謝宗曉 甄杰 董坤祥

“十二五”國(guó)家重點(diǎn)圖書出版規(guī)劃項(xiàng)目《信息安全管理體系叢書》執(zhí)行主編。自2003 年起，從事信息安全風(fēng)險(xiǎn)評(píng)估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文140 多篇，出版專著20 多本。

信息安全管理系列之六十三

隨著等級(jí)保護(hù)2.0時(shí)代的正式到來(lái)，對(duì)實(shí)施和測(cè)評(píng)工作都提出了更高的要求。但是，在實(shí)踐中，經(jīng)常存在“輕評(píng)估重測(cè)試”的現(xiàn)象，因此，在網(wǎng)絡(luò)安全等級(jí)保護(hù)的實(shí)施和測(cè)評(píng)階段，加強(qiáng)風(fēng)險(xiǎn)分析和評(píng)估是亟待解決的問(wèn)題之一。下文中，結(jié)合常見(jiàn)的信息安全風(fēng)險(xiǎn)評(píng)估方法論，討論了如何在測(cè)評(píng)中平衡好“有效性”和“符合性”之間的關(guān)系。

謝宗曉（特約編輯）

摘要：本文主要討論了等級(jí)保護(hù)測(cè)評(píng)過(guò)程中風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估方法的運(yùn)用，給出了如何將測(cè)評(píng)發(fā)現(xiàn)與風(fēng)險(xiǎn)評(píng)估過(guò)程相結(jié)合的方法，尤其是如何從測(cè)評(píng)發(fā)現(xiàn)中識(shí)別脆弱性。

關(guān)鍵詞：等級(jí)保護(hù) 網(wǎng)絡(luò)安全 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)評(píng)估

Risk Analysis and Assessment Methods and Practices in Classified Protection of Cybersecurity

Xie Zongxiao （China Financial Certification Authority）

Zhen Jie （School of Management Science and Engineering， Chongqing Technology and Business University）

Dong Kunxiang （School of Management Science and Engineering， Shandong University of Finance and Economics）

Abstract： This paper focuses on the application of risk analysis and risk assessment methods in testing and evaluation process for classified protection of cybersecurity， and discusses how to combine assessment discovery with risk assessment process， especially with vulnerability identification.

Key words： classified protection， cybersecurity， risk analysis， risk assessment;

2019年12月1日，GB/ T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、GB/ T 28448—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》和GB/T 25070—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》開(kāi)始實(shí)施，這標(biāo)志著等級(jí)保護(hù)正式進(jìn)入2.0時(shí)代，即網(wǎng)絡(luò)安全等級(jí)保護(hù)。

1 測(cè)評(píng)、評(píng)估與評(píng)價(jià)

測(cè)評(píng)是一個(gè)組合詞匯，可以理解為測(cè)試和評(píng)估，例如，GB/T 28449—2018的英文標(biāo)題為Testing and evaluation process guide for classified protection of cybersecurity，測(cè)評(píng)對(duì)應(yīng)的英文為test and evaluate。當(dāng)然，有時(shí)候也會(huì)將“測(cè)評(píng)”直接翻譯為evaluate，例如，GB/T 28448—2019的英文標(biāo)題為Information security technology—Evaluation requirement for classified protection of cybersecurity。這從另一個(gè)角度說(shuō)明，“評(píng)”比“測(cè)”更重要。

評(píng)估與評(píng)價(jià)雖然在中英文翻譯中存在一定的混亂，但是其含義還是比較明確的。

ISO/IEC 15408-1：2005中，2.13將evaluation（評(píng)估1））定義為：assessment of a PP， an ST or a TOE， against defined criteria（依據(jù)確定的準(zhǔn)則對(duì)PP、ST或TOE進(jìn)行的評(píng)價(jià)）。

