公務(wù)員期刊網(wǎng) 精選范文 資產(chǎn)安全評(píng)估范文

資產(chǎn)安全評(píng)估精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的資產(chǎn)安全評(píng)估主題范文,僅供參考,歡迎閱讀并收藏。

資產(chǎn)安全評(píng)估

第1篇:資產(chǎn)安全評(píng)估范文

關(guān)鍵詞:網(wǎng)絡(luò)安全;風(fēng)險(xiǎn)評(píng)估;模糊綜合評(píng)價(jià)

0前言

網(wǎng)絡(luò)安全正逐漸成為一個(gè)國(guó)際化的問(wèn)題,每年全球因計(jì)算機(jī)網(wǎng)絡(luò)的安全系統(tǒng)被破壞而造成的經(jīng)濟(jì)損失達(dá)數(shù)千億美元。網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念,有效的安全策略或方案的制定,是網(wǎng)絡(luò)信息安全的首要目標(biāo)。安全風(fēng)險(xiǎn)評(píng)估是建立網(wǎng)絡(luò)防護(hù)系統(tǒng),實(shí)施風(fēng)險(xiǎn)管理程序所開(kāi)展的一項(xiàng)基礎(chǔ)性工作。

然而,現(xiàn)有的評(píng)估方法在科學(xué)性、合理性方面存在一定欠缺。例如:評(píng)審法要求嚴(yán)格按照BS7799標(biāo)準(zhǔn),缺乏實(shí)際可操作性;漏洞分析法只是單純通過(guò)簡(jiǎn)單的漏洞掃描或滲透測(cè)試等方式對(duì)安全資產(chǎn)進(jìn)行評(píng)估;層次分析法主要以專家的知識(shí)經(jīng)驗(yàn)和統(tǒng)計(jì)工具為基礎(chǔ)進(jìn)行定性評(píng)估。針對(duì)現(xiàn)有網(wǎng)絡(luò)安全評(píng)估方法中出現(xiàn)的這些問(wèn)題,本文擬引用一種定性與定量相結(jié)合,綜合化程度較高的評(píng)標(biāo)方法——模糊綜合評(píng)價(jià)法。

模糊綜合評(píng)價(jià)法可根據(jù)多因素對(duì)事物進(jìn)行評(píng)價(jià),是一種運(yùn)用模糊數(shù)學(xué)原理分析和評(píng)價(jià)具有“模糊性”的事物的系統(tǒng)分析方法,它是一種以模糊推理為主的定性與定量相結(jié)合、非精確與精確相統(tǒng)一的分析評(píng)價(jià)方法。該方法利用模糊隸屬度理論把定性指標(biāo)合理的定量化,很好的解決了現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法中存在的評(píng)估指標(biāo)單一、評(píng)估過(guò)程不合理的問(wèn)題。

1關(guān)于風(fēng)險(xiǎn)評(píng)估的幾個(gè)重要概念

按照ITSEC的定義對(duì)本文涉及的重要概念加以解釋:

風(fēng)險(xiǎn)(Risk):威脅主體利用資產(chǎn)的漏洞對(duì)其造成損失或破壞的可能性。

威脅(Threat):導(dǎo)致對(duì)系統(tǒng)或組織有害的,未預(yù)料的事件發(fā)生的可能性。

漏洞(Vulnerabmty):指的是可以被威脅利用的系統(tǒng)缺陷,能夠增加系統(tǒng)被攻擊的可能性。

資產(chǎn)(Asset):資產(chǎn)是屬于某個(gè)組織的有價(jià)值的信息或者資源,本文指的是與評(píng)估對(duì)象信息處理有關(guān)的信息和信息載體。

2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型

2.1網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中的評(píng)估要素

從風(fēng)險(xiǎn)評(píng)估的角度看,信息資產(chǎn)的脆弱性和威脅的嚴(yán)重性相結(jié)合,可以獲得威脅產(chǎn)生時(shí)實(shí)際造成損害的成功率,將此成功率和威脅的暴露率相結(jié)合便可以得出安全風(fēng)險(xiǎn)的可能性。

可見(jiàn),信息資產(chǎn)價(jià)值、安全威脅和安全漏洞是風(fēng)險(xiǎn)評(píng)估時(shí)必須評(píng)估的三個(gè)要素。從風(fēng)險(xiǎn)管理的角度看,這三者也構(gòu)成了邏輯上不可分割的有機(jī)整體:①信息資產(chǎn)的影響價(jià)值表明了保護(hù)對(duì)象的重要性和必要性。完整的安全策略體系中應(yīng)當(dāng)包含一個(gè)可接受風(fēng)險(xiǎn)的概念;②根據(jù)IS0-13335的定義,安全威脅是有能力造成安全事件并可能造成系統(tǒng)、組織和資產(chǎn)損害的環(huán)境因素??梢酝ㄟ^(guò)降低威脅的方法來(lái)降低安全風(fēng)險(xiǎn),從而達(dá)到降低安全風(fēng)險(xiǎn)的目的;③根據(jù)IS0-13335的觀點(diǎn),漏洞是和資產(chǎn)相聯(lián)系的。漏洞可能為威脅所利用,從而導(dǎo)致對(duì)信息系統(tǒng)或者業(yè)務(wù)對(duì)象的損害。同樣,也可以通過(guò)彌補(bǔ)安全漏洞的方法來(lái)降低安全風(fēng)險(xiǎn)。

從以上分析可以看出,安全風(fēng)險(xiǎn)是指資產(chǎn)外部的威脅因素利用資產(chǎn)本身的固有漏洞對(duì)資產(chǎn)的價(jià)值造成的損害,因此風(fēng)險(xiǎn)評(píng)估過(guò)程就是資產(chǎn)價(jià)值、資產(chǎn)固有漏洞以及威脅的確定過(guò)程。

即風(fēng)險(xiǎn)R=f(z,t,v)。其中:z為資產(chǎn)的價(jià)值,v為網(wǎng)絡(luò)的脆弱性等級(jí),t為對(duì)網(wǎng)絡(luò)的威脅評(píng)估等級(jí)。

2.2資產(chǎn)評(píng)估

資產(chǎn)評(píng)估是風(fēng)險(xiǎn)評(píng)估過(guò)程的重要因素,主要是針對(duì)與企業(yè)運(yùn)作有關(guān)的安全資產(chǎn)。通過(guò)對(duì)這些資產(chǎn)的評(píng)估,根據(jù)組織的安全需求,篩選出重要的資產(chǎn),即可能會(huì)威脅到企業(yè)運(yùn)作的資產(chǎn)。資產(chǎn)評(píng)估一方面是資產(chǎn)的價(jià)值評(píng)估,針對(duì)有形資產(chǎn);另一方面是資產(chǎn)的重要性評(píng)估,主要是從資產(chǎn)的安全屬性分析資產(chǎn)對(duì)企業(yè)運(yùn)作的影響。資產(chǎn)評(píng)估能提供:①企業(yè)內(nèi)部重要資產(chǎn)信息的管理;②重要資產(chǎn)的價(jià)值評(píng)估;③資產(chǎn)對(duì)企業(yè)運(yùn)作的重要性評(píng)估;④確定漏洞掃描器的分布。

2.3威脅評(píng)估

安全威脅是可以導(dǎo)致安全事故和信息資產(chǎn)損失的活動(dòng)。安全威脅的獲取手段主要有:IDS取樣、模擬入侵測(cè)試、顧問(wèn)訪談、人工評(píng)估、策略及文檔分析和安全審計(jì)。通過(guò)以上的威脅評(píng)估手段,一方面可以了解組織信息安全的環(huán)境,另一方面同時(shí)對(duì)安全威脅進(jìn)行半定量賦值,分別表示強(qiáng)度不同的安全威脅。

威脅評(píng)估大致來(lái)說(shuō)包括:①確定相對(duì)重要的財(cái)產(chǎn),以及其價(jià)值等安全要求;②明確每種類型資產(chǎn)的薄弱環(huán)節(jié),確定可能存在的威脅類型;③分析利用這些薄弱環(huán)節(jié)進(jìn)行某種威脅的可能性;④對(duì)每種可能存在的威脅具體分析造成損壞的能力;⑤估計(jì)每種攻擊的代價(jià);⑥估算出可能的應(yīng)付措施的費(fèi)用。

2.4脆弱性評(píng)估

安全漏洞是信息資產(chǎn)自身的一種缺陷。漏洞評(píng)估包括漏洞信息收集、安全事件信息收集、漏洞掃描、漏洞結(jié)果評(píng)估等。

通過(guò)對(duì)資產(chǎn)所提供的服務(wù)進(jìn)行漏洞掃描得到的結(jié)果,我們可以分析出此設(shè)備提供的所有服務(wù)的風(fēng)險(xiǎn)狀況,進(jìn)而得出不同服務(wù)的風(fēng)險(xiǎn)值。然后根據(jù)不同服務(wù)在資產(chǎn)中的權(quán)重,結(jié)合該服務(wù)的風(fēng)險(xiǎn)級(jí)別,可以最后得到資產(chǎn)的漏洞風(fēng)險(xiǎn)值。

3評(píng)估方法

3.1傳統(tǒng)的評(píng)估方法

關(guān)于安全風(fēng)險(xiǎn)評(píng)估的最直接的評(píng)估模型就是,以一個(gè)簡(jiǎn)單的類數(shù)學(xué)模型來(lái)計(jì)算風(fēng)險(xiǎn)。即:風(fēng)險(xiǎn)=威脅+脆弱+資產(chǎn)影響

但是,邏輯與計(jì)算需要乘積而不是和的數(shù)學(xué)模型。即:風(fēng)險(xiǎn)=威脅x脆弱x資產(chǎn)影響

3.2模糊數(shù)學(xué)評(píng)估方法

然而,為了計(jì)算風(fēng)險(xiǎn),必須計(jì)量各單獨(dú)組成要素(威脅、脆弱和影響)?,F(xiàn)有的評(píng)估方法常用一個(gè)簡(jiǎn)單的數(shù)字指標(biāo)作為分界線,界限兩邊截然分為兩個(gè)級(jí)別。同時(shí),因?yàn)轱L(fēng)險(xiǎn)要素的賦值是離散的,而非連續(xù)的,所以對(duì)于風(fēng)險(xiǎn)要素的確定和評(píng)估本身也有很大的主觀性和不精確性,因此運(yùn)用以上評(píng)估算法,最后得到的風(fēng)險(xiǎn)值有很大的偏差。用模糊數(shù)學(xué)方法對(duì)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)評(píng)估進(jìn)行研究和分析,能較好地解決評(píng)估的模糊性,也在一定程度上解決了從定性到定量的難題。在風(fēng)險(xiǎn)評(píng)估中,出現(xiàn)誤差是很普遍的現(xiàn)象。風(fēng)險(xiǎn)評(píng)估誤差的存在,增加了評(píng)估工作的復(fù)雜性,如何把握和處理評(píng)估誤差,是評(píng)估工作的難點(diǎn)之一。

在本評(píng)估模型中,借鑒了模糊數(shù)學(xué)概念和方法中比較重要的部分。這樣做是為了既能比較簡(jiǎn)單地得到一個(gè)直觀的用戶易接受的評(píng)估結(jié)果,又能充分考慮到影響評(píng)估的各因素的精度及其他一些因素,盡量消除因?yàn)樵u(píng)估的主觀性和離散數(shù)據(jù)所帶來(lái)的偏差。

(1)確定隸屬函數(shù)。

在模糊理論中,運(yùn)用隸屬度來(lái)刻畫客觀事物中大量的模糊界限,而隸屬度可用隸屬函數(shù)來(lái)表達(dá)。如在根據(jù)下面的表格確定風(fēng)險(xiǎn)等級(jí)時(shí),當(dāng)U值等于49時(shí)為低風(fēng)險(xiǎn),等于51時(shí)就成了中等風(fēng)險(xiǎn)。

此時(shí)如運(yùn)用模糊概念,用隸屬度來(lái)刻畫這條分界線就好得多。比如,當(dāng)U值等于50時(shí),隸屬低風(fēng)險(xiǎn)的程度為60%,隸屬中等風(fēng)險(xiǎn)的程度為40%。

為了確定模糊運(yùn)算,需要為每一個(gè)評(píng)估因子確定一種隸屬函數(shù)。如對(duì)于資產(chǎn)因子,考慮到由于資產(chǎn)級(jí)別定義時(shí)的離散性和不精確性,致使資產(chǎn)重要級(jí)別較高的資產(chǎn)(如4級(jí)資產(chǎn))也有隸屬于中級(jí)級(jí)別資產(chǎn)(如3級(jí)資產(chǎn))的可能性,可定義如下的資產(chǎn)隸屬函數(shù)體現(xiàn)這一因素:當(dāng)資產(chǎn)級(jí)別為3時(shí),資產(chǎn)隸屬于二級(jí)風(fēng)險(xiǎn)級(jí)別的程度為10%,隸屬于三級(jí)風(fēng)險(xiǎn)級(jí)別的程度為80%,屬于四級(jí)風(fēng)險(xiǎn)級(jí)別的程度為10%。

威脅因子和漏洞因子的隸屬度函數(shù)同樣也完全可以根據(jù)評(píng)估對(duì)象和具體情況進(jìn)行定義。

(2)建立關(guān)系模糊矩陣。

對(duì)各單項(xiàng)指標(biāo)(評(píng)估因子)分別進(jìn)行評(píng)價(jià)??扇為各單項(xiàng)指標(biāo)的集合,則U=(資產(chǎn),漏洞,威脅);取V為風(fēng)險(xiǎn)級(jí)別的集合,針對(duì)我們的評(píng)估系統(tǒng),則V=(低,較低,中,較高,高)。對(duì)U上的每個(gè)單項(xiàng)指標(biāo)進(jìn)行評(píng)價(jià),通過(guò)各自的隸屬函數(shù)分別求出各單項(xiàng)指標(biāo)對(duì)于V上五個(gè)風(fēng)險(xiǎn)級(jí)別的隸屬度。例如,漏洞因子有一組實(shí)測(cè)值,就可以分別求出屬于各個(gè)風(fēng)險(xiǎn)級(jí)別的隸屬度,得出一組五個(gè)數(shù)。同樣資產(chǎn),威脅因子也可以得出一組數(shù),組成一個(gè)5×3模糊矩陣,記為關(guān)系模糊矩陣R。

(3)權(quán)重模糊矩陣。

一般來(lái)說(shuō),風(fēng)險(xiǎn)級(jí)別比較高的因子對(duì)于綜合風(fēng)險(xiǎn)的影響也是最大的。換句話說(shuō),高的綜合風(fēng)險(xiǎn)往往來(lái)自于那些高風(fēng)險(xiǎn)級(jí)別的因子。因此各單項(xiàng)指標(biāo)中那些風(fēng)險(xiǎn)級(jí)別比較高的應(yīng)該得到更大的重視,即權(quán)重也應(yīng)該較大。設(shè)每個(gè)單項(xiàng)指標(biāo)的權(quán)重值為β1。得到一個(gè)模糊矩陣,記為權(quán)重模糊矩陣B,則B=(β1,β2,β3)。

(4)模糊綜合評(píng)價(jià)算法。

進(jìn)行單項(xiàng)評(píng)價(jià)并配以權(quán)重后,可以得到兩個(gè)模糊矩陣,即權(quán)重模糊矩陣B和關(guān)系模糊矩陣R。則模糊綜合評(píng)價(jià)模型為:Y=BxR。其中Y為模糊綜合評(píng)估結(jié)果。Y應(yīng)該為一個(gè)1x5的矩陣:Y=(y1,y2,y3,y4,y5)。其中yi代表最后的綜合評(píng)估結(jié)果隸屬于第i個(gè)風(fēng)險(xiǎn)級(jí)別的程度。這樣,最后將得到一個(gè)模糊評(píng)估形式的結(jié)果,當(dāng)然也可以對(duì)這個(gè)結(jié)果進(jìn)行量化。比如我們可以定義N=1×y1十2×y2十3×y3×y4十5×y5作為一個(gè)最終的數(shù)值結(jié)果。

4網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估示例

以下用實(shí)例說(shuō)明基于模糊數(shù)學(xué)的風(fēng)險(xiǎn)評(píng)估模型在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用。

在評(píng)估模型中,我們首先要進(jìn)行資產(chǎn)、威脅和漏洞的評(píng)估。假設(shè)對(duì)同樣的某項(xiàng)資產(chǎn),我們進(jìn)行了資產(chǎn)評(píng)估、威脅評(píng)估和漏洞評(píng)估,得到的風(fēng)險(xiǎn)級(jí)別分別為:4、2、2。

那么根據(jù)隸屬函數(shù)的定義,各個(gè)因子隸屬于各個(gè)風(fēng)險(xiǎn)級(jí)別的隸屬度為:

如果要進(jìn)行量化,那么最后的評(píng)估風(fēng)險(xiǎn)值為:PI=1*0.06+2*0.48+3*0.1+4*0.32+5*0.04=2.8。因此此時(shí)該資產(chǎn)的安全風(fēng)險(xiǎn)值為2.8。

參考文獻(xiàn)

[1]郭仲偉.風(fēng)險(xiǎn)分析與決策[M].北京:機(jī)械工業(yè)出版社,1987.

