信息安全風(fēng)險評估方法研究

一、引言

信息化技術(shù)的廣泛應(yīng)用，在提高科研、生產(chǎn)效率和質(zhì)量的同時，也極大地增加了信息安全風(fēng)險。目前解決信息安全問題普遍采用的方法是風(fēng)險評估，從風(fēng)險管理的角度，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生時可能造成的危害程度，并提出有針對性的防護對策和整改措施，將風(fēng)險控制在可接受的水平，最大程度地保障信息安全。

信息安全風(fēng)險評估分為自評估和檢查評估兩種形式。風(fēng)險自評估是建立信息安全體系的基礎(chǔ)和前提，目前風(fēng)險自評估沒有統(tǒng)一的標(biāo)準(zhǔn)和方法，如何組織風(fēng)險自評估是困擾評估單位的難題，也是本文的主要討論內(nèi)容。

二、信息安全風(fēng)險評估理論和方法

（一）風(fēng)險管理過程

背景建立、風(fēng)險評估、風(fēng)險處理和批準(zhǔn)監(jiān)督是信息安全風(fēng)險管理的4個基本步驟。

背景建立階段：確定風(fēng)險管理的對象和范圍，進行相關(guān)信息的調(diào)查分析，準(zhǔn)備風(fēng)險管理的實施。

風(fēng)險評估階段：根據(jù)風(fēng)險管理的范圍識別資產(chǎn)，分析信息系統(tǒng)所面臨的威脅以及資產(chǎn)的脆弱性，結(jié)合采用的安全控制措施，在技術(shù)和管理兩個層面對信息系統(tǒng)所面臨的風(fēng)險進行綜合判斷，并對風(fēng)險評估結(jié)果進行等級化處理。

風(fēng)險處理階段：綜合考慮風(fēng)險控制的成本和風(fēng)險造成的影響，從技術(shù)、組織和管理層面分析信息系統(tǒng)的安全需求，提出實際可行的安全措施。明確信息系統(tǒng)可接受的殘余風(fēng)險，采取接受、降低、規(guī)避或轉(zhuǎn)移等控制措施。

批準(zhǔn)監(jiān)督階段：包括批準(zhǔn)和持續(xù)監(jiān)督兩部分。依據(jù)風(fēng)險評估的結(jié)果和處理措施能否滿足信息系統(tǒng)的安全要求，決策層決定是否認(rèn)可風(fēng)險管理活動。監(jiān)控人員對機構(gòu)、信息系統(tǒng)、信息安全相關(guān)環(huán)境的變化進行持續(xù)監(jiān)督，在可能引入新的安全風(fēng)險并影響到安全保障級別時，啟動新一輪的風(fēng)險評估和風(fēng)險處理。

監(jiān)控審查和溝通咨詢貫穿于上述4個基本步驟，跟蹤系統(tǒng)和信息安全需求的變化，對風(fēng)險管理活動的過程和成本進行有效控制。

（二）風(fēng)險分析原理

風(fēng)險值=R（A,T,V）R表示安全風(fēng)險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性。資產(chǎn)、威脅和脆弱性是風(fēng)險的3個因素，是風(fēng)險分析的基礎(chǔ)。根據(jù)風(fēng)險分析原理，首先應(yīng)進行資產(chǎn)、威脅和脆弱性識別，分析得出資產(chǎn)價值、威脅出現(xiàn)的頻率和脆弱性的嚴(yán)重程度，然后分析計算安全事件的可能性和損失程度，得出風(fēng)險值。

