在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)，需要對(duì)設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測(cè)試工作，部分測(cè)試內(nèi)容需要上機(jī)查看一些信息，這就可能對(duì)系統(tǒng)的運(yùn)行造成一定的影響，甚至存在誤操作的可能。同時(shí)，在測(cè)評(píng)過程中，會(huì)使用一些技術(shù)測(cè)評(píng)工具進(jìn)行漏洞掃描測(cè)試、性能測(cè)試甚至抗?jié)B透能力測(cè)試。測(cè)試可能會(huì)對(duì)系統(tǒng)的負(fù)載造成一定的影響，漏洞掃描測(cè)試和滲透測(cè)試可能對(duì)服務(wù)器和網(wǎng)絡(luò)通信造成一定影響甚至傷害。

風(fēng)險(xiǎn)評(píng)價(jià)是在風(fēng)險(xiǎn)識(shí)別的基礎(chǔ)上，對(duì)測(cè)評(píng)過程中可能出現(xiàn)的任何事件所帶來的后果的分析，以確定該事件發(fā)生的概率以及與可能影響測(cè)評(píng)有效性的潛在的相關(guān)后果。測(cè)評(píng)風(fēng)險(xiǎn)評(píng)價(jià)可采用風(fēng)險(xiǎn)值法來進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)。風(fēng)險(xiǎn)評(píng)價(jià)的表達(dá)式為：“風(fēng)險(xiǎn)值”R=“風(fēng)險(xiǎn)可能性”Pד風(fēng)險(xiǎn)影響”F， 其中：風(fēng)險(xiǎn)可能性P—它是風(fēng)險(xiǎn)發(fā)生可能性大小，是一種主觀判斷^[4]。

判定步驟可以分為三步。首先，確定風(fēng)險(xiǎn)發(fā)生可能性：某風(fēng)險(xiǎn)因素可能引起的風(fēng)險(xiǎn)發(fā)生可能性，以高、中、低來標(biāo)定，分別賦值10、5、1；其次，確定風(fēng)險(xiǎn)影響程度：假定某風(fēng)險(xiǎn)因素引起風(fēng)險(xiǎn)，其風(fēng)險(xiǎn)對(duì)測(cè)評(píng)質(zhì)量和有效性影響的大小，以高、中、低來標(biāo)定，分別賦值10、5、1。最后確定風(fēng)險(xiǎn)級(jí)別：根據(jù)風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)影響大小的組成矩陣確定風(fēng)險(xiǎn)級(jí)別。根據(jù)風(fēng)險(xiǎn)矩陣計(jì)算記過，風(fēng)險(xiǎn)值分布為100、50、25、10、5、1。其中風(fēng)險(xiǎn)值大于等于50的定義為高風(fēng)險(xiǎn)，大于等于10小于50的定義為中風(fēng)險(xiǎn)，小于10的定義為低風(fēng)險(xiǎn)。

等級(jí)保護(hù)測(cè)評(píng)工作一般分為系統(tǒng)信息收集、編制測(cè)評(píng)方案、現(xiàn)場(chǎng)測(cè)評(píng)、測(cè)評(píng)結(jié)果分析及測(cè)評(píng)報(bào)告編制等幾個(gè)階段。上述風(fēng)險(xiǎn)在不同階段其風(fēng)險(xiǎn)值有所差異，因此在不同的測(cè)評(píng)階段應(yīng)注意對(duì)其階段主要風(fēng)險(xiǎn)進(jìn)行防范。

測(cè)評(píng)風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)考慮：政策法規(guī)、測(cè)評(píng)機(jī)構(gòu)的能力和資源、系統(tǒng)特點(diǎn)。根據(jù)以上評(píng)價(jià)方法，我們進(jìn)行一下簡(jiǎn)單評(píng)價(jià)。初步估算上述測(cè)評(píng)風(fēng)險(xiǎn)的評(píng)價(jià)如下表。

?

風(fēng)險(xiǎn)管理的基本目標(biāo)是以最小的經(jīng)濟(jì)成本獲得最大的安全保障效益，即風(fēng)險(xiǎn)管理就是以最少的費(fèi)用支出達(dá)到最大限度地分散、轉(zhuǎn)移、消除風(fēng)險(xiǎn)，以實(shí)現(xiàn)保障人們經(jīng)濟(jì)利益和社會(huì)穩(wěn)定的基本目的。這又可以分為以下三種情形：第一，損失發(fā)生前的風(fēng)險(xiǎn)管理目標(biāo)——避免或減少風(fēng)險(xiǎn)事故發(fā)生的機(jī)會(huì)；第二，損失發(fā)生中的風(fēng)險(xiǎn)管理目標(biāo)——控制風(fēng)險(xiǎn)事故的擴(kuò)大和蔓延，盡可能減少損失；第三，損失發(fā)生后的風(fēng)險(xiǎn)管理目標(biāo)—— 努力使損失的標(biāo)的恢復(fù)到損失前的狀態(tài)^[5]。

