信息安全風(fēng)險(xiǎn)評(píng)估方法研究

一、引言

信息化技術(shù)的廣泛應(yīng)用，在提高科研、生產(chǎn)效率和質(zhì)量的同時(shí)，也極大地增加了信息安全風(fēng)險(xiǎn)。目前解決信息安全問題普遍采用的方法是風(fēng)險(xiǎn)評(píng)估，從風(fēng)險(xiǎn)管理的角度，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生時(shí)可能造成的危害程度，并提出有針對(duì)性的防護(hù)對(duì)策和整改措施，將風(fēng)險(xiǎn)控制在可接受的水平，最大程度地保障信息安全。

信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。風(fēng)險(xiǎn)自評(píng)估是建立信息安全體系的基礎(chǔ)和前提，目前風(fēng)險(xiǎn)自評(píng)估沒有統(tǒng)一的標(biāo)準(zhǔn)和方法，如何組織風(fēng)險(xiǎn)自評(píng)估是困擾評(píng)估單位的難題，也是本文的主要討論內(nèi)容。

二、信息安全風(fēng)險(xiǎn)評(píng)估理論和方法

（一）風(fēng)險(xiǎn)管理過程

背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督是信息安全風(fēng)險(xiǎn)管理的4個(gè)基本步驟。

背景建立階段：確定風(fēng)險(xiǎn)管理的對(duì)象和范圍，進(jìn)行相關(guān)信息的調(diào)查分析，準(zhǔn)備風(fēng)險(xiǎn)管理的實(shí)施。

風(fēng)險(xiǎn)評(píng)估階段：根據(jù)風(fēng)險(xiǎn)管理的范圍識(shí)別資產(chǎn)，分析信息系統(tǒng)所面臨的威脅以及資產(chǎn)的脆弱性，結(jié)合采用的安全控制措施，在技術(shù)和管理兩個(gè)層面對(duì)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)進(jìn)行綜合判斷，并對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行等級(jí)化處理。

風(fēng)險(xiǎn)處理階段：綜合考慮風(fēng)險(xiǎn)控制的成本和風(fēng)險(xiǎn)造成的影響，從技術(shù)、組織和管理層面分析信息系統(tǒng)的安全需求，提出實(shí)際可行的安全措施。明確信息系統(tǒng)可接受的殘余風(fēng)險(xiǎn)，采取接受、降低、規(guī)避或轉(zhuǎn)移等控制措施。

批準(zhǔn)監(jiān)督階段：包括批準(zhǔn)和持續(xù)監(jiān)督兩部分。依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果和處理措施能否滿足信息系統(tǒng)的安全要求，決策層決定是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)。監(jiān)控人員對(duì)機(jī)構(gòu)、信息系統(tǒng)、信息安全相關(guān)環(huán)境的變化進(jìn)行持續(xù)監(jiān)督，在可能引入新的安全風(fēng)險(xiǎn)并影響到安全保障級(jí)別時(shí)，啟動(dòng)新一輪的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理。

監(jiān)控審查和溝通咨詢貫穿于上述4個(gè)基本步驟，跟蹤系統(tǒng)和信息安全需求的變化，對(duì)風(fēng)險(xiǎn)管理活動(dòng)的過程和成本進(jìn)行有效控制。

（二）風(fēng)險(xiǎn)分析原理

風(fēng)險(xiǎn)值=R（A,T,V）R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性。資產(chǎn)、威脅和脆弱性是風(fēng)險(xiǎn)的3個(gè)因素，是風(fēng)險(xiǎn)分析的基礎(chǔ)。根據(jù)風(fēng)險(xiǎn)分析原理，首先應(yīng)進(jìn)行資產(chǎn)、威脅和脆弱性識(shí)別，分析得出資產(chǎn)價(jià)值、威脅出現(xiàn)的頻率和脆弱性的嚴(yán)重程度，然后分析計(jì)算安全事件的可能性和損失程度，得出風(fēng)險(xiǎn)值。

（三）風(fēng)險(xiǎn)因素識(shí)別

資產(chǎn)在表現(xiàn)形式上可分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。根據(jù)風(fēng)險(xiǎn)評(píng)估的范圍識(shí)別出關(guān)鍵資產(chǎn)與一般資產(chǎn)，形成需要保護(hù)的資產(chǎn)清單。根據(jù)資產(chǎn)在保密性、完整性和可用性3個(gè)方面的安全屬性，結(jié)合評(píng)估單位業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度等因素，對(duì)資產(chǎn)價(jià)值進(jìn)行評(píng)估。威脅具有多種類型，如：軟硬件故障、物理環(huán)境影響、管理問題、惡意代碼、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改等。有多種因素會(huì)影響威脅發(fā)生的可能性，如：攻擊者的技術(shù)能力、威脅行為動(dòng)機(jī)、資產(chǎn)吸引力、受懲罰風(fēng)險(xiǎn)等。在威脅識(shí)別階段，評(píng)估者依據(jù)經(jīng)驗(yàn)和相關(guān)統(tǒng)計(jì)數(shù)據(jù)對(duì)威脅進(jìn)行識(shí)別，并判斷其出現(xiàn)的頻率。

