袁靜 畢馬寧 江雷 張偉 公安部第三研究所

談風(fēng)險評估方法在等級測評中的進一步運用

袁靜 畢馬寧 江雷 張偉 公安部第三研究所

通過對國際成熟風(fēng)險管理理論研究和風(fēng)險評估方法分析，結(jié)合我國信息安全等級保護工作開展現(xiàn)狀，探討在等級測評環(huán)節(jié)中，如何進一步運用風(fēng)險評估方法，增強信息系統(tǒng)運行使用單位識別風(fēng)險和應(yīng)對威脅的能力，進而為信息安全等級保護相關(guān)理論完善奠定技術(shù)基礎(chǔ)。

信息安全 等級保護 等級測評 風(fēng)險評估

一、引言

近年來，美國及一些發(fā)達國家在網(wǎng)絡(luò)空間戰(zhàn)略中的頂層設(shè)計和相應(yīng)行動方案的實施，使整個國際網(wǎng)絡(luò)安全形勢呈現(xiàn)出緊張的氣氛。隨著形勢的變化，我國相關(guān)部門和信息安全專家也意識到了戰(zhàn)略的威脅，并向新一屆政府提出了加強國家網(wǎng)絡(luò)空間安全頂層設(shè)計和加快國家信息安全保障體系建設(shè)的建議。在復(fù)雜嚴峻的國際背景下和國內(nèi)頂層設(shè)計嚴重缺失的現(xiàn)狀基礎(chǔ)上，如何加強我國網(wǎng)絡(luò)空間保衛(wèi)和關(guān)鍵基礎(chǔ)設(shè)施保護是相關(guān)職能部門的一個重要課題。

信息安全等級保護制度作為構(gòu)建國家信息安全保障體系的基本制度，將其工作重心落在了通過保護關(guān)鍵信息基礎(chǔ)設(shè)施進而實現(xiàn)國家關(guān)鍵基礎(chǔ)設(shè)施保護的基點上。等級測評作為等級保護工作開展的重要步驟，一直在等級保護制度推進進程中發(fā)揮著重要作用。經(jīng)過近些年來的實踐，等級測評理論及方法也應(yīng)與時俱進，需要進一步研究并提出更科學(xué)、合理的解決辦法。

在信息安全理論和技術(shù)的發(fā)展過程中，信息安全風(fēng)險評估已經(jīng)成為人們普遍接受的、發(fā)現(xiàn)信息安全問題的成熟方法。隨著等級測評工作的全面展開，人們對等級測評與風(fēng)險評估兩種方法的異同性有了深入的理解，并認識到：風(fēng)險評估應(yīng)與等級測評進行更深層次的融合，以便等級測評中的信息安全風(fēng)險分析方法更科學(xué)、結(jié)果更準確。

二、信息安全風(fēng)險評估理論的發(fā)展

風(fēng)險評估是任何機構(gòu)進行風(fēng)險管理活動的重要組成部分。信息安全風(fēng)險評估，就是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，并為防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可接受范圍內(nèi)，從而最大限度地為保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。

世界各國很早就開始了風(fēng)險評估理論及方法在信息安全領(lǐng)域的研究和實踐，美國從20世紀60年代末就開始將其應(yīng)用于政府和軍隊，其他國家如加拿大、英國、德國、澳大利亞、新西蘭等也都于20世紀90年代后期頒布了相應(yīng)的信息安全風(fēng)險管理標(biāo)準。我國起步較晚，自1994年頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》（147號令）開始，我國的信息安全風(fēng)險意識才開始建立，并逐步有所加強，形成了相應(yīng)的標(biāo)準。

三、不同國家的信息安全風(fēng)險評估

世界各國信息安全風(fēng)險評估標(biāo)準要素各有不同，具體細節(jié)上也有所差異，但是核心內(nèi)容是一致的，即均關(guān)注威脅、脆弱性、影響和可能性。隨著信息安全風(fēng)險評估理論和方法的基本趨于一致，各個國家的研究重點都是針對本國的實際情況，探索行之有效的具體風(fēng)險評估方法。

美國是國際上對風(fēng)險評估研究歷史最長的國家，隨著信息化應(yīng)用需求的牽引，安全事件的驅(qū)動和信息安全技術(shù)、信息安全管理概念的深化，對風(fēng)險評估的認識也逐步加深，這點從其最新的風(fēng)險評估標(biāo)準修訂中得到了印證。

2012年9月，美國國家標(biāo)準與技術(shù)研究院NIST對《風(fēng)險評估實施指南》（SP 800-30）進行了修訂。SP 800-30針對聯(lián)邦信息系統(tǒng)的風(fēng)險評估工作實施給予了指導(dǎo)。

