張 益 霍珊珊 劉美靜

（信息產(chǎn)業(yè)信息安全測評中心 北京 100083）

（zhangy＠itstec.org.cn）

信息安全風(fēng)險評估作為保障信息系統(tǒng)、信息資產(chǎn)安全的基礎(chǔ)性工作，近年來在多個領(lǐng)域開展了較好的研究并形成了應(yīng)用成果.特別是在評估方法研究上，各方學(xué)者給出了量化評估、定性評估、量化與定性綜合評估等方面的多種評估方法，常見的定性評估方法有德爾斐法［1］、故障樹法［2］等；定量評估方法有模糊數(shù)學(xué)［3］、灰色理論［4］等；定性和定量相結(jié)合方法有層次分析法［5］等.以上研究旨在結(jié)合《GB?T 20984—2007信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》（以下簡稱“風(fēng)險評估規(guī)范”）標(biāo)準(zhǔn)，以期滿足各行各業(yè)信息安全風(fēng)險評估的需求.但目前在信息安全風(fēng)險評估工作實施方面存在以下問題：1）偏重于與信息系統(tǒng)相關(guān)的服務(wù)器（包括操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用中間件等）、網(wǎng)絡(luò)和安全設(shè)備（如路由器、防火墻、入侵防御系統(tǒng)等）、應(yīng)用軟件等信息資產(chǎn)的評估，評估對象范圍較為局限，評估的結(jié)果通常是對信息系統(tǒng)的信息安全風(fēng)險水平的評價；2）缺少對組織業(yè)務(wù)層面信息安全的關(guān)注度和具有針對性的評估方法，沒有體現(xiàn)組織業(yè)務(wù)流程、業(yè)務(wù)服務(wù)等方面面臨的信息安全風(fēng)險；3）缺少從單個資產(chǎn)（包括某單個評估對象，如防火墻，也包括某信息系統(tǒng)）風(fēng)險評估到業(yè)務(wù)或組織整體風(fēng)險評估的依據(jù)或方法，信息安全風(fēng)險評估工作沒有起到真正指導(dǎo)組織開展信息安全工作戰(zhàn)略布局、宏觀安全防護(hù)措施部署的效果.

當(dāng)前，正值《風(fēng)險評估規(guī)范》修訂之際，為解決以上突出存在的具體問題，同時，從宏觀層面更好地指導(dǎo)信息安全風(fēng)險評估工作，標(biāo)準(zhǔn)修訂首先從標(biāo)準(zhǔn)要求、方法規(guī)范上進(jìn)行了針對性調(diào)整，其次，在考慮實際工作開展時，又提出了具體化的依據(jù)和方法，并通過示例指導(dǎo)如何實施信息安全風(fēng)險評估.

本文基于《風(fēng)險評估規(guī)范》修訂內(nèi)容，并結(jié)合信息安全風(fēng)險評估領(lǐng)域已有的研究成果和評估方法，重在指導(dǎo)如何在實施層面采用不同的評估實施方式和方法，滿足不同評估需求，據(jù)此提出3種信息安全風(fēng)險評估實施模型.

1 2種信息安全風(fēng)險評估方式

《ISO?IEC 27005—2011信息技術(shù) 安全技術(shù)信息安全風(fēng)險管理》附錄E提出了2種信息安全風(fēng)險評估方式，即高階信息安全風(fēng)險評估（Highlevel inf or mation security risk assess ment）和詳細(xì)信息安全風(fēng)險評估（detailed infor mation security risk assess ment）.其中，高階信息安全風(fēng)險評估主要是從組織的全局出發(fā)，分析范疇集中于業(yè)務(wù)和運(yùn)行環(huán)境而不是具體技術(shù)要素；詳細(xì)信息安全風(fēng)險評估涉及更深層次的資產(chǎn)識別和賦值、資產(chǎn)所面臨威脅的評估和脆弱點(diǎn)的評估通常需要大量的時間、精力和專業(yè)知識，詳細(xì)信息風(fēng)險評估的最后階段是評估整體風(fēng)險.

高階信息安全風(fēng)險評估是綱領(lǐng)性的，可以是組織開展信息安全風(fēng)險評估初始階段用到的一種簡單、有效的評估方法，使得資源和資金能夠用在使組織收益最大的地方，而且通過此評估，可以讓系統(tǒng)在最需要防護(hù)的地方得到優(yōu)先處理.但高階信息安全風(fēng)險評估可能會缺乏準(zhǔn)確性，特別是針對某一業(yè)務(wù)或某具體信息系統(tǒng)，為使得評估對具體評估對象更具有針對性，需要開展進(jìn)一步詳細(xì)的風(fēng)險評估.

