呂新榮，鈕 俊，陸世偉

（浙江工商職業(yè)技術(shù)學(xué)院，浙江 寧波 315012）

一、引言

數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作、學(xué)習(xí)和生活環(huán)境。一個典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫、身份認(rèn)證平臺、各種業(yè)務(wù)管理系統(tǒng)和信息門戶網(wǎng)站等[1]。數(shù)字校園作為一個龐大復(fù)雜的信息系統(tǒng)，構(gòu)建和維護(hù)一個良好的信息安全管理體系是一項非常重要的基礎(chǔ)管理工作。

信息安全風(fēng)險評估是構(gòu)建和維護(hù)信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，它通過識別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性，評估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性，判斷安全事件發(fā)生后對組織造成的影響。對數(shù)字校園進(jìn)行信息安全風(fēng)險評估有助于及時發(fā)現(xiàn)和解決存在的信息安全問題，保證數(shù)字校園的業(yè)務(wù)連續(xù)性，并為構(gòu)建一個良好的信息安全管理體系奠定堅實(shí)基礎(chǔ)。

二、評估標(biāo)準(zhǔn)

由于信息安全風(fēng)險評估的基礎(chǔ)性作用，包括我國在內(nèi)的信息化程度較高的國家以及相關(guān)國際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》（ISO/IEC13335）和《信息安全管理體系要求》（ISO/IEC27001:2005）、美國NIST制定的SP800系列標(biāo)準(zhǔn)、美國CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開發(fā)的OCTAVE2.0以及我國制定的《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）。

ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式發(fā)布，作為一種全球性的信息安全管理國際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動，同時也為評估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標(biāo)準(zhǔn)沒有制定明確的信息安全風(fēng)險評估流程，組織可以自行選擇適合自身特點(diǎn)的信息安全風(fēng)險評估方法，如OCTAVE2.0等[2][3]。

為了指導(dǎo)我國信息安全風(fēng)險評估工作的開展，我國于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007），這是我國自主研究和制定的信息安全風(fēng)險評估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致，但對信息安全風(fēng)險評估過程進(jìn)行了細(xì)化，使得更加適合我國企業(yè)或者組織的信息安全風(fēng)險評估工作開展。

三、評估流程

《信息安全技術(shù)——信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）等標(biāo)準(zhǔn)為風(fēng)險評估提供了方法論和流程，為風(fēng)險評估各個階段的工作制定了規(guī)范，但標(biāo)準(zhǔn)沒有規(guī)定風(fēng)險評估實(shí)施的具體模型和方法，由風(fēng)險評估實(shí)施者根據(jù)業(yè)務(wù)特點(diǎn)和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點(diǎn)，參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場景理論和通用弱點(diǎn)評價體系（CVSS）等風(fēng)險評估技術(shù)，提出了數(shù)字校園信息安全風(fēng)險評估的具體流程和整體框架，如圖1所示。

據(jù)圖1可知，數(shù)字校園的信息安全風(fēng)險評估首先在充分識別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上，確定資產(chǎn)價值、威脅等級和脆弱性等級，然后根據(jù)風(fēng)險矩陣計算得出信息資產(chǎn)的風(fēng)險值分布表。數(shù)字校園信息安全風(fēng)險評估的詳細(xì)流程如下：

（1）資產(chǎn)識別：根據(jù)數(shù)字校園的業(yè)務(wù)流程，從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務(wù)等方面對數(shù)字校園的信息資產(chǎn)進(jìn)行識別，得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實(shí)際價格，更重要的是要考慮資產(chǎn)對組織的信息安全重要程度，即信息資產(chǎn)的機(jī)密性、完整性和可用性在受到損害后對組織造成的損害程度，預(yù)計損害程度越高則賦值越高。

在確定了資產(chǎn)的機(jī)密性、完整性和可用性的賦值等級后，需要經(jīng)過綜合評定得出資產(chǎn)等級。綜合評定方法一般有兩種：一種方法是選取資產(chǎn)機(jī)密性、完整性和可用性中最為重要的一個屬性確定資產(chǎn)等級；還有一種方法是對資產(chǎn)機(jī)密性、完整性和可用性三個賦值進(jìn)行加權(quán)計算，通常采用的加權(quán)計算公式有相加法和相乘法，由組織根據(jù)業(yè)務(wù)特點(diǎn)確定。

設(shè)資產(chǎn)的機(jī)密性賦值為，完整性賦值為，可用性賦值為，資產(chǎn)等級值為，則

（2）威脅識別：威脅分為實(shí)際威脅和潛在威脅，實(shí)際威脅識別需要通過訪談和專業(yè)檢測工具，并通過分析入侵檢測系統(tǒng)日志、服務(wù)器日志、防火墻日志等記錄對實(shí)際發(fā)生的威脅進(jìn)行識別和分類。潛在威脅識別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計數(shù)據(jù)，并結(jié)合組織業(yè)務(wù)特點(diǎn)對潛在可能發(fā)生的威脅進(jìn)行充分識別和分類。

