葛曉囡 林玉堂 黃振博 王 焱

(國家信息中心信息與網(wǎng)絡安全部信息安全評估處 北京 100045)

(gexn@sic.gov.cn)

自《中華人民共和國網(wǎng)絡安全法》于2017年6月1日正式實行以來，信息安全受到廣泛重視.在實現(xiàn)信息安全的過程中，能夠全面高效地了解信息系統(tǒng)當前及潛在風險，特別是能夠自主進行信息安全風險評估的方法受到企業(yè)和組織的關注.

風險評估被廣泛地應用于各行各業(yè)，尤其是信息行業(yè).信息行業(yè)的風險評估，主要是信息安全方面的風險評估，即依據(jù)國家與行業(yè)的相關標準，綜合評估信息系統(tǒng)本身及由信息系統(tǒng)負責處理、存儲的數(shù)據(jù)的完整性、保密性和可用性.信息安全風險評估過程包含信息資產(chǎn)所面臨威脅及弱點、這些威脅弱點導致的后果以及威脅、弱點及后果綜合后作用而引入的風險［1］.

對信息系統(tǒng)進行風險評估，為的是掌握信息系統(tǒng)中存在的潛在風險，并評估這些風險可能帶來的威脅及其程度，為制定科學有效的安全策略提供依據(jù)，進而保障信息系統(tǒng)穩(wěn)定可靠的運行［2］.風險管理則以風險評估為基石，確定信息系統(tǒng)的相關安全需求，進而形成科學有效的信息安全管理體系.

目前，國外信息安全風險評估的相關標準規(guī)范有 ISO 13335，ISO 15408，SSE-CMM，NIST SP800 系列.在2007年，國家信息中心牽頭制定了《GB T 20984—2007信息安全技術信息安全風險評估規(guī)范》.2017年，國家信息中心在原有版本的基礎上牽頭進行了修訂，目前已進入送審稿階段.以上標準中的評估方法多是重點關注技術方面的弱點，而相關業(yè)務需求不作為評估的重點［3-4］.與此不同的是，OCTAVE方法重點關注組織自身的相關業(yè)務需求，辨別組織內(nèi)需要保護的資產(chǎn)，評估資產(chǎn)面臨的風險及其級別，進而從技術及管理2個層面提出相關的解決方案.

1 OCTAVE概述

美國卡內(nèi)基梅隆大學的CERT協(xié)調(diào)中心于1999年提出的可操作性關鍵威脅評估和脆弱性評估(operationally critical treat，ssset，and vulnerability evaluation，OCTAVE［5］)，是一套系統(tǒng)的風險評估方法.該方法首先重點強調(diào)的是評估方法的可操作性(operationally)，然后關注的才是可能導致風險的關鍵因素.OCTAVE方法遵循自主評估的原則，旨在幫助組織從自身維度識別、評估和處置信息安全風險.因此，OCTAVE方法需組建一個來自各方面專業(yè)人員的團隊來進行風險評估工作，并負責安全整改等核心的工作.OCTAVE方法強調(diào)采用公認良好的安全實踐方法，來管控組織的信息資產(chǎn)正面臨或可能面臨的各類安全風險.

OCTAVE方法作為一種風險評估評級方法，以流程驅動為導向，識別排定風險優(yōu)先級，幫助組織了解、評估和應對信息安全風險，旨在幫助組織:

1)根據(jù)運營風險度制定定性風險評價標準;

2)識別對組織使命至關重要的資產(chǎn);

3)識別關鍵資產(chǎn)的漏洞和威脅;

4)確定并評估威脅真實發(fā)生以后對組織造成的潛在后果;

5)啟動糾正措施緩解風險并創(chuàng)建基于實務的保護戰(zhàn)略.

2 OCTAVE方法的具體過程

如表1所示，OCTAVE方法由3個階段組成，這3階段也可以具體地分為8個相關過程［6］.

