基于等级保护标准的信息安全风险评估方法

郭磊

摘 要 本文对某大型集团企业为有效提高信息安全的整体水平和安全管控效率，如何基于我国信息安全等级保护标准进行信息安全风险评估活动，进行了具体的分析和研究，总结归纳了该企业在日常信息安全管理工作中的等级保护和信息安全管理体系系列活动，通过效果评估确定等级保护标准已完全融入了该企业的日常信息安全风险评估活动，并发挥了关键作用。

【关键词】信息安全 信息系统 等级保护 风险评估

信息安全等级保护作为我国信息安全方面重要的标准，与其他国际标准（如ISO/IEC 27001、ISO/IEC 13335）相比，更加符合我国的信息安全管理需求。信息系统安全等级保护是以信息系统是否符合等级保护基本要求为目的，从技术要求和管理要求两个方面着手对信息系统安全实行等级化保护和等级化管理，信息安全等级保護的核心是对信息系统特别是对业务应用系统的信息安全分等级、按标准进行建设、管理和监督。

同时，信息安全风险评估也是信息安全管理的一项重要活动，信息安全风险评估以PDCA循环持续推进信息安全风险管理为目的，以信息安全建设为出发点，通过对用户关心的重要信息资产的安全威胁发生的可能性及严重性进行分析，并通过对已有安全控制措施的确认，借助定量、定性分析的方法，推断出用户关心的重要信息资产当前的安全风险，并根据风险的严重级别制定风险处置计划，确定下一步的安全需求方向。

信息安全等级保护是标准和体系，信息安全风险评估是等级保护（不同等级不同安全需求）的出发点和针对性的手段。信息安全风险评估中的风险等级和等级保护中的系统定级均充分考虑到信息资产价值的高低，但风险评估中的风险等级加入了对现有安全控制措施的确认因素，也就是说，等级保护中高级别的信息系统不一定就有高级别的安全风险。因此，如何信息安全风险评估如何与等级保护标准有效结合，是信息化安全工作的一项重要命题。

某大型集团企业作为国资委直属企业，近几年来，随着信息化程度的不断提升，信息系统的安全管控工作愈发重要。为此，该企业在公安机关的指导监督下已连续四年开展了信息安全等级保护工作，信息安全等级保护能力与水平已得到有效提高。同时，该企业也根据ISO27001建立了信息安全管理体系，并按照体系要求定期开展信息安全风险评估活动，保障信息资产安全。为更有效的提高企业信息安全整体水平和安全管控效率，该企业通过制定评估标准，开展了将信息安全风险评估和信息安全等级保护标准融合在日常信息安全风险评估的活动中，使得企业能够在满足等级保护基本要求的前提下，使风险评估活动更加符合企业个性化的信息安全需求，取得了更为良好的评估和保护效果。

1 风险评估常用方法介绍

ISO/IEC13335-3：1998《IT安全管理技术》中将信息安全风险评估方法分为四类，包括基线方法、非正式方法、详细风险分析和综合方法。各类安全风险评估方法的形成都来源于对安全风险评估过程的解读，在信息安全管理行业实践方面，如何保障信息资产安全是信息安全管理的核心思想。目前国内外有不少关于风险评估方面的标准和指南，其中国内的GBT 20984-2007《信息安全技术 信息安全风险评估规范》较为完整的介绍了风险评估过程，主要评估阶段如图1所示。

第一阶段：资产的识别和估值阶段，调查并了解企业信息系统业务的流程和运行环境，确定评估范围的边界，对评估范围内的所有资产进行识别，调查信息资产一旦被破坏后可能造成的影响大小，并根据影响的大小为资产进行赋值。

第二阶段：安全威胁评估阶段，即根据各类信息资产的特点，评估资产所面临的各种威胁发生的可能性。

第三阶段：脆弱性评估阶段，包括从技术、管理、策略方面进行脆弱程度检查，特别是技术方面，采用系统扫描和手动抽查等手段进行有效评估。

第四阶段：风险的分析阶段，即通过分析上面所评估的数据，进行风险值计算，区分和确认高风险因素。

第五阶段：风险的处置阶段，这一阶段主要是总结整个风险评估过程，遵循已确定的风险接受准则，生成风险评估报告，并对需要处置的风险先实施适合的风险控制措施。

2 基于等级保护标准的风险评估方法

信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理，目的是根据信息系统应用业务重要程度及其实际安全需求，实行分级、分类、分阶段实施保护，保障信息安全和系统安全正常运行。从实际工作来看，信息安全风险评估是信息系统安全等级保护和信息安全建设的出发点，能够改变以往纯粹以等级保护为驱动导向的信息安全体系设计，改为重视信息安全的实际应用效果，通过对安全威胁进行定性和定量的分析来判断信息资产所面临的信息安全风险，同时根据信息安全风险的威胁级别，在满足等级保护基本要求的前提下，制订风险处置计划。

2.1 基于等级保护标准的风险评估流程

将信息安全等级保护基线方法和信息安全风险评估方法进行融合，以适用于大部分企业信息系统的二级等级保护要求为基线，结合详细的信息资产风险评估，形成基于等级保护标准的信息安全风险评估过程，如图2所示。

