信息安全風險評估方法有哪些

對于安全風險評估的方法有很多種，概括起來可分為三大類：

• 定性分析方法（Qualitative）：定性分析是最早被廣泛采用的方法。定性分析技術大都基于判斷、直覺和經驗，因此可能由于直覺、經驗的偏差而造成分析結果不準確，所以定性分析對風險分析人員有較高的要求，風險分析人員應具備豐富的風險分析經驗。定性分析通過列出各種資產、威脅、脆弱性的清單；然后分析威脅利用資產的脆弱性將對資產造成怎樣的后果和影響，并對其發生的可能性進行判定；最后還要對資產的敏感程度、威脅-脆弱性對所造成的后果和影響的嚴重程度進行分級。

• 定量分析方法（Quantitative）：定量分析方法是試圖從數值上對安全風險進行分析的方法。定量分析過程有兩個基本指標作為參考事件發生的概率及事件造成的損失。定量分析是在定性分析的邏輯基礎上，給出各個風險源的風險量化指標及其發生概率，再通過一定的方法合成，得到系統風險的量化值。它是基于定性分析基礎上的數學處理過程。定量的評估方法的優點是用直觀的數據來表述評估的結果客觀，可以使研究結果更科學更嚴密、更深刻。有時，一個數據所能夠說明的問題可能是用一大段文字也不能夠闡述清楚的。但也存在為了量化，使本來比較復雜的事物簡單化、模糊化了。有的風險因素被量化以后還可能被誤解和曲解。現在發展較為成熟的方法有PRA（概率風險評估）、Markov分析方法、蒙特卡羅方法等。

• 半定量分析方法（Semi-Quantitative）：半定量分析方法是定性與定量相結合的綜合評估方法。系統風險評估是一個復雜的過程，需要考慮的因素很多，有些評估要素是可以用量化的形式來表達，而對有些要素的量化又是很困難甚至是不可能的，所以在風險評估也是一切都是量化的風險評估過程是科學準確的。定性分析是量化定量分析基礎和前提。在復雜的信息系統風險評估過程中，不能將定性分析和定量分析兩種方法簡單地割裂開來而是應該將這兩種方法融合起來，采用綜合的評估方法。

實現對于信息安全威脅的防范措施有以下這些：

• 在局域網絡內，對不同的信息進行區域規劃，執行嚴格的授權訪問機制。將擁有不同安全訪問權限的用戶劃分至不同的VLAN，并在Trunk端口限制授權訪問的VLAN，將一些敏感信息與其他子網絡相隔離。

• 將所有敏感信息都集中保存在網絡內的文件服務器中，既可以有效保證敏感信息的存儲安全，又可以保證在共享文件的同時，嚴格控制其訪問權限。需要注意的是，應杜絕將敏感信息保存在個人計算機上。

• 制定嚴格的文件訪問權限。敏感文件必須存儲在NTFS系統分區，并且為不同用戶或用戶組設置嚴格的NTFS文件權限、NTFS文件夾權限和共享文件權限。

• 將不同類型的用戶劃分于不同的用戶組或組織單位，并為用戶組和組織單位指定相應的訪問權限，既可以減化文件權限管理的難度，又不會因疏忽大意導致訪問權限劃分錯誤。

• 安裝RMS服務，嚴格限制對敏感文件的操作。權限管理服務（WindowsRights Management）作為組織內的權限策略管理系統提供一個平臺，是在組織中搭建權限管理系統的重要組成部分。

• 其他基于交換機和路由器的安全措施。例如，采用IEEE 802.1x身份認證、IP地址與MAC地址綁定、安全端口、IP或MAC地址訪問列表等技術，限制用戶登錄到網絡，或者限制其對敏感區域的訪問。

回答所涉及的環境：聯想天逸510S、Windows 10。