◆解佳金 張 穎 張永繼

?

新形勢(shì)下開(kāi)展內(nèi)網(wǎng)安全風(fēng)險(xiǎn)自評(píng)估的方法建議

◆解佳金 張 穎 張永繼

（61516 部隊(duì) 北京 100094）

本文介紹了信息安全風(fēng)險(xiǎn)評(píng)估的基本內(nèi)涵和實(shí)施方法，特別是在分析近年來(lái)的安全事件和安全體系的演變規(guī)律的基礎(chǔ)上，針對(duì)如何在內(nèi)網(wǎng)開(kāi)展安全風(fēng)險(xiǎn)自評(píng)估工作，總結(jié)提出了符合當(dāng)前形勢(shì)的方法建議。

信息安全；風(fēng)險(xiǎn)評(píng)估；內(nèi)網(wǎng)

0 引言

今年是《網(wǎng)絡(luò)安全法》頒布實(shí)施的第一年，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度也進(jìn)入了2.0時(shí)代。新時(shí)代下的信息安全保障工作，需要更加重視信息安全風(fēng)險(xiǎn)評(píng)估在整個(gè)防護(hù)體系和運(yùn)行流程中的重要作用。信息安全防護(hù)工作千頭萬(wàn)緒，很容易就會(huì)被各種各樣的安全設(shè)備手段耗費(fèi)了大量工作精力，這些設(shè)備每天產(chǎn)生大量的告警信息、日志信息和安全事件信息，它們的格式多種多樣，有些信息晦澀難懂，有時(shí)還混雜著大量的虛警信息，這對(duì)于只能依靠人工分析的安全運(yùn)維人員來(lái)說(shuō)，要從中及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常事件，實(shí)時(shí)掌握真實(shí)的安全狀態(tài)，無(wú)疑是一項(xiàng)艱巨的挑戰(zhàn)。如果真的發(fā)生安全事件，也只能是“亡羊補(bǔ)牢”。因此，做好信息安全防護(hù)工作決不能坐以待斃，必須主動(dòng)免疫、積極防御，體系化推動(dòng)信息安全防護(hù)工作。

信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障體系的重要環(huán)節(jié)，為保障體系的建設(shè)提供重要的評(píng)價(jià)與決策依據(jù)。2016年4月19日，習(xí)主席在網(wǎng)信工作座談會(huì)上也指出“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)”，以及“感知網(wǎng)絡(luò)安全態(tài)勢(shì)是最基本最基礎(chǔ)的工作”等重要論斷。信息安全防護(hù)就要從“態(tài)勢(shì)感知”做起，從信息安全風(fēng)險(xiǎn)評(píng)估開(kāi)始。

1 什么是安全風(fēng)險(xiǎn)評(píng)估

工作中經(jīng)常會(huì)碰到這樣的問(wèn)題，“現(xiàn)在的信息系統(tǒng)是不是安全？如果不安全，應(yīng)該增加哪種安全防護(hù)手段？”。對(duì)于這個(gè)問(wèn)題，就好比打拳擊，既不知道自己的弱點(diǎn)在哪里，也不知道對(duì)手擅長(zhǎng)哪些招數(shù)，結(jié)果只能是被動(dòng)挨打。因此，做好信息安全防護(hù)首先要通過(guò)風(fēng)險(xiǎn)評(píng)估，做到知己知彼，才能百戰(zhàn)不殆。

所謂信息安全風(fēng)險(xiǎn)評(píng)估，就是對(duì)信息及信息處理設(shè)施所具有的威脅（threat）、脆弱性（vulnerability）、影響（influence）三個(gè)特性及三者發(fā)生的可能性進(jìn)行評(píng)估。具體來(lái)講就是要評(píng)估信息系統(tǒng)即將面臨的外部威脅和自身的脆弱性，以及一旦脆弱性被威脅所利用后所產(chǎn)生的實(shí)際影響，并根據(jù)安全事件發(fā)生的可能性及負(fù)面影響程度來(lái)確定安全風(fēng)險(xiǎn)的等級(jí)，從而為制定實(shí)施有效的安全策略、及時(shí)彌補(bǔ)安全漏洞、進(jìn)行精準(zhǔn)的應(yīng)急響應(yīng)提供科學(xué)有力的依據(jù)。如下圖1所示。