等級(jí)測(cè)評(píng)有效性風(fēng)險(xiǎn)既存在人員風(fēng)險(xiǎn)也存在技術(shù)風(fēng)險(xiǎn)，人員風(fēng)險(xiǎn)與測(cè)評(píng)機(jī)構(gòu)的技術(shù)風(fēng)險(xiǎn)是緊密相關(guān)的，高素質(zhì)的人員隊(duì)伍可以提升機(jī)構(gòu)的技術(shù)水平，良好的技術(shù)保障平臺(tái)也可以提高人員的能力。為了有效的應(yīng)對(duì)測(cè)評(píng)有效性風(fēng)險(xiǎn)，測(cè)評(píng)機(jī)構(gòu)要加強(qiáng)日常人員培訓(xùn)及技術(shù)水平的提高。另一方面，測(cè)評(píng)工具及測(cè)評(píng)流程規(guī)范化也是應(yīng)對(duì)有效性風(fēng)險(xiǎn)的重要方法之一。規(guī)范化可以使得測(cè)評(píng)步驟、方法更加一致，避免因測(cè)評(píng)人員個(gè)人因素，而導(dǎo)致測(cè)評(píng)結(jié)果的差異性。

為了應(yīng)對(duì)有效性風(fēng)險(xiǎn)，測(cè)評(píng)單位從項(xiàng)目啟動(dòng)就應(yīng)開始加強(qiáng)與被測(cè)評(píng)單位的溝通及交流，盡可能從資料收集階段就派駐現(xiàn)場(chǎng)測(cè)評(píng)人員指導(dǎo)被測(cè)評(píng)單位完成系統(tǒng)信息的收集整理，必要時(shí)與被測(cè)評(píng)單位系統(tǒng)管理人員對(duì)系統(tǒng)的情況進(jìn)行溝通交流，避免由于對(duì)系統(tǒng)的不了解而產(chǎn)生的有效性風(fēng)險(xiǎn)。

為防止測(cè)評(píng)機(jī)構(gòu)的利益影響測(cè)評(píng)公正性，測(cè)評(píng)機(jī)構(gòu)的業(yè)務(wù)范圍應(yīng)不涉及安全產(chǎn)品及安全集成服務(wù)；為防止測(cè)評(píng)工程師影響公正性，應(yīng)嚴(yán)格執(zhí)行測(cè)評(píng)工程師與測(cè)評(píng)機(jī)構(gòu)簽訂的公正性聲明，測(cè)評(píng)工程師不得參加與自己經(jīng)歷有關(guān)的組織的測(cè)評(píng)；同時(shí)應(yīng)在組織內(nèi)部建立測(cè)評(píng)項(xiàng)目的質(zhì)量評(píng)估體系，對(duì)每個(gè)項(xiàng)目的測(cè)評(píng)過程、報(bào)告內(nèi)容及結(jié)論進(jìn)行獨(dú)立的質(zhì)量評(píng)估，質(zhì)量評(píng)估人員不得參與自己經(jīng)歷有關(guān)的項(xiàng)目的評(píng)估。

對(duì)于測(cè)評(píng)過程中被測(cè)方信息的保密管理。首先測(cè)評(píng)雙方應(yīng)簽署完善的、合乎法律規(guī)范的保密協(xié)議，以約束測(cè)評(píng)雙方現(xiàn)在及將來的行為。與此同時(shí)應(yīng)加強(qiáng)測(cè)評(píng)人員的安全保密教育及保密技術(shù)手段，在技術(shù)手段層面、管理層面共同應(yīng)對(duì)保密性風(fēng)險(xiǎn)。在技術(shù)層面上，應(yīng)為每一位參與測(cè)評(píng)業(yè)務(wù)的工程師及管理人員配備專用加密移動(dòng)存儲(chǔ)介質(zhì)，評(píng)測(cè)中心應(yīng)配備專用的用于保存紙質(zhì)文檔的保險(xiǎn)柜，為評(píng)測(cè)中心配備專用的文檔服務(wù)器用于存儲(chǔ)電子文檔（該服務(wù)器與網(wǎng)絡(luò)隔離，并放置在安全可靠的物理環(huán)境中，服務(wù)器中的文檔以加密形式保存）。在管理方面，應(yīng)制定嚴(yán)格的文檔保密、數(shù)據(jù)保密的相關(guān)規(guī)定。規(guī)定應(yīng)對(duì)信息收集階段、測(cè)評(píng)實(shí)施階段、報(bào)告編制階段及項(xiàng)目完成后客戶信息的保密進(jìn)行要求。對(duì)于測(cè)評(píng)人員日常工作使用的終端設(shè)備，原則上面應(yīng)做到嚴(yán)格與互聯(lián)網(wǎng)進(jìn)行隔離，在條件有限的情況下，也應(yīng)做到終端上面不存儲(chǔ)相關(guān)項(xiàng)目信息，使用該終端進(jìn)行項(xiàng)目工作時(shí)應(yīng)進(jìn)行斷網(wǎng)處理。對(duì)于測(cè)評(píng)人員及項(xiàng)目相關(guān)人員的保密安全教育經(jīng)常抓不懈，避免因思想上面的疏忽而導(dǎo)致信息的泄露。