（一）風(fēng)險評估三層體系

SP800-30中給出的風(fēng)險評估方法可以用于機構(gòu)風(fēng)險管理架構(gòu)三層體系（即：組織層、任務(wù)/業(yè)務(wù)過程層和信息系統(tǒng)層）中的任意一層，如圖1所示。

1.第一層：組織層風(fēng)險評估

第一層組織層風(fēng)險評估集中在組織運行、資產(chǎn)和人員綜合評估任務(wù)/業(yè)務(wù)范圍。說明：（1）組織區(qū)別于其他組織的特定類型威脅，以及那些威脅如何影響政策決定。（2）在多個信息系統(tǒng)中發(fā)現(xiàn)的值得攻擊者利用的體系弱點或缺陷。（3）組織由于丟失或妥協(xié)信息帶來的潛在負面影響。（4）類似移動技術(shù)、云計算等新技術(shù)和新信息的使用，及使用這些技術(shù)對組織成功完成其任務(wù)/業(yè)務(wù)運行能力的潛在影響。

2.第二層：任務(wù)/業(yè)務(wù)過程層風(fēng)險評估

第二層風(fēng)險評估關(guān)注點在任務(wù)/業(yè)務(wù)部門，一般包括多個信息系統(tǒng)，這些系統(tǒng)對于核心組織的任務(wù)/業(yè)務(wù)功能的敏感程度和重要程度不同。第二層風(fēng)險評估也關(guān)注信息安全體系架構(gòu)，幫助組織選擇通用控制，這些控制由第三層信息系統(tǒng)繼承。第二層產(chǎn)生的風(fēng)險評估結(jié)果在第三層與組織實體共享和交流，幫助指導(dǎo)將安全控制分配到信息系統(tǒng)和系統(tǒng)運行環(huán)境中。第二層風(fēng)險評估也提供組織任務(wù)/業(yè)務(wù)過程的安全和風(fēng)險狀況評估，并知會第一層組織風(fēng)險評估。

3.第三層：信息系統(tǒng)層風(fēng)險評估

第二層狀況和系統(tǒng)開發(fā)生命周期決定了第三層風(fēng)險評估的目的和范圍。首次風(fēng)險評估可以在系統(tǒng)開發(fā)生命周期的任何階段實施，理想情況下是在初始階段實施。在初始階段，風(fēng)險評估對在規(guī)劃運行環(huán)境下預(yù)期影響信息系統(tǒng)保密性、完整性和可用性的脆弱性和先決條件進行評價。這些可以幫助各方最終確定需要的安全控制。

（二）風(fēng)險要素關(guān)系模型

風(fēng)險要素包括威脅、脆弱性、影響、可能性和先決條件。其中脆弱性不僅能存在于信息系統(tǒng)中，也可能存在于組織管理架構(gòu)（如缺少有效的風(fēng)險管理戰(zhàn)略和適當(dāng)風(fēng)險框架、內(nèi)部機構(gòu)交流不暢、任務(wù)/業(yè)務(wù)功能相對優(yōu)先級前后矛盾、不遵守支撐任務(wù)/業(yè)務(wù)活動的企業(yè)體系架構(gòu)）中，還可能存在于外部關(guān)系（如特定能源依賴、供應(yīng)鏈、信息技術(shù)、通信供應(yīng)商）、任務(wù)/業(yè)務(wù)過程（如未良好定義的過程或未知風(fēng)險的過程）、企業(yè)/信息安全體系架構(gòu)（如不完善的體系架構(gòu)決議導(dǎo)致組織信息系統(tǒng)缺少多樣性或彈性）中。

可能性是威脅事件發(fā)起可能性與威脅事件導(dǎo)致負面影響可能性評價的組合。

風(fēng)險各要素之間的關(guān)系模型如圖2所示。

（三）風(fēng)險分析方法

風(fēng)險分析方法根據(jù)風(fēng)險評估導(dǎo)向或出發(fā)點、評估的詳細等級以及對相似風(fēng)險場景的風(fēng)險處理方式而有所不同。其分析方法可以是威脅導(dǎo)向、資產(chǎn)/影響導(dǎo)向，脆弱性導(dǎo)向。

威脅導(dǎo)向方法以識別威脅源和威脅事件作為出發(fā)點，集中于威脅場景開發(fā)；在威脅環(huán)境中識別脆弱性，對于攻擊威脅，基于攻擊動機確定影響。

資產(chǎn)/影響導(dǎo)向方法以識別關(guān)注的和重要的資產(chǎn)受到的影響或后果作為出發(fā)點，很可能利用任務(wù)或業(yè)務(wù)影響分析結(jié)果識別威脅事件和威脅源。

脆弱性導(dǎo)向方法以先決條件或信息系統(tǒng)或系統(tǒng)運行所處環(huán)境中可利用的弱點/缺陷為出發(fā)點，識別利用這些脆弱性的威脅事件以及脆弱性被利用可能帶來的后果。

