通訊員孫兵、潘立陽 報道：近期，為解決信息安全風(fēng)險評估工作開展困難，缺少統(tǒng)一的標(biāo)準(zhǔn)化流程問題，扎蘭屯機場通過“五小”創(chuàng)新舉措，探索實現(xiàn)了用于信息安全風(fēng)險評估的標(biāo)準(zhǔn)化流程。

  信息系統(tǒng)安全性問題日益突出，信息安全事件頻繁發(fā)生，正確的風(fēng)險評估方法能夠有效識別并確定其風(fēng)險點，給管理者提供整改方向，降低信息安全事件發(fā)生的頻率，提高其相關(guān)業(yè)務(wù)安全運行能力。風(fēng)險評估工作之所以難以進行，是因為其具有較高的專業(yè)性和抽象性的特點，對于評估人員則需要專業(yè)知識儲備和豐富的工作經(jīng)驗。

風(fēng)險評估軟件界面

  本創(chuàng)新成果目的就是在于將復(fù)雜的評估流程“簡單化”、將樣式不一的評估方法規(guī)范化、將缺少標(biāo)準(zhǔn)支撐的風(fēng)險評估科學(xué)化，以《GB/T20984信息安全風(fēng)險評估方法》為科學(xué)支撐，采用定性和定性與基于知識相結(jié)合的評估方法，建立了基于資產(chǎn)的定性分析風(fēng)險評估方法、應(yīng)用粗糙集理論，增加資產(chǎn)相關(guān)性風(fēng)險值分析的粗糙集法風(fēng)險評估模型，和運用圖論和矩陣工具的決策實驗室風(fēng)險評估三種評估方法流程。以上三種評估流程可以應(yīng)用到從管理層面查找風(fēng)險因素，到信息系統(tǒng)風(fēng)險要素識別各個環(huán)節(jié)，真正意義做到了信息安全風(fēng)險評估全流程覆蓋。

  評估流程的建立，只是解決了規(guī)范化和科學(xué)化的問題，并未實現(xiàn)“簡單化”這一目標(biāo)。為此，項目團隊基于以上三種評估流程，自主開發(fā)了信息安全風(fēng)險評估軟件，將評估過程中的復(fù)雜算法交由軟件解決，用戶只需要選擇相應(yīng)的評估流程，按照操作方法說明，填入各個環(huán)節(jié)數(shù)值便可自動生成評估報告，評估報告生成為word版本，用戶可根據(jù)需求再次進行編輯，直至完成后進行簽字確認(rèn)，使評估報告正式生效。此外，評估軟件還建立了數(shù)據(jù)庫，用戶可以根據(jù)系統(tǒng)變化等情況，將數(shù)據(jù)庫進行導(dǎo)入導(dǎo)出操作，進行對比分析以更準(zhǔn)確的判別評估因素變化對信息系統(tǒng)產(chǎn)生的影響�？紤]到評估工作開展的廣泛性，為能將創(chuàng)新成果更好的服務(wù)到各領(lǐng)域，此評估軟件可持續(xù)更新，在有標(biāo)準(zhǔn)化評估流程和計算公式前提下，可將其他業(yè)務(wù)評估流程加入到軟件中，并對評估流程設(shè)立使用權(quán)限，使各崗位人員獨立使用，互不干擾。

  此次創(chuàng)新一改以往信息安全風(fēng)險評估模式，使評估工作得以應(yīng)用到信息系統(tǒng)全生命周期，無論對信息安全管理還是信息系統(tǒng)風(fēng)險分析都具有重要意義，也是扎蘭屯機場積極響應(yīng)內(nèi)蒙古機場集團“五小”創(chuàng)新號召，優(yōu)化工作流程，創(chuàng)新管理方法的一次有效嘗試。本項目團隊也將繼續(xù)以破解工作難題為己任，提升安全運行能力為目標(biāo)，持續(xù)開展創(chuàng)新工作，為“四型機場”建設(shè)貢獻力量。