由于版本的延續(xù)問(wèn)題，GB/T 18336.1—2015 / ISO/IEC 15408-1：2009對(duì)于“評(píng)估”和“評(píng)價(jià)”的翻譯與GB/T 18336.1—2008/ISO/IEC 15408-1：2005相同，而與風(fēng)險(xiǎn)評(píng)估的相關(guān)標(biāo)準(zhǔn)中實(shí)際是相反的，例如，在GB/T 23694—2013 / ISO Guide 73： 2009《風(fēng)險(xiǎn)管理 術(shù)語(yǔ)》中，risk evaluation為風(fēng)險(xiǎn)評(píng)價(jià)，risk assessment為風(fēng)險(xiǎn)評(píng)估。事實(shí)上，與CC（Common Criteria）聯(lián)系緊密的標(biāo)準(zhǔn)經(jīng)常將evaluation翻譯成“評(píng)估”，assessment翻譯成“評(píng)價(jià)”，與風(fēng)險(xiǎn)評(píng)估聯(lián)系緊密的標(biāo)準(zhǔn)，則正好相反，一般是evaluation翻譯成“評(píng)價(jià)”，assessment翻譯成“評(píng)估”。例如，GB/T 28448—2019的3.4中，評(píng)估（evaluate）定義為：對(duì)測(cè)評(píng)對(duì)象可能存在的威脅及其可能產(chǎn)生的后果進(jìn)行綜合評(píng)價(jià)和預(yù)測(cè)的過(guò)程。此處的翻譯就沿用了GB/T 18336.1—2015 / ISO/IEC 15408-1：2009中對(duì)evaluation（評(píng)估）的翻譯。

2 關(guān)于有效性和符合性

一般而言，Assessment更偏重“有效性”，需要一個(gè)完整的方法論。保證有效性的基本邏輯是依據(jù)過(guò)程的規(guī)范性，或者說(shuō)，建立在一個(gè)完整方法論基礎(chǔ)上。但缺點(diǎn)也非常明顯，即使過(guò)程再規(guī)范，判斷也是主觀的。Evaluation更強(qiáng)調(diào)“符合性”，關(guān)注符合性可以最大化地濾掉主觀判斷，這導(dǎo)致所依據(jù)的標(biāo)準(zhǔn)變得非常關(guān)鍵。該邏輯的代表是司法系統(tǒng)，例如，legality，合乎法律性。這樣做可以有效地防止陷入到“惡法非法”的邏輯中。原則上說(shuō)，無(wú)論是Assessment還是Evaluation，最終都是為了保證“有效性”，在這點(diǎn)上，是沒(méi)有分歧的。

在本文中，由于主要是討論風(fēng)險(xiǎn)相關(guān)的內(nèi)容，因此Assessment統(tǒng)一翻譯為“評(píng)估”，Evaluation則翻譯為“評(píng)價(jià)”。與GB/T 28448—2019中的定義保持一致，評(píng)估一般是指有一個(gè)完整的方法論，有嚴(yán)格的過(guò)程要求，評(píng)價(jià)一般是某個(gè)比對(duì)、判斷的過(guò)程。

3 等級(jí)測(cè)評(píng)中的風(fēng)險(xiǎn)分析與評(píng)估

在實(shí)踐中，GB/T 28448—2019 所要求的測(cè)評(píng)結(jié)論包含兩個(gè)部分，即：12.1 風(fēng)險(xiǎn)分析和評(píng)價(jià)，以及12.2 等級(jí)測(cè)評(píng)結(jié)論，見(jiàn)圖1。

圖1中的描述，是典型的風(fēng)險(xiǎn)評(píng)估的“經(jīng)典六因素法”。

六因素法起源于航天、核工業(yè)和化工等重工業(yè)領(lǐng)域[1]，要求評(píng)估過(guò)程中，需要識(shí)別出資產(chǎn)（Asset）、威脅（Threat）、脆弱性（Vulnerability）、控制（Control）、可能性（Likelihood）以及影響（Impact）這六個(gè)主要的因素，基于此，風(fēng)險(xiǎn)經(jīng)常被描述為：

R= f （A， T， V， C， L， I）

在重工業(yè)領(lǐng)域，保護(hù)資產(chǎn)是最重要的目標(biāo)。例如，在航天工業(yè)中，最重要的資產(chǎn)和待保護(hù)的資產(chǎn)是一致的，可能是待發(fā)射的火箭。在信息安全情境中有所不同，最重要的資產(chǎn)是信息系統(tǒng)中存儲(chǔ)的“信息”和信息系統(tǒng)能夠提供的“服務(wù)”，但是絕大部分的控制往往都是針對(duì)信息系統(tǒng)的，例如，防火墻、防病毒和入侵檢測(cè)系統(tǒng)（IDS）等。在實(shí)踐中，最為直觀的評(píng)估對(duì)象也是信息系統(tǒng)。這就導(dǎo)致了信息安全風(fēng)險(xiǎn)評(píng)估中引用“六因素法”的效果，并沒(méi)有原來(lái)的應(yīng)用情境更契合[2]。

