國家保密局網(wǎng)站>>保密科技

信息安全風(fēng)險(xiǎn)評(píng)估方法研究

2018年05月23日    來源:國家保密科技測評(píng)中心【字體: 打印

一、引言

信息化技術(shù)的廣泛應(yīng)用,在提高科研、生產(chǎn)效率和質(zhì)量的同時(shí),也極大地增加了信息安全風(fēng)險(xiǎn)。目前解決信息安全問題普遍采用的方法是風(fēng)險(xiǎn)評(píng)估,從風(fēng)險(xiǎn)管理的角度,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生時(shí)可能造成的危害程度,并提出有針對(duì)性的防護(hù)對(duì)策和整改措施,將風(fēng)險(xiǎn)控制在可接受的水平,最大程度地保障信息安全。

信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。風(fēng)險(xiǎn)自評(píng)估是建立信息安全體系的基礎(chǔ)和前提,目前風(fēng)險(xiǎn)自評(píng)估沒有統(tǒng)一的標(biāo)準(zhǔn)和方法,如何組織風(fēng)險(xiǎn)自評(píng)估是困擾評(píng)估單位的難題,也是本文的主要討論內(nèi)容。

二、信息安全風(fēng)險(xiǎn)評(píng)估理論和方法

(一)風(fēng)險(xiǎn)管理過程

背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理和批準(zhǔn)監(jiān)督是信息安全風(fēng)險(xiǎn)管理的4個(gè)基本步驟。

背景建立階段:確定風(fēng)險(xiǎn)管理的對(duì)象和范圍,進(jìn)行相關(guān)信息的調(diào)查分析,準(zhǔn)備風(fēng)險(xiǎn)管理的實(shí)施。

風(fēng)險(xiǎn)評(píng)估階段:根據(jù)風(fēng)險(xiǎn)管理的范圍識(shí)別資產(chǎn),分析信息系統(tǒng)所面臨的威脅以及資產(chǎn)的脆弱性,結(jié)合采用的安全控制措施,在技術(shù)和管理兩個(gè)層面對(duì)信息系統(tǒng)所面臨的風(fēng)險(xiǎn)進(jìn)行綜合判斷,并對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行等級(jí)化處理。

風(fēng)險(xiǎn)處理階段:綜合考慮風(fēng)險(xiǎn)控制的成本和風(fēng)險(xiǎn)造成的影響,從技術(shù)、組織和管理層面分析信息系統(tǒng)的安全需求,提出實(shí)際可行的安全措施。明確信息系統(tǒng)可接受的殘余風(fēng)險(xiǎn),采取接受、降低、規(guī)避或轉(zhuǎn)移等控制措施。

批準(zhǔn)監(jiān)督階段:包括批準(zhǔn)和持續(xù)監(jiān)督兩部分。依據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果和處理措施能否滿足信息系統(tǒng)的安全要求,決策層決定是否認(rèn)可風(fēng)險(xiǎn)管理活動(dòng)。監(jiān)控人員對(duì)機(jī)構(gòu)、信息系統(tǒng)、信息安全相關(guān)環(huán)境的變化進(jìn)行持續(xù)監(jiān)督,在可能引入新的安全風(fēng)險(xiǎn)并影響到安全保障級(jí)別時(shí),啟動(dòng)新一輪的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理。

監(jiān)控審查和溝通咨詢貫穿于上述4個(gè)基本步驟,跟蹤系統(tǒng)和信息安全需求的變化,對(duì)風(fēng)險(xiǎn)管理活動(dòng)的過程和成本進(jìn)行有效控制。

(二)風(fēng)險(xiǎn)分析原理

風(fēng)險(xiǎn)值=R(A,T,V)R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù),A表示資產(chǎn),T表示威脅,V表示脆弱性。資產(chǎn)、威脅和脆弱性是風(fēng)險(xiǎn)的3個(gè)因素,是風(fēng)險(xiǎn)分析的基礎(chǔ)。根據(jù)風(fēng)險(xiǎn)分析原理,首先應(yīng)進(jìn)行資產(chǎn)、威脅和脆弱性識(shí)別,分析得出資產(chǎn)價(jià)值、威脅出現(xiàn)的頻率和脆弱性的嚴(yán)重程度,然后分析計(jì)算安全事件的可能性和損失程度,得出風(fēng)險(xiǎn)值。