（三）風(fēng)險因素識別

資產(chǎn)在表現(xiàn)形式上可分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。根據(jù)風(fēng)險評估的范圍識別出關(guān)鍵資產(chǎn)與一般資產(chǎn)，形成需要保護的資產(chǎn)清單。根據(jù)資產(chǎn)在保密性、完整性和可用性3個方面的安全屬性，結(jié)合評估單位業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度等因素，對資產(chǎn)價值進行評估。威脅具有多種類型，如：軟硬件故障、物理環(huán)境影響、管理問題、惡意代碼、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改等。有多種因素會影響威脅發(fā)生的可能性，如：攻擊者的技術(shù)能力、威脅行為動機、資產(chǎn)吸引力、受懲罰風(fēng)險等。在威脅識別階段，評估者依據(jù)經(jīng)驗和相關(guān)統(tǒng)計數(shù)據(jù)對威脅進行識別，并判斷其出現(xiàn)的頻率。

脆弱性的識別可以以資產(chǎn)為核心，針對資產(chǎn)識別可能被威脅利用的弱點進行識別，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、制度等層次進行識別，然后與資產(chǎn)、威脅對應(yīng)起來。在此過程中應(yīng)對已采取的安全措施進行評估，確認(rèn)其是否有效抵御了威脅、降低了系統(tǒng)的脆弱性，以此作為風(fēng)險處理計劃的依據(jù)和參考。

（四）風(fēng)險評估方法

風(fēng)險評估方法概括起來可分為定量、定性、以及定性與定量相結(jié)合的評估方法。

定量評估法基于數(shù)量指標(biāo)對風(fēng)險進行評估，依據(jù)專業(yè)的數(shù)學(xué)算法進行計算、分析，得出定量的結(jié)論數(shù)據(jù)。典型的定量分析法有因子分析法、時序模型、等風(fēng)險圖法、決策樹法等。有些情況下定量法的分析數(shù)據(jù)會存在不可靠和不準(zhǔn)確的問題：一些類型的風(fēng)險因素不存在頻率數(shù)據(jù)，概率很難精確。在這種情況下單憑定量法不能準(zhǔn)確反映系統(tǒng)的安全需求。

定性評估法主要依據(jù)評估者的知識、經(jīng)驗、政策走向等非量化資料對系統(tǒng)風(fēng)險做出判斷，重點關(guān)注安全事件所帶來的損失，而忽略其發(fā)生的概率。定性法在評估時使用"高""中""低"等程度值，而非具體的數(shù)值。典型的定性分析法有因素分析法、邏輯分析法、歷史比較法、德爾菲法等。定性分析法可以挖掘出一些蘊藏很深的思想，使評估結(jié)論更全面、深刻，但其主觀性很強，對評估者本身的要求較高。

定量與定性的風(fēng)險評估法各有優(yōu)缺點，在具體評估時可將二者有機結(jié)合、取長補短，采用綜合的評估方法以提高適用性。

三、信息系統(tǒng)安全風(fēng)險管理

（一）信息系統(tǒng)全生命周期風(fēng)險管理

信息系統(tǒng)的生命周期包括系統(tǒng)規(guī)劃、方案設(shè)計、建設(shè)實施、運行維護、系統(tǒng)廢止等階段。信息系統(tǒng)生命周期各階段涉及的風(fēng)險評估原則和方法是一致的，但由于各階段的特點和安全需求不同，風(fēng)險評估具體實施的側(cè)重點也有所不同。

在系統(tǒng)規(guī)劃階段，風(fēng)險評估主要是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，在保證業(yè)務(wù)需求的前提下，梳理安全隱患，明確系統(tǒng)的安全需求及安全戰(zhàn)略。評估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)整體規(guī)劃或項目建議書中。

在方案設(shè)計階段，風(fēng)險評估主要是確定系統(tǒng)建設(shè)應(yīng)達到的安全目標(biāo)。此階段的風(fēng)險評估可以以安全建設(shè)方案評審的方式進行，判定設(shè)計方案所提供的安全功能是否符合相關(guān)標(biāo)準(zhǔn)。

在建設(shè)實施階段，應(yīng)將規(guī)劃設(shè)計階段的安全風(fēng)險進一步細(xì)化，并評估安全措施的實現(xiàn)程度，另外，應(yīng)對系統(tǒng)的實施過程進行風(fēng)險識別。