脆弱性的識(shí)別可以以資產(chǎn)為核心，針對(duì)資產(chǎn)識(shí)別可能被威脅利用的弱點(diǎn)進(jìn)行識(shí)別，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、制度等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來。在此過程中應(yīng)對(duì)已采取的安全措施進(jìn)行評(píng)估，確認(rèn)其是否有效抵御了威脅、降低了系統(tǒng)的脆弱性，以此作為風(fēng)險(xiǎn)處理計(jì)劃的依據(jù)和參考。

（四）風(fēng)險(xiǎn)評(píng)估方法

風(fēng)險(xiǎn)評(píng)估方法概括起來可分為定量、定性、以及定性與定量相結(jié)合的評(píng)估方法。

定量評(píng)估法基于數(shù)量指標(biāo)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估，依據(jù)專業(yè)的數(shù)學(xué)算法進(jìn)行計(jì)算、分析，得出定量的結(jié)論數(shù)據(jù)。典型的定量分析法有因子分析法、時(shí)序模型、等風(fēng)險(xiǎn)圖法、決策樹法等。有些情況下定量法的分析數(shù)據(jù)會(huì)存在不可靠和不準(zhǔn)確的問題：一些類型的風(fēng)險(xiǎn)因素不存在頻率數(shù)據(jù)，概率很難精確。在這種情況下單憑定量法不能準(zhǔn)確反映系統(tǒng)的安全需求。

定性評(píng)估法主要依據(jù)評(píng)估者的知識(shí)、經(jīng)驗(yàn)、政策走向等非量化資料對(duì)系統(tǒng)風(fēng)險(xiǎn)做出判斷，重點(diǎn)關(guān)注安全事件所帶來的損失，而忽略其發(fā)生的概率。定性法在評(píng)估時(shí)使用"高""中""低"等程度值，而非具體的數(shù)值。典型的定性分析法有因素分析法、邏輯分析法、歷史比較法、德爾菲法等。定性分析法可以挖掘出一些蘊(yùn)藏很深的思想，使評(píng)估結(jié)論更全面、深刻，但其主觀性很強(qiáng)，對(duì)評(píng)估者本身的要求較高。

定量與定性的風(fēng)險(xiǎn)評(píng)估法各有優(yōu)缺點(diǎn)，在具體評(píng)估時(shí)可將二者有機(jī)結(jié)合、取長(zhǎng)補(bǔ)短，采用綜合的評(píng)估方法以提高適用性。

三、信息系統(tǒng)安全風(fēng)險(xiǎn)管理

（一）信息系統(tǒng)全生命周期風(fēng)險(xiǎn)管理

信息系統(tǒng)的生命周期包括系統(tǒng)規(guī)劃、方案設(shè)計(jì)、建設(shè)實(shí)施、運(yùn)行維護(hù)、系統(tǒng)廢止等階段。信息系統(tǒng)生命周期各階段涉及的風(fēng)險(xiǎn)評(píng)估原則和方法是一致的，但由于各階段的特點(diǎn)和安全需求不同，風(fēng)險(xiǎn)評(píng)估具體實(shí)施的側(cè)重點(diǎn)也有所不同。

在系統(tǒng)規(guī)劃階段，風(fēng)險(xiǎn)評(píng)估主要是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，在保證業(yè)務(wù)需求的前提下，梳理安全隱患，明確系統(tǒng)的安全需求及安全戰(zhàn)略。評(píng)估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)整體規(guī)劃或項(xiàng)目建議書中。

在方案設(shè)計(jì)階段，風(fēng)險(xiǎn)評(píng)估主要是確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。此階段的風(fēng)險(xiǎn)評(píng)估可以以安全建設(shè)方案評(píng)審的方式進(jìn)行，判定設(shè)計(jì)方案所提供的安全功能是否符合相關(guān)標(biāo)準(zhǔn)。

在建設(shè)實(shí)施階段，應(yīng)將規(guī)劃設(shè)計(jì)階段的安全風(fēng)險(xiǎn)進(jìn)一步細(xì)化，并評(píng)估安全措施的實(shí)現(xiàn)程度，另外，應(yīng)對(duì)系統(tǒng)的實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別。

在運(yùn)行維護(hù)階段，風(fēng)險(xiǎn)評(píng)估主要是識(shí)別、控制系統(tǒng)運(yùn)行過程中的安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評(píng)估。通過動(dòng)態(tài)識(shí)別不斷變化的系統(tǒng)所面臨的安全風(fēng)險(xiǎn)，保證安全措施的有效性、確保安全目標(biāo)的實(shí)現(xiàn)。

