谈风险评估方法在等级测评中的进一步运用

袁静 毕马宁 江雷 张伟 公安部第三研究所

谈风险评估方法在等级测评中的进一步运用

袁静 毕马宁 江雷 张伟 公安部第三研究所

通过对国际成熟风险管理理论研究和风险评估方法分析，结合我国信息安全等级保护工作开展现状，探讨在等级测评环节中，如何进一步运用风险评估方法，增强信息系统运行使用单位识别风险和应对威胁的能力，进而为信息安全等级保护相关理论完善奠定技术基础。

信息安全 等级保护 等级测评 风险评估

一、引言

近年来，美国及一些发达国家在网络空间战略中的顶层设计和相应行动方案的实施，使整个国际网络安全形势呈现出紧张的气氛。随着形势的变化，我国相关部门和信息安全专家也意识到了战略的威胁，并向新一届政府提出了加强国家网络空间安全顶层设计和加快国家信息安全保障体系建设的建议。在复杂严峻的国际背景下和国内顶层设计严重缺失的现状基础上，如何加强我国网络空间保卫和关键基础设施保护是相关职能部门的一个重要课题。

信息安全等级保护制度作为构建国家信息安全保障体系的基本制度，将其工作重心落在了通过保护关键信息基础设施进而实现国家关键基础设施保护的基点上。等级测评作为等级保护工作开展的重要步骤，一直在等级保护制度推进进程中发挥着重要作用。经过近些年来的实践，等级测评理论及方法也应与时俱进，需要进一步研究并提出更科学、合理的解决办法。

在信息安全理论和技术的发展过程中，信息安全风险评估已经成为人们普遍接受的、发现信息安全问题的成熟方法。随着等级测评工作的全面展开，人们对等级测评与风险评估两种方法的异同性有了深入的理解，并认识到：风险评估应与等级测评进行更深层次的融合，以便等级测评中的信息安全风险分析方法更科学、结果更准确。

二、信息安全风险评估理论的发展

风险评估是任何机构进行风险管理活动的重要组成部分。信息安全风险评估，就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，并为防范和化解信息安全风险，或者将风险控制在可接受范围内，从而最大限度地为保障网络和信息安全提供科学依据。

世界各国很早就开始了风险评估理论及方法在信息安全领域的研究和实践，美国从20世纪60年代末就开始将其应用于政府和军队，其他国家如加拿大、英国、德国、澳大利亚、新西兰等也都于20世纪90年代后期颁布了相应的信息安全风险管理标准。我国起步较晚，自1994年颁布的《中华人民共和国计算机信息系统安全保护条例》（147号令）开始，我国的信息安全风险意识才开始建立，并逐步有所加强，形成了相应的标准。

三、不同国家的信息安全风险评估

世界各国信息安全风险评估标准要素各有不同，具体细节上也有所差异，但是核心内容是一致的，即均关注威胁、脆弱性、影响和可能性。随着信息安全风险评估理论和方法的基本趋于一致，各个国家的研究重点都是针对本国的实际情况，探索行之有效的具体风险评估方法。

美国是国际上对风险评估研究历史最长的国家，随着信息化应用需求的牵引，安全事件的驱动和信息安全技术、信息安全管理概念的深化，对风险评估的认识也逐步加深，这点从其最新的风险评估标准修订中得到了印证。

2012年9月，美国国家标准与技术研究院NIST对《风险评估实施指南》（SP 800-30）进行了修订。SP 800-30针对联邦信息系统的风险评估工作实施给予了指导。

（一）风险评估三层体系

SP800-30中给出的风险评估方法可以用于机构风险管理架构三层体系（即：组织层、任务/业务过程层和信息系统层）中的任意一层，如图1所示。

1.第一层：组织层风险评估

第一层组织层风险评估集中在组织运行、资产和人员综合评估任务/业务范围。说明：（1）组织区别于其他组织的特定类型威胁，以及那些威胁如何影响政策决定。（2）在多个信息系统中发现的值得攻击者利用的体系弱点或缺陷。（3）组织由于丢失或妥协信息带来的潜在负面影响。（4）类似移动技术、云计算等新技术和新信息的使用，及使用这些技术对组织成功完成其任务/业务运行能力的潜在影响。