[2]韓立巖,汪培莊.應(yīng)用模糊數(shù)學(xué)[M].北京:首都經(jīng)濟(jì)貿(mào)易大學(xué)出版社,1998.

[3]徐小琳,龔向陽(yáng).網(wǎng)絡(luò)安全評(píng)估軟件綜述[J].網(wǎng)絡(luò)信息安全,2001.

第2篇:資產(chǎn)安全評(píng)估范文

關(guān)鍵詞:電子政務(wù)外網(wǎng);等級(jí)保護(hù)測(cè)評(píng);風(fēng)險(xiǎn)評(píng)估;風(fēng)險(xiǎn)評(píng)估模型

中圖分類號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2014)34-8337-02

1 等級(jí)保護(hù)背景下的電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評(píng)估

電子政務(wù)外網(wǎng)提供非的社會(huì)公共服務(wù)業(yè)務(wù),全國(guó)從中央各部委、到省、市、縣,已經(jīng)形成了一張大龐大的網(wǎng)絡(luò)系統(tǒng),有的地方甚至覆蓋到了鄉(xiāng)鎮(zhèn)、社區(qū)村委會(huì),有效提高了政府從事行政管理和社會(huì)公共服務(wù)效率。今后凡屬社會(huì)管理和公共服務(wù)范疇及不需在國(guó)家電子政務(wù)內(nèi)網(wǎng)上部署的業(yè)務(wù)應(yīng)用,原則上應(yīng)納入國(guó)家政務(wù)外網(wǎng)運(yùn)行,它按照國(guó)家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃,建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級(jí)保護(hù)措施。

隨著政務(wù)外網(wǎng)的網(wǎng)絡(luò)覆蓋的擴(kuò)大及接入的政務(wù)單位越來(lái)越多、政務(wù)外網(wǎng)應(yīng)用的不斷增加,各級(jí)政務(wù)移動(dòng)接入政務(wù)外網(wǎng)的需求也在增加,對(duì)政務(wù)外網(wǎng)的要求和期望越大,網(wǎng)絡(luò)安全和運(yùn)維的壓力也越大,責(zé)任也更大。由于政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離,主要滿足各級(jí)政務(wù)部門社會(huì)管理、公共服務(wù)、市場(chǎng)監(jiān)管和經(jīng)濟(jì)調(diào)節(jié)等業(yè)務(wù)應(yīng)用及公務(wù)人員移動(dòng)辦公、現(xiàn)場(chǎng)執(zhí)法等各類的需要,網(wǎng)絡(luò)和電子政務(wù)應(yīng)用也成為境外敵對(duì)勢(shì)力、黑客等攻擊目標(biāo)。隨著新技術(shù)的不斷涌現(xiàn)和大量使用,也對(duì)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的安全防護(hù)、監(jiān)控、管理等帶來(lái)新的挑戰(zhàn)。按照國(guó)家政務(wù)外網(wǎng)統(tǒng)一規(guī)劃,建立網(wǎng)絡(luò)安全防護(hù)體系、統(tǒng)一的網(wǎng)絡(luò)信任體系和信息安全等級(jí)保護(hù)措施是必須的。

為保障電子政務(wù)外網(wǎng)的安全有效運(yùn)行,我們應(yīng)以風(fēng)險(xiǎn)管理理念來(lái)統(tǒng)籌建設(shè)網(wǎng)絡(luò)和信息安全保障體系。在國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)的大背景下,2011年國(guó)家信息中心下發(fā)了《關(guān)于加快推進(jìn)國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)工作的通知》,強(qiáng)化了電子政務(wù)外網(wǎng)的等級(jí)保護(hù)制度以及等級(jí)測(cè)評(píng)要求,要求對(duì)政務(wù)外網(wǎng)開(kāi)展等級(jí)測(cè)評(píng),全面了解和掌握安全問(wèn)題、安全保護(hù)狀況及與國(guó)家安全等級(jí)保護(hù)制度相關(guān)要求存在的差距,分析其中存在的安全風(fēng)險(xiǎn),并根據(jù)風(fēng)險(xiǎn)進(jìn)行整改[1]。

系統(tǒng)安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng)都是信息系統(tǒng)安全的評(píng)判方法[2,3],其實(shí)它們本沒(méi)有本質(zhì)的區(qū)別,目標(biāo)都是一樣的,系統(tǒng)安全測(cè)評(píng)從系統(tǒng)整體來(lái)對(duì)系統(tǒng)的安全進(jìn)行判斷,風(fēng)險(xiǎn)評(píng)估從風(fēng)險(xiǎn)管理的角度來(lái)對(duì)系統(tǒng)的安全狀況進(jìn)行評(píng)判,而等級(jí)測(cè)評(píng)則是從等級(jí)保護(hù)的角度對(duì)系統(tǒng)的安全進(jìn)行評(píng)判。不管是系統(tǒng)安全測(cè)評(píng)[1]、風(fēng)險(xiǎn)評(píng)估、等級(jí)測(cè)評(píng),風(fēng)險(xiǎn)的風(fēng)險(xiǎn)與計(jì)算都是三者必不可少的部分。

2 電子政務(wù)主要風(fēng)險(xiǎn)評(píng)估方法簡(jiǎn)介

電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)評(píng)估有自評(píng)估、檢查評(píng)估、第三方評(píng)估(認(rèn)證)評(píng)估模式,都需利用一定的風(fēng)險(xiǎn)評(píng)估方法來(lái)進(jìn)行相關(guān)風(fēng)險(xiǎn)的評(píng)估。從總體上來(lái)講,主要有定量評(píng)估、定性評(píng)估兩類。在進(jìn)行電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中,采用的主要風(fēng)險(xiǎn)評(píng)估方法有:OCTAVE、SSE-CMM、FAT(故障樹(shù)方法)、AHP (層次分析)以及因素分析法、邏輯分析法、德?tīng)柗品?、聚類分析法、決策樹(shù)法、時(shí)許模型、回歸模型等方法。研究風(fēng)險(xiǎn)評(píng)估模型的方法可以運(yùn)用馬爾可夫法、神經(jīng)網(wǎng)絡(luò)、模糊數(shù)學(xué)、決策樹(shù)、小波分析等[4-6]。OCTAVE 方法是一個(gè)系統(tǒng)的方法,它從系統(tǒng)的高度來(lái)進(jìn)行信息安全的安全防護(hù)工作,評(píng)估系統(tǒng)的安全管理風(fēng)險(xiǎn)、安全技術(shù)風(fēng)險(xiǎn),它提高了利用自評(píng)估的方式制定安全防范措施的能力。它通過(guò)分析重要資產(chǎn)的安全價(jià)值、脆弱性、威脅的情況,制定起風(fēng)險(xiǎn)削減計(jì)劃,降低重要資產(chǎn)的安全風(fēng)險(xiǎn)。電子政務(wù)外網(wǎng)需要從實(shí)際出發(fā),不能照搬其它評(píng)估方法,根據(jù)電子政務(wù)外網(wǎng)實(shí)際,本設(shè)計(jì)基于OCTAVE 評(píng)估模型,設(shè)計(jì)了一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)分析計(jì)算模型。

3 基于OCTAVE模型的一個(gè)電子政務(wù)外網(wǎng)風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)

3.1 風(fēng)險(xiǎn)評(píng)估中的資產(chǎn)、威脅、脆弱性賦值的設(shè)計(jì)

保密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中的資產(chǎn)價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量,而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。

資產(chǎn)價(jià)值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí),經(jīng)過(guò)綜合評(píng)定得出。綜合評(píng)定方法可以根據(jù)自身的特點(diǎn),選擇對(duì)資產(chǎn)保密性、完整性和可用性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果;也可以根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。本設(shè)計(jì)模型根據(jù)電子政務(wù)外網(wǎng)的業(yè)務(wù)特點(diǎn),依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)進(jìn)行加權(quán)計(jì)算(保密性α+完整性β+和可用性γ),α、β、γ為權(quán)重系數(shù),權(quán)重系數(shù)的確定可以采用專家咨詢法、信息商權(quán)法、獨(dú)立性權(quán)數(shù)等。本設(shè)計(jì)方案采用專家咨詢法。資產(chǎn)、威脅、脆弱性的賦值可以從0-10,賦值越高,等級(jí)越高。

脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性是資產(chǎn)本身存在的,如果沒(méi)有被相應(yīng)的威脅利用,單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。脆弱性識(shí)別的依據(jù)可以是國(guó)際或國(guó)家安全標(biāo)準(zhǔn),也可以是行業(yè)規(guī)范等,如國(guó)家信息安全漏洞共享平臺(tái)(CNVD)漏洞通報(bào)、CVE漏洞、微軟漏洞通報(bào)等。

資產(chǎn)、威脅、脆弱性的識(shí)別與賦值依賴于專家對(duì)三者的理解,不同的人員對(duì)三者的賦值可能不同,甚至差別很大,可能會(huì)不能真實(shí)的反映實(shí)際情況。為了識(shí)別與賦值能準(zhǔn)確反映實(shí)際情況,可以采用一定的方法來(lái)進(jìn)行修正。本設(shè)計(jì)采用頭腦風(fēng)暴法、德?tīng)柗品ㄈカ@取資產(chǎn)、威脅、脆弱性并賦值、最后采用群體決策方法確定資產(chǎn)、威脅、脆弱性的識(shí)別與賦值。這樣發(fā)揮了三個(gè)方法的特點(diǎn),得到的賦值準(zhǔn)確性大大提高。

判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容,評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和(或)有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷[7]。判斷威脅出現(xiàn)的頻率是可能性分析的重要內(nèi)容,如果僅僅從近一兩年來(lái)各種國(guó)內(nèi)、國(guó)際組織的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì),以及的威脅預(yù)警等來(lái)判斷是不太準(zhǔn)確的,因?yàn)樗鼪](méi)有與具體的電子政務(wù)外網(wǎng)應(yīng)用實(shí)際聯(lián)系起來(lái),實(shí)際環(huán)境中通過(guò)檢測(cè)工具(如IPS等)以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)也應(yīng)該考慮進(jìn)去。

本設(shè)計(jì)模型采用綜根據(jù)經(jīng)驗(yàn)和(或)有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷,并結(jié)合具體電子政務(wù)外網(wǎng)實(shí)際,從歷史生產(chǎn)系統(tǒng)的IPS等獲取各種威脅及其頻率的統(tǒng)計(jì),并采用馬兒可夫方法計(jì)算出某個(gè)時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率。馬爾可夫方法是一種定量的方法,具有無(wú)后效性的特點(diǎn),適用于計(jì)算實(shí)時(shí)的動(dòng)態(tài)信息系統(tǒng)威脅發(fā)生概率。它利用IPS等統(tǒng)計(jì)某一時(shí)段的發(fā)生了哪些威脅,構(gòu)建出各種威脅之間的狀態(tài)轉(zhuǎn)移圖,使用馬爾可夫方法計(jì)算出該時(shí)段內(nèi)某個(gè)威脅發(fā)生的概率。計(jì)算出的威脅發(fā)生概率結(jié)果可以進(jìn)行適當(dāng)?shù)奈⒄{(diào),該方法要求記錄的樣本具有代表性。

3.2 風(fēng)險(xiǎn)計(jì)算模型設(shè)計(jì)

通常風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素為資產(chǎn)、威脅、和脆弱性。 在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別,以及已有安全措施確認(rèn)后,將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性,并綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度,判斷安全事件造成的損失對(duì)組織的影響,即安全風(fēng)險(xiǎn)計(jì)算。

風(fēng)險(xiǎn)值=R(資產(chǎn),威脅,脆弱性)= R(可能性(威脅,脆弱性),損失(資產(chǎn)價(jià)值,脆弱性嚴(yán)重程度))??筛鶕?jù)自身電子政務(wù)外網(wǎng)實(shí)際情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值,如目前最常用的矩陣法或相乘法等。矩陣法主要用于兩個(gè)要素值確定一個(gè)要素值的情形,相乘法主要用于兩個(gè)或多個(gè)要素值確定一個(gè)要素值的情形。

本設(shè)計(jì)模型采用風(fēng)險(xiǎn)計(jì)算矩陣方法。矩陣法通過(guò)構(gòu)造一個(gè)二維矩陣,形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系;相乘法通過(guò)構(gòu)造經(jīng)驗(yàn)函數(shù),將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。

在使用矩陣法分別計(jì)算出某個(gè)資產(chǎn)對(duì)應(yīng)某個(gè)威脅i,某個(gè)脆弱性j的風(fēng)險(xiǎn)系數(shù)[Ri,j],還應(yīng)對(duì)某個(gè)資產(chǎn)的總體安全威脅風(fēng)險(xiǎn)值進(jìn)行計(jì)算,某個(gè)資產(chǎn)總體風(fēng)險(xiǎn)威脅風(fēng)險(xiǎn)=Max([Ri,j]),i,j=1,2,3…。組織所有資產(chǎn)的威脅風(fēng)險(xiǎn)值為所有資產(chǎn)的風(fēng)險(xiǎn)值之和。

3.3 對(duì)風(fēng)險(xiǎn)計(jì)算模型的改進(jìn)

在風(fēng)險(xiǎn)值=R(A,T,V)的計(jì)算模型中,由資產(chǎn)賦值、危險(xiǎn)、脆弱性三元組計(jì)算出風(fēng)險(xiǎn)值, 并沒(méi)有把安全防護(hù)措施因素對(duì)風(fēng)險(xiǎn)計(jì)算的影響考慮在內(nèi),該文把風(fēng)險(xiǎn)值=R(A,T,V)改進(jìn)為風(fēng)險(xiǎn)值=R(A,T,V,P),其中P為安全防護(hù)措施因素。P因素不僅影響安全事件的可能性,也影響安全事件造成的損失,把上面的公式改進(jìn)為風(fēng)險(xiǎn)值=R(L(T,V,P),F(xiàn)(Ia,Va,P ))。對(duì)于L(T,V,P),F(xiàn)(Ia,Va,P )的計(jì)算可以采用相乘法等。如果采用矩陣法,對(duì)L(T,V,P)的可以拆分計(jì)算L(T,V,P)=L(L(T,V),L(V,P))。

在計(jì)算出單個(gè)資產(chǎn)對(duì)應(yīng)某個(gè)脆弱性、某個(gè)威脅、某個(gè)防護(hù)措施后的風(fēng)險(xiǎn)值后,還應(yīng)總體上計(jì)算組織內(nèi)整體資產(chǎn)面臨的整體風(fēng)險(xiǎn)。單個(gè)風(fēng)險(xiǎn)(一組風(fēng)險(xiǎn))對(duì)其它風(fēng)險(xiǎn)(一組風(fēng)險(xiǎn))的影響是必須考慮的,風(fēng)險(xiǎn)之間的影響有風(fēng)險(xiǎn)之間的疊加、消減等。有必要對(duì)風(fēng)險(xiǎn)的疊加效應(yīng)、疊加原理、疊加模型進(jìn)行研究。

3.4 風(fēng)險(xiǎn)結(jié)果判定

為實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的控制與管理,可以對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行等級(jí)化處理??蓪L(fēng)險(xiǎn)劃分為10,等級(jí)越高,風(fēng)險(xiǎn)越高。

風(fēng)險(xiǎn)等級(jí)處理的目的是為風(fēng)險(xiǎn)管理過(guò)程中對(duì)不同風(fēng)險(xiǎn)的直觀比較,以確定組織安全策略。組織應(yīng)當(dāng)綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響,提出一個(gè)可接受的風(fēng)險(xiǎn)范圍。對(duì)某些資產(chǎn)面臨的安全風(fēng)險(xiǎn),如果風(fēng)險(xiǎn)計(jì)算值在可接受的范圍內(nèi),則該風(fēng)險(xiǎn)是可接受的,應(yīng)保持已有的安全措施;如果風(fēng)險(xiǎn)計(jì)算值高于可接受范圍的上限值,則該風(fēng)險(xiǎn)是不可接受的,需要采取安全措施以降低、控制或轉(zhuǎn)移風(fēng)險(xiǎn)。另一種確定不可接受的風(fēng)險(xiǎn)的辦法是根據(jù)等級(jí)化處理的結(jié)果,不設(shè)定可接受風(fēng)險(xiǎn)值的基準(zhǔn),對(duì)達(dá)到相應(yīng)等級(jí)的風(fēng)險(xiǎn)都進(jìn)行處理。

參考文獻(xiàn):

[1] 國(guó)家電子政務(wù)外網(wǎng)管理中心.關(guān)于加快推進(jìn)國(guó)家電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)工作的通知[政務(wù)外網(wǎng)[2011]15號(hào)][Z].2011.

[2] 等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估和安全測(cè)評(píng)三者之間的區(qū)別與聯(lián)系[EB/OL].http:///faq/faq.php?lang=cn&itemid=23.