每種分析方法都考慮相同的風(fēng)險要素和評估活動，只是順序不同。

威脅導(dǎo)向的風(fēng)險分析方法如圖3所示。

上述風(fēng)險評估要素及方法是美國將信息安全風(fēng)險評估理論和方法應(yīng)用于聯(lián)邦政府信息系統(tǒng)的一種探索。該方法不同于以往的單純針對信息系統(tǒng)的風(fēng)險評估，而是用于機構(gòu)風(fēng)險管理架構(gòu)三層體系中的任意一層，以機構(gòu)作為風(fēng)險評估對象，非通常的以信息系統(tǒng)作為風(fēng)險評估對象。其中第一層和第二層的風(fēng)險評估是從機構(gòu)角度實施的，第三層是從信息系統(tǒng)角度實施的。而且，該方法沒有將資產(chǎn)作為基本風(fēng)險要素,而是在分析威脅事件產(chǎn)生的影響時考慮了資產(chǎn)的價值。

四、風(fēng)險評估融入等級測評的方法

目前等級測評中已經(jīng)部分融合了風(fēng)險評估方法，是針對已測評發(fā)現(xiàn)的安全問題（即部分符合和不符合項）進行分析，主要包含四步：

（1）判斷整體測評后的單元測評結(jié)果匯總其中部分符合項或不符合項所產(chǎn)生的安全問題被威脅利用的可能性，可能性的取值范圍為高、中和低；

（2）判斷整體測評后的單元測評結(jié)果匯總其中部分符合項或不符合項所產(chǎn)生的安全問題被威脅利用后，對被測信息系統(tǒng)的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成的影響程度，影響程度取值范圍為高、中和低；

（3）綜合（1）和（2）的結(jié)果，對被測信息系統(tǒng)面臨的安全風(fēng)險進行賦值，風(fēng)險值的取值范圍為高、中和低；

（4）結(jié)合被測信息系統(tǒng)的安全保護等級對風(fēng)險分析結(jié)果進行評價，即對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險。

如何借鑒國際已有的最新信息安全風(fēng)險評估理論和方法，結(jié)合我國信息系統(tǒng)安全等級測評的特點，設(shè)計出一套符合我國國情的等級測評與風(fēng)險評估的深度融合方法？首先應(yīng)轉(zhuǎn)變對等級測評的認識，等級測評應(yīng)該是針對信息系統(tǒng)運營使用單位開展的安全測評，而不僅僅只是針對確定等級的單一信息系統(tǒng)。信息系統(tǒng)運營使用單位所屬行業(yè)的重要程度決定了該單位的重要性，同理，信息系統(tǒng)運營使用單位的重要程度決定了承載其重要業(yè)務(wù)的信息系統(tǒng)的重要性。而信息系統(tǒng)的重要性決定了其發(fā)生安全事件時對國家安全、社會秩序及公共利益等會帶來的影響。因此，在分析信息系統(tǒng)發(fā)生安全事件會帶來的影響時應(yīng)關(guān)注到系統(tǒng)所屬單位及行業(yè)，從而等級測評中的風(fēng)險分析應(yīng)針對信息系統(tǒng)運營使用單位開展。

具體到等級測評的實施過程中，風(fēng)險評估可以融合到等級測評的信息收集與分析、測評對象選擇、現(xiàn)場測評和風(fēng)險分析、整改建議等多個活動任務(wù)中。具體融合內(nèi)容如圖4所示。

后果識別主要是從信息系統(tǒng)支撐業(yè)務(wù)的重要性、單位在所屬行業(yè)中的地位、單位所屬行業(yè)的重要性等方面來考慮各種后果，從國家、行業(yè)、單位、業(yè)務(wù)、系統(tǒng)多個角度形成各種后果。后果識別是比較寬泛的后果分析（如全部業(yè)務(wù)中斷、部分業(yè)務(wù)中斷、數(shù)據(jù)丟失等），可結(jié)合定級過程進行分析，不應(yīng)從某個具體資產(chǎn)角度來分析，如從某重要信息系統(tǒng)的Cyber（即業(yè)務(wù)系統(tǒng)、控制系統(tǒng)、訪問控制系統(tǒng)以及預(yù)警和報警系統(tǒng)）的角度分析，而不是從單個服務(wù)器的角度分析可能受到的攻擊和自然災(zāi)難。

