一種基于信息資產(chǎn)的風險值計算方法

曹彥

摘要：風險威脅無處不在，信息安全管理部門應對風險范圍、影響值風險進行管理，將其控制在一定范圍之內(nèi)。

關鍵詞：信息系統(tǒng)；信息安全；安全風險

中圖分類號：TN918 文獻識別碼：A 文章編號：1001-828X（2018）025-0341-02

信息系統(tǒng)分布廣、源頭多，信息數(shù)據(jù)涉及各行各業(yè)，各種形式軟硬件故障、病毒感染、入侵攻擊、運維誤操作引起的故障都可能會對關鍵數(shù)據(jù)安全帶來極大的威脅和隱患。風險威脅無處不在，信息安全管理部門應對風險范圍、影響值風險進行管理，將其控制在一定范圍之內(nèi)。估算風險值的前提要對評估對象進行資產(chǎn)、威脅進行識別，并進行定量的分析和量化，對已有的安全措施進行確認。

一、計算方法

1.資產(chǎn)的識別與賦值：資產(chǎn)的評估主要評估信息系統(tǒng)資產(chǎn)的價值、信息系統(tǒng)弱點被威脅利用的可能性、信息系統(tǒng)面臨威脅的概率。參照《信息安全技術信息安全風險評估指南》中資產(chǎn)脆弱性和威脅識別相關內(nèi)容進行賦值（分五個級別：非常高、高、中等、低、非常低，權重：5、4、3、2、1）。

2.風險值的計算：可以用字母“A”來表示疾控信息資產(chǎn)的價值，字母“V”來表示信息系統(tǒng)弱點被威脅利用的可能性，字母“T”來表示系統(tǒng)面臨威脅的概率。風險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））。安全事件發(fā)生的可能性：L=T*V；安全事件發(fā)生造成的損失：F=V*A；資產(chǎn)的風險值：Rn=L*F；系統(tǒng)的風險值：R=Max（Rn）。Ia：安全事件所作用的資產(chǎn)價值；Va：脆弱性嚴重程度；L：威脅利用資產(chǎn)的脆弱性導致安全事件發(fā)生的可能性；F：安全事件發(fā)生后產(chǎn)生的損失。

3.風險的等級：設定信息系統(tǒng)風險值為資產(chǎn)風險值最大值R=Max（Rn）。可以根據(jù)風險值大小將風險等級分為5級：第一級（很低：1-125）、第二級（低：126-250）、第三級（中等：251-375）、第四級（高：376-500）、第五級（很高：501-625）

二、應用

假設評估對象為某應急指揮系統(tǒng)。

1.資產(chǎn)賦值

（1）資產(chǎn)識別。明確應急指揮系統(tǒng)資產(chǎn)為：服務器、網(wǎng)絡交換機、入侵檢測系統(tǒng)、防火墻、軟件、數(shù)據(jù)庫、技術資料。根據(jù)專家賦值法參照信息資產(chǎn)的保密性、完整性和可用性對信息資產(chǎn)的價值進行賦值，見表1。

（2）主要脆弱性問題確認：參照《信息安全技術信息安全風險評估指南》中威脅分類的定義，確認信息資產(chǎn)存在的主要脆弱性問題并賦值，見表1。

2.風險值計算

（1）通過脆弱性與發(fā)生概率的乘積來計算威脅發(fā)生的可能性L（L=V*T）。通過計算可見L值最大為20，最小為4，見表2。

f2）通過脆弱性與資產(chǎn)價值的乘積來計算威脅產(chǎn)生的損失F（F=A*V）。通過計算可見F值最大為20，最小值為10，見表2。

（3）通過威脅發(fā)生的可能性與威脅產(chǎn)生的損失的乘積計算相關脆弱性問題的風險值Rn（Rn=L*F）。Rn最大值為320，最小值為40，見表2。

3.結(jié)論評估

Rn最大值為320，最小值為40。根據(jù)風險分級標準：第一級（很低：1～125）、第二級（低：126～250）、第三級（中等：251～375）、第四級（高：376～500）、第五級（很高：501～625），應急指揮系統(tǒng)的風險值取最大值320，結(jié)論為系統(tǒng)風險中等。

從對風險子項Rn分值分析可見某應急指揮系統(tǒng)安全問題主要還在軟件和管理措施上。信息系統(tǒng)風險整改過程中交換機弱口令、信息系統(tǒng)重要信息敏感性標記和用戶審計問題風險值最大，為優(yōu)先處理問題。

三、討論

實際風險評估項目實施中，往往會遇到系統(tǒng)量大人員少，實際操作中要考慮以下問題：

1.脆弱性問題的遺漏

根據(jù)技術水平與工作經(jīng)驗，不同的人員對資產(chǎn)脆弱性問題的判斷和標準會有所不同，可能會導致關鍵脆弱性問題的遺漏。實際操作中建議參照《信息安全技術信息安全風險評估規(guī)范》中資產(chǎn)、威脅、脆弱性分類進行對照識別。

2.賦值的偏差

本評估賦值依賴歷史經(jīng)驗與專家判斷，可能會因不同專家的不同判斷而得出不同的結(jié)論。實際操作中應盡可能使用多名專家賦值取均值方法得到相對較為真實可靠的結(jié)果。

本方法作為信息系統(tǒng)安全風險評估的方法嘗試，其結(jié)果能夠反映信息系統(tǒng)資產(chǎn)當前安全風險狀況，能夠協(xié)助管理人員較便捷地識別出信息系統(tǒng)存在的風險點。