[3] 趙瑞穎.等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、安全測(cè)評(píng)三者的內(nèi)在聯(lián)系及實(shí)施建議[C].第二十次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集,2005.

[4] 李煜川.電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估研究――以數(shù)字檔案館為例[D].蘇州:蘇州大學(xué),2011.

[5] 陳濤,馮平,朱多剛.基于威脅分析的電子政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估模型研究[J].情報(bào)雜志,2011(8):94-99.

第3篇:資產(chǎn)安全評(píng)估范文

實(shí)際上,由于檔案信息有嚴(yán)格的安全保密要求,相當(dāng)一部分檔案信息是需要控制使用的,所以傳統(tǒng)介質(zhì)檔案一旦都數(shù)字化了,必將帶來(lái)新的安全管理問(wèn)題。信息安全的威脅可能來(lái)自內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及信息系統(tǒng)本身所產(chǎn)生的意外事故。而要解決安全問(wèn)題,首先就是要發(fā)現(xiàn)它,而信息安全風(fēng)險(xiǎn)評(píng)估就是發(fā)現(xiàn)數(shù)字化檔案、數(shù)字化檔案館潛在問(wèn)題的最佳工具。

信息安全風(fēng)險(xiǎn)評(píng)估

在實(shí)踐中可以發(fā)現(xiàn),凡是和信息有關(guān)的人、事、物都有可能成為風(fēng)險(xiǎn)源,因此評(píng)估針對(duì)的對(duì)象也就包含了和信息相關(guān)的各種要素,也可以視為廣義上的信息系統(tǒng)。信息安全風(fēng)險(xiǎn)評(píng)估,則是指依據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程,它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響,并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)評(píng)估各要素關(guān)系

現(xiàn)實(shí)世界中影響風(fēng)險(xiǎn)評(píng)估的各種要素相互影響、相互作用。關(guān)系錯(cuò)綜復(fù)雜?!缎畔踩L(fēng)險(xiǎn)評(píng)估指南》用圖來(lái)描述其關(guān)系。

圖中這些要素之間存在著以下關(guān)系:業(yè)務(wù)戰(zhàn)略依賴于資產(chǎn)去完成-資產(chǎn)擁有價(jià)值,單位的業(yè)務(wù)戰(zhàn)略越重要,對(duì)資產(chǎn)的依賴度越高,資產(chǎn)的價(jià)值則就越大;資產(chǎn)的價(jià)值越大則風(fēng)險(xiǎn)越大;風(fēng)險(xiǎn)是由威脅發(fā)起的,威脅越大則風(fēng)險(xiǎn)越大,并可能演變成安全事件,威脅都要利用脆弱性,脆弱性越大則風(fēng)險(xiǎn)越大,脆弱性使資產(chǎn)暴露,是未被滿足的安全需求,威脅要通過(guò)利用脆弱性來(lái)危害資產(chǎn),從而形成風(fēng)險(xiǎn)?資產(chǎn)的重要性和對(duì)風(fēng)險(xiǎn)的意識(shí)會(huì)導(dǎo)出安全需求,安全需求要通過(guò)安全措施來(lái)得以滿足,且是有成本的;安全措施可以抗擊威脅,降低風(fēng)險(xiǎn),減弱安全事件的影響。風(fēng)險(xiǎn)不可能也沒(méi)有必要降為零,在實(shí)施了安全措施后還會(huì)有殘留下來(lái)的風(fēng)險(xiǎn)一部分殘余風(fēng)險(xiǎn)來(lái)自于安全措施可能不當(dāng)或無(wú)效,在以后需要繼續(xù)控制這部分風(fēng)險(xiǎn),另一部分殘余風(fēng)險(xiǎn)則是在綜合考慮了安全的成本與資產(chǎn)價(jià)值后,有意未去控制的風(fēng)險(xiǎn),這部分風(fēng)險(xiǎn)是可以被接受的;殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視,因?yàn)樗赡軙?huì)在將來(lái)誘發(fā)新的安全事件。

數(shù)字檔案館信息安全風(fēng)險(xiǎn)評(píng)估流程

數(shù)字檔案館風(fēng)險(xiǎn)評(píng)估過(guò)程就是在評(píng)估標(biāo)準(zhǔn)的指導(dǎo)下,綜合利用相關(guān)評(píng)估技術(shù),評(píng)估方法、評(píng)估工具,針對(duì)數(shù)字檔案館展開(kāi)全方位的評(píng)估工作的完整過(guò)程。對(duì)數(shù)字檔案館進(jìn)行風(fēng)險(xiǎn)評(píng)估,首先應(yīng)確保風(fēng)險(xiǎn)分析的內(nèi)容與范圍應(yīng)該覆蓋數(shù)字檔案館的整個(gè)體系。應(yīng)包括:數(shù)字檔案館基本情況分析、基本安全狀況調(diào)查、安全組織、政策情況分析、弱點(diǎn)漏洞分析等。風(fēng)險(xiǎn)評(píng)估具體評(píng)估過(guò)程如下:

1 確定資產(chǎn)。資產(chǎn)是數(shù)字檔案館實(shí)現(xiàn)組織目標(biāo)的物質(zhì)基礎(chǔ),威脅都是針對(duì)于資產(chǎn)存在的,確定資產(chǎn)是我們分析威脅、存在脆弱性的必要條件,如果這個(gè)問(wèn)題沒(méi)有解決好,必然影響分析評(píng)估的后續(xù)工作。這一步首先要明確信息資產(chǎn)有哪些,并在此基礎(chǔ)上確定資產(chǎn)價(jià)值,這里研究的價(jià)值是強(qiáng)調(diào)對(duì)數(shù)字檔案館完成目標(biāo)的重要程度,越重要價(jià)值越高。資產(chǎn)的范圍很廣,一切需要加以保護(hù)的東西都算作資產(chǎn),包括:信息資產(chǎn)、紙質(zhì)文件、軟件資產(chǎn)、物理資產(chǎn)、人員、形象和聲譽(yù)、服務(wù)等。資產(chǎn)的評(píng)估應(yīng)當(dāng)從關(guān)鍵業(yè)務(wù)開(kāi)始,最終覆蓋所有關(guān)鍵資產(chǎn)。

2 識(shí)別威脅和脆弱性。資產(chǎn)面臨的風(fēng)險(xiǎn)是由于資產(chǎn)存在脆弱性,而客觀上又存在著利用這些脆弱性阻礙數(shù)字檔案館目標(biāo)實(shí)現(xiàn)的威脅造成的。所以要分析風(fēng)險(xiǎn)就要辨別清楚有什么可供利用的弱點(diǎn),什么樣的人或事會(huì)利用這些弱點(diǎn)。明確了以上問(wèn)題,進(jìn)行評(píng)估才能有的放矢。能對(duì)資產(chǎn)造成威脅的因素包括人、事、物,而脆弱性則可以從管理、技術(shù)等方面來(lái)檢視。

3 識(shí)別當(dāng)前控制措施。當(dāng)我們建立了數(shù)字檔案館之后,或多或少會(huì)有一些相應(yīng)的規(guī)章制度或技術(shù)手段來(lái)維護(hù)信息本身。已經(jīng)采取的措施對(duì)于我們?cè)u(píng)估風(fēng)險(xiǎn)也是必要的,首先需要了解已經(jīng)采取何種措施,并要進(jìn)一步分析這些措施是否完備、是否合理、是否得到了充分執(zhí)行。已采取的措施合理、有力,就可以降低資產(chǎn)面臨的風(fēng)險(xiǎn),如果沒(méi)有措施或雖有措施卻形同虛設(shè)則使得資產(chǎn)完全暴露在威脅之前,沒(méi)有任何屏障。自然風(fēng)險(xiǎn)很高。

4 確定發(fā)生安全事件的可能性和損失。存在脆弱性和威脅并不等于就一定會(huì)有風(fēng)險(xiǎn),因?yàn)榇嗳跣允敲鞔_的而威脅卻是潛在的。潛在的威脅可以轉(zhuǎn)變成為現(xiàn)實(shí)安全事件,也可以消亡。損失只有在威脅轉(zhuǎn)變成為安全事件之后才會(huì)出現(xiàn),為此必須以當(dāng)前的控制措施作為前提分析安全事件發(fā)生的可能性,可能性判斷的準(zhǔn)確與否直接影響著對(duì)風(fēng)險(xiǎn)程度大小的判斷。

5 確定風(fēng)險(xiǎn)大小。在前面工作的基礎(chǔ)上,確定風(fēng)險(xiǎn)就是較為簡(jiǎn)單的工作了。根據(jù)安全事件發(fā)生會(huì)造成的損失和發(fā)生的概率,就可以知道我們面臨的風(fēng)險(xiǎn)。

6 決策。明確了風(fēng)險(xiǎn)大小之后管理者需要做出決定,目前的風(fēng)險(xiǎn)水平是否可以接受?如果不能接受,則要仔細(xì)分析為了減小風(fēng)險(xiǎn)需要做的投入。加強(qiáng)各種安全防范措施是需要成本的,要在成本和風(fēng)險(xiǎn)程度之間做好權(quán)衡。面對(duì)前面工作的成果,管理者需要決定下一步采取何種措施。在分析和決策過(guò)程中,要盡可能多地讓更多的人參與進(jìn)來(lái),從管理層的代表到業(yè)務(wù)部門的主管,從技術(shù)人員到非技術(shù)人員。

7 執(zhí)行。最后的步驟是安全措施的實(shí)施。實(shí)施過(guò)程要始終在監(jiān)督下進(jìn)行,以確保決策能夠貫穿于工作之中。在實(shí)施的同時(shí),要密切注意和分析新的威脅并對(duì)控制措施進(jìn)行必要的修改。在信息系統(tǒng)的運(yùn)行過(guò)程中,絕對(duì)安全的措施是不存在的:攻擊者不斷有新的方法繞過(guò)或擾亂系統(tǒng)中的安全措施;系統(tǒng)的變化會(huì)帶來(lái)新的脆弱點(diǎn);實(shí)施的安全措施會(huì)隨著時(shí)間而過(guò)時(shí)等等,所有這些表明,信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估過(guò)程是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程,應(yīng)周期性地對(duì)信息系統(tǒng)安全進(jìn)行重新評(píng)估。

數(shù)字檔案館信息安全風(fēng)險(xiǎn)評(píng)估要素識(shí)別

風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性三個(gè)基本要素。識(shí)別出三個(gè)要素是進(jìn)行評(píng)估的基本條件。

1 資產(chǎn)識(shí)別

資產(chǎn)是以信息為核心與信息利用有關(guān)的一切形式的要素集合。通常信息資產(chǎn)的保密性、完整性和可用性是公認(rèn)的能夠反映資產(chǎn)安全特性的三個(gè)要素。信息資產(chǎn)安全特性的不同也決定了其信息價(jià)值的不同,以及存在的弱點(diǎn)、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制都各不相同。數(shù)字檔案館中的信息資產(chǎn)可以簡(jiǎn)要分為以下幾類:數(shù)據(jù)、軟件、硬件、服務(wù)、文檔、設(shè)備,人員及其他,其中檔案,尤其是某些重要檔案是資產(chǎn)中的核心。

2 脆弱性識(shí)別

脆弱性是資產(chǎn)本身存在的不足,它一旦被利用就會(huì)導(dǎo)致?lián)p失。值得注意的是,脆弱性雖然客觀存在,但它本身不會(huì)造成損失,它只有被威脅利用之后,才會(huì)帶來(lái)?yè)p害。所以對(duì)那些沒(méi)有安全威脅的弱點(diǎn)可以不需要實(shí)施安全保護(hù)措施,但他們必須記錄下來(lái)以確保當(dāng)環(huán)境、條件有所變化時(shí)能隨之加以改變。需要注意的是不正確的、起不到應(yīng)有作用的或沒(méi)有正確實(shí)施的安全保護(hù)措施本身就可能是一個(gè)安全薄弱環(huán)節(jié)。

對(duì)于數(shù)字檔案館來(lái)說(shuō),存在的脆弱性主要是以下幾點(diǎn):缺乏足夠的信息安全技術(shù)人才,信息工作管理不規(guī)范,相關(guān)管理者缺乏進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的意識(shí);具體工作人員信息技能不高。

3 威脅識(shí)別

第4篇:資產(chǎn)安全評(píng)估范文

風(fēng)險(xiǎn)評(píng)估技術(shù)常用的工具一般有滲透測(cè)試工具和脆弱性掃描工具。滲透測(cè)試工具一般常使用人工結(jié)合滲透測(cè)試工具進(jìn)行,常用的Web滲透測(cè)試工具有IBMAppScan、AWVS、HPWEBinspect,通常需對(duì)漏洞進(jìn)行人工驗(yàn)證,以確定漏洞準(zhǔn)確性。脆弱性掃描工具主要用于評(píng)估網(wǎng)絡(luò)或主機(jī)存在的系統(tǒng)漏洞,常見(jiàn)工具有Nessus,能對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行掃描并形成脆弱性報(bào)告。此外,在風(fēng)險(xiǎn)評(píng)估過(guò)程中,除了利用上述工具來(lái)發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)外,還需要利用系統(tǒng)現(xiàn)有數(shù)據(jù)來(lái)進(jìn)行現(xiàn)狀分析和趨勢(shì)分析,這其中常用的手段有:入侵檢測(cè)日志分析、主機(jī)日志分析、應(yīng)用系統(tǒng)日志分析、主機(jī)/網(wǎng)絡(luò)檢查表等。

風(fēng)險(xiǎn)評(píng)估流程

1總體流程

根據(jù)風(fēng)險(xiǎn)評(píng)估中包含的各個(gè)要求,要分別進(jìn)行實(shí)施,整體的風(fēng)險(xiǎn)評(píng)估流程如圖3所示。

2風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段

通過(guò)做好準(zhǔn)備工作,能夠大大提升風(fēng)險(xiǎn)評(píng)估的效果,降低項(xiàng)目實(shí)施風(fēng)險(xiǎn),該階段是風(fēng)險(xiǎn)評(píng)估整個(gè)過(guò)程的重要組成部分。風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段一般應(yīng)包含如下工作內(nèi)容:明確風(fēng)險(xiǎn)評(píng)估范圍、確定風(fēng)險(xiǎn)評(píng)估目標(biāo)、組建項(xiàng)目團(tuán)隊(duì)、設(shè)定系統(tǒng)性風(fēng)險(xiǎn)評(píng)估方法、整體風(fēng)險(xiǎn)評(píng)估方案獲得高層批準(zhǔn)。

3資產(chǎn)識(shí)別階段

資產(chǎn)識(shí)別主要針對(duì)現(xiàn)有的信息資產(chǎn)進(jìn)行分類識(shí)別和描述,在識(shí)別的基礎(chǔ)上從信息安全的角度,機(jī)密性、完整性和可用性對(duì)其進(jìn)行賦值,確定信息資產(chǎn)的價(jià)值,作為影響分析的基礎(chǔ),典型資產(chǎn)類別可以分為:網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、安全設(shè)備、物理環(huán)境、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)、文檔、組織和人員等。

4脆弱性識(shí)別

脆弱性評(píng)估常被稱作弱點(diǎn)評(píng)估,是風(fēng)險(xiǎn)評(píng)估的重要工作,通過(guò)脆弱性評(píng)估能夠發(fā)現(xiàn)信息資產(chǎn)存在的弱點(diǎn)。弱點(diǎn)是資產(chǎn)本身存在的,它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點(diǎn)包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性分類可分為技術(shù)脆弱性和管理脆弱性,其中技術(shù)脆弱性又可以細(xì)分為:物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全5個(gè)方面。

5威脅識(shí)別

威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī),人為因素又可分為惡意和非惡意兩種。

環(huán)境因素包括自然界不可抗的因素和其他物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊,在機(jī)密性、完整性或可用性等方面造成損害,也可能是偶發(fā)的或蓄意的事件。對(duì)威脅識(shí)別的簡(jiǎn)單方法就是對(duì)威脅進(jìn)行分類,針對(duì)不同的威脅,可以根據(jù)其表現(xiàn)形式將威脅識(shí)別分為以下幾類:軟硬件故障、物理環(huán)境影響、無(wú)作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴等。威脅分析方法首先需要考慮威脅的來(lái)源,然后分析存在哪些威脅種類,最后做出威脅來(lái)源和威脅種類的交叉表進(jìn)行威脅賦值。

6風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性3個(gè)基本要素,每個(gè)要素有各自的屬性。資產(chǎn)的屬性是資產(chǎn)價(jià)值;威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。

風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容

信息安全風(fēng)險(xiǎn)評(píng)估包含的內(nèi)容涉及信息安全管理和技術(shù),同時(shí)包括網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)等不同的技術(shù)層面,但根據(jù)保險(xiǎn)行業(yè)的特定需求,總體定位在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)架構(gòu)方面的技術(shù)評(píng)估。主要內(nèi)容包括:

1)信息資產(chǎn)的調(diào)查,主要針對(duì)網(wǎng)絡(luò)拓?fù)洌W(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備等。

