基于風險分析的信息系統(tǒng)等級測評

廖其耀

摘 要：信息系統(tǒng)等級保護是我國當前信息安全工作的基本制度。風險評估、等級測評是信息安全等級保護的重要階段和方法。簡要論述了等級保護、風險評估和等級測評三者的概念、區(qū)別和聯(lián)系，并在基于三者含義及其關系的基礎上，結合等級測評的內在要求，論述了基于風險分析的等級測評。

關鍵詞：等級保護；風險評估；等級測評；信息系統(tǒng)

中圖分類號：TP309 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2017.09.128

1 信息系統(tǒng)等級保護、風險評估和等級測評

1.1 等級保護

信息安全等級保護包括3個方面的內容，分別是對信息技術產品分不同等級進行管理，對信息和處理信息的信息系統(tǒng)分不同等級進行安全保護，對信息安全事件分不同等級進行響應和處置。

1999年，我國發(fā)布《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859—1999）標準，根據(jù)信息技術產品（比如操作系統(tǒng)等）的安全保護技術能力，把信息技術產品從低到高分為用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級5個級別。

GB 17859—1999標準為信息技術產品提出了安全保護要求，但不能體現(xiàn)信息安全風險管理思想，也不能覆蓋信息系統(tǒng)的技術、管理等方面的內容。為此，公安部制定和發(fā)布的《關于信息安全等級保護工作的實施意見的通知》（66號文）、《信息系統(tǒng)安全等級保護定級指南》（GB/T 22240—2008）等文件中，根據(jù)信息系統(tǒng)的重要程度，遭到破壞后對客體（比如國家安全、社會秩序等）的危害程度，將信息系統(tǒng)的保護等級由低到高分為自主保護級、指導保護級、監(jiān)督保護級、強制保護級和?？乇Ｗo級5個級別。

1.2 風險評估

我國于2004年發(fā)布了《信息安全風險評估規(guī)范》（GB/T 20984—2007）和《信息安全風險管理指南》，規(guī)范了信息安全風險評估的內容、流程、方法和風險判斷準則。信息安全風險評估，就是根據(jù)風險管理的原理，系統(tǒng)地分析信息系統(tǒng)的不同級別的資產、所面臨的不同級別的威脅和系統(tǒng)資產存在的脆弱性3個要素，進而評估安全事件發(fā)生時可能導致的不同級別的危害，并提出有針對性的防護對策，從而為信息安全風險控制提供依據(jù)。

1.3 等級測評

由我國發(fā)布的《信息安全技術 信息系統(tǒng)安全等級保護實施指南》等一系列標準可知，等級測評是等級保護流程的5個環(huán)節(jié)（定級、備案、建設整改、等級測評和監(jiān)督檢查）中的第4個環(huán)節(jié)。信息安全等級保護測評，本質上是一種合規(guī)性安全測評。具體而言，是指由政府授權、具備一定檢驗技術能力的第三方測評機構，依據(jù)等級保護相關的法規(guī)、標準，檢測和評估系統(tǒng)的安全保護能力是否符合系統(tǒng)等級保護的要求。

1.4 三者之間的聯(lián)系和區(qū)別

當前，等級保護已成為我國信息安全的一項基本制度。風險評估和相應的風險管理是等級保護的本質和依據(jù)。等級測評是落實信息安全等級保護制度不可缺少的步驟。

信息系統(tǒng)等級保護，核心是根據(jù)信息系統(tǒng)的重要性進行系統(tǒng)定級，然后根據(jù)信息系統(tǒng)等級確定相應等級的保護要求，并進行相應等級的安全保護建設、管理和監(jiān)督。通過等級保護，信息系統(tǒng)相關實施部門、主管部門才可根據(jù)信息系統(tǒng)的等級，有針對性地建設、監(jiān)督和管理。我國從信息系統(tǒng)等級保護入手信息安全工作，并制定了一系列的政策、標準，形成了我國信息安全的基本制度。

風險評估和風險管理的思路，就是分析資產的不同等級和資產面臨的風險的不同等級，并以此為依據(jù)有針對性地進行相應的管理。信息系統(tǒng)等級保護工作體現(xiàn)了風險管理的思路。等級保護中的系統(tǒng)定級工作，就是評估信息系統(tǒng)資產的價值。而確定系統(tǒng)等級后，通過風險評估可以準確評估信息系統(tǒng)不同級別的資產當前面臨的不同級別的安全風險。由此，依據(jù)風險管理的思想，信息系統(tǒng)運維單位可以有針對性地確定信息系統(tǒng)的安全需求，并進行信息安全建設；信息安全主管單位可以根據(jù)信息資產的重要性及其風險等級，進行有針對性的監(jiān)督和管理。這樣做，可以避免信息安全的“過度保護”或“保護不到位”，保證信息安全建設符合信息系統(tǒng)等級。所以，風險評估和風險管理是等級保護工作的本質和依據(jù)。

等級測評是落實等級保護工作不可或缺的步驟。《信息安全風險評估規(guī)范》只說明了風險評估的流程和方法，但沒有說明不同等級信息系統(tǒng)的不同級別的安全保護要求。而《信息安全技術 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239—2008）等標準提出了不同級別的信息系統(tǒng)應具有的不同級別的安全保護要求。此外，我國當前未限制從事風險評估工作的主體單位，執(zhí)行等級測評的單位一般是具有相應授權的第三方機構。因此，通過等級測評，可以判斷系統(tǒng)的安全保護措施是否符合系統(tǒng)的等級要求，并判斷系統(tǒng)當前面臨的不同級別的風險。信息系統(tǒng)的運維部門可以根據(jù)等級測評結果，有針對性地進行安全建設整改工作；信息安全主管部門可以根據(jù)等級測評結果，決定是否允許系統(tǒng)運行，以加強對信息安全的監(jiān)管，落實國家的等級保護工作。因此，當前我國信息安全主管部門對信息系統(tǒng)安全性的認可和監(jiān)管，依據(jù)的是權威機構的等級測評結果，而不是依據(jù)風險評估結果。