2.第二层：任务/业务过程层风险评估

第二层风险评估关注点在任务/业务部门，一般包括多个信息系统，这些系统对于核心组织的任务/业务功能的敏感程度和重要程度不同。第二层风险评估也关注信息安全体系架构，帮助组织选择通用控制，这些控制由第三层信息系统继承。第二层产生的风险评估结果在第三层与组织实体共享和交流，帮助指导将安全控制分配到信息系统和系统运行环境中。第二层风险评估也提供组织任务/业务过程的安全和风险状况评估，并知会第一层组织风险评估。

3.第三层：信息系统层风险评估

第二层状况和系统开发生命周期决定了第三层风险评估的目的和范围。首次风险评估可以在系统开发生命周期的任何阶段实施，理想情况下是在初始阶段实施。在初始阶段，风险评估对在规划运行环境下预期影响信息系统保密性、完整性和可用性的脆弱性和先决条件进行评价。这些可以帮助各方最终确定需要的安全控制。

（二）风险要素关系模型

风险要素包括威胁、脆弱性、影响、可能性和先决条件。其中脆弱性不仅能存在于信息系统中，也可能存在于组织管理架构（如缺少有效的风险管理战略和适当风险框架、内部机构交流不畅、任务/业务功能相对优先级前后矛盾、不遵守支撑任务/业务活动的企业体系架构）中，还可能存在于外部关系（如特定能源依赖、供应链、信息技术、通信供应商）、任务/业务过程（如未良好定义的过程或未知风险的过程）、企业/信息安全体系架构（如不完善的体系架构决议导致组织信息系统缺少多样性或弹性）中。

可能性是威胁事件发起可能性与威胁事件导致负面影响可能性评价的组合。

风险各要素之间的关系模型如图2所示。

（三）风险分析方法

风险分析方法根据风险评估导向或出发点、评估的详细等级以及对相似风险场景的风险处理方式而有所不同。其分析方法可以是威胁导向、资产/影响导向，脆弱性导向。

威胁导向方法以识别威胁源和威胁事件作为出发点，集中于威胁场景开发；在威胁环境中识别脆弱性，对于攻击威胁，基于攻击动机确定影响。

资产/影响导向方法以识别关注的和重要的资产受到的影响或后果作为出发点，很可能利用任务或业务影响分析结果识别威胁事件和威胁源。

脆弱性导向方法以先决条件或信息系统或系统运行所处环境中可利用的弱点/缺陷为出发点，识别利用这些脆弱性的威胁事件以及脆弱性被利用可能带来的后果。

每种分析方法都考虑相同的风险要素和评估活动，只是顺序不同。

威胁导向的风险分析方法如图3所示。

上述风险评估要素及方法是美国将信息安全风险评估理论和方法应用于联邦政府信息系统的一种探索。该方法不同于以往的单纯针对信息系统的风险评估，而是用于机构风险管理架构三层体系中的任意一层，以机构作为风险评估对象，非通常的以信息系统作为风险评估对象。其中第一层和第二层的风险评估是从机构角度实施的，第三层是从信息系统角度实施的。而且，该方法没有将资产作为基本风险要素,而是在分析威胁事件产生的影响时考虑了资产的价值。

四、风险评估融入等级测评的方法

目前等级测评中已经部分融合了风险评估方法，是针对已测评发现的安全问题（即部分符合和不符合项）进行分析，主要包含四步：

（1）判断整体测评后的单元测评结果汇总其中部分符合项或不符合项所产生的安全问题被威胁利用的可能性，可能性的取值范围为高、中和低；

（2）判断整体测评后的单元测评结果汇总其中部分符合项或不符合项所产生的安全问题被威胁利用后，对被测信息系统的业务信息安全和系统服务安全造成的影响程度，影响程度取值范围为高、中和低；

（3）综合（1）和（2）的结果，对被测信息系统面临的安全风险进行赋值，风险值的取值范围为高、中和低；

（4）结合被测信息系统的安全保护等级对风险分析结果进行评价，即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。

如何借鉴国际已有的最新信息安全风险评估理论和方法，结合我国信息系统安全等级测评的特点，设计出一套符合我国国情的等级测评与风险评估的深度融合方法？首先应转变对等级测评的认识，等级测评应该是针对信息系统运营使用单位开展的安全测评，而不仅仅只是针对确定等级的单一信息系统。信息系统运营使用单位所属行业的重要程度决定了该单位的重要性，同理，信息系统运营使用单位的重要程度决定了承载其重要业务的信息系统的重要性。而信息系统的重要性决定了其发生安全事件时对国家安全、社会秩序及公共利益等会带来的影响。因此，在分析信息系统发生安全事件会带来的影响时应关注到系统所属单位及行业，从而等级测评中的风险分析应针对信息系统运营使用单位开展。