（3）脆弱性識別：脆弱性是資產(chǎn)的固有屬性，既有信息資產(chǎn)本身存在的漏洞也有因?yàn)椴缓侠砘蛭凑_實(shí)施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過專業(yè)的漏洞檢測軟件進(jìn)行檢測，然后通過安裝補(bǔ)丁程序消除。而管理制度造成的隱患需要進(jìn)行充分識別，包括對已有的控制措施的有效性也一并識別。

（4）威脅—脆弱性關(guān)聯(lián)：為了避免單獨(dú)對威脅和脆弱性進(jìn)行賦值從而造成風(fēng)險分析計算結(jié)果出現(xiàn)偏差，需要按照OCTAVE中的構(gòu)建威脅場景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進(jìn)行關(guān)聯(lián)。

（5）風(fēng)險值計算：在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上，利用風(fēng)險計算方法計算每個“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險值，并最終得到整個數(shù)字校園的風(fēng)險值分布表，并依據(jù)風(fēng)險接受準(zhǔn)則，確認(rèn)可接受和不可接受的風(fēng)險。

四、評估實(shí)例

本文以筆者所在高職院校的數(shù)字校園作為研究對象實(shí)例，利用前面所述的信息安全風(fēng)險評估流程對該實(shí)例對象進(jìn)行信息安全風(fēng)險評估。

1.資產(chǎn)識別與評估

數(shù)字校園的資產(chǎn)識別與評估包括資產(chǎn)識別和資產(chǎn)價值計算。

（1）資產(chǎn)識別

信息安全風(fēng)險評估專家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門代表共同組成數(shù)字校園信息資產(chǎn)識別小組，小組通過現(xiàn)場清查、問卷調(diào)查、查看記錄和人員訪談等方式，按照數(shù)字校園各個業(yè)務(wù)系統(tǒng)的工作流程，詳細(xì)地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類別上可以分為硬件（如服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等）、軟件（OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等）、電子數(shù)據(jù)（各種數(shù)據(jù)庫、各種電子文檔等）、紙質(zhì)文檔（系統(tǒng)使用手冊、工作日志等）、人員和服務(wù)等。為了對資產(chǎn)進(jìn)行標(biāo)準(zhǔn)化管理，識別小組對各個資產(chǎn)進(jìn)行了編碼，便于標(biāo)準(zhǔn)化和精確化管理。

（2）資產(chǎn)價值計算

獲得數(shù)字校園的信息資產(chǎn)詳細(xì)列表后，資產(chǎn)識別小組召開座談會確定每個信息資產(chǎn)的價值，即對資產(chǎn)的機(jī)密性、完整性、可用性進(jìn)行賦值，三性的賦值為1～5的整數(shù)，1代表對組織造成的影響或損失最低，5代表對組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后，結(jié)合該數(shù)字校園的特點(diǎn)，采用相加法確定資產(chǎn)的價值。該數(shù)字校園的軟件類資產(chǎn)計算樣例表如下表1所示。

由于資產(chǎn)價值的計算結(jié)果為1～5之間的實(shí)數(shù)，為了與資產(chǎn)的機(jī)密性、完整性、可用性賦值相對應(yīng)，需要對資產(chǎn)價值的計算結(jié)果歸整，歸整后的數(shù)字校園軟件類資產(chǎn)的資產(chǎn)等級結(jié)果如表1所示。

因?yàn)閿?shù)字校園的所有信息資產(chǎn)總數(shù)龐大，其中有些很重要，有些不重要，重要的需要特別關(guān)注重點(diǎn)防范，不重要的可以不用考慮或者減少投入。在識別出所有資產(chǎn)后，還需要列出所有的關(guān)鍵信息資產(chǎn)，在以后的日常管理中重點(diǎn)關(guān)注。不同的組織對關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同，本文將資產(chǎn)等級值在4以上（包括4）的資產(chǎn)列為關(guān)鍵信息資產(chǎn)，并在資產(chǎn)識別清單中予以注明，如表1所示。

2.威脅和脆弱性識別與評估

數(shù)字校園與其他計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅，同時數(shù)字校園作為一種在校園內(nèi)部運(yùn)行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類和分布有其自身特點(diǎn)。任何威脅總是通過某種具體的途徑或方式作用到特定的信息資產(chǎn)之上，通過破壞資產(chǎn)的一個或多個安全屬性而產(chǎn)生信息安全風(fēng)險，即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的，一項資產(chǎn)可能面臨多個威脅，一個威脅可能作用于多項資產(chǎn)。威脅的識別方法是在資產(chǎn)識別階段形成的資產(chǎn)清單基礎(chǔ)上，以關(guān)鍵資產(chǎn)為重點(diǎn)，從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個方面對資產(chǎn)面臨的威脅進(jìn)行識別。在分析數(shù)字校園實(shí)際發(fā)生的網(wǎng)絡(luò)威脅時，需要檢查入侵檢測系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)。