在運行維護階段，風(fēng)險評估主要是識別、控制系統(tǒng)運行過程中的安全風(fēng)險，是一種較為全面的風(fēng)險評估。通過動態(tài)識別不斷變化的系統(tǒng)所面臨的安全風(fēng)險，保證安全措施的有效性、確保安全目標(biāo)的實現(xiàn)。

在系統(tǒng)廢止階段，主要是對報廢資產(chǎn)的影響，以及可能帶來的新威脅進行分析評估。此階段應(yīng)重點關(guān)注報廢資產(chǎn)的處理過程及其去向，確保整個執(zhí)行過程均處于有效的監(jiān)督下，并對相關(guān)執(zhí)行人員進行安全教育。

（二）信息系統(tǒng)安全風(fēng)險評估方法

信息系統(tǒng)運行使用過程中，信息安全風(fēng)險評估通常重點關(guān)注安全事件所帶來的損失以及如何采取風(fēng)險控制措施，而弱化事件發(fā)生的數(shù)量指標(biāo)。基于以上特點，本文提出一種基于脆弱性識別的風(fēng)險評估方法，將對脆弱性的識別、評價作為風(fēng)險評估工作的重點，有效簡化了風(fēng)險分析模型。

1.風(fēng)險評估組織

組建包括決策人員、管理人員、執(zhí)行人員、監(jiān)控人員、使用人員、支持人員等角色的風(fēng)險管理團隊，明確相關(guān)角色人員在風(fēng)險管理中的任務(wù)和職責(zé)。決策人員負(fù)責(zé)風(fēng)險管理的重大決策、總體規(guī)劃和批準(zhǔn)監(jiān)督；管理人員負(fù)責(zé)風(fēng)險管理過程中的管理、組織和協(xié)調(diào)；執(zhí)行人員負(fù)責(zé)風(fēng)險評估的具體規(guī)劃、設(shè)計和實施；監(jiān)控人員負(fù)責(zé)信息安全風(fēng)險管理過程、成本和結(jié)果的監(jiān)視和控制；使用人員反饋信息安全風(fēng)險管理的效果；支持人員為信息安全風(fēng)險管理提供專業(yè)技術(shù)支持。制定詳細(xì)的風(fēng)險評估計劃，依據(jù)系統(tǒng)的業(yè)務(wù)戰(zhàn)略、技術(shù)架構(gòu)、安全防護體系，明確風(fēng)險評估需求，確定風(fēng)險評估的對象范圍、風(fēng)險評估方法、時間節(jié)點等要素，并得到?jīng)Q策層的支持和批準(zhǔn)。

2.風(fēng)險要素識別

在進行資產(chǎn)識別時，由于資產(chǎn)的價值由保密性、完整性和可用性3個方面的安全屬性決定，賦值很難準(zhǔn)確，建議資產(chǎn)識別主要以對資產(chǎn)對象的識別為主，不對資產(chǎn)價值做精確計算。

脆弱性不會產(chǎn)生安全事件，只有威脅作用于脆弱性時才會導(dǎo)致安全事件的產(chǎn)生。國家明確規(guī)定了信息系統(tǒng)安全防護的標(biāo)準(zhǔn)和要求，以應(yīng)對安全事件，對標(biāo)準(zhǔn)的符合性核查即為風(fēng)險識別的過程。在進行風(fēng)險分析評估時，以脆弱性檢查作為安全風(fēng)險評估的主要依據(jù)，以威脅出現(xiàn)的頻率作為參考，將信息系統(tǒng)面臨的威脅整體考慮，不對脆弱性對應(yīng)的具體威脅進行識別。