在系統(tǒng)廢止階段，主要是對(duì)報(bào)廢資產(chǎn)的影響，以及可能帶來的新威脅進(jìn)行分析評(píng)估。此階段應(yīng)重點(diǎn)關(guān)注報(bào)廢資產(chǎn)的處理過程及其去向，確保整個(gè)執(zhí)行過程均處于有效的監(jiān)督下，并對(duì)相關(guān)執(zhí)行人員進(jìn)行安全教育。

（二）信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法

信息系統(tǒng)運(yùn)行使用過程中，信息安全風(fēng)險(xiǎn)評(píng)估通常重點(diǎn)關(guān)注安全事件所帶來的損失以及如何采取風(fēng)險(xiǎn)控制措施，而弱化事件發(fā)生的數(shù)量指標(biāo)�；�于以上特點(diǎn)，本文提出一種基于脆弱性識(shí)別的風(fēng)險(xiǎn)評(píng)估方法，將對(duì)脆弱性的識(shí)別、評(píng)價(jià)作為風(fēng)險(xiǎn)評(píng)估工作的重點(diǎn)，有效簡(jiǎn)化了風(fēng)險(xiǎn)分析模型。

1.風(fēng)險(xiǎn)評(píng)估組織

組建包括決策人員、管理人員、執(zhí)行人員、監(jiān)控人員、使用人員、支持人員等角色的風(fēng)險(xiǎn)管理團(tuán)隊(duì)，明確相關(guān)角色人員在風(fēng)險(xiǎn)管理中的任務(wù)和職責(zé)。決策人員負(fù)責(zé)風(fēng)險(xiǎn)管理的重大決策、總體規(guī)劃和批準(zhǔn)監(jiān)督；管理人員負(fù)責(zé)風(fēng)險(xiǎn)管理過程中的管理、組織和協(xié)調(diào)；執(zhí)行人員負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估的具體規(guī)劃、設(shè)計(jì)和實(shí)施；監(jiān)控人員負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過程、成本和結(jié)果的監(jiān)視和控制；使用人員反饋信息安全風(fēng)險(xiǎn)管理的效果；支持人員為信息安全風(fēng)險(xiǎn)管理提供專業(yè)技術(shù)支持。制定詳細(xì)的風(fēng)險(xiǎn)評(píng)估計(jì)劃，依據(jù)系統(tǒng)的業(yè)務(wù)戰(zhàn)略、技術(shù)架構(gòu)、安全防護(hù)體系，明確風(fēng)險(xiǎn)評(píng)估需求，確定風(fēng)險(xiǎn)評(píng)估的對(duì)象范圍、風(fēng)險(xiǎn)評(píng)估方法、時(shí)間節(jié)點(diǎn)等要素，并得到?jīng)Q策層的支持和批準(zhǔn)。

2.風(fēng)險(xiǎn)要素識(shí)別

在進(jìn)行資產(chǎn)識(shí)別時(shí)，由于資產(chǎn)的價(jià)值由保密性、完整性和可用性3個(gè)方面的安全屬性決定，賦值很難準(zhǔn)確，建議資產(chǎn)識(shí)別主要以對(duì)資產(chǎn)對(duì)象的識(shí)別為主，不對(duì)資產(chǎn)價(jià)值做精確計(jì)算。

脆弱性不會(huì)產(chǎn)生安全事件，只有威脅作用于脆弱性時(shí)才會(huì)導(dǎo)致安全事件的產(chǎn)生。國(guó)家明確規(guī)定了信息系統(tǒng)安全防護(hù)的標(biāo)準(zhǔn)和要求，以應(yīng)對(duì)安全事件，對(duì)標(biāo)準(zhǔn)的符合性核查即為風(fēng)險(xiǎn)識(shí)別的過程。在進(jìn)行風(fēng)險(xiǎn)分析評(píng)估時(shí)，以脆弱性檢查作為安全風(fēng)險(xiǎn)評(píng)估的主要依據(jù)，以威脅出現(xiàn)的頻率作為參考，將信息系統(tǒng)面臨的威脅整體考慮，不對(duì)脆弱性對(duì)應(yīng)的具體威脅進(jìn)行識(shí)別。