表1 OCTAVE方法的3個階段

第1階段梳理組織結構框架，并重點關注人員.在這一階段，要確立組織特別是高層管理部門對企業(yè)信息安全問題的知識，同時重視企業(yè)內(nèi)員工的個人知識.

本階段主要由4個過程組成，詳見表1過程1至過程4.

要實現(xiàn)這一目標，首先要廣泛地收集各部門員工對組織面臨的或潛在的安全問題的個人觀點，然后對這些觀點進行集中梳理，作為后續(xù)評估分析的基礎.通過深入調(diào)研，可以清晰地表達員工對以下相關方面的認識:資產(chǎn)威脅、資產(chǎn)安全需求、現(xiàn)行資產(chǎn)保護措施有效性等問題.

第2階段，也被稱為OCTAVE的技術核心.因為分析團隊在此階段的注意力轉移到計算組織的信息系統(tǒng)基礎框架.通過數(shù)據(jù)收集對應的分析活動，對承載業(yè)務的基礎設施進行總體評價.通過對信息技術基礎結構的核心組件進行檢查，發(fā)現(xiàn)導致越權行為等漏洞，即技術脆弱性.

本階段主要由2個過程組成，詳見表1的過程5和過程6.

第3階段是制定企業(yè)整體安全發(fā)展藍圖及信息安全戰(zhàn)略、策略.在此階段，需要開發(fā)出科學有效的安全策略和實施計劃，用以應對組織內(nèi)部存在的風險.以階段1和階段2的成果為基礎，綜合分析組織信息系統(tǒng)基礎結構的評估評價結果，識別其面臨風險與潛在風險，以及由此可能導致的不利影響，并對風險進行優(yōu)先級排序.另外，根據(jù)風險優(yōu)先級，制定科學有效的風險應對策略和安全保護策略.

本階段主要由2個過程組成，詳見表1的過程7和過程8.

3 OCTAVE與NIST的比較

2001年10月，NIST特別出版物SP-800(以下簡稱NIST)提出IT服務風險評估的相關內(nèi)容［7］.

NIST方法是圍繞系統(tǒng)發(fā)展全生命周期，描述風險管理實施(含風險評估)的基礎框架.旨在幫助機構對其信息系統(tǒng)進行評估，引入風險管理，并運用相關規(guī)則來定義風險管理實施中的安全措施、策略及過程是否妥當.

步驟1.描述系統(tǒng)特性.定義風險評估邊界內(nèi)資產(chǎn)的功能、關鍵性和敏感性.

步驟2.識別潛在威脅.識別潛在的威脅源，生成按動機和威脅行為分類的威脅源列表.

步驟3.識別脆弱性并創(chuàng)建出可能被威脅源攻擊的系統(tǒng)弱點(缺陷或薄弱環(huán)節(jié))列表.

步驟4.分析安全控制措施.對組織中已實施的或計劃實施的安全控制措施進行相關分析.

步驟5.可能性分析.對潛在弱點在相關威脅環(huán)境中被攻擊的可能性進行等級分析.

步驟6.識別影響.識別威脅因素對潛在的弱點進行攻擊后可能產(chǎn)生的不利影響.

步驟7.計算安全風險.評估計算信息系統(tǒng)的風險級別.

步驟8.提出控制措施建議.提出安全控制措施建議，用來減緩或消除已識別風險.

步驟9.結果歸檔.將風險評估的結果整理到正式的文檔或大綱中.

動態(tài)變化是信息系統(tǒng)安全具有的特性，因此NIST強調(diào)有效的風險管理時必須完全集成到系統(tǒng)發(fā)展生命周期中重要循環(huán)的過程，可在任何階段進行.

為了成功地實現(xiàn)風險評估的目標，OCTAVE，NIST分別提出了各自的核心要素.

