段。基于信息平安風(fēng)險(xiǎn)評(píng)估根本模型，很多學(xué)者從不同角度和目的做了優(yōu)化和完善。但是，信息平安風(fēng)險(xiǎn)評(píng)估模型的研究還處于探究和完善階段，已有的研究存在一些缺陷，主要表現(xiàn)為以下3點(diǎn)：缺乏對(duì)評(píng)估內(nèi)容的逐層細(xì)化，難以評(píng)價(jià)和量化各要素，可操作性比擬差；缺乏對(duì)風(fēng)險(xiǎn)評(píng)估根本要素屬性的綜合考慮，難以表達(dá)評(píng)估要素與企業(yè)業(yè)務(wù)的關(guān)系；大局部模型比擬復(fù)雜，評(píng)估方法和流程操作起來(lái)費(fèi)時(shí)費(fèi)力，企業(yè)難以采用。2基于根本模型的企業(yè)信息平安自評(píng)估模型針對(duì)信息平安風(fēng)險(xiǎn)評(píng)估

4、模型的缺乏，本文綜合考慮企業(yè)自身的業(yè)務(wù)和內(nèi)部約束條件，在根本模型和相關(guān)研究成果的根底上，提出更加簡(jiǎn)單、有效的企業(yè)信息平安風(fēng)險(xiǎn)自評(píng)估模型。本文認(rèn)為，企業(yè)信息平安風(fēng)險(xiǎn)自評(píng)估模型應(yīng)遵循自主、簡(jiǎn)單、標(biāo)準(zhǔn)性、可行性和可擴(kuò)展性的原那么，根本思路是從企業(yè)業(yè)務(wù)出發(fā)，多角度研究自評(píng)估模型中資產(chǎn)、威脅、脆弱性的關(guān)系和指標(biāo)，應(yīng)用相關(guān)統(tǒng)計(jì)分析方法統(tǒng)計(jì)，運(yùn)用層次分析法AHP評(píng)價(jià)、量化相關(guān)要素和風(fēng)險(xiǎn)，最終構(gòu)建一個(gè)科學(xué)、合理、可操作的企業(yè)自評(píng)估模型。在此過(guò)程中，需要解決3方面的問(wèn)題：明確評(píng)估的對(duì)象、內(nèi)容和流程；構(gòu)建評(píng)價(jià)方法，統(tǒng)一評(píng)估和度量風(fēng)險(xiǎn)根本要素；統(tǒng)一不同層面、角度的評(píng)估結(jié)果。AHPAnalyticHierarchyP

5、rocess，層次分析法是一種定性分析與定量分析相結(jié)合的多目的決策分析方法，其根本步驟是：分析問(wèn)題，建立遞階構(gòu)造評(píng)價(jià)模型；構(gòu)造比擬判斷矩陣；層次單排序；一致性檢驗(yàn)；層次總排序與一致性檢驗(yàn)；選擇最優(yōu)的解決方案。資產(chǎn)、威脅、脆弱性作為信息平安風(fēng)險(xiǎn)自評(píng)估模型的3個(gè)根本要素，需要分別識(shí)別和分析，并提煉出各自的評(píng)價(jià)指標(biāo)。本文結(jié)合已有的理論和理論成果，從自主性、簡(jiǎn)單性、可行性和科學(xué)性原那么出發(fā)，基于相關(guān)標(biāo)準(zhǔn)、企業(yè)環(huán)境和企業(yè)業(yè)務(wù)影響分析，提出信息資產(chǎn)的評(píng)價(jià)因素應(yīng)包含經(jīng)濟(jì)、聲譽(yù)、法律法規(guī)、業(yè)務(wù)運(yùn)營(yíng)、社會(huì)秩序、商業(yè)利益和個(gè)人利益，等等，威脅可能性評(píng)價(jià)指標(biāo)應(yīng)包含威脅攻擊力、威脅動(dòng)機(jī)、資產(chǎn)誘因和威脅頻率等，脆弱性嚴(yán)

6、重程度賦值的評(píng)價(jià)因素應(yīng)包含可用性、機(jī)密性和完好性。根據(jù)資產(chǎn)受到損害時(shí)對(duì)其評(píng)價(jià)因素帶來(lái)的損失為資產(chǎn)價(jià)值賦值比方從14取值，數(shù)值越大，說(shuō)明資產(chǎn)價(jià)值越高。得到各評(píng)價(jià)因素的綜合分值后，分值最大的為該資產(chǎn)的價(jià)值，即資產(chǎn)價(jià)值為Amaxi。根據(jù)威脅評(píng)價(jià)指標(biāo)和脆弱性評(píng)價(jià)因素，利用AHP方法建立威脅、脆弱性評(píng)價(jià)體系，體系由目的層、準(zhǔn)那么層和指標(biāo)層方案層構(gòu)成。為了方便對(duì)不同威脅發(fā)生可能性概率、不同脆弱性的嚴(yán)重程度進(jìn)展類比、度量，使用統(tǒng)一的度量標(biāo)準(zhǔn)，采用相對(duì)等級(jí)的方式處理評(píng)價(jià)結(jié)果比方從14取值，數(shù)值越大，威脅發(fā)生的可能性越高，帶來(lái)的損害越大。通過(guò)AHP用數(shù)量形式表達(dá)和處理個(gè)人主觀判斷結(jié)果，采用專家和團(tuán)隊(duì)評(píng)分進(jìn)一步比