2)網(wǎng)絡(luò)架構(gòu)弱點(diǎn)評(píng)估,針對(duì)目前的網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行弱點(diǎn)分析。

3)網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)弱點(diǎn)評(píng)估,針對(duì)設(shè)備目前的系統(tǒng)配置進(jìn)行分析,確認(rèn)其是否達(dá)到應(yīng)有的安全效果,結(jié)合滲透測(cè)試的手段。

4)現(xiàn)有安全控制措施,通過(guò)分析目前的安全控制措施,綜合總結(jié)網(wǎng)絡(luò)架構(gòu)和設(shè)備的弱點(diǎn)。

5)整體網(wǎng)絡(luò)威脅和風(fēng)險(xiǎn)分析,綜合分析網(wǎng)絡(luò)中面臨的威脅和可能的風(fēng)險(xiǎn),形成總體安全現(xiàn)狀。

6)建議安全措施和規(guī)劃。根據(jù)風(fēng)險(xiǎn)評(píng)估的成果和建設(shè)目標(biāo),形成建議的安全措施和時(shí)間進(jìn)度,建立1-2年的信息安全規(guī)劃。

項(xiàng)目實(shí)施成果

根據(jù)以上工作內(nèi)容,項(xiàng)目的最終成果包括:

1)信息資產(chǎn)清單和分析結(jié)果。清晰明確系統(tǒng)和網(wǎng)絡(luò)信息資產(chǎn),明確其機(jī)密性、完整性和可用性的安全目標(biāo),同時(shí)確定資產(chǎn)的重要類別;必要時(shí)可以建立內(nèi)部的信息資產(chǎn)庫(kù)。

2)系統(tǒng)和網(wǎng)絡(luò)脆弱性報(bào)告。明確服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)和安全設(shè)備可能存在的弱點(diǎn)。

3)系統(tǒng)和網(wǎng)絡(luò)威脅報(bào)告。根據(jù)已有的弱點(diǎn)分析目前可能面臨的威脅和威脅發(fā)生后對(duì)業(yè)務(wù)、系統(tǒng)和網(wǎng)絡(luò)造成的影響。

4)安全現(xiàn)狀報(bào)告?;陲L(fēng)險(xiǎn)的安全現(xiàn)狀總體分析報(bào)告,明確目前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

5)建議安全措施和規(guī)劃。從技術(shù)和管理的角度提出后期進(jìn)行系統(tǒng)建設(shè)的安全控制措施。

結(jié)語(yǔ)

第5篇:資產(chǎn)安全評(píng)估范文

關(guān)鍵詞:風(fēng)險(xiǎn)評(píng)估;FMEA;資產(chǎn)價(jià)值;威脅;脆弱性;失效影響;風(fēng)險(xiǎn)值

中圖分類號(hào):C93 文獻(xiàn)標(biāo)識(shí)碼:A

原標(biāo)題:FMEA信息安全風(fēng)險(xiǎn)評(píng)估模型在檢驗(yàn)檢疫系統(tǒng)內(nèi)的應(yīng)用

收錄日期:2014年8月26日

一、背景

1998年3月,成立了中華人民共和國(guó)出入境檢驗(yàn)檢疫局(國(guó)家進(jìn)出口商品檢驗(yàn)局、原農(nóng)業(yè)部動(dòng)植物檢疫局和原衛(wèi)生部檢疫局合并組建)。出入境檢驗(yàn)檢疫機(jī)構(gòu)全面推行“一次報(bào)驗(yàn)、一次取樣、一次檢驗(yàn)檢疫、一次衛(wèi)生除害處理、一次收費(fèi)、一次簽證放行”六個(gè)一的管理模式,對(duì)外簡(jiǎn)化辦事手續(xù),避免政出多門、提高工作效率、方便外貿(mào)進(jìn)出口、降低收費(fèi)、減輕企業(yè)負(fù)擔(dān)、強(qiáng)化依法把關(guān)力度、促進(jìn)外貿(mào)經(jīng)濟(jì)健康發(fā)展具有十分重要的意義。

信息化工作是檢驗(yàn)檢疫業(yè)務(wù)中一項(xiàng)重要的基礎(chǔ)性工作,信息技術(shù)的應(yīng)用提高了檢驗(yàn)檢疫把關(guān)服務(wù)能力,為全面履行檢驗(yàn)檢疫職能提供了強(qiáng)有力的技術(shù)支撐和科技保障。在實(shí)際工作中,我們看到大量信息技術(shù)被應(yīng)用在檢驗(yàn)檢疫業(yè)務(wù)中,如 “預(yù)警信息管理系統(tǒng)助力醫(yī)學(xué)媒介生物監(jiān)測(cè)鑒定”、“體溫篩查系統(tǒng)助力旅客通關(guān)”、“視頻監(jiān)控系統(tǒng)助力口岸防控”、“射頻RAID技術(shù)助力進(jìn)出口貨物檢驗(yàn)檢疫跟蹤”成為推動(dòng)檢驗(yàn)檢疫服務(wù)水平與業(yè)務(wù)高效、創(chuàng)新的重要手段。而在檢驗(yàn)檢疫系統(tǒng)的內(nèi)部管理中,“CIQ2000系統(tǒng)數(shù)據(jù)大集中”、“視頻會(huì)議系統(tǒng)全覆蓋”、“業(yè)務(wù)無(wú)紙化流轉(zhuǎn)”、“政務(wù)網(wǎng)站大整合”等,成為提升檢驗(yàn)檢疫工作質(zhì)量和工作效率強(qiáng)有力的助推器。

隨著檢驗(yàn)檢疫業(yè)務(wù)(以下簡(jiǎn)稱“CIQ”業(yè)務(wù))對(duì)信息系統(tǒng)依賴程度的日益增強(qiáng),信息安全問(wèn)題受到普遍關(guān)注。運(yùn)用風(fēng)險(xiǎn)評(píng)估去識(shí)別安全風(fēng)險(xiǎn),解決信息安全問(wèn)題得到了廣泛的認(rèn)識(shí)和應(yīng)用。

信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施;為防范和化解信息安全風(fēng)險(xiǎn),將風(fēng)險(xiǎn)控制在可接受的水平,從而最大限度地保障信息安全提供科學(xué)依據(jù)。

信息安全風(fēng)險(xiǎn)評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié),要貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段,是信息安全管理體系與信息安全等級(jí)保護(hù)制度建設(shè)的重要科學(xué)方法之一。

二、風(fēng)險(xiǎn)評(píng)估介紹

目前最普遍使用的信息安全風(fēng)險(xiǎn)評(píng)估方法就是風(fēng)險(xiǎn)評(píng)估的國(guó)際標(biāo)準(zhǔn)ISO13335:2005,該標(biāo)準(zhǔn)已被等同轉(zhuǎn)化為中國(guó)國(guó)家標(biāo)準(zhǔn)《GB/T 20984:2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(簡(jiǎn)稱《國(guó)標(biāo)GB/T 20984》)。其中,關(guān)于風(fēng)險(xiǎn)大小的決定性因素的描述如下:1、業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性,依賴程度越高,要求其風(fēng)險(xiǎn)越??;2、資產(chǎn)是有價(jià)值的,組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度越高,資產(chǎn)價(jià)值就越大;3、風(fēng)險(xiǎn)是由威脅引發(fā)的,資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大;4、資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值,資產(chǎn)具有的脆弱性越多則風(fēng)險(xiǎn)越大;5、脆弱性是未被滿足的安全需求,威脅利用脆弱性危害資產(chǎn)。

對(duì)以上內(nèi)容進(jìn)行歸納,總結(jié)出風(fēng)險(xiǎn)分析的原理如圖1所示。(圖1)即,風(fēng)險(xiǎn)的大小是由風(fēng)險(xiǎn)的可能性和嚴(yán)重性決定的,威脅頻率和脆弱性決定風(fēng)險(xiǎn)的可能性(L),資產(chǎn)價(jià)值和脆弱性決定了風(fēng)險(xiǎn)的嚴(yán)重性(F),通過(guò)識(shí)別資產(chǎn)價(jià)值(A)、威脅(T)和資產(chǎn)脆弱性(V)就可以計(jì)算出該資產(chǎn)的風(fēng)險(xiǎn)值。

因此,風(fēng)險(xiǎn)分析的主要內(nèi)容就是:1、對(duì)資產(chǎn)進(jìn)行識(shí)別,并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值;2、對(duì)威脅進(jìn)行識(shí)別,描述威脅的屬性,并對(duì)威脅出現(xiàn)的頻率賦值;3、對(duì)脆弱性進(jìn)行識(shí)別,并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值;4、根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性;5、根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失;6、根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計(jì)算安全事件一旦發(fā)生對(duì)組織的影響,即風(fēng)險(xiǎn)值。

風(fēng)險(xiǎn)值=R(V,P,W)=R(O(P,W),S (V,W))。(為了與后文統(tǒng)一,在公式中用V、P、W、O、S替換了《GB/T 20984》561章節(jié)原文中的對(duì)應(yīng)字母符號(hào))

其中,R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);V表示資產(chǎn)價(jià)值;P表示威脅頻率;W表示脆弱性;O表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性;S表示安全事件發(fā)生后造成的損失。有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié):

(一)計(jì)算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況,計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性,即:安全事件的可能性=L(威脅出現(xiàn)頻率,脆弱性)=O (P,W)。

在具體評(píng)估中,應(yīng)綜合攻擊者技術(shù)能力(專業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問(wèn)時(shí)間、設(shè)計(jì)和操作知識(shí)公開(kāi)程度等)、資產(chǎn)吸引力等因素來(lái)判斷安全事件發(fā)生的可能性。

(二)計(jì)算安全事件發(fā)生后造成的損失。根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度,計(jì)算安全事件一旦發(fā)生后所造成的損失,即:安全事件造成的損失=F(資產(chǎn)價(jià)值,脆弱性嚴(yán)重程度)=S (V,W)。

部分安全事件的發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身,還可能影響業(yè)務(wù)的連續(xù)性;不同安全事件的發(fā)生對(duì)組織的影響也是不一樣的。在計(jì)算某個(gè)安全事件的損失時(shí),應(yīng)將對(duì)組織的影響也考慮在內(nèi)。

部分安全事件造成的損失的判斷還應(yīng)參照安全事件發(fā)生可能性的結(jié)果,對(duì)發(fā)生可能性極小的安全事件,如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等,可以不計(jì)算其損失。

(三)計(jì)算風(fēng)險(xiǎn)值。根據(jù)計(jì)算出的安全事件的可能性以及安全事件造成的損失,計(jì)算風(fēng)險(xiǎn)值,即:風(fēng)險(xiǎn)值=R(安全事件的可能性,安全事件造成的損失)=R(O (P,W),S (V,W))。

評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值,如矩陣法或相乘法。矩陣法通過(guò)構(gòu)造一個(gè)二維矩陣,形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系;相乘法通過(guò)構(gòu)造經(jīng)驗(yàn)函數(shù),將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。

三、什么是FMEA風(fēng)險(xiǎn)評(píng)估方法

(一)FMEA的起源和背景。國(guó)際標(biāo)準(zhǔn)化組織(ISO)于2002年3月公布了一項(xiàng)行業(yè)性的質(zhì)量體系要求,它的全名是“質(zhì)量管理體系―汽車行業(yè)生產(chǎn)件與相關(guān)服務(wù)件的組織實(shí)施ISO9001:2000的特殊要求”,英文為ISO/TS16949。標(biāo)準(zhǔn)中提供了實(shí)施必需的五大工具以保障體系的有效落地,它們分別是:產(chǎn)品質(zhì)量先期策劃(APQP)、測(cè)量系統(tǒng)分析(MSA)、統(tǒng)計(jì)過(guò)程控制(SPC)、生產(chǎn)件批準(zhǔn)(PPAP)和潛在失效模式與后果分析(FMEA)。

潛在失效模式與后果分析(FMEA),又稱為失效模式與影響后果分析、失效模式與效應(yīng)分析、故障模式與后果分析或故障模式與效應(yīng)分析等,是一種操作規(guī)程,旨在對(duì)系統(tǒng)范圍內(nèi)潛在的失效模式加以分析,以便按照嚴(yán)重程度加以分類,或者確定失效對(duì)于該系統(tǒng)的影響。FMEA廣泛應(yīng)用于制造行業(yè)產(chǎn)品生命周期、質(zhì)量控制、風(fēng)險(xiǎn)分析等的各個(gè)階段;而且FMEA在服務(wù)行業(yè)的應(yīng)用也在日益增多。失效原因是指業(yè)務(wù)服務(wù)、產(chǎn)品加工處理、設(shè)計(jì)過(guò)程中或項(xiàng)目/物品/信息資產(chǎn)項(xiàng)、本身存在的任何錯(cuò)誤或缺陷,尤其是那些將會(huì)對(duì)業(yè)務(wù)保障(或具體消費(fèi)者)造成影響的錯(cuò)誤或缺陷;失效原因可分為潛在的和實(shí)際的。影響分析指的是對(duì)于這些失效之處的調(diào)查研究。

FMEA是一種過(guò)程評(píng)價(jià)工具,于1950年起源于美國(guó)軍方和宇航局,它是通過(guò)逐一分析過(guò)程中的各種組成因素,找出潛在的失效模式,分析可能產(chǎn)生的后果,并評(píng)估其風(fēng)險(xiǎn),從而提前采取措施,以減少失效后的損失,降低發(fā)生的幾率,所以在本文中引入FMEA的分析方法來(lái)解決傳統(tǒng)風(fēng)險(xiǎn)評(píng)估方法中存在的一些缺陷。

(二)FMEA風(fēng)險(xiǎn)評(píng)估的原理。雖然ISO13335是目前全球使用最廣泛的信息安全風(fēng)險(xiǎn)評(píng)估方法論,但是由于這份標(biāo)準(zhǔn)是2005年制定的,至今已有十余個(gè)年頭。而這十年是信息技術(shù)蓬勃發(fā)展的十年,大量新的技術(shù)手段涌現(xiàn)并被人們使用。大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等等這些新技術(shù)在帶來(lái)技術(shù)革新和應(yīng)用便利的同時(shí),也帶來(lái)了新的安全隱患。我們需要關(guān)注的風(fēng)險(xiǎn)除了資產(chǎn)本身的風(fēng)險(xiǎn)之外,還需要關(guān)注資產(chǎn)失效后的影響衍生出的風(fēng)險(xiǎn),而傳統(tǒng)方法在這一領(lǐng)域又難以有效地準(zhǔn)確評(píng)價(jià)出風(fēng)險(xiǎn)的大小,因此我們需要一種能夠更準(zhǔn)確反映風(fēng)險(xiǎn)大小的評(píng)估方法。

對(duì)于風(fēng)險(xiǎn)值大小,我們還是遵循原有的規(guī)律,即嚴(yán)重性越高的風(fēng)險(xiǎn)越高;可能性越大的風(fēng)險(xiǎn)越高,即風(fēng)險(xiǎn)與嚴(yán)重性和可能性成正比。如圖2所示。(圖2)

在測(cè)量風(fēng)險(xiǎn)的嚴(yán)重性和可能性方面,相對(duì)于ISO13335:2005,我們多引入了一個(gè)參數(shù),失效模式的影響(E),這個(gè)參數(shù)可能會(huì)影響到風(fēng)險(xiǎn)的嚴(yán)重性。因此,F(xiàn)MEA的風(fēng)險(xiǎn)評(píng)估方法論可以總結(jié)為:1、所有資產(chǎn)自身都有一定的脆弱性;2、威脅利用了資產(chǎn)的脆弱性導(dǎo)致了資產(chǎn)的失效;3、由于資產(chǎn)的失效而產(chǎn)生了風(fēng)險(xiǎn);4、不同失效的程度導(dǎo)致風(fēng)險(xiǎn)的嚴(yán)重程度不同;5、資產(chǎn)價(jià)值和資產(chǎn)失效程度影響風(fēng)險(xiǎn)的嚴(yán)重性;6、威脅的頻率和弱點(diǎn)被利用的難易程度影響風(fēng)險(xiǎn)的可能性;7、嚴(yán)重性和可能性決定了最終的風(fēng)險(xiǎn)值。

對(duì)已上內(nèi)容進(jìn)行歸納,總結(jié)出風(fēng)險(xiǎn)分析的原理如圖3所示。(圖3)

四、FMEA風(fēng)險(xiǎn)評(píng)估在CIQ的應(yīng)用

FMEA風(fēng)險(xiǎn)評(píng)估方法自2008年首次被開(kāi)發(fā)在信息安全管理體系中應(yīng)用并于2009年通過(guò)國(guó)際第三方權(quán)威審核機(jī)構(gòu)的ISO27001認(rèn)證,經(jīng)過(guò)多年的修訂和持續(xù)研發(fā),目前在中國(guó)檢驗(yàn)檢疫系統(tǒng)內(nèi)已經(jīng)有常州出入境檢驗(yàn)檢疫局、蘇州出入境檢驗(yàn)檢疫局、江陰出入境檢驗(yàn)檢疫局等分支局在使用,跟檢驗(yàn)檢疫業(yè)務(wù)有關(guān)聯(lián)性的海關(guān)、口岸等相關(guān)單位也有部分落地的案例。