NIST核心要素包括:高級管理層的積極參與、IT小組成員的投入和權利支持、風險評估小組的實力、用戶團隊對風險管理工作的理解與合作、實施過程中的對與IT相關的使命風險的評價和評估.

OCTAVE核心要素包括:獲得高級管理層的支持、對分析小組成員的選擇、定義實施OCTAVE方法的范圍、選擇其他的參與人員.

由此可見，2種方法所強調(diào)的核心要素大體相同.其中，由于信息安全風險管理也是組織管理工作的一個重要方面，是一個自上而下的過程，所以2種方法均將組織中高級管理人員對風險管理的重視和支持程度列于各要素的首位.

由于NIST強調(diào)在組織的整個系統(tǒng)發(fā)展生命周期中實施風險管理，因此它以組織使命為核心，將整個信息系統(tǒng)進行的風險評估視為成功實施風險管理的一個要素.而OCTAVE主要是對實施風險評估方法的描述，因此它更注重評估過程的可操作性，從而將評估工作集中于組織中關鍵的可操作領域.這是因為，如果評估的范圍過大，則增加數(shù)據(jù)分析的難度，而如果范圍過小，則評估出的結果意義不大.

4 OCTAVE的特性

OCTAVE注重于關鍵資產(chǎn)，并使用全面化、系統(tǒng)化、環(huán)境驅動和自我導向的評估方法評估這些資產(chǎn)的風險.它有助于組織維護積極的安全態(tài)勢，并將組織觀點運用到信息安全風險管理活動中.

OCTAVE有如下特性:

1)識別關鍵信息資產(chǎn);

2)讓風險分析活動聚焦于這些關鍵資產(chǎn);

3)考慮關鍵資產(chǎn)、這些資產(chǎn)的威脅以及可能將資產(chǎn)暴露于威脅中的漏洞(組織性與技術性)之間的關系.

風險評估應成為信息安全風險管理活動的重要組成部分.通過對信息系統(tǒng)安全進行風險評估，可助我們進一步地了解信息系統(tǒng)的安全風險，找到解決風險的途徑.OCTAVE的評估結果包括了安全保護策略和關鍵資產(chǎn)存在的風險.通過風險評估，對現(xiàn)有安全狀態(tài)提出了改進目標.為處理信息安全風險，需根據(jù)風險評估的結果，設計出詳細的信息安全解決方案，并對方案實施情況進行管理.

建立一套綜合的方法來管理組織的信息安全相關風險，可將OCTAVE方法中的資產(chǎn)、程序、基于風險的概念以及與其他領域的風險管理概念相融合.

OCTAVE方法設計之初是針對大型的信息系統(tǒng)，我們可以基于風險管理評估方法的基礎上，對其進行改造，使其適用于不同規(guī)模的信息系統(tǒng)與業(yè)務環(huán)境［6］.

5 OCTAVE評估方法在電子政務外網(wǎng)系統(tǒng)中的應用

電子政務外網(wǎng)系統(tǒng)基于互聯(lián)網(wǎng)及其他網(wǎng)絡，以實現(xiàn)政府機關、事業(yè)單位電子政務非涉密的活動為目的，實現(xiàn)日常管理和服務的職能.職能范圍不僅覆蓋政府機關內(nèi)部，也對外涉及其他機關、組織、團體、企業(yè)和社會公眾.因此，電子政務外網(wǎng)系統(tǒng)所處理的信息既包括政府機關內(nèi)部的信息，也包括可以對外公開發(fā)布的信息.與一般信息系統(tǒng)相比，電子政務外網(wǎng)系統(tǒng)縱橫貫穿全國各級政府，覆蓋中央部委、各省市，甚至鄉(xiāng)鎮(zhèn)、社區(qū)村委會.除此之外，電子政務外網(wǎng)系統(tǒng)對外還執(zhí)行行政管理和社會公共服務兩大職能，代表著一定的政府形象，具有廣泛的公眾性.