詳細(xì)信息安全風(fēng)險評估一般結(jié)合定量和定性的評估方式，在開展詳細(xì)信息安全風(fēng)險評估時，一般會考慮資產(chǎn)的吸引力或可能造成的后果、利用資產(chǎn)的脆弱點(diǎn)轉(zhuǎn)化成資金回報的容易程度、威脅的技術(shù)能力以及脆弱點(diǎn)的利用便利程度.開展詳細(xì)信息安全風(fēng)險評估時經(jīng)常會利用細(xì)化到單個資產(chǎn)、詳細(xì)評估指標(biāo)的表格，并結(jié)合評估人員主觀和經(jīng)驗值來實施評估.ISO?IEC 27005給出了預(yù)定值矩陣和通過風(fēng)險值進(jìn)行威脅評級的詳細(xì)信息安全風(fēng)險評估方法.

本文將結(jié)合以上2種信息安全風(fēng)險評估方式，進(jìn)一步探討如何在評估實施工作中依據(jù)目前修訂的《風(fēng)險評估規(guī)范》，開展信息安全風(fēng)險評估工作，并給出對應(yīng)的3種信息安全風(fēng)險評估實施模型，以指導(dǎo)實際評估工作的開展.

2 3種信息安全風(fēng)險評估實施模型

2.1 高階信息安全風(fēng)險評估實施模型（模型1）

由于組織的預(yù)算、技術(shù)成熟度等多種原因，可能不會同時實施所有安全措施；另外，如果安全防護(hù)措施預(yù)計在一兩年后實施，則此時進(jìn)行詳細(xì)風(fēng)險管理可能太早.此外，由于近些年來安全威脅的不斷演變，如今，新一代的攻擊者常常向企業(yè)和組織發(fā)起針對性的網(wǎng)絡(luò)攻擊，這種針對特定企業(yè)或行業(yè)的攻擊一般經(jīng)過了精心的策劃，攻擊方法錯綜復(fù)雜，常導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露或者破壞.而急速增長的針對性網(wǎng)絡(luò)攻擊又直接催生了威脅情報.目前在學(xué)術(shù)上也給出了威脅情報的具體定義，即關(guān)于IT或信息資產(chǎn)所面臨的現(xiàn)有或潛在威脅的循證知識，包括情境、機(jī)制、指標(biāo)、推論與可行建議，這些知識可為威脅響應(yīng)提供決策依據(jù)［6］.組織為快速應(yīng)對獲取到的威脅情報，以及為達(dá)到風(fēng)險管理的目標(biāo)，則需要先開展高階信息安全風(fēng)險評估，該類評估可以從威脅產(chǎn)生的后果評估著手，而不是進(jìn)行威脅、脆弱點(diǎn)、資產(chǎn)和后果的系統(tǒng)性和細(xì)化分析.

目前，以威脅為導(dǎo)向的信息安全風(fēng)險評估方法較多，其中有量化的基于威脅分析的信息系統(tǒng)安全評估方法 （inf or mation syste m security risk eval uation met hod，ISSREM）［7］.ISSREM 風(fēng)險評估方法的評估過程主要包括風(fēng)險識別、確定安全風(fēng)險的后果屬性、提取安全威脅發(fā)生頻率確定后果屬性值、計算威脅指數(shù)、靈敏度分析與結(jié)果優(yōu)化5個步驟.另有綜合馬爾可夫等方法的綜合信息安全風(fēng) 險 評 估 方 法 （menace analysis security risk assess ment，MASRA）［8］，該方法建立以威脅為核心的風(fēng)險評估模型，MASRA風(fēng)險評估模型綜合馬爾可夫、德爾菲集體討論法、層次分析法等方法，通過威脅識別、威脅后果屬性計算及威脅指數(shù)計算等步驟對信息安全風(fēng)險進(jìn)行風(fēng)險等級評估和威脅預(yù)測.