3.風(fēng)險(xiǎn)分析判斷

將資產(chǎn)、威脅的等級(jí)分為高、低兩個(gè)級(jí)別，脆弱性等級(jí)分為高、中、低3個(gè)級(jí)別。對(duì)資產(chǎn)、威脅、脆弱性的分析判斷采用德爾菲法：通過背對(duì)背群體決策咨詢的方式征詢專家小組成員的意見，經(jīng)過幾輪征詢使決策意見趨于集中。專家小組由管理人員、執(zhí)行人員、監(jiān)控人員、使用人員、支持人員等不同層級(jí)組成，以提高決策意見的準(zhǔn)確性。德爾菲法在分析安全風(fēng)險(xiǎn)時(shí)需經(jīng)過幾輪群體決策咨詢，才能使結(jié)論趨于集中。在實(shí)際操作中，可結(jié)合綜合討論的形式，加快分析速度，以快速做出決策�；�于風(fēng)險(xiǎn)因素的分析結(jié)果，再采用新一輪的德爾菲法，或以構(gòu)建風(fēng)險(xiǎn)分析矩陣的方式，最終確定安全風(fēng)險(xiǎn)等級(jí)。

在風(fēng)險(xiǎn)評(píng)估時(shí)，可以使用信息安全風(fēng)險(xiǎn)評(píng)估與控制類工具軟件，完成對(duì)資產(chǎn)的管理、風(fēng)險(xiǎn)的分析與評(píng)估。

（三）持續(xù)改進(jìn)建議

為了改進(jìn)評(píng)估單位的安全狀態(tài)、實(shí)現(xiàn)信息安全目標(biāo)，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，必須提出實(shí)際可行的改進(jìn)建議。綜合考慮風(fēng)險(xiǎn)控制成本和風(fēng)險(xiǎn)造成的影響，依據(jù)安全需求，明確信息系統(tǒng)可接受的殘留風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)采取接受、降低、規(guī)避或轉(zhuǎn)移等控制措施。在進(jìn)行持續(xù)改進(jìn)時(shí)，建議結(jié)合以下幾點(diǎn)進(jìn)行考慮。

1.通過信息安全風(fēng)險(xiǎn)評(píng)估推動(dòng)信息安全架構(gòu)的建立和完善，建立架構(gòu)能力框架和核心業(yè)務(wù)流程。通過規(guī)范的策略、制度、操作規(guī)程實(shí)現(xiàn)IT服務(wù)和安全管理，同時(shí)保證業(yè)務(wù)的連續(xù)性。建立基于信息安全架構(gòu)的風(fēng)險(xiǎn)管理方法，持續(xù)有效地發(fā)現(xiàn)、控制信息安全風(fēng)險(xiǎn)，實(shí)現(xiàn)對(duì)信息安全的長(zhǎng)效監(jiān)控、管理。

2.根據(jù)發(fā)現(xiàn)的信息安全風(fēng)險(xiǎn)，編寫或修訂安全保密策略，完善管理制度。通過策略描述實(shí)現(xiàn)安全目標(biāo)的高層計(jì)劃。通過制度規(guī)定詳細(xì)、具體的執(zhí)行程序，明確責(zé)任部門和責(zé)任人，將風(fēng)險(xiǎn)防控措施固化，以提供持續(xù)的信息安全保障。

3.通過內(nèi)部控制機(jī)制強(qiáng)化日常監(jiān)督，結(jié)合保密檢查、獎(jiǎng)懲機(jī)制、績(jī)效考核等手段，對(duì)風(fēng)險(xiǎn)控制措施進(jìn)行強(qiáng)化落實(shí)。對(duì)保密檢查中重復(fù)發(fā)現(xiàn)的問題，核實(shí)策略和制度的合理性和有效性，并進(jìn)行完善和修訂，實(shí)現(xiàn)預(yù)防式管理。

四、結(jié)語

由于信息系統(tǒng)及其所在環(huán)境不斷變化，信息安全風(fēng)險(xiǎn)和安全需求也會(huì)不斷變化，信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜、動(dòng)態(tài)、循環(huán)的過程，通過動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估體系、動(dòng)態(tài)的安全策略制定、動(dòng)態(tài)的安全防護(hù)、實(shí)時(shí)的監(jiān)控系統(tǒng)以及健全的安全管理體系，實(shí)現(xiàn)完整、動(dòng)態(tài)的安全循環(huán)。

風(fēng)險(xiǎn)評(píng)估主要是為信息安全提供一個(gè)方向，不管采取的評(píng)估方法多詳細(xì)、多專業(yè)，也只是描述信息安全風(fēng)險(xiǎn)狀態(tài)，而不會(huì)改進(jìn)評(píng)估單位的安全狀態(tài)。只有切實(shí)利用風(fēng)險(xiǎn)評(píng)估結(jié)果強(qiáng)力推進(jìn)改進(jìn)活動(dòng)，實(shí)現(xiàn)有效的風(fēng)險(xiǎn)管理，并保持其持續(xù)性，才能改善安全狀態(tài)，進(jìn)而保障系統(tǒng)安全。

 

（原載于《保密科學(xué)技術(shù)》雜志2017年10月刊）