(三)風(fēng)險(xiǎn)因素識(shí)別

資產(chǎn)在表現(xiàn)形式上可分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員等類型。根據(jù)風(fēng)險(xiǎn)評(píng)估的范圍識(shí)別出關(guān)鍵資產(chǎn)與一般資產(chǎn),形成需要保護(hù)的資產(chǎn)清單。根據(jù)資產(chǎn)在保密性、完整性和可用性3個(gè)方面的安全屬性,結(jié)合評(píng)估單位業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度等因素,對(duì)資產(chǎn)價(jià)值進(jìn)行評(píng)估。威脅具有多種類型,如:軟硬件故障、物理環(huán)境影響、管理問題、惡意代碼、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改等。有多種因素會(huì)影響威脅發(fā)生的可能性,如:攻擊者的技術(shù)能力、威脅行為動(dòng)機(jī)、資產(chǎn)吸引力、受懲罰風(fēng)險(xiǎn)等。在威脅識(shí)別階段,評(píng)估者依據(jù)經(jīng)驗(yàn)和相關(guān)統(tǒng)計(jì)數(shù)據(jù)對(duì)威脅進(jìn)行識(shí)別,并判斷其出現(xiàn)的頻率。

脆弱性的識(shí)別可以以資產(chǎn)為核心,針對(duì)資產(chǎn)識(shí)別可能被威脅利用的弱點(diǎn)進(jìn)行識(shí)別,也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、制度等層次進(jìn)行識(shí)別,然后與資產(chǎn)、威脅對(duì)應(yīng)起來。在此過程中應(yīng)對(duì)已采取的安全措施進(jìn)行評(píng)估,確認(rèn)其是否有效抵御了威脅、降低了系統(tǒng)的脆弱性,以此作為風(fēng)險(xiǎn)處理計(jì)劃的依據(jù)和參考。

(四)風(fēng)險(xiǎn)評(píng)估方法

風(fēng)險(xiǎn)評(píng)估方法概括起來可分為定量、定性、以及定性與定量相結(jié)合的評(píng)估方法。

定量評(píng)估法基于數(shù)量指標(biāo)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估,依據(jù)專業(yè)的數(shù)學(xué)算法進(jìn)行計(jì)算、分析,得出定量的結(jié)論數(shù)據(jù)。典型的定量分析法有因子分析法、時(shí)序模型、等風(fēng)險(xiǎn)圖法、決策樹法等。有些情況下定量法的分析數(shù)據(jù)會(huì)存在不可靠和不準(zhǔn)確的問題:一些類型的風(fēng)險(xiǎn)因素不存在頻率數(shù)據(jù),概率很難精確。在這種情況下單憑定量法不能準(zhǔn)確反映系統(tǒng)的安全需求。

定性評(píng)估法主要依據(jù)評(píng)估者的知識(shí)、經(jīng)驗(yàn)、政策走向等非量化資料對(duì)系統(tǒng)風(fēng)險(xiǎn)做出判斷,重點(diǎn)關(guān)注安全事件所帶來的損失,而忽略其發(fā)生的概率。定性法在評(píng)估時(shí)使用"高""中""低"等程度值,而非具體的數(shù)值。典型的定性分析法有因素分析法、邏輯分析法、歷史比較法、德爾菲法等。定性分析法可以挖掘出一些蘊(yùn)藏很深的思想,使評(píng)估結(jié)論更全面、深刻,但其主觀性很強(qiáng),對(duì)評(píng)估者本身的要求較高。