應用風險管理的知識和理念，可有效保障電子政務外網(wǎng)系統(tǒng)的安全高效運行，統(tǒng)籌建設信息安全保障體系.在國家信息系統(tǒng)安全等級保護的大背景下，國家信息中心于2011年發(fā)布了《關于加快推進國家電子政務外網(wǎng)系統(tǒng)安全等級保護工作的通知》，明確電子政務外網(wǎng)的等級保護制度和安全測評要求.通知中明確表明，通過對電子政務外網(wǎng)開展信息安全等級測評，了解和掌握其安全問題、安保狀況及安全差距，分析其安全風險，并根據(jù)風險進行整改［8］.

等級測評與風險評估皆為信息系統(tǒng)安全評判方法，二者本質無差異，目標一致.等級測評是從等級保護的角度評估系統(tǒng)安全狀況，而風險評估是基于系統(tǒng)安全現(xiàn)狀所面臨的風險狀況.不管是等級測評還是風險評估，風險計算都是必不可少的一部分［9］.

安全風險與安全防護在電子政務外網(wǎng)系統(tǒng)中并存.在電子政務外網(wǎng)系統(tǒng)中使用不適當?shù)陌踩雷o措施，不僅不能有效減少其面臨的安全風險，反而可能招致更大的安全風險.因此，目前各級政府機關所面臨的一大難題便是:確立一種有效評估電子政務外網(wǎng)系統(tǒng)風險的方法.

運用OCTAVE方法，對電子政務外網(wǎng)系統(tǒng)進行風險評估，并按照該方法的3個階段:創(chuàng)建基于資產(chǎn)的威脅輪廓、確定基礎設施漏洞和制訂安全戰(zhàn)略和環(huán)節(jié)計劃.

5.1 創(chuàng)建基于資產(chǎn)的威脅輪廓

在本階段，要對電子政務外網(wǎng)系統(tǒng)的安全威脅進行辨別并分類，運用差異化的評估方法進行評估.在電子政務外網(wǎng)系統(tǒng)中存在的安全威脅主要可分為人員問題、系統(tǒng)問題和其他問題.

5.1.1 內(nèi)部問題

人員問題分為內(nèi)部人員問題與外部人員問題.內(nèi)部人員問題是電子政務中最主要的安全威脅.統(tǒng)計結果表明，導致網(wǎng)絡數(shù)據(jù)破壞的安全問題占比為11%，導致數(shù)據(jù)失密的安全問題占比為14%.而網(wǎng)絡系統(tǒng)內(nèi)部的惡意攻擊占比高達65%.

內(nèi)部人員包含系統(tǒng)管理員及內(nèi)部合法用戶.系統(tǒng)管理員對系統(tǒng)進行未授權的更改可能會導致十分嚴重的后果.同時，對系統(tǒng)資源有合法訪問權限的內(nèi)部人員，濫用自己的權限進行越權操作就構成了內(nèi)部人員威脅，如合法用戶越權執(zhí)行了管理員權限更改系統(tǒng)配置等.或內(nèi)部人員將系統(tǒng)內(nèi)的重要信息泄露給非授權人員，也會對電子政務外網(wǎng)系統(tǒng)造成非常重大的影響.與此同時，一些意外內(nèi)部人員的行為也可導致政務外網(wǎng)系統(tǒng)出現(xiàn)問題.意外行為是指系統(tǒng)管理員及用戶因業(yè)務能力及知識的匱乏導致的誤操作所造成的系統(tǒng)數(shù)據(jù)損失.意外行為的具體表現(xiàn)為:人員誤操作或操作不當造成的系統(tǒng)失效崩潰等.