2 基于風險分析的等級測評

作為落實信息系統(tǒng)等級保護的重要環(huán)節(jié)，等級測評主要分為測評準備、現(xiàn)場測評、分析及報告編制3個基本測評活動。為了準確判斷系統(tǒng)所面臨的安全風險，準確判斷系統(tǒng)的安全防護能力是否滿足該系統(tǒng)的等級要求，必須把風險分析的思想貫徹于等級測評各階段中。

2.1 測評準備階段

在測評準備階段，主要進行與信息系統(tǒng)相關的信息收集工作，然后，基于所收集和分析的信息，編制相應的測評方案，準備相關測評指導書、測評表格和測試工具。這個階段是后續(xù)階段工作的基礎，影響著整個等級測評過程的質量。測評準備工作不夠充分，將導致現(xiàn)場測評工作不能順利開展，等級測評結果不夠有效和準確。

在這個階段要完成風險分析中的資產識別和威脅評估工作。為此，該階段必須結合風險分析的方法，確定評估范圍，考慮資產識別和評估，并進行威脅評估。然后結合資產價值和系統(tǒng)威脅情況，在制訂測評方案時，必須綜合考慮威脅可能利用的信息系統(tǒng)入口，有針對性地設計漏洞掃描、滲透測試方案。

2.2 現(xiàn)場測評階段

在現(xiàn)場測評階段，測評人員將按照測評方案的要求，根據(jù)測評作業(yè)指導書和等級保護相關標準的要求，采取現(xiàn)場查看、訪談、配置核查、滲透測試等方法，檢測和驗證信息系統(tǒng)，從而了解并驗證信息系統(tǒng)所具有的實際防護情況，及時發(fā)現(xiàn)信息系統(tǒng)中存在的安全漏洞（脆弱性）。

這個階段要完成風險分析中的脆弱性評估工作。為了有效驗證系統(tǒng)的脆弱性，判斷系統(tǒng)面臨的風險，本階段必須結合信息系統(tǒng)的資產、面臨的威脅，從技術、管理、策略等方面進行脆弱程度檢查。特別在技術方面，采用配置核查、漏洞掃描、滲透測試、惡意代碼檢查等方法檢查和評估，從而有效驗證系統(tǒng)的脆弱性。

2.3 分析及報告編制

在分析及報告編制階段，主要工作是根據(jù)現(xiàn)場測評階段所獲取的數(shù)據(jù)，結合《信息系統(tǒng)安全等級保護測評準則》的有關要求，采用科學的風險計算方法，通過單項測評結論判定、控制點間測評、層面間測評、區(qū)域間測評和系統(tǒng)結構測評等各個層面的測評，判定安全事件的可能性及其造成的損失，從而得出各個安全漏洞的風險值和整個信息系統(tǒng)的風險值，并最終判斷系統(tǒng)的安全保護措施是否符合系統(tǒng)的安全等級，分析整個系統(tǒng)的安全保護現(xiàn)狀與相應等級的保護要求之間的差距，給出相應的整改建議。

這個階段要完成風險評估工作。為此，必須貫徹科學的風險計算方法，準確評價整個信息系統(tǒng)所面臨的風險，才能為后續(xù)的安全建設整改工作提供支持，進而幫助信息安全相關主管單位順利、有效地完成信息安全工作。

3 結束語

隨著信息安全問題的日益增加，依據(jù)國家標準對信息系統(tǒng)實施等級保護、風險評估和等級測評，以保證信息和信息系統(tǒng)的保密性、完整性、可用性，讓維護系統(tǒng)實施機構業(yè)務流程的順利進行的意識逐漸深入人心。只有依照相關等級保護的國家規(guī)定和標準工作，才能促進信息系統(tǒng)的安全建設、運行和監(jiān)管，保證信息安全和業(yè)務安全。作為等級保護的重要環(huán)節(jié)和方法，基于風險分析的等級測評可以準確判斷信息系統(tǒng)所面臨的安全風險，從而為信息系統(tǒng)的安全整改奠定基礎。

參考文獻

[1]趙瑞穎.等級保護、風險評估、安全測評三者的內在聯(lián)系及實施建議[G]//第二十次全國計算機安全學術交流會論文集.西寧：中國計算機學會，2005.

[2]清華大學，北京大學，中國科學院.GB 17859—1999 計算機信息系統(tǒng)安全保護等級劃分準則[S].北京：中國標準出版社，1999.

[3]公安部國家保密局，國家密碼管理委員會辦公室，國務院信息化工作辦公室，公通字〔2004〕66號.關于印發(fā)《關于信息安全等級保護工作的實施意見》的通知[EB/OL]. http：//www.atmb.net.cn/web/UploadFile/2010111094557873.pdf，2010.11.10.

[4]中華人民共和國國家質量監(jiān)督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 22240—2008 信息安全技術 信息系統(tǒng)安全等級保護定級指南[S].北京：中國標準出版社，2008.

[5]國家信息中心，公安部第三研究所，國家保密技術研究所，等.GB/T 20984—2007 信息安全技術信息安全風險評估規(guī)范[S].北京：中國標準出版社，2007.

[6]周元德，董鳳翔，胡波，等.基于等級保護的信息安全風險評估方法[J].鐵道工程學報，2006，23（9）：89-92.

〔編輯：白潔〕