7、擬各要素的重要性，并做一致性檢驗(yàn)，最終確定各要素的值。在對(duì)資產(chǎn)價(jià)值、威脅、脆弱性分析和量化后，還要確定各要素之間的組合方式和詳細(xì)的計(jì)算方法。?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?2022對(duì)風(fēng)險(xiǎn)值的計(jì)算提出了如下函數(shù)：風(fēng)險(xiǎn)值RA，T，VRLT，V，F(xiàn)Ia，Va.1式1中：R為平安風(fēng)險(xiǎn)計(jì)算函數(shù)；A為資產(chǎn)；T為威脅；V為脆弱性；L為威脅利用資產(chǎn)的脆弱性導(dǎo)致平安事件的可能性；F為平安事件發(fā)生后造成的損失；Ia為平安事件所作用的資產(chǎn)價(jià)值；Va為脆弱性嚴(yán)重程度。信息平安風(fēng)險(xiǎn)值的計(jì)算方法主要有矩陣法、相乘法和預(yù)先價(jià)值矩陣查表法等，并且可以將多種方法結(jié)合使用。因?yàn)橄喑朔ú僮骱?jiǎn)單，所以，在風(fēng)險(xiǎn)分析中的應(yīng)用比擬廣泛。該方法是一

8、種定量的計(jì)算方法，主要思路是利用2個(gè)相關(guān)要素值的乘積計(jì)算出結(jié)果要素的值。按照簡(jiǎn)單性、科學(xué)性原那么，對(duì)于企業(yè)自評(píng)估，本文認(rèn)為，相乘法比擬合適企業(yè)使用，但不限于該方法。根據(jù)相乘法，企業(yè)信息平安風(fēng)險(xiǎn)值的計(jì)算過(guò)程是：計(jì)算威脅利用資產(chǎn)的脆弱性導(dǎo)致平安事件的可能性，即LLT，VTxV；計(jì)算平安事件發(fā)生后造成的損失，即FFIa，VaIaxVa；計(jì)算風(fēng)險(xiǎn)值，即RRL，F(xiàn)LxF.企業(yè)信息平安風(fēng)險(xiǎn)自評(píng)估的根本目的是根據(jù)企業(yè)自身業(yè)務(wù)，識(shí)別出信息系統(tǒng)中存在的主要平安風(fēng)險(xiǎn)，并排列優(yōu)先級(jí)，為風(fēng)險(xiǎn)信息計(jì)算提供數(shù)據(jù)支撐，進(jìn)而為提出風(fēng)險(xiǎn)應(yīng)對(duì)措施提供建議。基于上述方法，本文提出了企業(yè)信息平安風(fēng)險(xiǎn)自評(píng)估模型，如圖1所示。企業(yè)信息平

9、安風(fēng)險(xiǎn)自評(píng)估模型的施行分為范圍確定、資產(chǎn)識(shí)別與量化、威脅分析、脆弱性分析、風(fēng)險(xiǎn)分析與計(jì)算、風(fēng)險(xiǎn)應(yīng)對(duì)建議6個(gè)階段，每個(gè)階段的詳細(xì)任務(wù)如圖2所示。本文提出的自評(píng)估模型綜合了企業(yè)自評(píng)估的約束條件、風(fēng)險(xiǎn)評(píng)估的根本原理、關(guān)鍵環(huán)節(jié)與流程、根本要素度量等，具有以下5個(gè)特點(diǎn)：模型提供了統(tǒng)一的資產(chǎn)、威脅、脆弱性3個(gè)根本要素的度量和評(píng)價(jià)方法，根據(jù)模型中的評(píng)價(jià)指標(biāo)可以進(jìn)展量化和排序。模型將企業(yè)業(yè)務(wù)與風(fēng)險(xiǎn)評(píng)估結(jié)合起來(lái)，表達(dá)了IT效勞企業(yè)、效勞業(yè)務(wù)的理念，在一定程度上反映出了信息平安風(fēng)險(xiǎn)評(píng)估對(duì)業(yè)務(wù)的影響程度和對(duì)企業(yè)的價(jià)值。模型滿足信息平安的動(dòng)態(tài)性要求，適應(yīng)企業(yè)業(yè)務(wù)不斷開展和調(diào)整的需要。當(dāng)業(yè)務(wù)調(diào)整時(shí)，企業(yè)僅需分析業(yè)務(wù)信息流，識(shí)別出相關(guān)資產(chǎn)、威脅和脆弱性等。模型滿足信息平安的持續(xù)性要求，企業(yè)可建立相關(guān)制度，將自評(píng)估設(shè)立為日常性工作。當(dāng)業(yè)務(wù)無(wú)法調(diào)整時(shí)，自評(píng)估活動(dòng)僅需識(shí)別和分析新的脆弱性和威脅信息，從而節(jié)省大量資源。模型具有較強(qiáng)的適應(yīng)性，適用于不同類型的企業(yè)，企業(yè)可根據(jù)實(shí)際情況裁減和優(yōu)化，根據(jù)各自的偏好選擇風(fēng)險(xiǎn)計(jì)算方法。3完畢語(yǔ)本文在研究國(guó)內(nèi)外風(fēng)險(xiǎn)評(píng)估模型、風(fēng)險(xiǎn)分析方法的根底上，結(jié)合企業(yè)內(nèi)部進(jìn)展信息平安風(fēng)險(xiǎn)自評(píng)估的需求和難點(diǎn)，提出了一種適用于企業(yè)內(nèi)部自評(píng)估的信息平安風(fēng)