即便如此，在相當(dāng)長(zhǎng)的一個(gè)階段，直到現(xiàn)在，六因素法依然是最實(shí)用的方法之一。如何降低風(fēng)險(xiǎn)評(píng)估過(guò)程中的主觀性？一般而言，就是細(xì)化過(guò)程，加強(qiáng)過(guò)程控制，這樣的話，即使某一個(gè)步驟，由于主觀因素導(dǎo)致了偏離，整體而言，也不嚴(yán)重。

拋開(kāi)對(duì)風(fēng)險(xiǎn)評(píng)估方法本身的質(zhì)疑，在實(shí)際執(zhí)行中，往往12.2執(zhí)行得比較好，而12.1則比較弱化。一旦風(fēng)險(xiǎn)分析/評(píng)估的過(guò)程缺乏完整的方法論支持，會(huì)嚴(yán)重削弱報(bào)告中的“主要安全問(wèn)題及整改建議”部分的說(shuō)服力。更重要的是，由于沒(méi)有完整的風(fēng)險(xiǎn)分析過(guò)程，使得發(fā)現(xiàn)問(wèn)題、解決問(wèn)題的過(guò)程沒(méi)有一個(gè)證據(jù)鏈，導(dǎo)致的后果是，風(fēng)險(xiǎn)和建議的控制與評(píng)估對(duì)象缺乏清晰的對(duì)應(yīng)。

4 測(cè)評(píng)項(xiàng)與風(fēng)險(xiǎn)評(píng)估過(guò)程的融合

目前可見(jiàn)的絕大部分的信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)，在整體邏輯上都遵循了六因素法[3]，例如，GB/T 31722—2015 / ISO/IEC 27005：2008[4]等，其過(guò)程大致如圖2所示。

GB/T 28449—2018 中附錄D：測(cè)評(píng)對(duì)象確定準(zhǔn)則和樣例，與風(fēng)險(xiǎn)評(píng)估過(guò)程不僅是統(tǒng)一的，就該段描述而言，對(duì)風(fēng)險(xiǎn)評(píng)估的“資產(chǎn)識(shí)別”具有很好的指導(dǎo)作用，此處涉及到第二代評(píng)估的先天缺陷。因?yàn)榧词故褂谩霸u(píng)估對(duì)象”代替了最初使用的詞匯“資產(chǎn)”，該方法的出發(fā)點(diǎn)事實(shí)上并沒(méi)有本質(zhì)的區(qū)別。資產(chǎn)識(shí)別的粒度依然難以抉擇，如果太過(guò)細(xì)致，則會(huì)導(dǎo)致風(fēng)險(xiǎn)評(píng)估工作量太大，而且后續(xù)的控制難以部署。如果劃分過(guò)粗，優(yōu)點(diǎn)是更容易識(shí)別出與主營(yíng)業(yè)務(wù)相關(guān)的問(wèn)題，但缺點(diǎn)是會(huì)遺漏掉諸多專門針對(duì)于某些部件的風(fēng)險(xiǎn)，有時(shí)候，這些風(fēng)險(xiǎn)恰恰是最嚴(yán)重的。

GB/T 28449—2018 中附錄D主要是按照系統(tǒng)組件劃分對(duì)象，例如在某個(gè)單一業(yè)務(wù)系統(tǒng)的基礎(chǔ)上細(xì)化為客戶端、服務(wù)器和安全設(shè)備等。當(dāng)然，也可以按照業(yè)務(wù)導(dǎo)向，細(xì)化系統(tǒng)所提供的子業(yè)務(wù)，類似于ISO/IEC 29134：2017《信息技術(shù) 安全技術(shù) 隱私影響評(píng)估指南》等該類專項(xiàng)評(píng)估一般遵循這種思路。

如果要形成風(fēng)險(xiǎn)，威脅和脆弱性一般要成對(duì)出現(xiàn)，如圖3所示。

由于威脅來(lái)源于外部，相對(duì)于脆弱性而言，威脅更是客觀存在。脆弱性更多地描述自身的問(wèn)題。等級(jí)保護(hù)中測(cè)評(píng)發(fā)現(xiàn)的問(wèn)題，主要集中于脆弱性?；蛘哒f(shuō)，測(cè)評(píng)中發(fā)現(xiàn)的不符合項(xiàng)，都可以用脆弱性的方式進(jìn)行描述。GB/T 28449—2018附錄F：等級(jí)保護(hù)測(cè)評(píng)報(bào)告模板示例，如圖4所示，其中描述是從脆弱性角度出發(fā)，關(guān)聯(lián)到資產(chǎn)和威脅，在這個(gè)步驟中，既然描述為問(wèn)題，就說(shuō)明已經(jīng)考慮了控制措施的因素。

