基于等級保護(hù)標(biāo)準(zhǔn)的信息安全風(fēng)險評估方法

郭磊

摘 要 本文對某大型集團企業(yè)為有效提高信息安全的整體水平和安全管控效率，如何基于我國信息安全等級保護(hù)標(biāo)準(zhǔn)進(jìn)行信息安全風(fēng)險評估活動，進(jìn)行了具體的分析和研究，總結(jié)歸納了該企業(yè)在日常信息安全管理工作中的等級保護(hù)和信息安全管理體系系列活動，通過效果評估確定等級保護(hù)標(biāo)準(zhǔn)已完全融入了該企業(yè)的日常信息安全風(fēng)險評估活動，并發(fā)揮了關(guān)鍵作用。

【關(guān)鍵詞】信息安全 信息系統(tǒng) 等級保護(hù) 風(fēng)險評估

信息安全等級保護(hù)作為我國信息安全方面重要的標(biāo)準(zhǔn)，與其他國際標(biāo)準(zhǔn)（如ISO/IEC 27001、ISO/IEC 13335）相比，更加符合我國的信息安全管理需求。信息系統(tǒng)安全等級保護(hù)是以信息系統(tǒng)是否符合等級保護(hù)基本要求為目的，從技術(shù)要求和管理要求兩個方面著手對信息系統(tǒng)安全實行等級化保護(hù)和等級化管理，信息安全等級保護(hù)的核心是對信息系統(tǒng)特別是對業(yè)務(wù)應(yīng)用系統(tǒng)的信息安全分等級、按標(biāo)準(zhǔn)進(jìn)行建設(shè)、管理和監(jiān)督。

同時，信息安全風(fēng)險評估也是信息安全管理的一項重要活動，信息安全風(fēng)險評估以PDCA循環(huán)持續(xù)推進(jìn)信息安全風(fēng)險管理為目的，以信息安全建設(shè)為出發(fā)點，通過對用戶關(guān)心的重要信息資產(chǎn)的安全威脅發(fā)生的可能性及嚴(yán)重性進(jìn)行分析，并通過對已有安全控制措施的確認(rèn)，借助定量、定性分析的方法，推斷出用戶關(guān)心的重要信息資產(chǎn)當(dāng)前的安全風(fēng)險，并根據(jù)風(fēng)險的嚴(yán)重級別制定風(fēng)險處置計劃，確定下一步的安全需求方向。

信息安全等級保護(hù)是標(biāo)準(zhǔn)和體系，信息安全風(fēng)險評估是等級保護(hù)（不同等級不同安全需求）的出發(fā)點和針對性的手段。信息安全風(fēng)險評估中的風(fēng)險等級和等級保護(hù)中的系統(tǒng)定級均充分考慮到信息資產(chǎn)價值的高低，但風(fēng)險評估中的風(fēng)險等級加入了對現(xiàn)有安全控制措施的確認(rèn)因素，也就是說，等級保護(hù)中高級別的信息系統(tǒng)不一定就有高級別的安全風(fēng)險。因此，如何信息安全風(fēng)險評估如何與等級保護(hù)標(biāo)準(zhǔn)有效結(jié)合，是信息化安全工作的一項重要命題。

某大型集團企業(yè)作為國資委直屬企業(yè)，近幾年來，隨著信息化程度的不斷提升，信息系統(tǒng)的安全管控工作愈發(fā)重要。為此，該企業(yè)在公安機關(guān)的指導(dǎo)監(jiān)督下已連續(xù)四年開展了信息安全等級保護(hù)工作，信息安全等級保護(hù)能力與水平已得到有效提高。同時，該企業(yè)也根據(jù)ISO27001建立了信息安全管理體系，并按照體系要求定期開展信息安全風(fēng)險評估活動，保障信息資產(chǎn)安全。為更有效的提高企業(yè)信息安全整體水平和安全管控效率，該企業(yè)通過制定評估標(biāo)準(zhǔn)，開展了將信息安全風(fēng)險評估和信息安全等級保護(hù)標(biāo)準(zhǔn)融合在日常信息安全風(fēng)險評估的活動中，使得企業(yè)能夠在滿足等級保護(hù)基本要求的前提下，使風(fēng)險評估活動更加符合企業(yè)個性化的信息安全需求，取得了更為良好的評估和保護(hù)效果。