在上述研究基礎(chǔ)上，結(jié)合對《風(fēng)險評估規(guī)范》的修訂工作，高階信息安全風(fēng)險評估實施模型（high－level inf or mation security risk assessment i mplementation model，HLISRAI M）如圖1所示：

圖1 HLISRAI M圖

在對《風(fēng)險評估規(guī)范》的修訂過程中，明確了威脅識別是風(fēng)險評估的基礎(chǔ)環(huán)節(jié).威脅識別的內(nèi)容包括威脅的來源、種類、動機(jī)、時機(jī)和頻率.其中，威脅來源包括環(huán)境、意外和人為3類；根據(jù)威脅來源的不同，威脅可劃分為網(wǎng)絡(luò)攻擊、軟硬件故障和管理不到位等威脅種類；威脅動機(jī)可劃分為惡意和非惡意，惡意包括攻擊、破壞、竊取等，非惡意包括誤操作、好奇心等；威脅時機(jī)可劃分為普通時期、特殊時期和自然規(guī)律；威脅頻率根據(jù)經(jīng)驗和有關(guān)的統(tǒng)計數(shù)據(jù)來進(jìn)行判斷，綜合考慮安全事件報告、檢測發(fā)現(xiàn)、監(jiān)測發(fā)現(xiàn)、威脅情報4個方面.

結(jié)合上述威脅識別的分析，從組織的全局和被評估對象的視點(diǎn)出發(fā)，將技術(shù)層面和業(yè)務(wù)問題獨(dú)立考慮，更集中于業(yè)務(wù)和運(yùn)行環(huán)境而不是技術(shù)要素，進(jìn)而采用ISSREM或MASRA等方法，分析和計算出組織面臨的風(fēng)險.其中，在以威脅情報作為高階信息安全風(fēng)險評估的輸入時，為加速風(fēng)險分析及處理過程，僅關(guān)注風(fēng)險或攻擊的場景而不是詳細(xì)風(fēng)險評估中各要素，需處理的僅是有限清單中的威脅和已定義域中的脆弱點(diǎn).

高階信息安全風(fēng)險評估實施模型由于很少處理技術(shù)細(xì)節(jié)，更適合于通過基于此模型的評估實施，以期為組織提供組織性的、非技術(shù)的控制措施，以及管理方面的技術(shù)控制措施，或者關(guān)鍵并通用的技術(shù)安全措施.

一個典型的高階信息安全風(fēng)險評估實施模型例子是組織實施基于公有云平臺的信息安全風(fēng)險評估.組織需購買公有云服務(wù)（如騰訊公有云服務(wù)）搭建相關(guān)業(yè)務(wù)系統(tǒng)，涉及到基礎(chǔ)設(shè)施（如機(jī)房、網(wǎng)絡(luò)和安全設(shè)備等）及部分安全防護(hù)（如邊界訪問控制、防DDOS等），以外包方式開展.組織在外包計劃實施前，可能無法針對具體的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件等資產(chǎn)或具體業(yè)務(wù)進(jìn)行信息安全風(fēng)險評估，但能以現(xiàn)有云平臺環(huán)境和業(yè)務(wù)場景面臨的安全威脅為導(dǎo)向，以公有云平臺相關(guān)威脅情報、對公有云平臺安全檢測和監(jiān)測發(fā)現(xiàn)的安全問題為輸入，結(jié)合各類威脅來源、種類、動機(jī)、時機(jī)和頻率等屬性進(jìn)行分析，采用ISSREM或 MASRA等方法，分析和計算出各類威脅導(dǎo)致的風(fēng)險水平，從而可協(xié)助和指導(dǎo)組織應(yīng)購買何種云防護(hù)服務(wù)或產(chǎn)品，有助于組織定義外包合同內(nèi)容.

2.2 詳細(xì)信息安全風(fēng)險評估實施模型（模型2）

《風(fēng)險評估規(guī)范》中明確說明了風(fēng)險分析要涉及資產(chǎn)、威脅、脆弱性3個基本要素.風(fēng)險分析的主要內(nèi)容，如圖2所示［9］：

圖2 原信息安全風(fēng)險評估規(guī)范分析圖

修訂的《風(fēng)險評估規(guī)范》對分析原理進(jìn)行了調(diào)整，明確風(fēng)險分析要涉及戰(zhàn)略、業(yè)務(wù)、資產(chǎn)、威脅、脆弱性、安全措施和風(fēng)險等基本要素.依據(jù)修訂的《風(fēng)險評估規(guī)范》開展風(fēng)險評估時，應(yīng)考慮基本要素之間的以下關(guān)系：

1）組織的發(fā)展戰(zhàn)略依賴業(yè)務(wù)實現(xiàn)，業(yè)務(wù)重要性與其在戰(zhàn)略中所處的地位相關(guān)；

2）業(yè)務(wù)的開展需要資產(chǎn)作為支撐，而資產(chǎn)會暴露出脆弱性；

3）安全措施的實施要考慮需保障的業(yè)務(wù)以及所應(yīng)對的威脅；

4）風(fēng)險的分析與計算應(yīng)綜合考慮業(yè)務(wù)、資產(chǎn)、脆弱性、威脅和安全措施等基本因素.