(一)失效影響的賦值。FMEA風(fēng)險(xiǎn)評(píng)估方法的核心是引入了“失效模式的影響(E)”這一評(píng)估參數(shù)使得得到的風(fēng)險(xiǎn)值更加準(zhǔn)確。如何對(duì)“失效模式的影響(E)”進(jìn)行賦值,就是FMEA風(fēng)險(xiǎn)評(píng)估方法用于實(shí)際風(fēng)險(xiǎn)值計(jì)算的關(guān)鍵。

在《國(guó)標(biāo)GB/T 20984》中將風(fēng)險(xiǎn)評(píng)估的所有參數(shù)(資產(chǎn)保密性、資產(chǎn)完整性、資產(chǎn)可用性、資產(chǎn)等級(jí)、威脅頻率、脆弱性)均分為5個(gè)級(jí)別進(jìn)行賦值,1級(jí)最低,5級(jí)最高。因?yàn)樵谟?jì)算風(fēng)險(xiǎn)值時(shí)也需要用到以上參數(shù),為了保持與《國(guó)標(biāo)GB/T 20984》的兼容性,我們將“失效模式的影響(E)”也同樣分為5個(gè)級(jí)別,如表1所示。(表1)

為了方便應(yīng)用,我們將這五個(gè)級(jí)別分別對(duì)應(yīng)為下列五種失效程度,如表2所示。(表2)

(二)FMEA風(fēng)險(xiǎn)計(jì)算的原理。FMEA風(fēng)險(xiǎn)計(jì)算是通過(guò)資產(chǎn)價(jià)值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)四個(gè)參數(shù)通過(guò)數(shù)學(xué)方法計(jì)算得到風(fēng)險(xiǎn)值(RPN)。

1、建立FMEA風(fēng)險(xiǎn)計(jì)算的數(shù)學(xué)模型首先要滿足參數(shù)對(duì)風(fēng)險(xiǎn)值影響的方向:

(1)因?yàn)橘Y產(chǎn)價(jià)值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)對(duì)最終的風(fēng)險(xiǎn)值(RPN)為正向影響,所以V、E、P、W的數(shù)值與RPN數(shù)值成正比。

(2)V、E、P、W四個(gè)參數(shù)都大的風(fēng)險(xiǎn)值必然大,即:若V1>V2;E1>E2;P1>P2;W1>W2,則RPN(V1、E1、P1、W1)>RPN(V2、E2、P2、W2)。

(3)若任意三個(gè)參數(shù)相同,第四個(gè)參數(shù)大的風(fēng)險(xiǎn)值大,即:若V1>V2,則RPN(V1、E1、P1、W1)>RPN(V2、E1、P1、W1);若E1>E2,則RPN(V1、E1、P1、W1)>RPN(V1、E2、P1、W1);若P1>P2,則RPN(V1、E1、P1、W1)>RPN(V1、E1、P2、W1);若W1>W2,則RPN(V1、E1、P1、W1)>RPN(V1、E1、P1、W2)。

2、為了準(zhǔn)確評(píng)價(jià)數(shù)學(xué)模型的有效性,應(yīng)將模型計(jì)算值的影響因素減至最少,提供一個(gè)不受權(quán)重等因素影響的純凈模型,以便于及時(shí)調(diào)整。

(1)風(fēng)險(xiǎn)計(jì)算的四個(gè)參數(shù),資產(chǎn)價(jià)值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)對(duì)最終的風(fēng)險(xiǎn)值(RPN)的影響應(yīng)該是相同的,即:RPN(V、E、P、W)=RPN(2、3、3、2)=RPN(2、2、3、3)=RPN(3、2、2、3)=RPN(3、3、2、2)。

(2)風(fēng)險(xiǎn)計(jì)算的四個(gè)參數(shù),資產(chǎn)價(jià)值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)的增幅對(duì)最終的風(fēng)險(xiǎn)值(RPN)的影響應(yīng)該是相同的,即:RPN(V1、E1、P1、W1)-RPN(V2、E2、P2、W2)=RPN(5、5、5、5)-RPN(4、4、4、4)=RPN(4、4、4、4)-RPN(3、3、3、3)=RPN(3、3、3、3)-RPN(2、2、2、2)=RPN(2、2、2、2)-RPN(1、1、1、1)。

(3)在純凈風(fēng)險(xiǎn)模型計(jì)算結(jié)果的基礎(chǔ)上,通過(guò)對(duì)比風(fēng)險(xiǎn)計(jì)算結(jié)果和實(shí)際風(fēng)險(xiǎn)差距,對(duì)風(fēng)險(xiǎn)分析的各個(gè)維度權(quán)重進(jìn)行調(diào)整。

(三)FMEA風(fēng)險(xiǎn)計(jì)算公式。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量,而是由資產(chǎn)在保密性、完整性、可用性這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值,而資產(chǎn)面臨的威脅、存在的脆弱性,以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。

風(fēng)險(xiǎn)計(jì)算方法:1、保密性、完整性和可用性決定資產(chǎn)價(jià)值:(1)保密性越高,資產(chǎn)價(jià)值越大;(2)完整性越高,資產(chǎn)價(jià)值越大;(3)可用性越高,資產(chǎn)價(jià)值越大。2、資產(chǎn)價(jià)值、資產(chǎn)失效程度決定風(fēng)險(xiǎn)嚴(yán)重性。3、威脅頻率和資產(chǎn)脆弱性決定風(fēng)險(xiǎn)可能性。4、風(fēng)險(xiǎn)嚴(yán)重性與風(fēng)險(xiǎn)可能性決定風(fēng)險(xiǎn)值:(1)資產(chǎn)價(jià)值越高,資產(chǎn)失效后風(fēng)險(xiǎn)越大;(2)資產(chǎn)失效越嚴(yán)重則風(fēng)險(xiǎn)越大;(3)風(fēng)險(xiǎn)是由威脅引發(fā)的,資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大;(4)資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值,資產(chǎn)具有的脆弱性越多則風(fēng)險(xiǎn)越大。

風(fēng)險(xiǎn)計(jì)算公式:

資產(chǎn)價(jià)值V=

嚴(yán)重性S=

可能性O(shè)=

風(fēng)險(xiǎn)值RPN=

RPN=

其中,C、I、A、E、P、W是風(fēng)險(xiǎn)值RPN的計(jì)算參數(shù),x、y、z、m、n、i、j、α、β是以上計(jì)算參數(shù)的權(quán)重。

假設(shè)權(quán)重系數(shù)全部為1的情況下,風(fēng)險(xiǎn)計(jì)算公式為:

RPN=

若在風(fēng)險(xiǎn)分析中,我們更側(cè)重于某項(xiàng)參數(shù)對(duì)風(fēng)險(xiǎn)值的影響,則可以調(diào)整該參數(shù)的權(quán)重值,如我們將權(quán)重參數(shù)設(shè)置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1,則表示失效影響(E)對(duì)風(fēng)險(xiǎn)值的影響更大,我們優(yōu)先降低失效影響,可以更高效控制風(fēng)險(xiǎn)。

(四)FMEA風(fēng)險(xiǎn)評(píng)估在CIQ的應(yīng)用成果。2012年末,常州出入境檢驗(yàn)檢疫局順利通過(guò)中國(guó)信息安全認(rèn)證中心(簡(jiǎn)稱ISCCC)的ISO27001信息安全管理體系現(xiàn)場(chǎng)審核,成為國(guó)內(nèi)首家實(shí)施信息安全管理體系并通過(guò)ISO27001認(rèn)證的政府機(jī)構(gòu)。2012年中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)(簡(jiǎn)稱CNAS)信息安全認(rèn)證專業(yè)委員會(huì)年會(huì)上,該項(xiàng)目被選為推薦案例,并受邀出席會(huì)議現(xiàn)場(chǎng)介紹體系建設(shè)、推廣的成功經(jīng)驗(yàn),其中FMEA風(fēng)險(xiǎn)評(píng)估法作為該項(xiàng)目的重要?jiǎng)?chuàng)新點(diǎn),受到與會(huì)專家的特別關(guān)注,并受到與會(huì)專家的一致好評(píng)。通過(guò)對(duì)FMEA風(fēng)險(xiǎn)評(píng)估方法論的原理和分析模型的詳細(xì)介紹,經(jīng)與會(huì)專家論證,均認(rèn)可該方法的先進(jìn)性已經(jīng)超越了ISO13335:2005(國(guó)標(biāo)GB/T 20984:2007),在全球信息安全風(fēng)險(xiǎn)評(píng)估方法論的理論研究和實(shí)踐中處于領(lǐng)先水平。

五、結(jié)束語(yǔ)

隨著中國(guó)加入世貿(mào)組織,對(duì)外貿(mào)易和活動(dòng)日益頻繁,出入境檢驗(yàn)檢疫業(yè)務(wù)量激增,對(duì)信息系統(tǒng)的依賴程度也越來(lái)越大,因此對(duì)信息安全的要求也逐年提高,風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ),其重要性不言而喻。本文系統(tǒng)地闡述了作者在信息安全風(fēng)險(xiǎn)管理領(lǐng)域的研究成果及在檢驗(yàn)檢疫系統(tǒng)內(nèi)單位的實(shí)施經(jīng)驗(yàn),對(duì)檢驗(yàn)檢疫系統(tǒng)內(nèi)其他單位在信息安全風(fēng)險(xiǎn)評(píng)估方面工作具有很好的參考性。

本文在研究的深度上還有待進(jìn)一步挖掘。特別是對(duì)于如何得到“失效模式的影響(E)”這一參數(shù)的精確值,作者設(shè)想可以從對(duì)“失效時(shí)間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復(fù)能力”等方面進(jìn)行分析,通過(guò)一個(gè)數(shù)學(xué)模型計(jì)算得到以上失效因素對(duì)最終“失效模式的影響(E)”變化的影響,以便于分析結(jié)果更精準(zhǔn)。

主要參考文獻(xiàn):

[1]嵇國(guó)光,王大禹,嚴(yán)慶峰ISO\TS16949五大核心工具應(yīng)用手冊(cè)中國(guó)標(biāo)準(zhǔn)出版社,2010111

[2]孫遠(yuǎn)志,吳文忠檢驗(yàn)檢疫風(fēng)險(xiǎn)管理研究中國(guó)計(jì)量出版社,201411

[3]GB7826-87系統(tǒng)可靠性分析技術(shù),失效模式和效應(yīng)分析(FMEA)程序

[4]GB/T 20984-2007信息安全技術(shù)、信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范中國(guó)標(biāo)準(zhǔn)出版社,200781

第6篇:資產(chǎn)安全評(píng)估范文

關(guān)鍵字:抵押價(jià)值;價(jià)值類型;評(píng)估方法

1.抵押價(jià)值概述

抵押貸款價(jià)值是評(píng)估人員在評(píng)估時(shí)點(diǎn)綜合考慮資產(chǎn)的內(nèi)在持續(xù)發(fā)展因素、正常的和本區(qū)域的市場(chǎng)狀況、當(dāng)前用途和可選擇的其他適宜用途基礎(chǔ)上,對(duì)抵押資產(chǎn)的未來(lái)出售情況進(jìn)行謹(jǐn)慎評(píng)估得出的資產(chǎn)價(jià)值。該價(jià)值衡量抵押資產(chǎn)在未來(lái)整個(gè)貸款期間預(yù)期出售時(shí)可實(shí)現(xiàn)的價(jià)值,其相對(duì)較為恒定,不受一些臨時(shí)性因素,如短期經(jīng)濟(jì)或市場(chǎng)波動(dòng)和投機(jī)性因素的影響。目前一般的資產(chǎn)評(píng)估是在一系列假設(shè)前提條件下,對(duì)評(píng)估時(shí)點(diǎn)的市場(chǎng)條件和資產(chǎn)狀況下的價(jià)值的認(rèn)定。從這個(gè)意義上講,抵押價(jià)值評(píng)估和當(dāng)前以市場(chǎng)價(jià)值為價(jià)值類型的評(píng)估方法存有不同。

與市場(chǎng)價(jià)值評(píng)估相比較,抵押貸款價(jià)值評(píng)估在評(píng)估對(duì)象、適用范圍、評(píng)估過(guò)程、評(píng)估方法種類、對(duì)評(píng)估師要求等方面要求基本一致,但在具體評(píng)估方法選擇、參數(shù)選取和評(píng)估結(jié)果處理方面存有不同,更多地體現(xiàn)了謹(jǐn)慎性和安全性的原則。

2.我國(guó)及德國(guó)抵押貸款評(píng)估的現(xiàn)狀

抵押貸款是商業(yè)銀行一種重要的信用風(fēng)險(xiǎn)緩釋方法,加強(qiáng)抵押品的價(jià)值認(rèn)定管理對(duì)商業(yè)銀行風(fēng)險(xiǎn)控制具有重要作用,而價(jià)值類型是抵押資產(chǎn)價(jià)值評(píng)估的基礎(chǔ)。目前抵押價(jià)值類型主要有三種不同觀點(diǎn):市場(chǎng)價(jià)值類型、抵押貸款價(jià)值類型和清算價(jià)值類型。國(guó)際范圍內(nèi)對(duì)抵押貸款評(píng)估的基本價(jià)值類型也主要分為兩大陣營(yíng):市場(chǎng)價(jià)值和抵押價(jià)值。但是除歐洲國(guó)家外,其他國(guó)家基本都傾向于市場(chǎng)價(jià)值。

2.1我國(guó)抵押貸款評(píng)估的現(xiàn)狀

我國(guó)抵押貸款評(píng)估的認(rèn)識(shí)比較落后。如蘭瑛(2004)所言,我國(guó)抵押貸款評(píng)估業(yè)務(wù)基本處于無(wú)序狀態(tài),許多重要概念混淆不清,就抵押資產(chǎn)評(píng)估到底評(píng)估的是什么價(jià)值都未能取得一致認(rèn)識(shí),實(shí)務(wù)界人士多認(rèn)為是市場(chǎng)價(jià)值,而學(xué)者則多認(rèn)為是清算或變現(xiàn)價(jià)值,也有學(xué)者認(rèn)為是清算價(jià)值的折現(xiàn)值。

在抵押資產(chǎn)評(píng)估存在的諸多問(wèn)題中,最為核心或最具技術(shù)含量的問(wèn)題是評(píng)估中的價(jià)值類型缺乏針對(duì)性,造成抵押物在可能變現(xiàn)的過(guò)程中價(jià)值發(fā)生貶損的風(fēng)險(xiǎn)。目前的抵押物評(píng)估主要是基于市場(chǎng)價(jià)值,然而市場(chǎng)價(jià)值代表的是評(píng)估時(shí)點(diǎn)的市場(chǎng)價(jià)值,隨著時(shí)間的推移抵押物的市場(chǎng)價(jià)值必然會(huì)發(fā)生變化,甚至巨大變化。當(dāng)?shù)盅嘿Y產(chǎn)市場(chǎng)價(jià)值下降到一定程度時(shí),無(wú)疑將使銀行貸款喪失安全保障。

實(shí)踐方面,根據(jù)中國(guó)人民銀行的《貸款風(fēng)險(xiǎn)分類指導(dǎo)原則(試行)》的規(guī)定,對(duì)于抵押資產(chǎn)的評(píng)估,在有市場(chǎng)的情況下,按市場(chǎng)價(jià)格定值;在沒(méi)有市場(chǎng)的情況下,參照同類抵押資產(chǎn)的市場(chǎng)價(jià)格定值。建設(shè)部的《房地產(chǎn)估價(jià)規(guī)范》、原國(guó)土局頒布的《城鎮(zhèn)土地估價(jià)規(guī)程》(試行)也有類似規(guī)定。實(shí)踐證明這種規(guī)定并沒(méi)有保證金融機(jī)構(gòu)抵押貸款的安全。2006年1月,建設(shè)部、人民銀行和銀監(jiān)會(huì)聯(lián)合了《房地產(chǎn)抵押估價(jià)指導(dǎo)意見(jiàn)》,對(duì)適用的價(jià)值類型仍然規(guī)定為市場(chǎng)價(jià)值。與以前相比,該指導(dǎo)意見(jiàn)除了可以控制部分道德風(fēng)險(xiǎn)與體制風(fēng)險(xiǎn)外,在理論與技術(shù)上并沒(méi)有新的創(chuàng)新和突破,因此并不能從技術(shù)上防范房地產(chǎn)信貸風(fēng)險(xiǎn)的產(chǎn)生。

2.2德國(guó)房地產(chǎn)抵押貸款評(píng)估現(xiàn)狀

德國(guó)的房地產(chǎn)抵押估價(jià)十分重視房地產(chǎn)估價(jià)基礎(chǔ),特別注重房地產(chǎn)市場(chǎng)價(jià)值評(píng)估的基礎(chǔ)知識(shí)和前提條件,將抵押價(jià)值的評(píng)估與市場(chǎng)價(jià)值評(píng)估之間做了重點(diǎn)區(qū)分。