為了應(yīng)對(duì)實(shí)施操作的風(fēng)險(xiǎn)，在測(cè)評(píng)中進(jìn)行驗(yàn)證測(cè)試和工具測(cè)試時(shí)，測(cè)評(píng)機(jī)構(gòu)需要與測(cè)評(píng)委托單位充分的協(xié)調(diào)。雙方需要對(duì)測(cè)試方案進(jìn)行詳細(xì)的方案評(píng)估，測(cè)試實(shí)施前應(yīng)有詳細(xì)的測(cè)試計(jì)劃。測(cè)試計(jì)劃應(yīng)包括測(cè)試目的、測(cè)試進(jìn)度、可能受影響的業(yè)務(wù)系統(tǒng)、資源需求、操作人員、計(jì)劃時(shí)間、測(cè)評(píng)操作步驟、應(yīng)急處理預(yù)案等內(nèi)容。測(cè)試計(jì)劃應(yīng)得到雙方簽字確認(rèn)。測(cè)試工作應(yīng)盡量避免業(yè)務(wù)高峰期進(jìn)行，對(duì)工具使用過程中可能出現(xiàn)的問題應(yīng)進(jìn)行事先通告，取得被測(cè)評(píng)單位的許可后才能進(jìn)行測(cè)試。上機(jī)驗(yàn)證測(cè)試原則上應(yīng)由被測(cè)單位人員進(jìn)行操作，測(cè)評(píng)人員根據(jù)情況提出需要操作的內(nèi)容，并進(jìn)行查看和驗(yàn)證，避免由于測(cè)評(píng)人員對(duì)某些專業(yè)設(shè)備不熟悉造成誤操作^[1]。

隨著信息安全等級(jí)保護(hù)測(cè)評(píng)工作的推廣及開展，測(cè)評(píng)工作的風(fēng)險(xiǎn)管理也就越來越重要。隨著環(huán)境的變化、時(shí)間的推移，測(cè)評(píng)機(jī)構(gòu)、檢測(cè)單位及主管部門對(duì)測(cè)評(píng)工作認(rèn)識(shí)的深化和觀念的變化，測(cè)評(píng)機(jī)構(gòu)的風(fēng)險(xiǎn)會(huì)不斷變化。因此在進(jìn)行風(fēng)險(xiǎn)管理時(shí)，我們也應(yīng)與時(shí)俱進(jìn)。

?

作者簡(jiǎn)介：作者簡(jiǎn)介：胡皓（1974-），性別（漢），湖北省，技術(shù)主管/工程師，大學(xué)本科，主要研究方向：信息安全管理、安全風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)測(cè)評(píng)。

參考文獻(xiàn)：

[1]□公安部信息安全等級(jí)保護(hù)評(píng)估中心. 信息安全等級(jí)保護(hù)政策培訓(xùn)教程[M]. 北京：電子工業(yè)出版社，2010.6

[2]□陳廣勇，張潔昕，郭冠男. 基于等級(jí)保護(hù)的網(wǎng)絡(luò)測(cè)評(píng)實(shí)施[J]. 信息安全與通信保密，2010，12：47-48.

[3]□王獻(xiàn)新. 國(guó)內(nèi)認(rèn)證機(jī)構(gòu)面臨的認(rèn)證風(fēng)險(xiǎn)及有效控制[J]. 中國(guó)認(rèn)證認(rèn)可，2008，3：13-16.

[4]□張東壯. 認(rèn)證機(jī)構(gòu)的風(fēng)險(xiǎn)管理[J]. 中國(guó)水泥，2011，2：81-83.

[5]□呂華. 風(fēng)險(xiǎn)管理在體系認(rèn)證管理中的應(yīng)用[J]. 中國(guó)認(rèn)證認(rèn)可，2010，11：21-24.

[6]□吳艷. 談企業(yè)風(fēng)險(xiǎn)管理與內(nèi)部控制[J]. 吉林工商學(xué)院學(xué)報(bào)，2010，26（6）：31-33.