基于等级保护标准的信息安全风险评估流程前面三个阶段与常用的风险评估方法相同，不同处在于风险分析阶段和风险处置阶段：

在风险分析阶段，原有的风险评估方法只要判断最终风险值是否满足风险接受准则，而基于等级保护标准的风险评估方法还需判断已有安全措施是否满足等保二级要求。

在风险处置阶段，原有的风险评估方法采用的风险控制措施只要将风险值降到风险接受准则以下即可，对于采取何种措施没有明确要求，而基于等级保护标准的风险评估更加侧重于从等保二、三级要求中选择控制措施。

2.2 基于等级保护标准的风险控制措施

控制措施是信息系统针对不同安全保护等级，所应该具有的基本安全保护能力，根据实现方式的不同，控制措施分为技术措施和管理措施两大类。技术措施分为物理安全、网络安全、主机安全、应用安全和数据安全等方面；管理措施分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面。技术措施和管理措施是确保信息系统安全不可分割的两个部分。

该企业应用基于等级保护标准的信息安全风险评估方法后，期望得到的风险控制级别如图3所示。

3 新型风险评估方法的应用

该企业在实际工作中应开始应用基于等级保护标准的信息安全风险评估方法，在每年一次的风险评估活动中，风险评估团队按照2.1章节中的流程开展工作，在完成信息资产识别、威胁识别、弱点识别及已有措施识别后，根据以下公式计算风险值：风险值=资产价值 × ROUND（弱点值 × 威胁值 × 现有措施有效性系数）。

资产价值与资产的保密性（C）、完整性（I）和可用性（A）三个属性相关，根据属性丧失后对信息资产的影响程度来赋值，目前总共分为5级，根据影响程度从低到高分别赋值1到5，资产价值是根据三个属性的赋值综合计算后，按照分级定义最终确认。

弱点值和威胁值是风险评估团队根据经验和有关的统计数据综合判断得出，对风险评估团队的专业技能要求较高。弱点值根据严重程度分为5级，根据严重程度从低到高分别赋值1到5，威胁值根据发生的频繁程度分为5级，根据频率程度从低到高分别赋值1到5。

现有控制措施有效性系数与等级保护要求挂钩，即等保一级要求有效性赋值为1，等保二级要求有效性赋值为2，依此类推。现有安全措施可以降低系统脆弱性，降低威胁发生的可能性，減少信息安全事件发生后对信息资产和企业业务的影响，即现有措施有效性越高，风险值越低。该企业目前采用下列公式计算有效性系数：现有措施有效性系数=1-现有措施有效性赋值/5。

按照四舍五入对风险计算值取整，可以得出最终的风险值。风险值根据大小划分区间，根据风险计算结果所在的区间定义风险等级。该企业风险值级别划分标准及风险接受准则如表1所示。

该企业采用等保二级要求作为基线，即使在风险等级落在低和很低区间的情况下，如果其现有安全措施赋值小于2，也将会作为风险项纳入风险处置计划。也就是说所有风险项只有在同时满足等保二级和风险接受准则的情况下才能作为可忽略风险项。风险评估过程记录和风险处置结果如表2所示。

从风险评估记录中可以看出，使用基于等级保护标准的风险评估方法其实在进行现有控制措施有效性评估时，就已经按照等级保护标准进行了对标。另外对于不满足等保二级标准的风险项，首先需提升到满足等保二级标准；对不满足风险接受准则的风险项，从等级保护二级以上标准中选取更高等级。

与分别进行等级保护测评和信息资产风险评估活动相比，进行这样的综合评估，可以减少重复的工作，在风险评估过程中参考等级保护标准，也可以减少遗漏的风险项，另外对于该企业来说，可以非常明确的知道当前采取的各项控制措施所对应的等保级别，而且对于后续如何提升也给出了明确的方向，有利于该企业不断提升信息安全水平。

4 结束语

信息安全管理是一个过程而不是结果。随着系统的改扩建和组织业务的变化，系统的安全性要求和信息资产本身的价值也会改变。因此，信息系统需要不断地反复进行安全风险评估，不断调整合适的安全保护等级，直至系统生命周期结束。另外，不同时期进行评估的力度是不同的，这依赖于系统当前的安全保护等级和具体的安全需求。

等级保护是指导信息安全保障体系的一项基本制度，而风险评估是在等级保护制度基础上，对信息及信息系统进行安全性评价的分析方法，是满足等级保护中“不同安全等级，不同安全需求”思想的重要参考和技术手段。

参考文献

[1]ISO/IEC13335-3 Information technology - Guidelines forthe management of IT SecurityPart 3：Techniques for the management of IT Security.

[2]GBT 20984-2007信息安全技术.信息安全风险评估规范.

[3]GBT 22239-2008信息安全技术.信息系统安全等级保护基本要求.

[4]赵瑞颖.等级保护、风险评估、安全测评三者的内在联系及实施建议[M].全国计算机安全学术交流会，2005.

[5]廖其耀.基于风险分析的信息系统等级测评[J].科技与创新，2017（09）：128-129.

作者单位

中远海运科技股份有限公司 上海市 200135