3.風(fēng)險分析判斷

將資產(chǎn)、威脅的等級分為高、低兩個級別，脆弱性等級分為高、中、低3個級別。對資產(chǎn)、威脅、脆弱性的分析判斷采用德爾菲法：通過背對背群體決策咨詢的方式征詢專家小組成員的意見，經(jīng)過幾輪征詢使決策意見趨于集中。專家小組由管理人員、執(zhí)行人員、監(jiān)控人員、使用人員、支持人員等不同層級組成，以提高決策意見的準(zhǔn)確性。德爾菲法在分析安全風(fēng)險時需經(jīng)過幾輪群體決策咨詢，才能使結(jié)論趨于集中。在實際操作中，可結(jié)合綜合討論的形式，加快分析速度，以快速做出決策。基于風(fēng)險因素的分析結(jié)果，再采用新一輪的德爾菲法，或以構(gòu)建風(fēng)險分析矩陣的方式，最終確定安全風(fēng)險等級。

在風(fēng)險評估時，可以使用信息安全風(fēng)險評估與控制類工具軟件，完成對資產(chǎn)的管理、風(fēng)險的分析與評估。

（三）持續(xù)改進建議

為了改進評估單位的安全狀態(tài)、實現(xiàn)信息安全目標(biāo)，根據(jù)風(fēng)險評估的結(jié)果，必須提出實際可行的改進建議。綜合考慮風(fēng)險控制成本和風(fēng)險造成的影響，依據(jù)安全需求，明確信息系統(tǒng)可接受的殘留風(fēng)險，對風(fēng)險采取接受、降低、規(guī)避或轉(zhuǎn)移等控制措施。在進行持續(xù)改進時，建議結(jié)合以下幾點進行考慮。

1.通過信息安全風(fēng)險評估推動信息安全架構(gòu)的建立和完善，建立架構(gòu)能力框架和核心業(yè)務(wù)流程。通過規(guī)范的策略、制度、操作規(guī)程實現(xiàn)IT服務(wù)和安全管理，同時保證業(yè)務(wù)的連續(xù)性。建立基于信息安全架構(gòu)的風(fēng)險管理方法，持續(xù)有效地發(fā)現(xiàn)、控制信息安全風(fēng)險，實現(xiàn)對信息安全的長效監(jiān)控、管理。

2.根據(jù)發(fā)現(xiàn)的信息安全風(fēng)險，編寫或修訂安全保密策略，完善管理制度。通過策略描述實現(xiàn)安全目標(biāo)的高層計劃。通過制度規(guī)定詳細(xì)、具體的執(zhí)行程序，明確責(zé)任部門和責(zé)任人，將風(fēng)險防控措施固化，以提供持續(xù)的信息安全保障。

3.通過內(nèi)部控制機制強化日常監(jiān)督，結(jié)合保密檢查、獎懲機制、績效考核等手段，對風(fēng)險控制措施進行強化落實。對保密檢查中重復(fù)發(fā)現(xiàn)的問題，核實策略和制度的合理性和有效性，并進行完善和修訂，實現(xiàn)預(yù)防式管理。

四、結(jié)語

由于信息系統(tǒng)及其所在環(huán)境不斷變化，信息安全風(fēng)險和安全需求也會不斷變化，信息安全風(fēng)險評估是一個復(fù)雜、動態(tài)、循環(huán)的過程，通過動態(tài)的風(fēng)險評估體系、動態(tài)的安全策略制定、動態(tài)的安全防護、實時的監(jiān)控系統(tǒng)以及健全的安全管理體系，實現(xiàn)完整、動態(tài)的安全循環(huán)。

風(fēng)險評估主要是為信息安全提供一個方向，不管采取的評估方法多詳細(xì)、多專業(yè)，也只是描述信息安全風(fēng)險狀態(tài)，而不會改進評估單位的安全狀態(tài)。只有切實利用風(fēng)險評估結(jié)果強力推進改進活動，實現(xiàn)有效的風(fēng)險管理，并保持其持續(xù)性，才能改善安全狀態(tài)，進而保障系統(tǒng)安全。

 

（原載于《保密科學(xué)技術(shù)》雜志2017年10月刊）