風(fēng)險(xiǎn)評(píng)估只是等級(jí)保護(hù)的一個(gè)手段，因此在相關(guān)標(biāo)準(zhǔn)中并沒(méi)有規(guī)定如何計(jì)算風(fēng)險(xiǎn)等級(jí)。

因?yàn)橘Y產(chǎn)（或者說(shuō)評(píng)估對(duì)象）本身就有重要性等級(jí)，威脅本身存在危險(xiǎn)程度、能力和動(dòng)機(jī)等區(qū)別，脆弱性本身也有易被利用性和嚴(yán)重性等不同等級(jí)，這導(dǎo)致計(jì)算風(fēng)險(xiǎn)的方法在目前的相關(guān)標(biāo)準(zhǔn)中各有不同。原則上，只有可能性與影響作為風(fēng)險(xiǎn)的直接因素是最可行的。

事件發(fā)生的可能性或概率可以被認(rèn)為服從泊松分布，N～Poisson（λ）如公式（1）：

事件發(fā)生的影響或損失則一般會(huì)被刻畫成各種拼接函數(shù)[5]，例如，左側(cè)服從對(duì)數(shù)正態(tài)分布，X～LN（μ，σ），如公式（2）：

右側(cè)服從X～GPD（ξ，α，β），如公式（3）：

上述兩者的期望值的乘積，就認(rèn)為是風(fēng)險(xiǎn)的期望值，這樣的計(jì)算方法也符合巴塞爾協(xié)議Ⅲ的框架，國(guó)內(nèi)也有諸多文獻(xiàn)在最近開(kāi)始信息安全風(fēng)險(xiǎn)建模的研究。

拋開(kāi)定性和定量的考慮，在目前GB/T 31722—2015和GB/T 20984—2007等標(biāo)準(zhǔn)的框架下，將風(fēng)險(xiǎn)描述為可能性和影響等級(jí)的乘積，也更合理一些。

R= f（A， T， V， C， → L， I）

5 不止于“測(cè)”，更要“評(píng)”

總而言之，符合性的最終目的依然是為了保證有效性，因此，測(cè)評(píng)，不僅僅是“測(cè)（test）”，更要加強(qiáng)“評(píng)（evaluate）”，等級(jí)保護(hù)中的“評(píng)”，應(yīng)該基于現(xiàn)有的完整的方法論。

在等級(jí)保護(hù)測(cè)評(píng)中，問(wèn)題描述（已經(jīng)考慮了控制）可以列入脆弱性識(shí)別的范疇中，以此為基礎(chǔ)，結(jié)合GB/T 31722—2015和GB/T 20984—2007等，找到與問(wèn)題相關(guān)聯(lián)的資產(chǎn)，以及相應(yīng)的脆弱性，在以上要素的基礎(chǔ)上，估算出風(fēng)險(xiǎn)發(fā)生的可能性和發(fā)生后的影響，最后給出風(fēng)險(xiǎn)的值。

在網(wǎng)絡(luò)安全等級(jí)保護(hù)時(shí)代，不僅要“測(cè)”，更要“評(píng)”，是發(fā)展咨詢式審核的基礎(chǔ)，在這個(gè)過(guò)程中，可以讓信息系統(tǒng)運(yùn)營(yíng)者不僅明白問(wèn)題所在，也明白問(wèn)題的嚴(yán)重性，從而能夠更準(zhǔn)確判斷問(wèn)題的優(yōu)先級(jí)，提出最優(yōu)化的解決途徑。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無(wú)關(guān)）

參考文獻(xiàn)

[1] 謝宗曉.信息安全風(fēng)險(xiǎn)管理相關(guān)詞匯定義與解析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（4）：26-29.

[2] 賈海云，張超，謝宗曉.信息安全風(fēng)險(xiǎn)管理現(xiàn)狀及發(fā)展趨勢(shì)[J].中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2019（10）：26-28，34.

[3] 謝宗曉，劉立科.信息安全風(fēng)險(xiǎn)評(píng)估/管理相關(guān)國(guó)家標(biāo)準(zhǔn)介紹[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)， 2016（5）：30-33.

[4] 謝宗曉，許定航.ISO/IEC 27005：2018解讀及其三次版本演化[J].中國(guó)質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2018（9）：16-18.

[5] BOUVERET， ANTOINE. Cyber risk for the financial sector： a framework for quantitative assessment [EB/OL]. IMF working paper， 2018. http：//dx.doi.org/10.2139/ssrn.3203026.