圖1 風(fēng)險(xiǎn)評(píng)估示意圖

2 安全風(fēng)險(xiǎn)評(píng)估的主要工作

安全風(fēng)險(xiǎn)評(píng)估的主要工作是圍繞信息資產(chǎn)的價(jià)值、威脅、漏洞以及風(fēng)險(xiǎn)控制措施的可控程度等風(fēng)險(xiǎn)評(píng)估基本要素展開(kāi)的。具體可依據(jù)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》和《信息安全風(fēng)險(xiǎn)管理指南》所明確的風(fēng)險(xiǎn)評(píng)估流程、內(nèi)容和方法組織實(shí)施。可總結(jié)概括為以下圖2幾個(gè)階段。

圖2 風(fēng)險(xiǎn)評(píng)估實(shí)施流程

第一階段是對(duì)信息資產(chǎn)進(jìn)行識(shí)別。信息資產(chǎn)是對(duì)組織有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象，是信息安全評(píng)估中的關(guān)鍵保護(hù)目標(biāo)，具體包含軟件、硬件、數(shù)據(jù)和人等方面內(nèi)容。當(dāng)前，“數(shù)據(jù)”被公認(rèn)為最核心的信息資產(chǎn)，因此，對(duì)于信息資產(chǎn)的價(jià)值衡量，就是要圍繞數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、傳輸和處理這條主線，梳理出關(guān)鍵業(yè)務(wù)功能、關(guān)鍵業(yè)務(wù)流程、關(guān)鍵數(shù)據(jù)和服務(wù)，最終確定哪些是關(guān)鍵資產(chǎn)，并采用適當(dāng)?shù)姆椒◤谋Ｃ苄?、完整性、可用性等安全屬性?duì)其進(jìn)行賦值。

第二階段是對(duì)信息資產(chǎn)的脆弱性進(jìn)行識(shí)別。主要從技術(shù)和管理兩個(gè)方面進(jìn)行評(píng)估。技術(shù)方面，主要通過(guò)文檔查閱、問(wèn)卷調(diào)查、人工核查、工具檢測(cè)和滲透測(cè)試等方式方法，對(duì)物理環(huán)境安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和數(shù)據(jù)安全等方面進(jìn)行合規(guī)性檢查。管理方面，主要通過(guò)文檔查閱、抽樣調(diào)查和詢問(wèn)等方法，對(duì)安全管理組織、安全管理策略、安全管理制度、人員安全管理和系統(tǒng)運(yùn)維管理等進(jìn)行脆弱性識(shí)別。

第三階段是對(duì)信息資產(chǎn)面對(duì)的外部威脅大小進(jìn)行識(shí)別。威脅評(píng)估是指對(duì)資產(chǎn)可能遭到的潛在威脅進(jìn)行系統(tǒng)性的評(píng)估，可以從威脅、威脅的影響以及威脅發(fā)生可能性等三方面分別考慮。通過(guò)威脅調(diào)查和分析，對(duì)信息資產(chǎn)所面臨威脅的類(lèi)型以及威脅發(fā)生的概率、途徑、方式進(jìn)行識(shí)別。

第四階段是綜合分析以上要素，并結(jié)合已有的安全措施，評(píng)估信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)。根據(jù)信息資產(chǎn)脆弱性的嚴(yán)重程度以及信息資產(chǎn)的價(jià)值，綜合得出安全事件一旦發(fā)生所造成的損失；根據(jù)外部威脅發(fā)生的可能性以及信息資產(chǎn)系統(tǒng)脆弱性的嚴(yán)重程度，綜合確定安全事件發(fā)生的可能性；考慮已有的安全措施對(duì)信息資產(chǎn)的保護(hù)程度以及遏制安全事件發(fā)生的作用，最終計(jì)算得出風(fēng)險(xiǎn)值，為下一步進(jìn)行風(fēng)險(xiǎn)管理提供決策依據(jù)。

3 內(nèi)網(wǎng)安全風(fēng)險(xiǎn)自評(píng)估的方法建議

內(nèi)網(wǎng)的信息系統(tǒng)是國(guó)家、行業(yè)或企業(yè)的重要信息資產(chǎn)，其價(jià)值密度極高，有些甚至關(guān)系到國(guó)家安全、國(guó)計(jì)民生和公共利益，很容易成為黑客組織或敵對(duì)勢(shì)力攻擊滲透的對(duì)象。據(jù)權(quán)威統(tǒng)計(jì)，過(guò)去一年平均每天泄露110萬(wàn)條金融數(shù)據(jù)，約97%的大型企業(yè)遭受過(guò)業(yè)務(wù)安全攻擊。同時(shí)，內(nèi)網(wǎng)與互聯(lián)網(wǎng)物理隔絕，思想上容易麻痹大意，管理上往往疏忽防范。在今年6月1日頒布執(zhí)行的《網(wǎng)絡(luò)安全法》中，對(duì)安全風(fēng)險(xiǎn)評(píng)估提出了制度化規(guī)范化的要求，特別對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行安全風(fēng)險(xiǎn)評(píng)估進(jìn)行了明確要求。內(nèi)網(wǎng)作為實(shí)施風(fēng)險(xiǎn)評(píng)估的特殊對(duì)象，往往涉及單位機(jī)密，不便于外請(qǐng)安全服務(wù)直接介入，因此更需要提高自身的自評(píng)估能力和水平。