自1996年以來(lái),抵押房地產(chǎn)估價(jià)的方法就不斷地在德國(guó)抵押證券銀行協(xié)會(huì)(vdp)的抵押貸款問(wèn)題委員會(huì)中得到進(jìn)一步發(fā)展和細(xì)化。除此之外,于2005年7月開(kāi)始推行的抵押債券法,以及由它產(chǎn)生的關(guān)于方法細(xì)節(jié)、抵押房地產(chǎn)估價(jià)形式以及估價(jià)人員資質(zhì)的最低要求方面的法律規(guī)定,共同組成了德國(guó)房地產(chǎn)抵押貸款評(píng)估的法律及規(guī)范體系。

德國(guó)抵押法是所有銀行的工作“原則”。獲得許可的抵押銀行等信貸機(jī)構(gòu)可以在遵守抵押債券法的前提下,通過(guò)發(fā)放抵押債券獲得客戶的資金,進(jìn)行再融資,而后發(fā)放貸款。獲得了聯(lián)邦金融服務(wù)監(jiān)督局任課的抵押信貸銀行除了需要遵守德國(guó)抵押法之外,還必須遵守抵押債券法。

德國(guó)的房地產(chǎn)抵押貸款評(píng)估無(wú)論是從程序還是實(shí)際工作中看,都具有嚴(yán)格的風(fēng)險(xiǎn)控制機(jī)制。信貸機(jī)構(gòu)原則上必須在貸款發(fā)放之前檢驗(yàn)擔(dān)保物品的價(jià)值和其法律狀態(tài)。信貸機(jī)構(gòu)必須確定已被接受的擔(dān)保資產(chǎn)的類型和擔(dān)保資產(chǎn)的估價(jià)方法。在確定估價(jià)方法時(shí),銀行要按照聯(lián)邦金融服務(wù)監(jiān)督局獲得審計(jì)師和評(píng)級(jí)商認(rèn)可的方法進(jìn)行工作。

3.評(píng)估價(jià)值與銀行貸款安全的分析

3.1抵押資產(chǎn)評(píng)估價(jià)值受償率現(xiàn)狀

劉桂良、招平在其研究中根據(jù)對(duì)湖南省某國(guó)有資產(chǎn)管理公司的調(diào)查發(fā)現(xiàn):抵押資產(chǎn)到期評(píng)估價(jià)值最高只達(dá)到即期評(píng)估價(jià)值的34.4%,最低只有5.3%,均值為13.6%;抵押資產(chǎn)的實(shí)際回收值與到期評(píng)估值的比率除了個(gè)別項(xiàng)目打到223.9%外,其他的均不足100%,最低的只有15.2%。均值為66.8%;回收率最大的為34.42%,最低的只有3.68%。

3.2市場(chǎng)價(jià)值、抵押貸款價(jià)值與銀行貸款安全的關(guān)系

在銀行按照抵押資產(chǎn)評(píng)估值的一定比例(LTV,我國(guó)多數(shù)銀行的抵押貸款比例多為70%)發(fā)放貸款的情況下,要是貸款決策的依據(jù)是市場(chǎng)價(jià)值的話,顯然隨著抵押資產(chǎn)市場(chǎng)價(jià)值的不斷變動(dòng),貸款數(shù)額很可能超過(guò)抵押資產(chǎn)的市場(chǎng)價(jià)值,這樣抵押資產(chǎn)的價(jià)值將不能全額覆蓋貸款,從而形成銀行貸款風(fēng)險(xiǎn)。而與市場(chǎng)價(jià)值的時(shí)點(diǎn)有效性相反,抵押貸款價(jià)值的長(zhǎng)期有效性正好滿足銀行貸款抵押的目的和要求。以抵押貸款價(jià)值為貸款決策依據(jù),可以保證在整個(gè)貸款合約期間,貸款都將覆蓋在抵押資產(chǎn)價(jià)值之下,銀行貸款安全得以保證。圖1具體反映了抵押貸款價(jià)值、市場(chǎng)價(jià)值、銀行貸款三者之間的關(guān)系。

假設(shè)在時(shí)點(diǎn)1,某抵押資產(chǎn)的市場(chǎng)價(jià)值為A,以抵押貸款比率70%(LTV)為標(biāo)準(zhǔn)發(fā)放銀行貸款數(shù)額為B;該抵押資產(chǎn)的抵押貸款價(jià)值為C,以抵押貸款比率70%(LTV)為標(biāo)準(zhǔn)發(fā)放銀行貸款數(shù)額為D。

等到時(shí)點(diǎn)2貸款到期時(shí),抵押資產(chǎn)的市場(chǎng)價(jià)值降到了銀行貸款數(shù)額以下,此時(shí)LTV 值超過(guò)100%,借款人出于自身財(cái)務(wù)效益最大化的考慮,可能放棄還款,而抵押資產(chǎn)的市場(chǎng)價(jià)值低于貸款余額,發(fā)放的銀行貸款B顯然將暴露在風(fēng)險(xiǎn)之中,并將蒙受損失。相反,以抵押貸款價(jià)值為決策基礎(chǔ)發(fā)放的貸款D,仍然全部覆蓋在抵押貸款價(jià)值之下,LTV值仍然保持在時(shí)點(diǎn)1發(fā)放貸款時(shí)的水平(70%),銀行貸款是安全的。

圖1:抵押價(jià)值、市場(chǎng)價(jià)值與銀行貸款數(shù)額的關(guān)系

4.結(jié)論及展望

對(duì)銀行而言,其抵押物評(píng)估的核心目的是判斷債務(wù)人無(wú)法履行還款義務(wù)時(shí),抵押物的變現(xiàn)價(jià)值是否能保證貸款本息不受損失。由于抵押資產(chǎn)的價(jià)值隨時(shí)間必然會(huì)發(fā)生變化,銀行本質(zhì)上需要的是判斷還款日或未來(lái)某一時(shí)點(diǎn)該抵押物的變現(xiàn)價(jià)值,而不是貸款發(fā)放日甚至之前的市場(chǎng)價(jià)值。正是由于抵押資產(chǎn)評(píng)估反映的是歷史時(shí)點(diǎn)資產(chǎn)的價(jià)值,導(dǎo)致評(píng)估結(jié)論與銀行在抵押評(píng)估中的真實(shí)目的產(chǎn)生差異,使銀行在判斷貸款的可回收性和貸款質(zhì)量時(shí),無(wú)法直接使用評(píng)估結(jié)論。在實(shí)際操作中,銀行一般很少將評(píng)估結(jié)論作為貸款發(fā)放流程控制的直接依據(jù),而通常在評(píng)估結(jié)論的基礎(chǔ)上,根據(jù)有關(guān)規(guī)定或歷史經(jīng)驗(yàn)確定一個(gè)比率作為貸款發(fā)放和信貸資產(chǎn)分類時(shí)的參考,要求評(píng)估師提供抵押資產(chǎn)的市場(chǎng)價(jià)值,實(shí)質(zhì)上將判斷抵押資產(chǎn)的未來(lái)市場(chǎng)波動(dòng)對(duì)貸款安全性的影響的責(zé)任,留給了銀行自己。

參考文獻(xiàn)

[1]劉桂良,招平.抵押資產(chǎn)價(jià)值評(píng)估方法的創(chuàng)新[J]. 系統(tǒng)工程,2004, (9)

[2]崔 宏.基于銀行貸款安全目的的抵押資產(chǎn)評(píng)估理論與方法創(chuàng)新[J].金融論壇, 2007.(1)

[3]王生龍.關(guān)于抵押貸款評(píng)估有關(guān)問(wèn)題的探討[J].中國(guó)資產(chǎn)評(píng)估,2003, (1)

第7篇:資產(chǎn)安全評(píng)估范文

[關(guān)鍵詞]巴塞爾新資本協(xié)議;操作風(fēng)險(xiǎn)管 ;IS027001;信息資產(chǎn)

[中圖分類號(hào)]F831 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1006-5024(2009)04-0167-04

[作者簡(jiǎn)介]董紅,北京航空航天大學(xué)經(jīng)濟(jì)管理學(xué)院博士生,研究方向?yàn)轱L(fēng)險(xiǎn)管理與決策;(北京100083)

邱菀華,中國(guó)光大銀行總行風(fēng)險(xiǎn)管理部教授,博士生導(dǎo)師,研究方向?yàn)闆Q策、風(fēng)險(xiǎn)與項(xiàng)目管理;

林直友,中國(guó)光大銀行總行風(fēng)險(xiǎn)管理部業(yè)務(wù)經(jīng)理、碩士,研究方向?yàn)榻鹑陲L(fēng)險(xiǎn)管理。(北京100045)

金融業(yè)的全面開(kāi)放和金融服務(wù)的管制放松,以及高端化的信息技術(shù),使銀行的業(yè)務(wù)、產(chǎn)品日益多元化,這直接導(dǎo)致其面臨的風(fēng)險(xiǎn)更為復(fù)雜和多樣。國(guó)內(nèi)外銀行業(yè)重大違規(guī)事件及美國(guó)金融海嘯影響的迅速擴(kuò)大,迫切需要國(guó)內(nèi)外金融監(jiān)管部門和從業(yè)機(jī)構(gòu)反思對(duì)操作風(fēng)險(xiǎn)的管理和防范,加強(qiáng)合規(guī)管理。2004年的巴塞爾新資本協(xié)議,將操作風(fēng)險(xiǎn)正式納入資本監(jiān)管范圍,并進(jìn)一步提出了明確的監(jiān)管資本要求。2007年我國(guó)銀監(jiān)會(huì)再次對(duì)其進(jìn)行解讀和說(shuō)明。然而,由于操作風(fēng)險(xiǎn)情況復(fù)雜,與銀行自身的規(guī)模、經(jīng)驗(yàn)、業(yè)務(wù)特征等密切相關(guān),具有和動(dòng)態(tài)變化等特點(diǎn)。因此,探索適合銀行不同類別操作風(fēng)險(xiǎn)特點(diǎn)的管理和計(jì)量方法,是一項(xiàng)十分重要而緊迫的課題。

一、操作風(fēng)險(xiǎn)管理的困惑與問(wèn)題

到目前為止,有關(guān)操作風(fēng)險(xiǎn)的定義、管理及計(jì)量問(wèn)題一直困擾著各家商業(yè)銀行和監(jiān)管機(jī)構(gòu),國(guó)內(nèi)外銀行也未對(duì)它形成統(tǒng)一的認(rèn)識(shí)。本文采用至今已被大多數(shù)銀行所接受的巴塞爾銀行監(jiān)管委員會(huì)有關(guān)操作風(fēng)險(xiǎn)的定義,即由于不完善或有問(wèn)題的內(nèi)部程序、人員和系統(tǒng)或因外部事件導(dǎo)致?lián)p失的風(fēng)險(xiǎn)。新資本協(xié)議從風(fēng)險(xiǎn)監(jiān)管的角度將操作風(fēng)險(xiǎn)事件劃分為七種類型,包括內(nèi)部欺詐,外部欺詐,雇員活動(dòng)和工作場(chǎng)所的安全問(wèn)題,客戶、產(chǎn)品和業(yè)務(wù)活動(dòng)的安全問(wèn)題,銀行維系經(jīng)營(yíng)的實(shí)物資產(chǎn)損壞,業(yè)務(wù)中斷和系統(tǒng)故障,執(zhí)行、交付和過(guò)程管理等。就其風(fēng)險(xiǎn)成因可分為人員、流程、系統(tǒng)和外部事件四大類。此外,按產(chǎn)品線將商業(yè)銀行的業(yè)務(wù)劃分為公司金融、交易和銷售、零售銀行業(yè)務(wù)、商業(yè)銀行業(yè)務(wù)、支付和結(jié)算、業(yè)務(wù)、資產(chǎn)管理和零售經(jīng)紀(jì)類,并對(duì)每一類產(chǎn)品分別規(guī)定不同的操作風(fēng)險(xiǎn)資本要求系數(shù),籍以用標(biāo)準(zhǔn)法計(jì)算操作風(fēng)險(xiǎn)總體資本要求。

巴塞爾委員會(huì)給出了管理操作風(fēng)險(xiǎn)的十大原則,但這些原則都是從宏觀角度要求商業(yè)銀行應(yīng)該建立什么

樣的組織、制度和流程,并未給出管理操作風(fēng)險(xiǎn)的詳細(xì)方法和手段。實(shí)際工作中,我們發(fā)現(xiàn)信息資產(chǎn)是商業(yè)銀行極其重要的一類資產(chǎn),在信息時(shí)代,一個(gè)機(jī)構(gòu)要利用其擁有的資產(chǎn),特別是信息資產(chǎn)來(lái)完成其使命,因此,對(duì)信息資產(chǎn)的管理關(guān)系到該機(jī)構(gòu)能否完成其使命的大事。然而,由于信息資產(chǎn)對(duì)IT系統(tǒng)的依賴性很強(qiáng),絕大部分具有無(wú)形化、易變化、易傳播的特點(diǎn),且風(fēng)險(xiǎn)存在于其產(chǎn)生、傳遞、使用和銷毀等各個(gè)環(huán)節(jié),與一般銀行產(chǎn)品相比,具有很大的獨(dú)特性。所以,我們建議將此類資產(chǎn)作為商業(yè)銀行一類獨(dú)特的產(chǎn)品線來(lái)進(jìn)行管理。在實(shí)踐中,我們發(fā)現(xiàn)ISO27001為有效管理組織的信息資產(chǎn)、確保信息安全提出了一整套要求和最佳實(shí)踐指南。它從11個(gè)方面對(duì)信息資產(chǎn)的安全管理提出要求,其管理思想完全符合操作風(fēng)險(xiǎn)的管理原則,并且是在其原則基礎(chǔ)上的細(xì)化,如高層管理的支持和承諾、資源管理、風(fēng)險(xiǎn)評(píng)估、內(nèi)部審核、信息的溝通、有效性測(cè)量和改進(jìn),等等??梢?jiàn),ISO27001不僅適用于多數(shù)IT軟硬件開(kāi)發(fā)等企業(yè),同時(shí)也適用于銀行、保險(xiǎn)等信息化程度較高的金融行業(yè)。

因此,我們希望能夠使用ISO27001的管理標(biāo)準(zhǔn)來(lái)細(xì)化商業(yè)銀行信息資產(chǎn)類產(chǎn)品的風(fēng)險(xiǎn)管理,進(jìn)而按照操作風(fēng)險(xiǎn)管理的總體原則與其他類產(chǎn)品進(jìn)行融合,最終實(shí)現(xiàn)在總體框架要求下對(duì)信息資產(chǎn)類操作風(fēng)險(xiǎn)的細(xì)化管理。

二、ISO27001簡(jiǎn)介

ISO/IEC27001源自英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)制定的BS7799,包括兩部分內(nèi)容:BS7799―1信息安全管理實(shí)施細(xì)則和BS7799-2信息安全管理體系規(guī)范。其中,BS7799-1被ISO組織吸納為ISO/IEC17799,BS7799-2升版并轉(zhuǎn)換為國(guó)際標(biāo)準(zhǔn)ISO/IEC2700I,它是建立信息安全管理體系ISMS(Information se-curity Management systems)的一套需求規(guī)范,其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求,指出組織應(yīng)遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。

信息是一種資產(chǎn),就像其他重要的業(yè)務(wù)資產(chǎn)一樣,對(duì)組織是不可或缺的,需要妥善保護(hù)。根據(jù)ISO/IEC27001的定義,資產(chǎn)是對(duì)組織有價(jià)值的任何東西。它能以多種形式存在,如有形資產(chǎn)(硬件、軟件、數(shù)據(jù)文件、人員等)、無(wú)形資產(chǎn)(聲譽(yù)、品牌、客戶關(guān)系等)、輔助資產(chǎn)(信息資產(chǎn)的制造、存儲(chǔ)、傳輸、處理、銷毀等)。信息安全就是指保持這些資產(chǎn)的機(jī)密性、完整性和可用性。另外,也可包括諸如真實(shí)性、可核查性、不可否認(rèn)性和可靠性等。

1 機(jī)密性――信息具有不能被未授權(quán)的個(gè)人、實(shí)體或者過(guò)程利用或知悉的特性。

2 完整性――保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。

3 可用性――根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性。

企業(yè)的業(yè)務(wù)戰(zhàn)略以企業(yè)的資產(chǎn)來(lái)得以體現(xiàn),但資產(chǎn)自身不可避免地帶有漏洞,我們稱之為資產(chǎn)的脆弱性。外界的威脅則利用資產(chǎn)的脆弱性,給企業(yè)帶來(lái)風(fēng)險(xiǎn)。信息安全就是要保護(hù)信息資產(chǎn)免受威脅的影響,從而確保業(yè)務(wù)的連續(xù)性,縮減業(yè)務(wù)風(fēng)險(xiǎn),最大化投資收益并充分把握業(yè)務(wù)機(jī)會(huì)。構(gòu)建信息安全管理體系,就是通過(guò)對(duì)組織信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估,確定重要信息資產(chǎn)清單以及風(fēng)險(xiǎn)等級(jí),從而采取相應(yīng)的控制措施來(lái)實(shí)現(xiàn)信息資產(chǎn)的安全性。信息安全管理的核心是風(fēng)險(xiǎn)管理,其對(duì)象是組織的信息資產(chǎn)。我們將其作為操作風(fēng)險(xiǎn)管理產(chǎn)品線之外的第九類特殊產(chǎn)品線,評(píng)估其價(jià)值和風(fēng)險(xiǎn),確定相應(yīng)的安全需求,并制定安全措施來(lái)降低和控制資產(chǎn)的風(fēng)險(xiǎn)。