定量與定性的風(fēng)險(xiǎn)評(píng)估法各有優(yōu)缺點(diǎn),在具體評(píng)估時(shí)可將二者有機(jī)結(jié)合、取長補(bǔ)短,采用綜合的評(píng)估方法以提高適用性。

三、信息系統(tǒng)安全風(fēng)險(xiǎn)管理

(一)信息系統(tǒng)全生命周期風(fēng)險(xiǎn)管理

信息系統(tǒng)的生命周期包括系統(tǒng)規(guī)劃、方案設(shè)計(jì)、建設(shè)實(shí)施、運(yùn)行維護(hù)、系統(tǒng)廢止等階段。信息系統(tǒng)生命周期各階段涉及的風(fēng)險(xiǎn)評(píng)估原則和方法是一致的,但由于各階段的特點(diǎn)和安全需求不同,風(fēng)險(xiǎn)評(píng)估具體實(shí)施的側(cè)重點(diǎn)也有所不同。

在系統(tǒng)規(guī)劃階段,風(fēng)險(xiǎn)評(píng)估主要是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略,在保證業(yè)務(wù)需求的前提下,梳理安全隱患,明確系統(tǒng)的安全需求及安全戰(zhàn)略。評(píng)估結(jié)果應(yīng)體現(xiàn)在信息系統(tǒng)整體規(guī)劃或項(xiàng)目建議書中。

在方案設(shè)計(jì)階段,風(fēng)險(xiǎn)評(píng)估主要是確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。此階段的風(fēng)險(xiǎn)評(píng)估可以以安全建設(shè)方案評(píng)審的方式進(jìn)行,判定設(shè)計(jì)方案所提供的安全功能是否符合相關(guān)標(biāo)準(zhǔn)。

在建設(shè)實(shí)施階段,應(yīng)將規(guī)劃設(shè)計(jì)階段的安全風(fēng)險(xiǎn)進(jìn)一步細(xì)化,并評(píng)估安全措施的實(shí)現(xiàn)程度,另外,應(yīng)對(duì)系統(tǒng)的實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別。

在運(yùn)行維護(hù)階段,風(fēng)險(xiǎn)評(píng)估主要是識(shí)別、控制系統(tǒng)運(yùn)行過程中的安全風(fēng)險(xiǎn),是一種較為全面的風(fēng)險(xiǎn)評(píng)估。通過動(dòng)態(tài)識(shí)別不斷變化的系統(tǒng)所面臨的安全風(fēng)險(xiǎn),保證安全措施的有效性、確保安全目標(biāo)的實(shí)現(xiàn)。

在系統(tǒng)廢止階段,主要是對(duì)報(bào)廢資產(chǎn)的影響,以及可能帶來的新威脅進(jìn)行分析評(píng)估。此階段應(yīng)重點(diǎn)關(guān)注報(bào)廢資產(chǎn)的處理過程及其去向,確保整個(gè)執(zhí)行過程均處于有效的監(jiān)督下,并對(duì)相關(guān)執(zhí)行人員進(jìn)行安全教育。

(二)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法

信息系統(tǒng)運(yùn)行使用過程中,信息安全風(fēng)險(xiǎn)評(píng)估通常重點(diǎn)關(guān)注安全事件所帶來的損失以及如何采取風(fēng)險(xiǎn)控制措施,而弱化事件發(fā)生的數(shù)量指標(biāo)。基于以上特點(diǎn),本文提出一種基于脆弱性識(shí)別的風(fēng)險(xiǎn)評(píng)估方法,將對(duì)脆弱性的識(shí)別、評(píng)價(jià)作為風(fēng)險(xiǎn)評(píng)估工作的重點(diǎn),有效簡化了風(fēng)險(xiǎn)分析模型。

