企业办公自动化信息安全风险评估研究

岳小金 徐 军

（1.郑州热力总公司，河南 郑州 450000；2.蚌埠坦克学院，安徽 蚌埠 233050）

企业办公自动化信息安全风险评估研究

岳小金1徐 军2

（1.郑州热力总公司，河南 郑州 450000；2.蚌埠坦克学院，安徽 蚌埠 233050）

文章介绍了一种企业办公自动化风险评估体系，从风险评估准备、风险识别、风险分析、汇报验收四个阶段，逐步分析了企业办公自动化信息安全风险评估的流程，为企业办公自动化风险评估提供依据。

企业办公自动化；信息安全；风险评估

（一）引言

办公自动化（Office Automation，简称OA）是指利用计算机技术、通信技术、系统科学、管理科学等先进的科学技术，不断使人们的部分办公业务活动物化于人以外的各种现代化的办公设备中，最大限度地提高办公效率和改进办公质量，改善办公环境和条件，缩短办公周期，并利用科学的管理方法，借助于各种先进技术，辅助决策，提高管理和决策的科学化水平，以实现办公活动的科学化和自动化[1]。而信息安全风险评估是信息系统安全工程的重要组成部分，是信息安全建设的基础和起点。当前，各个企业在大力进行办公自动化建设的同时，信息安全问题也变得日益突出。企业内部的各种信息安全隐患会给企业办公自动化的信息安全保密工作带来各种威胁。尽管杀毒软件、防火、入侵检测系统、漏洞扫描等安全技术的使用在一定程度上提高了系统的安全性，然而，由于众多安全设备产生了海量的安全事件，管理人员难以通过人工的方式对这些信息进行有效的管理，因而无法获得系统全局的安全态势。而管理人员缺乏对系统全局风险状况的了解又使得各种安全措施与其实际所防护的业务无法有效的关联，安全预警、安全保护、应急响应等各子系统难以取得预期的效果。使得整个安全体系抗攻击的能力较弱。

如何利用各种安全技术将信息系统面临的风险控制在可接受的范围内，是保证企业办公自动化信息系统处于较高安全水平的关键。而信息安全风险评估，则是控制风险，安全管理信息系统的一个较好解决方法。

（二）企业OA信息安全风险评估概述

1.什么是信息安全风险评估

所谓信息安全风险评估， 就是依照国家有关信息安全技术标准，从风险管理的角度，运用定性、定量的科学分析方法和手段，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性进行科学评价的过程，它系统的分析评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁利用后产生的负面影响， 并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险[2]。

2.信息安全风险评估的形式

信息安全风险评估主要包括自评估和检查评估两种形式。自评估是指各信息系统使用单位发起的对本单位信息系统进行的安全信息风险评估。检查评估是指由保密部门或信息系统使用单位的主管部门发起的安全信息风险评估。

自评估的优点是可经常实施，能够及时发现问题并做出整改；缺点是客观性、公正性比较差，评估水平比较低；检测评估的优点是专业机构实施，能够保证客观性和公正性，评估的水平较高；缺点是受各种条件制约不能经常实施。我们应把两者结合起来将自评估作为风险评估的主要方式经常实施，并把检测评估作为风险评估的重要手段定期进行。

3.信息安全风险评估的作用意义

通过进行风险评估工作，运用专门的技术手段和检测设备，可以及时发现信息安全可能存在的各种问题，找到解决问题的方法，及早化解风险，提高信息安全性。风险评估是信息安全建设的基础和起点，只有对系统信息安全进行正确而全面的风险评估后，才能够在控制风险、减少风险、转移风险之间做出正确的判断，采取适当的措施去化解、控制风险。

（三）企业办公自动化信息安全风险评估的现状分析

企业办公自动化的信息系统涉及到了企业安全生产的问题，属于涉密信息系统。加之目前我国的信息化建设在关键技术、关键设备上还受制于人。因而企业办公自动化的信息安全防护工作还任重道远，只有认真分析企业办公自动化在安全风险评估方面的状况，才能更好的依靠信息安全风险评估为信息安全建设打下坚实基础。

目前企业办公自动化的信息安全风险评估还存在着一些问题，主要体现在以下几点：第一，对风险评估的重要性认识不够，防护手段单一，认为只要有了防火墙、杀毒软件等安全防护产品就够了；第二，基本没有进行过自评估，不能及时发现系统存在的隐患；第三，缺乏风险评估方面的专门人才；第四，即使对风险评估有一定认识，但由于标准技术的滞后，无法做出规范有效的评估；第五，风险评估的角色、责任混乱；第六，有些企业虽然进行了风险评估，但在风险评估结束后没有对评估结果采取任何对策，仅仅是为了评估而评估。

（四）企业办公自动化信息安全风险评估体系结构

下面我们根据企业办公自动化的自身特点，介绍一种可操作的基于模型的信息安全风险评估体系。

根据我国《信息安全风险评估指南》及其它国内外风险评估相关标准，信息安全风险与信息资产、威胁、脆弱性以及安全控制措施等诸多要素有关。我们制定出风险评估实施步骤的总体流程框图，如图1所示。