外部人員問題是由于電子政務外網(wǎng)系統(tǒng)使用的互聯(lián)網(wǎng)技術引入的安全問題.外部人員攻擊包括被動攻擊及主動攻擊.被動攻擊是指通過對系統(tǒng)傳輸?shù)臄?shù)據(jù)進行監(jiān)聽或截取，攻擊者得以取得系統(tǒng)內(nèi)的重要信息的行為.這種攻擊并不會影響系統(tǒng)的正常運行，但會使外部人員獲取系統(tǒng)內(nèi)部的重要信息.

主動攻擊與被動攻擊最大的不同之處在于，這種攻擊會利用電子政務外網(wǎng)系統(tǒng)的系統(tǒng)漏洞或脆弱性對其發(fā)起主動攻擊，主動從系統(tǒng)內(nèi)部獲取系統(tǒng)重要信息，或直接控制系統(tǒng)并破壞其配置，摧毀系統(tǒng)正常運行.因此，主動攻擊的危害性遠大于被動攻擊，常見的主動攻擊形式有:可執(zhí)行代碼漏洞、SQL注入等.

5.1.2 系統(tǒng)問題

系統(tǒng)問題是指因軟件或硬件系統(tǒng)故障造成信息傳輸?shù)闹袛嗟?

系統(tǒng)問題具體表現(xiàn)為:承載電子政務外網(wǎng)系統(tǒng)的物理機房，如果發(fā)生火災、水災、地震等不可抗的自然災害，其損壞可能是毀滅性的.除此之外，主機及網(wǎng)絡硬件設備老化、系統(tǒng)軟件或應用軟件的崩潰或錯誤、備份數(shù)據(jù)損壞等.

5.1.3 其他問題

除了以上層面的風險，電子政務外網(wǎng)系統(tǒng)的管理層面也存在諸多風險，如:不健全的管理制度、陳舊落后的管理手段等.

此外，還有一些惡意攻擊也會對電子政務外網(wǎng)系統(tǒng)產(chǎn)生不利影響，如分發(fā)攻擊、物理臨近攻擊等.

5.2 確定基礎設施漏洞

基于識別到的政務外網(wǎng)系統(tǒng)問題的分類結果，對信息系統(tǒng)資產(chǎn)進行脆弱性分析.系統(tǒng)的脆弱性不會對系統(tǒng)的安全形成直接影響，但它影響系統(tǒng)的信息安全，電子政務外網(wǎng)系統(tǒng)中的脆弱性概括為以下2個方面:人員的脆弱性和技術的脆弱性.

5.2.1 人員的脆弱性

人員的脆弱性涉及一般工作人員的脆弱性和管理層人員的脆弱性.一般工作人員的脆弱性體現(xiàn)在，由于一般用戶自身沒有良好的安全意識，使得其不安全的操作或無意識的行為容易被惡意攻擊者直接利用，導致系統(tǒng)安全受到損害，如系統(tǒng)口令的泄露、含重要信息的介質由于管理不當導致被外人獲得等.一般工作人員的脆弱性還表現(xiàn)為其專業(yè)技術的匱乏，安全意識較差，其存在的漏洞或弱點就會被利用，威脅系統(tǒng)安全，造成信息泄露或系統(tǒng)崩潰.例如由于操作不當導致的系統(tǒng)級崩潰，系統(tǒng)口令的無意泄露等.管理層人員也存在脆弱性.如在招聘網(wǎng)絡管理相關人員時，盡管政務領域需經(jīng)過嚴格的政審，但未對競聘者進行專業(yè)知識和安全意識的考核，也極易造成不可挽回的后果.因此未及時對不同層級的人員進行安全意識的宣貫，造成政務外網(wǎng)人員方面的脆弱性.

5.2.2 技術的脆弱性

技術的脆弱性主要表現(xiàn)為傳輸手段脆弱性以及系統(tǒng)的脆弱性.老化的傳輸設備和落后的傳輸手段嚴重影響信息系統(tǒng)安全.系統(tǒng)的脆弱性則包含系統(tǒng)漏洞、軟件設計漏洞、安全配置漏洞等.不斷發(fā)展的信息技術，也使得信息系統(tǒng)變得愈發(fā)脆弱，因此技術脆弱性是影響到信息系統(tǒng)安全的重要因素.