1.風(fēng)險(xiǎn)評(píng)估組織

組建包括決策人員、管理人員、執(zhí)行人員、監(jiān)控人員、使用人員、支持人員等角色的風(fēng)險(xiǎn)管理團(tuán)隊(duì),明確相關(guān)角色人員在風(fēng)險(xiǎn)管理中的任務(wù)和職責(zé)。決策人員負(fù)責(zé)風(fēng)險(xiǎn)管理的重大決策、總體規(guī)劃和批準(zhǔn)監(jiān)督;管理人員負(fù)責(zé)風(fēng)險(xiǎn)管理過程中的管理、組織和協(xié)調(diào);執(zhí)行人員負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估的具體規(guī)劃、設(shè)計(jì)和實(shí)施;監(jiān)控人員負(fù)責(zé)信息安全風(fēng)險(xiǎn)管理過程、成本和結(jié)果的監(jiān)視和控制;使用人員反饋信息安全風(fēng)險(xiǎn)管理的效果;支持人員為信息安全風(fēng)險(xiǎn)管理提供專業(yè)技術(shù)支持。制定詳細(xì)的風(fēng)險(xiǎn)評(píng)估計(jì)劃,依據(jù)系統(tǒng)的業(yè)務(wù)戰(zhàn)略、技術(shù)架構(gòu)、安全防護(hù)體系,明確風(fēng)險(xiǎn)評(píng)估需求,確定風(fēng)險(xiǎn)評(píng)估的對(duì)象范圍、風(fēng)險(xiǎn)評(píng)估方法、時(shí)間節(jié)點(diǎn)等要素,并得到?jīng)Q策層的支持和批準(zhǔn)。

2.風(fēng)險(xiǎn)要素識(shí)別

在進(jìn)行資產(chǎn)識(shí)別時(shí),由于資產(chǎn)的價(jià)值由保密性、完整性和可用性3個(gè)方面的安全屬性決定,賦值很難準(zhǔn)確,建議資產(chǎn)識(shí)別主要以對(duì)資產(chǎn)對(duì)象的識(shí)別為主,不對(duì)資產(chǎn)價(jià)值做精確計(jì)算。

脆弱性不會(huì)產(chǎn)生安全事件,只有威脅作用于脆弱性時(shí)才會(huì)導(dǎo)致安全事件的產(chǎn)生。國家明確規(guī)定了信息系統(tǒng)安全防護(hù)的標(biāo)準(zhǔn)和要求,以應(yīng)對(duì)安全事件,對(duì)標(biāo)準(zhǔn)的符合性核查即為風(fēng)險(xiǎn)識(shí)別的過程。在進(jìn)行風(fēng)險(xiǎn)分析評(píng)估時(shí),以脆弱性檢查作為安全風(fēng)險(xiǎn)評(píng)估的主要依據(jù),以威脅出現(xiàn)的頻率作為參考,將信息系統(tǒng)面臨的威脅整體考慮,不對(duì)脆弱性對(duì)應(yīng)的具體威脅進(jìn)行識(shí)別。

3.風(fēng)險(xiǎn)分析判斷

將資產(chǎn)、威脅的等級(jí)分為高、低兩個(gè)級(jí)別,脆弱性等級(jí)分為高、中、低3個(gè)級(jí)別。對(duì)資產(chǎn)、威脅、脆弱性的分析判斷采用德爾菲法:通過背對(duì)背群體決策咨詢的方式征詢專家小組成員的意見,經(jīng)過幾輪征詢使決策意見趨于集中。專家小組由管理人員、執(zhí)行人員、監(jiān)控人員、使用人員、支持人員等不同層級(jí)組成,以提高決策意見的準(zhǔn)確性。德爾菲法在分析安全風(fēng)險(xiǎn)時(shí)需經(jīng)過幾輪群體決策咨詢,才能使結(jié)論趨于集中。在實(shí)際操作中,可結(jié)合綜合討論的形式,加快分析速度,以快速做出決策。基于風(fēng)險(xiǎn)因素的分析結(jié)果,再采用新一輪的德爾菲法,或以構(gòu)建風(fēng)險(xiǎn)分析矩陣的方式,最終確定安全風(fēng)險(xiǎn)等級(jí)。