可見(jiàn),信息安全風(fēng)險(xiǎn),是指由于系統(tǒng)存在的脆弱性、人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響,包括由于IT流程缺陷、系統(tǒng)的業(yè)務(wù)需求/流程控制缺陷、信息系統(tǒng)脆弱性、操作人員無(wú)意/蓄意失誤、外部事件等因素直接導(dǎo)致業(yè)務(wù)操作風(fēng)險(xiǎn)并間接導(dǎo)致信用、市場(chǎng)、聲譽(yù)等風(fēng)險(xiǎn)。它不僅存在于應(yīng)用系統(tǒng)及IT基礎(chǔ)設(shè)施等信息資產(chǎn)中,而且存在于業(yè)務(wù)流程及管理流程中。ISMS是通過(guò)實(shí)施一整套適當(dāng)?shù)目?/p>

制措施來(lái)實(shí)現(xiàn)目標(biāo)的,包括策略、過(guò)程、程序、組織結(jié)構(gòu)和軟硬件功能,他們可以是行政、技術(shù)、管理、法律等方面的。IS017799包含了11個(gè)管理要項(xiàng),既有偏重管理的信息安全方針、安全組織、資產(chǎn)管理、人員安全、物理和環(huán)境安全、事故管理、業(yè)務(wù)連續(xù)性管理、法律符合性等方面,也有偏重于技術(shù)的通信和操作管理、訪問(wèn)控制、系統(tǒng)開(kāi)發(fā)和維護(hù)等內(nèi)容,每一部分都針對(duì)不同的主體或范圍,在這11個(gè)管理要項(xiàng)中,它又細(xì)分為39個(gè)控制目標(biāo)和133個(gè)控制措施??梢哉f(shuō),ISO/IEC27001是目前國(guó)際上關(guān)于信息安全管理要求最全面、最完整的體系,可有效防范信息資產(chǎn)風(fēng)險(xiǎn),從而進(jìn)一步鞏固操作風(fēng)險(xiǎn)的駕馭能力,保證組織核心業(yè)務(wù)的持續(xù)運(yùn)行。

三、基于風(fēng)險(xiǎn)的信息安全管理體系的構(gòu)建

信息安全管理體系是基于業(yè)務(wù)風(fēng)險(xiǎn)方法建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全,提出了基于戴明環(huán)的Plan-Do-Check-Act(PDCA)風(fēng)險(xiǎn)模型,強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)的控制,如圖所示。它的設(shè)計(jì)思路充分體現(xiàn)了“過(guò)程方法”的特點(diǎn),以過(guò)程為控制對(duì)象,在業(yè)務(wù)和風(fēng)險(xiǎn)管理過(guò)程中控制風(fēng)險(xiǎn),實(shí)現(xiàn)持續(xù)改進(jìn),并達(dá)到監(jiān)管方要求實(shí)現(xiàn)的事前、事中、事后全程控制。

(一)策劃并建立信息安全管理體系

1 確定安全方針和范圍

信息安全管理體系可覆蓋組織的全部或部分,組織需根據(jù)業(yè)務(wù)特征、地理位置、資產(chǎn)和技術(shù)等明確界定體系的范圍,并使之文件化。另外,要制定ISMS方針和策略,它是指導(dǎo)如何對(duì)組織信息資產(chǎn)進(jìn)行管理的規(guī)則,是構(gòu)建信息安全管理體系的宗旨。它表明了管理層的承諾,提出組織管理信息安全的方法,為組織的信息安全管理提供方向和支持。

2 資產(chǎn)的識(shí)別和評(píng)價(jià)

資產(chǎn)管理是實(shí)施有效ISMS的基礎(chǔ),也是風(fēng)險(xiǎn)評(píng)估的核心內(nèi)容。資產(chǎn)管理的優(yōu)劣直接影響評(píng)估的效率和質(zhì)量以及保持循環(huán)評(píng)估的連續(xù)性,而且有助于預(yù)見(jiàn)這些數(shù)據(jù)在之后風(fēng)險(xiǎn)分析中的重要作用。

資產(chǎn)識(shí)別A:為保證資產(chǎn)識(shí)別的合理性,建議組織從業(yè)務(wù)流程角度(縱向比較)和信息活動(dòng)(橫向比較)兩個(gè)角度進(jìn)行。在清晰識(shí)別資產(chǎn)后,組織應(yīng)根據(jù)資產(chǎn)的重要性形成文件,建立資產(chǎn)清單,包含資產(chǎn)類型、格式、位置、責(zé)任人、備份信息和業(yè)務(wù)價(jià)值。

資產(chǎn)評(píng)價(jià)的目的是確保資產(chǎn)受到相應(yīng)等級(jí)的保護(hù),以保障在處理信息時(shí)指明保護(hù)的需求、優(yōu)先級(jí)和期望程度。企業(yè)的所有資產(chǎn)都處在業(yè)務(wù)流程和相應(yīng)的支持過(guò)程中,資產(chǎn)的重要程度,應(yīng)根據(jù)其所處業(yè)務(wù)流程的位置,且與其它資產(chǎn)的比較中界定。通過(guò)分析資產(chǎn)的機(jī)密性、完整性、可用性及其它需求進(jìn)行評(píng)估。對(duì)資產(chǎn)賦值時(shí),一方面要考慮資產(chǎn)購(gòu)買成本,另一方面也要考慮當(dāng)這種資產(chǎn)的機(jī)密性、完整性和可用性受到損害時(shí),對(duì)業(yè)務(wù)運(yùn)營(yíng)的負(fù)面影響程度。

3 風(fēng)險(xiǎn)評(píng)估

資產(chǎn)管理和風(fēng)險(xiǎn)評(píng)估是相輔相成,緊密相連的。在實(shí)際操作過(guò)程中,資產(chǎn)管理數(shù)據(jù)可為風(fēng)險(xiǎn)評(píng)估提供支持;而每次風(fēng)險(xiǎn)評(píng)估正是對(duì)資產(chǎn)管理數(shù)據(jù)進(jìn)行修正和維護(hù)的過(guò)程。因此,定義全面合理的信息安全風(fēng)險(xiǎn)評(píng)估方法及風(fēng)險(xiǎn)可接受準(zhǔn)則是十分關(guān)鍵的。評(píng)估方法要和組織既定的體系范圍、安全需求、法律法規(guī)相適應(yīng)。另外,組織應(yīng)建立風(fēng)險(xiǎn)評(píng)估文件,解釋和說(shuō)明所選擇的風(fēng)險(xiǎn)評(píng)估方法,介紹所采用的技術(shù)和工具。

(1)威脅識(shí)別T:威脅是對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或事件。評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和有關(guān)統(tǒng)計(jì)數(shù)據(jù)判斷威脅發(fā)生的頻率或概率。

(2)脆弱性識(shí)別V:弱點(diǎn)是資產(chǎn)本身存在的,若被威脅利用將引起資產(chǎn)或目標(biāo)的損害。我們將針對(duì)每一項(xiàng)要保護(hù)的信息資產(chǎn),找出每一種威脅所能利用的脆弱性,并對(duì)其嚴(yán)重程度進(jìn)行評(píng)估,為其賦值。

(3)對(duì)已有安全控制措施進(jìn)行確認(rèn)。

(4)建立風(fēng)險(xiǎn)測(cè)量的方法及風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原則,結(jié)合資產(chǎn)本身的價(jià)值、威脅發(fā)生的概率、威脅利用弱點(diǎn)的影響程度和已有控制等來(lái)確定風(fēng)險(xiǎn)的大小與等級(jí)R。即R=f(A,v,T)=f[Ia,L(Va,T)],其中Ia表示資產(chǎn)的重要程度;Va表示某資產(chǎn)本身的脆弱性,L表示威脅利用脆弱性對(duì)資產(chǎn)造成安全事件的可能性。

(5)識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方法,包括接受風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)等。組織應(yīng)加以分析,區(qū)別對(duì)待所識(shí)別的信息安全風(fēng)險(xiǎn)。若風(fēng)險(xiǎn)滿足組織可接受的風(fēng)險(xiǎn)準(zhǔn)則,將接受風(fēng)險(xiǎn)。否則,考慮規(guī)避風(fēng)險(xiǎn)或轉(zhuǎn)移風(fēng)險(xiǎn)。若無(wú)法規(guī)避或轉(zhuǎn)移的風(fēng)險(xiǎn),應(yīng)采取適當(dāng)?shù)目刂拼胧?,將它降低到可接受水平?/p>

(6)選擇控制目標(biāo)和措施

選擇并建立文件化的控制目標(biāo)和措施,制定風(fēng)險(xiǎn)處置計(jì)劃。ISO27001系列強(qiáng)調(diào)在風(fēng)險(xiǎn)處理方式及控制措施的選擇上,組織應(yīng)考慮發(fā)展戰(zhàn)略、組織文化、人員素質(zhì),并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡,以滿足法律法規(guī)及相關(guān)方的要求。另外,實(shí)施控制措施后仍會(huì)有殘余風(fēng)險(xiǎn)存在,我們需要密切監(jiān)視這些風(fēng)險(xiǎn),防止它誘發(fā)新的風(fēng)險(xiǎn)事件。

(7)獲得最高管理者的授權(quán)批準(zhǔn)

風(fēng)險(xiǎn)識(shí)別和評(píng)估對(duì)后續(xù)可行的風(fēng)險(xiǎn)監(jiān)測(cè)和控制至關(guān)重要。有效的風(fēng)險(xiǎn)識(shí)別要同時(shí)考慮內(nèi)部因素(如企業(yè)結(jié)構(gòu)、性質(zhì)、文化以及人員的素質(zhì)和流動(dòng)性等)和外部因素(如環(huán)境的變化和技術(shù)的發(fā)展),他們可能對(duì)組織目標(biāo)的實(shí)現(xiàn)造成重大不利影響。在識(shí)別絕大多數(shù)潛在的不利風(fēng)險(xiǎn)的同時(shí),組織還應(yīng)該評(píng)估自身對(duì)這些風(fēng)險(xiǎn)的承受能力。通過(guò)有效的風(fēng)險(xiǎn)評(píng)估,組織可以更好地掌握其風(fēng)險(xiǎn)狀況和最有效地使用風(fēng)險(xiǎn)管理資源。

(二)實(shí)施并運(yùn)行信息安全管理體系

闡明并實(shí)施風(fēng)險(xiǎn)處置計(jì)劃。在此過(guò)程中,組織應(yīng)指明和分配適當(dāng)?shù)墓芾泶胧?、資源(人員、時(shí)間和資金)、職責(zé)和優(yōu)先級(jí)。針對(duì)不同的管理層次、崗位和職責(zé)制訂不同的培訓(xùn)計(jì)劃,記錄并考核培訓(xùn)的效果。通過(guò)提高全員的信息安全意識(shí),塑造企業(yè)的風(fēng)險(xiǎn)文化,保證意識(shí)和控制活動(dòng)的同步,確保體系的持續(xù)有效性和實(shí)時(shí)性。同時(shí),組織應(yīng)搜集證據(jù)、記錄信息安全管理活動(dòng),為將來(lái)的評(píng)審、檢查做準(zhǔn)備。

(三)監(jiān)視并評(píng)審信息安全管理體系

監(jiān)控、評(píng)審階段主要用來(lái)加強(qiáng)、修訂及改進(jìn)已識(shí)別的控制措施和解決方案。對(duì)不合理、不充分的控制措施應(yīng)及時(shí)采取糾正和預(yù)防。組織可通過(guò)多種方式檢查和監(jiān)視信息安全管理體系的運(yùn)行狀況,如收集安全審核的結(jié)果、事故、以及所有相關(guān)方的建議和反饋;定期評(píng)審殘余風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí);通過(guò)內(nèi)部審核和管理評(píng)審檢查信息安全管理體系的有效性、符合性等。此外,組織應(yīng)做好記錄,并報(bào)告影響信息安全管理體系有效性或業(yè)績(jī)的所有活動(dòng)、事件。

(四)改進(jìn)信息安全管理體系

基于評(píng)審結(jié)果或其他相關(guān)信息,采取糾正和預(yù)防措施,以持續(xù)改進(jìn)信息安全管理體系,開(kāi)始新一輪的PDCA循環(huán)。改進(jìn)活動(dòng)和措施必須獲得所有相關(guān)方的認(rèn)可,并確保達(dá)到預(yù)期目的。

四、信息資產(chǎn)類操作風(fēng)險(xiǎn)管理的實(shí)施建議

ISO27001是文件化的體系,它把傳統(tǒng)的銀行信息安全與IT治理、風(fēng)險(xiǎn)審計(jì)和風(fēng)險(xiǎn)評(píng)估結(jié)合在一起,產(chǎn)生了一個(gè)新的管理維度和應(yīng)用維度。在國(guó)際標(biāo)準(zhǔn)化的大潮流下,將基于風(fēng)險(xiǎn)評(píng)估的ISO27001體系要求引入業(yè)務(wù)流程和風(fēng)險(xiǎn)體系,規(guī)范現(xiàn)有業(yè)務(wù)運(yùn)作,全面提升員工的風(fēng)險(xiǎn)意識(shí)和責(zé)任,從而有效地降低內(nèi)部欺詐等各類風(fēng)險(xiǎn)發(fā)生的幾率,做到從源頭防范風(fēng)險(xiǎn),保護(hù)客戶信息。

第8篇:資產(chǎn)安全評(píng)估范文

【 關(guān)鍵詞 】 信息安全;等級(jí)保護(hù);風(fēng)險(xiǎn)評(píng)估

Information Security Hierarchy Protection and Risk Assessment

Dai Lian-fen

(China Petroleum & Chemical Corporation Guangzhou Branch GuangdongGuangzhou 510725)

【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.

【 Keywords 】 information security;hierarchy protection;risk assessment

1 風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)建設(shè)工作的基礎(chǔ)

等級(jí)保護(hù)測(cè)評(píng)中的差距分析是按照等保的所有要求進(jìn)行符合性檢查,檢查信息系統(tǒng)現(xiàn)狀與國(guó)家等保要求之間的符合程度。風(fēng)險(xiǎn)評(píng)估作為信息安全工作的一種重要技術(shù)手段,其目標(biāo)是深入、詳細(xì)地檢查信息系統(tǒng)的安全風(fēng)險(xiǎn)狀況,比差距分析結(jié)果在技術(shù)上更加深入。為此,等級(jí)保護(hù)與風(fēng)險(xiǎn)評(píng)估之間存在互為依托、互為補(bǔ)充的關(guān)系,等級(jí)保護(hù)是國(guó)家一項(xiàng)信息安全政策,而風(fēng)險(xiǎn)評(píng)估則是貫徹這項(xiàng)制度的方法和手段,在實(shí)施信息安全等級(jí)保護(hù)周期和層次中發(fā)揮著重要作用。

風(fēng)險(xiǎn)評(píng)估貫穿等級(jí)保護(hù)工作的整個(gè)流程,只是在不同階段評(píng)估的內(nèi)容和結(jié)果不一樣?!缎畔⑾到y(tǒng)安全等級(jí)保護(hù)實(shí)施指南》將等級(jí)保護(hù)基本流程分為三個(gè)階段:定級(jí),規(guī)劃與設(shè)計(jì),實(shí)施、等級(jí)評(píng)估與改進(jìn)。在第一階段中,風(fēng)險(xiǎn)評(píng)估的對(duì)象內(nèi)容是資產(chǎn)評(píng)估,并在此基礎(chǔ)上進(jìn)行定級(jí)。在第二階段中,主要是對(duì)信息系統(tǒng)可能面臨的威脅和潛在的脆弱性進(jìn)行評(píng)估,根據(jù)評(píng)估結(jié)果,綜合平衡安全風(fēng)險(xiǎn)和成本,以及各系統(tǒng)特定安全需求,選擇和調(diào)整安全措施,確定出關(guān)鍵業(yè)務(wù)系統(tǒng)、子系統(tǒng)和各類保護(hù)對(duì)象的安全措施。在第三個(gè)階段中,則涉及評(píng)估系統(tǒng)是否滿足相應(yīng)的安全等級(jí)保護(hù)要求、評(píng)估系統(tǒng)的安全狀況等,同時(shí)根據(jù)結(jié)果進(jìn)行相應(yīng)的改進(jìn)。