脆弱性是指資產(chǎn)中可能被威脅所利用的弱點(diǎn)。數(shù)字校園的脆弱性是數(shù)字校園在開發(fā)、部署、運(yùn)維等過程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對數(shù)字校園的資產(chǎn)造成損害，進(jìn)而對數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機(jī)房物理環(huán)境設(shè)計缺陷等等。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。

技術(shù)脆弱性的識別主要采用問卷調(diào)查、工具檢測、人工檢查、文檔查閱、滲透性測試等方法。因?yàn)榇蟛糠旨夹g(shù)脆弱性與軟件漏洞有關(guān)，因此使用漏洞檢測工具檢測脆弱性，可以獲得較高的檢測效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對數(shù)字校園進(jìn)行技術(shù)脆弱性識別和評估。

管理脆弱性識別的主要內(nèi)容就是對數(shù)字校園現(xiàn)有的安全控制措施進(jìn)行識別與確認(rèn)，有效的安全控制措施可以降低安全事件發(fā)生的可能性，無效的安全控制措施會提高安全事件發(fā)生的可能性。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類。技術(shù)控制措施隨著數(shù)字校園的建立、實(shí)施、運(yùn)行和維護(hù)等過程同步建設(shè)與完善，具有較強(qiáng)的針對性，識別比較容易。管理和操作控制措施識別需要對照ISO27001標(biāo)準(zhǔn)的《信息安全實(shí)用規(guī)則指南》或NIST的《最佳安全實(shí)踐相關(guān)手冊》制訂的表格進(jìn)行，避免遺漏。

表1 軟件類資產(chǎn)價值識別清單示例

3.風(fēng)險計算

完成數(shù)字校園的資產(chǎn)識別、威脅識別、脆弱性識別和已有控制措施識別任務(wù)后，進(jìn)入風(fēng)險計算階段。

對于像數(shù)字校園這類復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場景”方法進(jìn)行風(fēng)險分析?！皹?gòu)建威脅場景”方法基于“具體問題、具體分析”的原則，理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系，避免了孤立地評價威脅導(dǎo)致風(fēng)險計算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。

表2 資產(chǎn)-威脅-脆弱性-已有控制措施映射示例

將“資產(chǎn)—威脅—脆弱性—已有控制措施”進(jìn)行映射后，就可以按照GB/T20984-2007《信息安全風(fēng)險評估規(guī)范》要求進(jìn)行風(fēng)險計算。為了便于計算，需要將前面各個階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并，因?yàn)樵趯Υ嗳跣再x值的時候已經(jīng)考慮了已有控制措施的有效性，因此可以將已有控制措施去掉。

表3 圖書館管理系統(tǒng)風(fēng)險分析結(jié)果示例

本文采用的風(fēng)險計算方法為《信息安全風(fēng)險評估規(guī)范》中推薦的矩陣法，風(fēng)險值計算公式為：R=R（A，T，V）=R（L（T，V）F（Ia，Va））。其中，R 表示安全風(fēng)險計算函數(shù)；A 表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。

風(fēng)險計算的具體步驟是：

（a）根據(jù)威脅賦值和脆弱性賦值，查詢《安全事件可能性矩陣》計算安全事件可能性值；

（b）對照《安全事件可能性等級劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級值；

（c）根據(jù)資產(chǎn)賦值和脆弱性賦值，查詢《安全事件損失矩陣》計算安全事件損失值；

（d）對照《安全事件損失等級劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級值；

（e）根據(jù)安全事件可能性等級值和安全事件損失等級值，查詢《風(fēng)險矩陣》計算安全事件風(fēng)險值；

（f）對照《風(fēng)險等級劃分矩陣》將安全事件風(fēng)險值轉(zhuǎn)換為安全事件風(fēng)險等級值。

所有等級值均采用五級制，1級最低，5級最高。

五、結(jié)束語

數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施，數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定，而風(fēng)險評估是保證數(shù)字校園安全穩(wěn)定的一項基礎(chǔ)性工作。本文的信息安全風(fēng)險評估方法依據(jù)國家標(biāo)準(zhǔn)，采用定性和定量相結(jié)合的方式，保證了信息安全風(fēng)險評估的有效性和科學(xué)性，使得風(fēng)險評估結(jié)果能對后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。

[1]宋玉賢.高職院校數(shù)字化校園建設(shè)的策略研究[J].中國教育信息化,2010(4).

[2]黃水清,陳雙喜,任妮.基于ISO27001的數(shù)字圖書館信息安全風(fēng)險評估模型研究[J].現(xiàn)代圖書情報技術(shù),2009(6):44-49.

[3]湯志偉,高天鵬.采用OCTAVE模型的電子政務(wù)信息系統(tǒng)風(fēng)險評估[J].電子科技大學(xué)學(xué)報,2009,38(1).