在風(fēng)險(xiǎn)評(píng)估時(shí),可以使用信息安全風(fēng)險(xiǎn)評(píng)估與控制類工具軟件,完成對(duì)資產(chǎn)的管理、風(fēng)險(xiǎn)的分析與評(píng)估。

(三)持續(xù)改進(jìn)建議

為了改進(jìn)評(píng)估單位的安全狀態(tài)、實(shí)現(xiàn)信息安全目標(biāo),根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,必須提出實(shí)際可行的改進(jìn)建議。綜合考慮風(fēng)險(xiǎn)控制成本和風(fēng)險(xiǎn)造成的影響,依據(jù)安全需求,明確信息系統(tǒng)可接受的殘留風(fēng)險(xiǎn),對(duì)風(fēng)險(xiǎn)采取接受、降低、規(guī)避或轉(zhuǎn)移等控制措施。在進(jìn)行持續(xù)改進(jìn)時(shí),建議結(jié)合以下幾點(diǎn)進(jìn)行考慮。

1.通過信息安全風(fēng)險(xiǎn)評(píng)估推動(dòng)信息安全架構(gòu)的建立和完善,建立架構(gòu)能力框架和核心業(yè)務(wù)流程。通過規(guī)范的策略、制度、操作規(guī)程實(shí)現(xiàn)IT服務(wù)和安全管理,同時(shí)保證業(yè)務(wù)的連續(xù)性。建立基于信息安全架構(gòu)的風(fēng)險(xiǎn)管理方法,持續(xù)有效地發(fā)現(xiàn)、控制信息安全風(fēng)險(xiǎn),實(shí)現(xiàn)對(duì)信息安全的長效監(jiān)控、管理。

2.根據(jù)發(fā)現(xiàn)的信息安全風(fēng)險(xiǎn),編寫或修訂安全保密策略,完善管理制度。通過策略描述實(shí)現(xiàn)安全目標(biāo)的高層計(jì)劃。通過制度規(guī)定詳細(xì)、具體的執(zhí)行程序,明確責(zé)任部門和責(zé)任人,將風(fēng)險(xiǎn)防控措施固化,以提供持續(xù)的信息安全保障。

3.通過內(nèi)部控制機(jī)制強(qiáng)化日常監(jiān)督,結(jié)合保密檢查、獎(jiǎng)懲機(jī)制、績效考核等手段,對(duì)風(fēng)險(xiǎn)控制措施進(jìn)行強(qiáng)化落實(shí)。對(duì)保密檢查中重復(fù)發(fā)現(xiàn)的問題,核實(shí)策略和制度的合理性和有效性,并進(jìn)行完善和修訂,實(shí)現(xiàn)預(yù)防式管理。

四、結(jié)語

由于信息系統(tǒng)及其所在環(huán)境不斷變化,信息安全風(fēng)險(xiǎn)和安全需求也會(huì)不斷變化,信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜、動(dòng)態(tài)、循環(huán)的過程,通過動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估體系、動(dòng)態(tài)的安全策略制定、動(dòng)態(tài)的安全防護(hù)、實(shí)時(shí)的監(jiān)控系統(tǒng)以及健全的安全管理體系,實(shí)現(xiàn)完整、動(dòng)態(tài)的安全循環(huán)。

風(fēng)險(xiǎn)評(píng)估主要是為信息安全提供一個(gè)方向,不管采取的評(píng)估方法多詳細(xì)、多專業(yè),也只是描述信息安全風(fēng)險(xiǎn)狀態(tài),而不會(huì)改進(jìn)評(píng)估單位的安全狀態(tài)。只有切實(shí)利用風(fēng)險(xiǎn)評(píng)估結(jié)果強(qiáng)力推進(jìn)改進(jìn)活動(dòng),實(shí)現(xiàn)有效的風(fēng)險(xiǎn)管理,并保持其持續(xù)性,才能改善安全狀態(tài),進(jìn)而保障系統(tǒng)安全。

 

(原載于《保密科學(xué)技術(shù)》雜志2017年10月刊)