在識別威脅源時可以從兩方面來考慮：（1）根據(jù)等級保護政策要求，信息系統(tǒng)按照其重要程度確定安全保護等級，由于其重要程度不同，潛在的威脅源也不相同。一級信息系統(tǒng)的威脅源包括來自個人的擁有很少資源的惡意攻擊者、一般的自然災(zāi)難以及其他相當(dāng)危害程度的威脅源，而四級信息系統(tǒng)的威脅源則包括來自國家級別的、敵對組織的、擁有豐富資源的威脅源、嚴重的自然災(zāi)難以及其他相當(dāng)危害程度的威脅源。因此，威脅識別與信息系統(tǒng)的安全保護等級相關(guān)。（2）除了等級保護標(biāo)準中分析的上述每個等級的威脅之外，在識別威脅時還應(yīng)識別信息系統(tǒng)運營使用單位、支撐業(yè)務(wù)功能以及信息系統(tǒng)三個層次面臨的其他威脅。

分析信息系統(tǒng)存在的安全風(fēng)險時應(yīng)結(jié)合系統(tǒng)承載業(yè)務(wù)的重要性進行分析。業(yè)務(wù)重要性分析采用分步驟進行的方式。首先，考慮業(yè)務(wù)的某個環(huán)節(jié)受破壞時對所屬單位可能造成的后果，評估這些業(yè)務(wù)受破壞的可能性，從而評估業(yè)務(wù)在所屬單位的重要性。其次，若業(yè)務(wù)在單位中高度或極度重要，則考慮業(yè)務(wù)受破壞時對所屬行業(yè)所可能造成的后果，評估該業(yè)務(wù)受破壞的可能性，從而評估業(yè)務(wù)在所屬行業(yè)的重要性。再次，若業(yè)務(wù)在所屬行業(yè)中高度或極度重要，則考慮業(yè)務(wù)受破壞時對社會、國家所可能造成的后果，評估該業(yè)務(wù)受破壞的可能性，從而評估業(yè)務(wù)安全對社會或國家安全的重要性。最后，若業(yè)務(wù)對社會或國家高度或極度重要，則分析該業(yè)務(wù)對信息系統(tǒng)的依賴程度，若依賴程度很高，則該業(yè)務(wù)信息系統(tǒng)存在安全風(fēng)險時應(yīng)評估對國家安全造成的影響。具體重要性分析方法如圖5所示。

整改建議應(yīng)根據(jù)威脅事件的嚴重程度以及風(fēng)險等級綜合提出，引發(fā)的威脅事件嚴重的、高風(fēng)險等級的安全問題應(yīng)整體考慮立即整改，不應(yīng)僅僅從一個安全問題出發(fā)，頭疼醫(yī)頭、腳痛醫(yī)腳，即應(yīng)根據(jù)后果識別過程（國家、單位、業(yè)務(wù)需求）以及系統(tǒng)整體架構(gòu)出具量身定做的整改建議。對于引發(fā)的威脅事件不嚴重、風(fēng)險等級較低的安全問題可考慮持續(xù)整改。

通過對信息系統(tǒng)運營使用單位及其信息系統(tǒng)的了解、分析和測評，測評機構(gòu)及運營使用單位對信息系統(tǒng)在國家安全中所占地位有了充足的認識，使得測評機構(gòu)的風(fēng)險分析有理有據(jù)，使得運營使用單位加強了安全建設(shè)整改的積極性。并且此角度的等級測評是對運營使用單位的全部信息系統(tǒng)進行綜合安全分析，測評機構(gòu)可以從全局出發(fā)，提出更合理、適用的量身定做的安全建設(shè)整改建議。

五、結(jié)束語

通過將風(fēng)險評估方法更好地運用到等級測評中，可以將等級測評工作與等級保護框架設(shè)計思路保持一致，從國家角度分析信息系統(tǒng)存在的安全風(fēng)險；還可以為信息系統(tǒng)的安全整改建設(shè)提供更貼切、合理的規(guī)劃和建議，從而使運營使用單位對其機構(gòu)自身的社會地位和重要性，及其運行的信息系統(tǒng)的重要性有更準確的認識，使之能夠更主動、更認真、更扎實地開展信息安全等級保護工作。

[1]信息安全等級保護管理辦法.公安部,2007.

[2]GB/T 20984,信息安全技術(shù)信息安全風(fēng)險評估規(guī)范[S].

[3]NIST SP 800-30Revis ion1.風(fēng)險評估實施指南,2012(9).

[4]NIST SP 800-39,管理信息安全風(fēng)險-組織、任務(wù)和信息系統(tǒng)觀點,2011(3).

[5]NIST SP 800-37Revis ion1,將風(fēng)險管理框架應(yīng)用于聯(lián)邦信息系統(tǒng)指南,2010(2).

[6]GB/T 28448-2012,信息系統(tǒng)安全等級保護測評要求[S].

[7]GB/T 28449-2012,信息系統(tǒng)安全等級保護測評過程指南[S].

[8]GB/T 22239-2008,信息系統(tǒng)安全等級保護基本要求[S].

[9]信息系統(tǒng)安全等級測評報告模版(試行).公安部,2009.