具體如圖3所示：

圖3 修訂的信息安全風(fēng)險評估規(guī)范分析圖

對比圖2和圖3，在依據(jù)修訂的《風(fēng)險評估規(guī)范》開展評估時，重點(diǎn)將戰(zhàn)略、業(yè)務(wù)納入到分析要素中，并得以重點(diǎn)體現(xiàn)，如圖4所示.

發(fā)展戰(zhàn)略識別是詳細(xì)信息風(fēng)險評估的重要環(huán)節(jié)，發(fā)展戰(zhàn)略識別數(shù)據(jù)應(yīng)來自于高層管理人員或者熟悉組織發(fā)展戰(zhàn)略情況的人員.業(yè)務(wù)是實現(xiàn)組織發(fā)展戰(zhàn)略的具體活動，業(yè)務(wù)識別是詳細(xì)信息安全風(fēng)險評估的關(guān)鍵環(huán)節(jié)，通過對組織各業(yè)務(wù)流程梳理，形成清晰的業(yè)務(wù)識別成果，業(yè)務(wù)識別數(shù)據(jù)應(yīng)來自于熟悉組織業(yè)務(wù)結(jié)構(gòu)的業(yè)務(wù)人員或管理人員.業(yè)務(wù)的實現(xiàn)又借助于信息系統(tǒng)等具體的資產(chǎn)得以支撐，并最終實現(xiàn)組織的戰(zhàn)略層目標(biāo).戰(zhàn)略、業(yè)務(wù)到資產(chǎn)自上而下進(jìn)行組織價值的傳遞，而風(fēng)險評估則又自下而上分析風(fēng)險影響的反饋.

圖4 戰(zhàn)略、業(yè)務(wù)與資產(chǎn)分析圖

此外，修訂的《風(fēng)險評估規(guī)范》又進(jìn)一步完善了威脅、資產(chǎn)的屬性，以更適應(yīng)當(dāng)前日益復(fù)雜的安全形勢和評估需求.其中，資產(chǎn)屬性方面包括資產(chǎn)分類和業(yè)務(wù)承載性，業(yè)務(wù)承載性為新增屬性，業(yè)務(wù)承載性包括了承載類別和關(guān)聯(lián)程度.威脅屬性是此次各要素屬性修訂中的重點(diǎn)，包括威脅的來源、種類、動機(jī)、時機(jī)和頻率，動機(jī)和時機(jī)是新增屬性.威脅動機(jī)是指引導(dǎo)、激發(fā)人為威脅進(jìn)行某種活動，對組織業(yè)務(wù)、資產(chǎn)產(chǎn)生影響的內(nèi)部動力和原因；威脅動機(jī)可劃分為惡意和非惡意，惡意包括攻擊、破壞、竊取等，非惡意包括誤操作、好奇心等.威脅時機(jī)可劃分為普通時期、特殊時期和自然規(guī)律.

基于圖3的風(fēng)險分析原理，以修訂的《風(fēng)險評估規(guī)范》為基礎(chǔ)，詳細(xì)信息安全風(fēng)險評估實施模型（detailed infor mation security risk assessment i mplementation model，DISRAI M）如圖5所示：

圖5 DISRAI M圖

該模型實施流程與現(xiàn)行風(fēng)險評估流程類似，不同點(diǎn)在于采用修訂的分析方法和計算原理，在對基本要素及屬性分析時，應(yīng)重點(diǎn)結(jié)合標(biāo)準(zhǔn)中屬性的分析方法，分析、計算出風(fēng)險值，并進(jìn)行評價.此部分的示例已在修訂的《風(fēng)險評估規(guī)范》中的附錄詳細(xì)給出.

2.3 先詳細(xì)信息安全風(fēng)險評估再高階信息安全風(fēng)險評估實施模型（模型3）

在依據(jù)《風(fēng)險評估規(guī)范》實施信息安全風(fēng)險評估時，未能解決的一個重要問題是從已分析計算出的資產(chǎn)風(fēng)險如何評價整體業(yè)務(wù)風(fēng)險或組織的總體風(fēng)險水平.本文針對該問題，給出先詳細(xì)信息安全風(fēng)險評估再高階信息安全風(fēng)險評估實施模型（detailed inf or mation－h(huán)igh－level inf or mation secu－rity risk assess ment i mplementation model，D－HLISRAI M），如圖6所示.