等級(jí)保護(hù)所要完成的工作本質(zhì)就是根據(jù)信息系統(tǒng)的特點(diǎn)和風(fēng)險(xiǎn)狀況,對(duì)信息系統(tǒng)安全需求進(jìn)行分級(jí), 實(shí)施不同級(jí)別的保護(hù)措施。實(shí)施等級(jí)保護(hù)的一個(gè)重要前提就是了解系統(tǒng)的風(fēng)險(xiǎn)狀況和安全等級(jí), 所以風(fēng)險(xiǎn)評(píng)估是等級(jí)保護(hù)的重要基礎(chǔ)與依據(jù)。

2 等級(jí)保護(hù)建設(shè)過(guò)程中如何有效地結(jié)合風(fēng)險(xiǎn)評(píng)估

2.1 以風(fēng)險(xiǎn)評(píng)估中資產(chǎn)安全屬性的重要度來(lái)劃分信息系統(tǒng)等級(jí)

在公安部等四部局聯(lián)合下發(fā)了《信息安全等級(jí)保護(hù)的實(shí)施意見(jiàn)》公通字2004第66號(hào)文中,根據(jù)信息和信息系統(tǒng)的重要程度,將信息和信息系統(tǒng)劃分為了五個(gè)等級(jí)自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)、強(qiáng)制保護(hù)級(jí)和??乇Wo(hù)級(jí)。實(shí)際上對(duì)信息系統(tǒng)的定級(jí)過(guò)程,也就是對(duì)信息資產(chǎn)的識(shí)別及賦值的過(guò)程。在國(guó)家的《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》中,提出了對(duì)信息系統(tǒng)的定級(jí)依據(jù),而這些依據(jù)基本的思想是根據(jù)信息資產(chǎn)的機(jī)密性、完整性和可用性重要程度來(lái)確定信息系統(tǒng)的安全等級(jí),這正是風(fēng)險(xiǎn)評(píng)估中對(duì)信息資產(chǎn)進(jìn)行識(shí)別并賦值的過(guò)程:對(duì)信息資產(chǎn)的機(jī)密性進(jìn)行識(shí)別并賦值;對(duì)信息資產(chǎn)的完整性進(jìn)行識(shí)別并賦值;對(duì)信息資產(chǎn)的可用性進(jìn)行識(shí)別并賦值。從某種意義上來(lái)說(shuō),信息系統(tǒng)(不是信息)的安全等級(jí)劃分,實(shí)際上也是對(duì)殘余風(fēng)險(xiǎn)的接受和認(rèn)可。

2.2 以風(fēng)險(xiǎn)評(píng)估中威脅程度來(lái)確定安全等級(jí)的要求

在等級(jí)保護(hù)中,對(duì)系統(tǒng)定級(jí)完成后,應(yīng)按照信息系統(tǒng)的相應(yīng)等級(jí)提出安全要求,安全要求實(shí)際上體現(xiàn)在信息系統(tǒng)在對(duì)抗威脅的能力與系統(tǒng)在被破壞后,恢復(fù)的速度與恢復(fù)的程度方面。而這些在風(fēng)險(xiǎn)評(píng)估中,則是對(duì)威脅的識(shí)別與賦值活動(dòng);脆弱性識(shí)別與賦值活動(dòng);安全措施的識(shí)別與確認(rèn)活動(dòng)。對(duì)于一個(gè)安全事件來(lái)說(shuō),是威脅利用了脆弱性所導(dǎo)致的,在沒(méi)有威脅的情況下,信息系統(tǒng)的脆弱性不會(huì)自己導(dǎo)致安全事件的發(fā)生。所以對(duì)威脅的分析與識(shí)別是等級(jí)保護(hù)安全要求的基本前提,不同安全等級(jí)的信息系統(tǒng)應(yīng)該能夠?qū)共煌瑥?qiáng)度和時(shí)間長(zhǎng)度的安全威脅。

2.3 以風(fēng)險(xiǎn)評(píng)估的結(jié)果作為等級(jí)保護(hù)建設(shè)的安全設(shè)計(jì)的依據(jù)

在確定信息系統(tǒng)的安全等級(jí)和進(jìn)行風(fēng)險(xiǎn)評(píng)估后,應(yīng)該根據(jù)安全等級(jí)的要求和風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行安全方案設(shè)計(jì),而在安全方案設(shè)計(jì)中,首要的依據(jù)是風(fēng)險(xiǎn)評(píng)估的結(jié)果,特別是對(duì)威脅的識(shí)別,在一些不存在的威脅的情況下,對(duì)相應(yīng)的脆弱性應(yīng)該不予考慮,只作為殘余風(fēng)險(xiǎn)來(lái)監(jiān)控。對(duì)于兩個(gè)等級(jí)相同的信息系統(tǒng),由于所承載業(yè)務(wù)的不同,其信息的安全屬性也可能不同,對(duì)于需要機(jī)密性保護(hù)的信息系統(tǒng),和對(duì)于一個(gè)需要完整性保護(hù)的信息系統(tǒng),保護(hù)的策略必須是不同,雖然它們可能有相同的安全等級(jí),但是保護(hù)的方法則不應(yīng)該是一樣的。所以,安全設(shè)計(jì)首先應(yīng)該以風(fēng)險(xiǎn)評(píng)估的結(jié)果作為依據(jù),而將設(shè)計(jì)的結(jié)果與安全等級(jí)保護(hù)的要求相比較,對(duì)于需要保護(hù)的必須符合安全等級(jí)要求,而對(duì)于不需要保護(hù)的則可以暫不考慮安全等級(jí)的要求,而對(duì)于一些必須高于安全等級(jí)要求的,則必須依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,進(jìn)行相應(yīng)高標(biāo)準(zhǔn)的設(shè)計(jì)。

3 結(jié)束語(yǔ)

風(fēng)險(xiǎn)評(píng)估為等級(jí)保護(hù)工作的開(kāi)展提供基礎(chǔ)數(shù)據(jù),是等級(jí)保護(hù)定級(jí)、建設(shè)的實(shí)際出發(fā)點(diǎn),通過(guò)安全風(fēng)險(xiǎn)評(píng)估,可以發(fā)現(xiàn)信息系統(tǒng)可能存在的安全風(fēng)險(xiǎn),判斷信息系統(tǒng)的安全狀況與安全等級(jí)保護(hù)要求之間的差距,從而不斷完善等級(jí)保護(hù)措施。文章對(duì)等級(jí)保護(hù)工作中如何結(jié)合信息安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了有益的探索,為有效地支撐計(jì)算機(jī)信息系統(tǒng)等級(jí)保護(hù)建設(shè)的順利進(jìn)行提供了參考。

參考文獻(xiàn)

[1] 吳賢.信息安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估的關(guān)系研究.信息網(wǎng)絡(luò)安全,2007.

[2] 馮登國(guó),張陽(yáng),張玉清.信息安全風(fēng)險(xiǎn)評(píng)估綜述.通信學(xué)報(bào),2004.

第9篇:資產(chǎn)安全評(píng)估范文

關(guān)鍵詞:信息系統(tǒng);安全評(píng)價(jià);設(shè)計(jì);實(shí)現(xiàn)

現(xiàn)代網(wǎng)絡(luò)信息時(shí)代背景下,信息系統(tǒng)的安全問(wèn)題成為了首要的問(wèn)題,而對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估是信息安全管理中的重要構(gòu)件,需要基于層次分析法建模理論,進(jìn)行信息系統(tǒng)的安全評(píng)價(jià)設(shè)計(jì)和風(fēng)險(xiǎn)評(píng)估,從而最大程度地減少信息安全評(píng)估的主觀因素,提升信息系統(tǒng)安全評(píng)價(jià)系統(tǒng)的準(zhǔn)確性和高效性,要從工具的需求分析、軟件設(shè)計(jì)、工具實(shí)現(xiàn)關(guān)鍵技術(shù)以及工具測(cè)試等方面進(jìn)行描述和設(shè)計(jì),為信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估提供良好的研究?jī)r(jià)值和實(shí)用性意義。

一、信息系統(tǒng)安全評(píng)價(jià)系統(tǒng)概述

信息系統(tǒng)的安全問(wèn)題與技術(shù)和管理有密切的關(guān)聯(lián),單純依賴于安全技術(shù)是片面性的認(rèn)識(shí),還需要針對(duì)信息系統(tǒng)對(duì)象,依照一定的管理程序和方法,進(jìn)行信息安全任務(wù)的實(shí)現(xiàn),而信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)和關(guān)鍵內(nèi)容,要有效地通過(guò)對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估,分析信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅和防護(hù)措施等,并對(duì)信息系統(tǒng)中存在的主要安全問(wèn)題,進(jìn)行分析,尋求對(duì)策,進(jìn)行有效的管理。信息系統(tǒng)安全評(píng)價(jià)系統(tǒng)涉及各個(gè)層面,包括物理層、網(wǎng)絡(luò)層、應(yīng)用層和系統(tǒng)層,為了對(duì)復(fù)雜的信息系統(tǒng)進(jìn)行安全評(píng)估,需要確立各指標(biāo)之間的量化計(jì)算模型,考慮信息系統(tǒng)安全評(píng)價(jià)的基本要素,如:信息資產(chǎn)的脆弱性、信息資產(chǎn)面臨的威脅、信息的安全防護(hù)措施等,要評(píng)估與這些資產(chǎn)價(jià)值和安全需求相契合的各種屬性。其中,常用的信息系統(tǒng)安全評(píng)價(jià)系統(tǒng)方法主要有:

1、信息系統(tǒng)安全風(fēng)險(xiǎn)模式影響及危害性分析(RMECA)。這種模式主要是首先要對(duì)被分析系統(tǒng)進(jìn)行定義,在明確系統(tǒng)功能的前提下,尋找出單點(diǎn)風(fēng)險(xiǎn),根據(jù)單點(diǎn)風(fēng)險(xiǎn)發(fā)生的概率和嚴(yán)重程度,定位其危害性,并尋找出薄弱環(huán)節(jié),加以適宜的控制。

2、風(fēng)險(xiǎn)評(píng)審技術(shù)(VERT)。這種模式以被分析系統(tǒng)為對(duì)象,采用隨機(jī)網(wǎng)絡(luò)仿真手段,對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)定量分析,建構(gòu)對(duì)應(yīng)的隨機(jī)網(wǎng)絡(luò)模型,根據(jù)不同任務(wù)的性質(zhì),利用輸入和輸出邏輯功能,全面表達(dá)出實(shí)際活動(dòng)過(guò)程的邏輯關(guān)系和隨機(jī)約束,從而根據(jù)各參數(shù)信息分析信息系統(tǒng)的風(fēng)險(xiǎn)狀況。

3、德?tīng)栰撤ā<炊ㄐ灶A(yù)測(cè)方法,這是一種背對(duì)背的分析方法,是系統(tǒng)性的、獨(dú)立性的判斷方式,可以避免權(quán)威對(duì)分析的影響,提升預(yù)測(cè)的可靠性。

4、層次分析法(AHP法)。這是定性與定量分析相結(jié)合的分析方法,主要應(yīng)用于沒(méi)有統(tǒng)一度量標(biāo)尺的復(fù)雜系統(tǒng)的分析,它基于層次分解法的思想,建構(gòu)層次結(jié)構(gòu)模型,進(jìn)行分層次、擬定量和規(guī)范化的分析和處理。

5、模糊分析法(Fuzzy Analysis)。這是基于模糊集合匯總而成的一種預(yù)測(cè)分析方法,在與人們思維模式相吻合的前提下,運(yùn)用程度語(yǔ)言對(duì)被分析系統(tǒng)進(jìn)行描述和表達(dá)。

二、信息系統(tǒng)安全評(píng)價(jià)系統(tǒng)的設(shè)計(jì)與構(gòu)建

信息系統(tǒng)的安全風(fēng)險(xiǎn)是一個(gè)多指標(biāo)的綜合評(píng)價(jià)集,需要兼顧安全風(fēng)險(xiǎn)的各個(gè)層面,面向復(fù)雜的信息系統(tǒng),可以基于層次分析法和模糊綜合評(píng)價(jià)法,進(jìn)行定性和定量的分析。其安全評(píng)價(jià)系統(tǒng)設(shè)計(jì)的總體目標(biāo)為:(1)為安全評(píng)價(jià)人員提供風(fēng)險(xiǎn)評(píng)估系統(tǒng)軟件,包括對(duì)信息的采集、分類、資產(chǎn)權(quán)重等計(jì)算,并得出評(píng)判結(jié)果。(2)對(duì)組織的信息系統(tǒng)的安全狀況進(jìn)行評(píng)測(cè),對(duì)于信息系統(tǒng)中存在的安全防護(hù)弱點(diǎn)進(jìn)行改進(jìn)和優(yōu)化。(3)基于人機(jī)友好交互界面之下,進(jìn)行數(shù)據(jù)的分布式訪問(wèn),實(shí)現(xiàn)信息數(shù)據(jù)的集中統(tǒng)一管理。

1、信息系統(tǒng)安全評(píng)價(jià)系統(tǒng)的總體模塊設(shè)計(jì)

在信息系統(tǒng)安全評(píng)價(jià)系統(tǒng)之中,可以設(shè)計(jì)為四大模塊,即:

(1)數(shù)據(jù)安全模塊。該模塊主要用于對(duì)已有數(shù)據(jù)的備份和恢復(fù),避免失誤。

(2)數(shù)據(jù)提供模塊。該模塊涵蓋有資產(chǎn)數(shù)據(jù)庫(kù)和風(fēng)險(xiǎn)數(shù)據(jù)庫(kù),是評(píng)價(jià)系統(tǒng)的基礎(chǔ)數(shù)據(jù)的載體形式,可以適用于不同的系統(tǒng)需求。

(3)資產(chǎn)評(píng)估模塊。該模塊用于計(jì)算資產(chǎn)的權(quán)重,依據(jù)層次分析法對(duì)系統(tǒng)進(jìn)行一致性評(píng)估和檢查。

(4)風(fēng)險(xiǎn)評(píng)估模塊。該模塊對(duì)信息數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)評(píng)估,并進(jìn)行完整性檢查。

2、建構(gòu)信息系統(tǒng)安全評(píng)價(jià)層次結(jié)構(gòu)模型

在分解法的思想引領(lǐng)下,對(duì)被評(píng)價(jià)的信息系統(tǒng)對(duì)象,進(jìn)行資產(chǎn)價(jià)值和風(fēng)險(xiǎn)層次結(jié)構(gòu)模型的建構(gòu),建構(gòu)層次分為:目標(biāo)層、準(zhǔn)則層和方案層,其中:(1)目標(biāo)層。是指信息系統(tǒng)整體的安全,可以用A表示。(2)準(zhǔn)則層??梢杂肂表示,涵蓋信息安全、硬件安全、軟件安全、管理安全和環(huán)境安全五個(gè)層面。(3)方案層。是指信息系統(tǒng)對(duì)用戶的身份識(shí)別、訪問(wèn)限制控制、信息加密、入侵檢測(cè)等指標(biāo)內(nèi)容。在上述結(jié)構(gòu)層次之中,形成一個(gè)系統(tǒng)而規(guī)范化的信息系統(tǒng)安全評(píng)估指標(biāo)體系。

3、運(yùn)用向量范數(shù)法優(yōu)化判斷矩陣

在層次結(jié)構(gòu)模型之中,要涉及諸多的資產(chǎn)或風(fēng)險(xiǎn)因素,如果單憑人們的自主判斷,無(wú)疑存在各種不確定性和不全面性的問(wèn)題,而如果僅采用定性的判斷方式,又往往難于讓人理解和接受。因而,要構(gòu)造判斷矩陣,采用兩兩對(duì)比的方式,運(yùn)用相對(duì)尺度,盡量避免比較和評(píng)價(jià)中的困難,從而提高評(píng)價(jià)結(jié)果的準(zhǔn)確性。

3.1 在構(gòu)造判斷矩陣時(shí),要采用一定的尺度來(lái)加以衡量,可以采用1~9比例標(biāo)度評(píng)價(jià)集,形成一個(gè)判斷矩陣,如下表所示:

3.2 運(yùn)用向量范數(shù)法,對(duì)判斷矩陣一致性的校驗(yàn)

基于向量范數(shù)法,可以對(duì)信息系統(tǒng)的判斷矩陣進(jìn)行一致性校驗(yàn),由于客觀因素的不確定性和復(fù)雜性特點(diǎn),需要對(duì)原有的判斷矩陣基于向量范數(shù)理論進(jìn)行校正。

三、結(jié)束語(yǔ)

總之,信息系統(tǒng)安全評(píng)價(jià)系統(tǒng)的構(gòu)建要由實(shí)際需求出發(fā),建構(gòu)信息系統(tǒng)安全評(píng)價(jià)模型,基于層次分析法和相關(guān)分析方法的理論,科學(xué)合理地對(duì)信息數(shù)據(jù)進(jìn)行完整性檢查和一致性檢測(cè),從而提升信息系統(tǒng)的整體安全防護(hù)能力。

參考文獻(xiàn):