图1 风险评估实施步骤流程图

整个实施流程又大体分为准备阶段、识别阶段、分析阶段和验收阶段四个阶段。

（1）准备阶段

准备阶段主要进行是前期的准备工作。它包括明确风险评估的目标，确定评估的范围，建立适当的组织结构，确立适当的评估方法以及获得企业领导对风险评估策划的批准

等。准备阶段的工作较为琐碎，但它是风险评估实施的基础。细致、充分的准备，合理、精确的计划是风险评估能够顺利实施的关键所在。

作为企业办公自动化，对信息系统的安全性要求比较高，应确保各种涉密资料的安全；评估的范围应包括系统网络、系统设备、管理制度、同信息系统相关的人员以及系统的文档、数据维护等。在制定风险评估方案时应当重点考虑以上需求特点。

（2）风险识别阶段

风险识别阶段主要是根据准备阶段所确立的实施方案，识别资产、威胁、脆弱性等构成信息安全风险的要素，以及对已有安全性的确认，为下一阶段的风险分析收集必要的基础数据。

识别阶段主要对资产、威胁、脆弱性三个根本的风险要素的各个分类进行筛选、赋值，以得到量化了的风险评估、分析的依据。

分类后还要将三个根本要素的子层因素按照《信息安全风险评估指南》中所制定的国内标准进行赋值。其中资产赋值是通过资产机密性、资产完整性、资产可用性三种不同的安全属性的分别赋值而得到的综合考虑，每种属性的赋值都从1至5依次对应可忽略、低、中等、高、极高五种标识；威胁赋值是评估者通过经验或统计数据来判断威胁发生的概率。等级也是1至5，依次对应很低、低、中、高、很高五种威胁发生的可能性；脆弱性赋值采用定性的相对等级方式，找到每种威胁可能利用的脆弱性，并对其严重程度进行评估。同样划分了1至5五个等级，依次对应很低、低、中、高、很高五个级别的某种资产脆弱程度。

此外，对已有安全措施的确认也是识别阶段的一项内容。它可以对已采取的风险控制措施进行识别并对控制措施的有效性进行验证，继续保持有效的风险控制措施，以避免不必要的工作和浪费，防止控制措施的重复实施。

（3）风险分析阶段

风险分析阶段主要是将经过风险识别阶段，得到影响被评估信息系统安全风险的基本数据进行分析计算。这些数据主要来自资产、威胁、脆弱性和安全控制措施等。之后应在考虑已有安全措施的情况下，从潜在安全事件的影响和可能性两个方面分析和计算信息安全风险。

风险计算是利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性，并结合资产的安全属性受到破坏后的影响计算得出资产的安全风险。风险计算的原理形式化可描述为：

上式中，R表示风险，A表示资产，V表示脆弱性，T表示威胁，Ia表示资产的重要程度；Va表示某一资产本身的脆弱性，L表示威胁利用资产的脆弱性造成安全事件发生的可能性。模型示意图如图2所示。

图2 风险计算模型示意图

在确定了信息安全风险之后，还应在风险分析阶段提交出风险分析报告以及风险控制管理建议等书面报告。应从接受风险、避免风险、转移风险三个方面来考虑风险控制管理的建议。对安全风险决策后，应明确企业办公自动化的信息系统所要接受的残余风险。

（4）汇报验收阶段

本阶段主要是按照评估方案所确定的流程，完成最后评估项目的总结和验收工作。将上一步骤所提出的风险分析报告以及风险控制管理建议，送企业领导审批，通过后按决策的意见实施各项安全措施。由于企业办公自动化在安全性上的特殊要求，实施过程要始终在监督下进行，以确保决策的完全执行。

（五）结束语

随着企业信息化建设的不断发展、计算机网络和数据库技术的成熟，企业OA系统的功能将不断扩展，OA系统将更加完善。信息安全风险评估作为信息系统安全工程的重要组成部分，也是企业办公自动化信息系统安全的可靠保证。我们不应把它理解成为一个产品、工具，而应该是一个体系，一个过程。完善的风险评估体系应当包括相应的组织架构、标准体系和技术体系。随着信息安全风险评估逐渐被重视，国家的各种配套的安全标准将会更加健全，各种评估模型、评估方法、评估工具也会更加完善。我们要充分利用信息安全风险评估为企业办公自动化的信息安全保驾护航。

[1] 张卫.企业OA建设现状及发展趋势[J].办公自动化,2008,(18):22-23.

[2] 吴亚非,李新友,等.国家信息中心信息安全风险评估培训资料[P].北京,2006.

TP317.1

A

1008-1151(2010)04-0061-02

2010-01-12

岳小金（1971－），男，河南焦作人，郑州热力总公司工程师；徐军（1972－），男，安徽淮北人，蚌埠坦克学院教育技术中心副主任，讲师，硕士研究生，研究方向为信息处理、网络安全。