上述模型實施的關(guān)鍵環(huán)節(jié)在于：1）從某個資產(chǎn)風(fēng)險（即資產(chǎn)單風(fēng)險）分析和計算出業(yè)務(wù)整體風(fēng)險（即業(yè)務(wù)多風(fēng)險）；2）從業(yè)務(wù)多風(fēng)險分析和計算出戰(zhàn)略總體風(fēng)險.第1個環(huán)節(jié)是屬于多因素評價方法問題，對于某一業(yè)務(wù)，可以將業(yè)務(wù)面臨的潛在各類風(fēng)險綜合分析為業(yè)務(wù)安全風(fēng)險的多種因素.對于多因素綜合評價，目前已有研究方法包括模糊數(shù)學(xué)、灰色關(guān)聯(lián)分析理論、人工神經(jīng)網(wǎng)絡(luò)等多種分析評價方法.其中模糊數(shù)學(xué)、灰色關(guān)聯(lián)分析方法在信息安全風(fēng)險評估領(lǐng)域已具有較為成熟的研究基礎(chǔ)［10－12］，特別是通過引進(jìn)信息熵，計算出各個風(fēng)險因素在整體風(fēng)險評估中所占的比例，進(jìn)而計算整體層面的風(fēng)險度，由此決定總體風(fēng)險水平.第2個環(huán)節(jié)是屬于業(yè)務(wù)層面到戰(zhàn)略層面的綱領(lǐng)性分析，可以采用2.1節(jié)中的高階信息安全風(fēng)險評估實施模型，分析和計算出組織戰(zhàn)略總體風(fēng)險.

圖6 D－HLISRAI M圖

基于修訂的《風(fēng)險評估規(guī)范》中的風(fēng)險分析原理，計算出資產(chǎn)單風(fēng)險值，即基于DISRAI M的風(fēng)險評估；采用模糊數(shù)學(xué)或灰色關(guān)聯(lián)分析方法，分析與業(yè)務(wù)關(guān)聯(lián)的多個風(fēng)險值下的整體業(yè)務(wù)風(fēng)險水平；而后采用高階信息安全風(fēng)險評估方法，對組織整體戰(zhàn)略風(fēng)險進(jìn)行分析和評估，即基于HLISRAI M的風(fēng)險評估.

仍以模型1中案例為例，說明基于D－HLISRAI M的典型實施案例.組織在完成業(yè)務(wù)、安全措施部署和系統(tǒng)搭建后，可依照DISRAI M進(jìn)行詳細(xì)信息安全風(fēng)險評估，通過資產(chǎn)識別、威脅識別、脆弱性識別和已有安全措施確認(rèn)，深入了解業(yè)務(wù)、資產(chǎn)等各方面安全防護(hù)狀況，依據(jù)修訂的《風(fēng)險評估規(guī)范》方法，分別計算出資產(chǎn)面臨的各類威脅的單風(fēng)險狀況（如系統(tǒng)服務(wù)面臨網(wǎng)絡(luò)攻擊威脅時，其自身存在的SQL注入漏洞而導(dǎo)致的風(fēng)險狀況）；而后采用模糊數(shù)學(xué)或灰色關(guān)聯(lián)分析方法綜合分析多個單風(fēng)險，計算出業(yè)務(wù)面臨多個風(fēng)險時的整體安全風(fēng)險狀況（如對應(yīng)用層面的SQL注入漏洞導(dǎo)致的風(fēng)險、操作系統(tǒng)層面的補(bǔ)丁未及時更新導(dǎo)致的風(fēng)險等進(jìn)行綜合分析）；最后再根據(jù)模型1中的HLISRAI M，分析和計算出組織戰(zhàn)略層面（如外包服務(wù)戰(zhàn)略）的總體風(fēng)險水平，以指導(dǎo)組織后續(xù)信息安全戰(zhàn)略布局.

3 展 望

上述3個模型基本涵蓋了目前開展信息安全風(fēng)險評估工作的各類情況，能夠指導(dǎo)后續(xù)各方開展相關(guān)評估實施工作.但仍需以即將修訂完成的《風(fēng)險評估規(guī)范》為契機(jī)，進(jìn)一步完善上述3個模型在實際信息安全風(fēng)險評估工作中的運(yùn)用，重點(diǎn)解決模型1中的ISSREM，MASRA等以威脅為導(dǎo)向的風(fēng)險評估算法或模型在實踐中的落地，解決模型3中的模糊數(shù)學(xué)、灰色關(guān)聯(lián)分析方法在實踐中更有效的實現(xiàn)途徑.