3.1信息資產(chǎn)評(píng)估

內(nèi)網(wǎng)環(huán)境的信息資產(chǎn)自評(píng)估必須由管理、業(yè)務(wù)和技術(shù)人員共同實(shí)施，以實(shí)現(xiàn)對(duì)本單位業(yè)務(wù)流程和信息系統(tǒng)的全面梳理。評(píng)估應(yīng)突出業(yè)務(wù)的視角，梳理出信息系統(tǒng)影響業(yè)務(wù)主流程和子流程的關(guān)鍵節(jié)點(diǎn)，特別是依據(jù)信息系統(tǒng)對(duì)業(yè)務(wù)主流程的貢獻(xiàn)率進(jìn)行重要性賦值。再分別從傳統(tǒng)的機(jī)密性、完整性、可用性等不同屬性的角度進(jìn)行評(píng)估賦值。

3.2脆弱性評(píng)估

脆弱性評(píng)估主要從“系統(tǒng)”和“人”兩個(gè)方面進(jìn)行。“系統(tǒng)”脆弱性評(píng)估又可分為硬件環(huán)境和軟件應(yīng)用兩個(gè)方面，主要表現(xiàn)為系統(tǒng)漏洞。一般可利用漏洞掃描工具或采取人工滲透測(cè)試的辦法進(jìn)行漏洞的發(fā)現(xiàn)和挖掘，從而得到較準(zhǔn)確的評(píng)估結(jié)果；之所以把“人”作為脆弱性評(píng)估的另一個(gè)重要方面，主要是近年來(lái)越來(lái)越多的攻擊事件的發(fā)端，都是從與重要目標(biāo)緊密聯(lián)系的個(gè)人開(kāi)始的，如美國(guó)大選郵件門(mén)事件等。對(duì)于人的脆弱性評(píng)估，可從落實(shí)《網(wǎng)絡(luò)安全法》、等級(jí)保護(hù)相關(guān)要求及各類(lèi)規(guī)章制度等方面進(jìn)行評(píng)估。需要注意的是，這其中的制度規(guī)定有些看似很?chē)?yán)格，但其實(shí)并不具備可操作性，有些甚至是違反人性的，而一切違背人性的管理措施必然會(huì)走向失效。

3.3威脅評(píng)估

當(dāng)前內(nèi)網(wǎng)面臨的威脅早已從個(gè)人威脅、黑客團(tuán)體威脅的初級(jí)階段，上升到經(jīng)濟(jì)犯罪威脅，甚至是恐怖主義及國(guó)家威脅等高級(jí)階段。威脅的動(dòng)機(jī)、范圍、手段、源頭、方式和風(fēng)險(xiǎn)均發(fā)生了較大變化。今年5月份爆發(fā)的WannaCry勒索蠕蟲(chóng)全球攻擊事件，就是一個(gè)典型的案例，攻擊來(lái)自互聯(lián)網(wǎng)，但仍有大量政府、企業(yè)、事業(yè)的內(nèi)網(wǎng)受害極廣，從而直接影響到了社會(huì)穩(wěn)定和部分行業(yè)系統(tǒng)的正常運(yùn)行。WannaCry的攻擊者所使用的核心技術(shù)是美國(guó)NSA泄露的網(wǎng)絡(luò)武器，僅僅是一次誤傷就制造了不小的麻煩，如果是有組織有預(yù)謀的網(wǎng)絡(luò)戰(zhàn)，后果將不堪設(shè)想。由此可見(jiàn)，內(nèi)網(wǎng)的威脅的主要來(lái)自黑客組織和敵對(duì)勢(shì)力的APT攻擊，而這些攻擊一旦帶有政治企圖，往往會(huì)是不計(jì)代價(jià)和成本。換句話說(shuō)，一旦成為攻擊目標(biāo)，系統(tǒng)被攻破就只是時(shí)間問(wèn)題了。應(yīng)對(duì)這樣的威脅，就需要對(duì)各類(lèi)狀態(tài)、告警、日志的統(tǒng)一收集與關(guān)聯(lián)分析，及時(shí)遏制潛在攻擊；先于對(duì)手找到并彌補(bǔ)0day漏洞；利用大數(shù)據(jù)技術(shù)優(yōu)勢(shì)，深挖威脅情報(bào)，掌握對(duì)手動(dòng)態(tài)等等。