具体到等级测评的实施过程中，风险评估可以融合到等级测评的信息收集与分析、测评对象选择、现场测评和风险分析、整改建议等多个活动任务中。具体融合内容如图4所示。

后果识别主要是从信息系统支撑业务的重要性、单位在所属行业中的地位、单位所属行业的重要性等方面来考虑各种后果，从国家、行业、单位、业务、系统多个角度形成各种后果。后果识别是比较宽泛的后果分析（如全部业务中断、部分业务中断、数据丢失等），可结合定级过程进行分析，不应从某个具体资产角度来分析，如从某重要信息系统的Cyber（即业务系统、控制系统、访问控制系统以及预警和报警系统）的角度分析，而不是从单个服务器的角度分析可能受到的攻击和自然灾难。

在识别威胁源时可以从两方面来考虑：（1）根据等级保护政策要求，信息系统按照其重要程度确定安全保护等级，由于其重要程度不同，潜在的威胁源也不相同。一级信息系统的威胁源包括来自个人的拥有很少资源的恶意攻击者、一般的自然灾难以及其他相当危害程度的威胁源，而四级信息系统的威胁源则包括来自国家级别的、敌对组织的、拥有丰富资源的威胁源、严重的自然灾难以及其他相当危害程度的威胁源。因此，威胁识别与信息系统的安全保护等级相关。（2）除了等级保护标准中分析的上述每个等级的威胁之外，在识别威胁时还应识别信息系统运营使用单位、支撑业务功能以及信息系统三个层次面临的其他威胁。

分析信息系统存在的安全风险时应结合系统承载业务的重要性进行分析。业务重要性分析采用分步骤进行的方式。首先，考虑业务的某个环节受破坏时对所属单位可能造成的后果，评估这些业务受破坏的可能性，从而评估业务在所属单位的重要性。其次，若业务在单位中高度或极度重要，则考虑业务受破坏时对所属行业所可能造成的后果，评估该业务受破坏的可能性，从而评估业务在所属行业的重要性。再次，若业务在所属行业中高度或极度重要，则考虑业务受破坏时对社会、国家所可能造成的后果，评估该业务受破坏的可能性，从而评估业务安全对社会或国家安全的重要性。最后，若业务对社会或国家高度或极度重要，则分析该业务对信息系统的依赖程度，若依赖程度很高，则该业务信息系统存在安全风险时应评估对国家安全造成的影响。具体重要性分析方法如图5所示。

整改建议应根据威胁事件的严重程度以及风险等级综合提出，引发的威胁事件严重的、高风险等级的安全问题应整体考虑立即整改，不应仅仅从一个安全问题出发，头疼医头、脚痛医脚，即应根据后果识别过程（国家、单位、业务需求）以及系统整体架构出具量身定做的整改建议。对于引发的威胁事件不严重、风险等级较低的安全问题可考虑持续整改。

通过对信息系统运营使用单位及其信息系统的了解、分析和测评，测评机构及运营使用单位对信息系统在国家安全中所占地位有了充足的认识，使得测评机构的风险分析有理有据，使得运营使用单位加强了安全建设整改的积极性。并且此角度的等级测评是对运营使用单位的全部信息系统进行综合安全分析，测评机构可以从全局出发，提出更合理、适用的量身定做的安全建设整改建议。

五、结束语

通过将风险评估方法更好地运用到等级测评中，可以将等级测评工作与等级保护框架设计思路保持一致，从国家角度分析信息系统存在的安全风险；还可以为信息系统的安全整改建设提供更贴切、合理的规划和建议，从而使运营使用单位对其机构自身的社会地位和重要性，及其运行的信息系统的重要性有更准确的认识，使之能够更主动、更认真、更扎实地开展信息安全等级保护工作。

[1]信息安全等级保护管理办法.公安部,2007.

[2]GB/T 20984,信息安全技术信息安全风险评估规范[S].

[3]NIST SP 800-30Revis ion1.风险评估实施指南,2012(9).

[4]NIST SP 800-39,管理信息安全风险-组织、任务和信息系统观点,2011(3).

[5]NIST SP 800-37Revis ion1,将风险管理框架应用于联邦信息系统指南,2010(2).

[6]GB/T 28448-2012,信息系统安全等级保护测评要求[S].

[7]GB/T 28449-2012,信息系统安全等级保护测评过程指南[S].

[8]GB/T 22239-2008,信息系统安全等级保护基本要求[S].

[9]信息系统安全等级测评报告模版(试行).公安部,2009.