5.3 制訂安全戰(zhàn)略和環(huán)節(jié)計劃

通過識別電子政務外網(wǎng)系統(tǒng)的安全風險、確定安全威脅及等級和分析其系統(tǒng)脆弱性，并且根據(jù)當前電子政務外網(wǎng)系統(tǒng)的現(xiàn)狀、安全威脅及脆弱性，制定以下計劃:

5.3.1 組建合理的安全管理機構

成立專門的安全管理機構，以保障電子政務外網(wǎng)系統(tǒng)的安全運行.安全管理機構負責制定嚴格安全的信息安全管理制度，組織專業(yè)人員結合現(xiàn)狀對信息系統(tǒng)進行風險評估，針對風險制定相應的消除計劃，確保電子政務外網(wǎng)系統(tǒng)的安全.

5.3.2 嚴格執(zhí)行管理制度和背景調(diào)查規(guī)定

制定并實施全面有效的信息安全管理制度，是電子政務外網(wǎng)系統(tǒng)運行安全不可或缺的保障.制定并落實嚴格的可操作的安全操作規(guī)程、設備安全管理制度及運維管理制度，以及漏洞掃描制度和病毒防范工作.運維人員應定期對信息系統(tǒng)進行安全巡檢和維護，操作人員和管理人員熟知業(yè)務，并且嚴格遵守信息安全操作規(guī)程，以保障電子政務外網(wǎng)系統(tǒng)的安全.必須對信息系統(tǒng)操作人員和管理人員進行嚴格的背景調(diào)查，以保證關鍵崗位人員如系統(tǒng)管理員、維護人員及操作人員的安全可靠.明確管理員責任，一個系統(tǒng)中有多種不同類型的管理員，不同職責管理員不能越權操作，同一崗位最好至少配備2名管理員.同時，有必要對相關人員進行系統(tǒng)知識培訓，以及網(wǎng)絡安全意識培訓.

5.3.3 建立嚴格的系統(tǒng)防護措施

參考等級保護2.0(《信息安全技術 網(wǎng)絡安全等級保護基本要求(報批稿)》(GB T 22239—XXXX))的相關安全要求，電子政務外網(wǎng)系統(tǒng)的安全防護措施應該從8個方面進行考慮，主要包括物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全、安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理.

1)物理和環(huán)境安全:物理位置的選擇、物理訪問控制、溫濕度控制、電力供應.

2)網(wǎng)絡和通信安全:網(wǎng)絡架構、安全審計、邊界防護、集中管控.

3)設備和計算安全:身份鑒別、訪問控制、安全審計、入侵防范.

4)應用和數(shù)據(jù)安全:軟件容錯、數(shù)據(jù)備份恢復、剩余信息保護、個人信息保護.

5)安全策略和管理制度:安全策略、管理制度、制定與發(fā)布、評審和修訂.

6)安全管理機構和人員:崗位設置、人員配備、授權和審批、安全意識教育和培訓.

7)安全建設管理:安全方案設計、工程實施、安全服務商選擇.

8)安全運維管理:環(huán)境管理、設備管理、惡意代碼防護管理、安全事件處置、應急預案管理.

6 結束語

本文介紹了一種基于OCTAVE的信息安全風險評估方法，通過“3階段8過程”詳細描述了其具體實施方法.根據(jù)與NIST方法的對比，凸顯該方法的特點與優(yōu)勢.最后，詳細描述OCTAVE方法在電子政務外網(wǎng)系統(tǒng)的風險評估中的應用，通過分析信息系統(tǒng)面臨的風險，找到影響信息系統(tǒng)安全的相關因素，為保障信息傳輸完整連續(xù)及安全提供相關科學依據(jù)，確保信息系統(tǒng)安全.