3.4綜合評(píng)估

有了以上三個(gè)方面評(píng)估基礎(chǔ)，在接下來(lái)的分析中，就要充分考慮自身的安全措施，有沒(méi)有及時(shí)根據(jù)外部威脅進(jìn)行策略調(diào)整，有沒(méi)有針對(duì)高危漏洞及時(shí)進(jìn)行修復(fù)，或者有沒(méi)有對(duì)核心資產(chǎn)進(jìn)行有效的分割保護(hù)等等，從而最終確定安全風(fēng)險(xiǎn)等級(jí)。所謂的安全措施，一定不能是簡(jiǎn)單的安全產(chǎn)品的堆砌，而要從體系的角度看待安全。過(guò)去十年我們完成了從“架構(gòu)安全”到“被動(dòng)防御”的迭代式演進(jìn)，未來(lái)將向“積極防御”和“威脅情報(bào)”過(guò)度。那么，與之相符合的有效的安全措施，是將“人和數(shù)據(jù)”放在核心位置，實(shí)現(xiàn)由“面向安全設(shè)備的運(yùn)維”向“安全數(shù)據(jù)采集分析”的轉(zhuǎn)變。

圖3 安全體系演變示意圖

4 結(jié)束語(yǔ)

風(fēng)險(xiǎn)評(píng)估要常懷憂患意識(shí)。美國(guó)首任網(wǎng)軍司令亞歷山大將軍曾說(shuō)過(guò)：世界上只有兩種系統(tǒng)，一種是已知被攻破的系統(tǒng)，另一種是已被攻破但自己還不知道的系統(tǒng)。美國(guó)國(guó)家安全局（NSA）的數(shù)據(jù)泄露和Mandiant被滲透等事件，更加充分驗(yàn)證了沒(méi)有攻不破的網(wǎng)絡(luò)。等保2.0倡導(dǎo)風(fēng)險(xiǎn)感知、防護(hù)建設(shè)、測(cè)評(píng)整改、監(jiān)督檢查、應(yīng)急恢復(fù)的全程防護(hù)理念，將風(fēng)險(xiǎn)評(píng)估作為等保建設(shè)的起點(diǎn)和終點(diǎn)。通過(guò)不斷開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估，可以使我們撥開(kāi)迷霧看清威脅，爭(zhēng)分奪秒先于對(duì)手發(fā)現(xiàn)和掌握自身漏洞，為夯實(shí)安全堤防走好先手棋。

風(fēng)險(xiǎn)評(píng)估要充分發(fā)揮人的主觀能動(dòng)性。2017年第五屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)（ISC）的主題是“萬(wàn)物皆變，人是安全的尺度”，網(wǎng)絡(luò)安全本質(zhì)是人與人的智力對(duì)抗，不是購(gòu)買(mǎi)并部署一批網(wǎng)絡(luò)安全設(shè)備，堆砌一些產(chǎn)品和技術(shù)就能防的住的，還需要大量專業(yè)的安全人員持續(xù)地對(duì)各種信息、數(shù)據(jù)、態(tài)勢(shì)進(jìn)行分析研判。定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估，充分發(fā)揮人在信息安全保障中的核心驅(qū)動(dòng)作用，從而驅(qū)動(dòng)整個(gè)P2DR體系能夠持續(xù)的形成閉環(huán)，最終逐漸形成更加嚴(yán)密的信息安全立體保護(hù)層。

[1]文偉平，郭榮華，孟正等.信息安全風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2015.

[2]GB/T20984-2007.信息安全風(fēng)險(xiǎn)管理規(guī)范[S].

[3]GB/Z 24364-2009.信息安全風(fēng)險(xiǎn)管理指南[S].

[4]陳俊高.對(duì)信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)評(píng)估研究[J]. 電子技術(shù)，2015.

[5]劉曙生.淺談信息安全風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)分析方法的應(yīng)用[J].網(wǎng)絡(luò)空間安全，2017.

[6]甘清云.淺析涉密信息系統(tǒng)安全風(fēng)險(xiǎn)自評(píng)估[J].網(wǎng)絡(luò)空間安全，2017.