1 風(fēng)險評估常用方法介紹

ISO/IEC13335-3：1998《IT安全管理技術(shù)》中將信息安全風(fēng)險評估方法分為四類，包括基線方法、非正式方法、詳細(xì)風(fēng)險分析和綜合方法。各類安全風(fēng)險評估方法的形成都來源于對安全風(fēng)險評估過程的解讀，在信息安全管理行業(yè)實踐方面，如何保障信息資產(chǎn)安全是信息安全管理的核心思想。目前國內(nèi)外有不少關(guān)于風(fēng)險評估方面的標(biāo)準(zhǔn)和指南，其中國內(nèi)的GBT 20984-2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》較為完整的介紹了風(fēng)險評估過程，主要評估階段如圖1所示。

第一階段：資產(chǎn)的識別和估值階段，調(diào)查并了解企業(yè)信息系統(tǒng)業(yè)務(wù)的流程和運行環(huán)境，確定評估范圍的邊界，對評估范圍內(nèi)的所有資產(chǎn)進(jìn)行識別，調(diào)查信息資產(chǎn)一旦被破壞后可能造成的影響大小，并根據(jù)影響的大小為資產(chǎn)進(jìn)行賦值。

第二階段：安全威脅評估階段，即根據(jù)各類信息資產(chǎn)的特點，評估資產(chǎn)所面臨的各種威脅發(fā)生的可能性。

第三階段：脆弱性評估階段，包括從技術(shù)、管理、策略方面進(jìn)行脆弱程度檢查，特別是技術(shù)方面，采用系統(tǒng)掃描和手動抽查等手段進(jìn)行有效評估。

第四階段：風(fēng)險的分析階段，即通過分析上面所評估的數(shù)據(jù)，進(jìn)行風(fēng)險值計算，區(qū)分和確認(rèn)高風(fēng)險因素。

第五階段：風(fēng)險的處置階段，這一階段主要是總結(jié)整個風(fēng)險評估過程，遵循已確定的風(fēng)險接受準(zhǔn)則，生成風(fēng)險評估報告，并對需要處置的風(fēng)險先實施適合的風(fēng)險控制措施。

2 基于等級保護(hù)標(biāo)準(zhǔn)的風(fēng)險評估方法

信息系統(tǒng)安全等級保護(hù)是指對信息安全實行等級化保護(hù)和等級化管理，目的是根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際安全需求，實行分級、分類、分階段實施保護(hù)，保障信息安全和系統(tǒng)安全正常運行。從實際工作來看，信息安全風(fēng)險評估是信息系統(tǒng)安全等級保護(hù)和信息安全建設(shè)的出發(fā)點，能夠改變以往純粹以等級保護(hù)為驅(qū)動導(dǎo)向的信息安全體系設(shè)計，改為重視信息安全的實際應(yīng)用效果，通過對安全威脅進(jìn)行定性和定量的分析來判斷信息資產(chǎn)所面臨的信息安全風(fēng)險，同時根據(jù)信息安全風(fēng)險的威脅級別，在滿足等級保護(hù)基本要求的前提下，制訂風(fēng)險處置計劃。

2.1 基于等級保護(hù)標(biāo)準(zhǔn)的風(fēng)險評估流程

將信息安全等級保護(hù)基線方法和信息安全風(fēng)險評估方法進(jìn)行融合，以適用于大部分企業(yè)信息系統(tǒng)的二級等級保護(hù)要求為基線，結(jié)合詳細(xì)的信息資產(chǎn)風(fēng)險評估，形成基于等級保護(hù)標(biāo)準(zhǔn)的信息安全風(fēng)險評估過程，如圖2所示。

基于等級保護(hù)標(biāo)準(zhǔn)的信息安全風(fēng)險評估流程前面三個階段與常用的風(fēng)險評估方法相同，不同處在于風(fēng)險分析階段和風(fēng)險處置階段：

在風(fēng)險分析階段，原有的風(fēng)險評估方法只要判斷最終風(fēng)險值是否滿足風(fēng)險接受準(zhǔn)則，而基于等級保護(hù)標(biāo)準(zhǔn)的風(fēng)險評估方法還需判斷已有安全措施是否滿足等保二級要求。

在風(fēng)險處置階段，原有的風(fēng)險評估方法采用的風(fēng)險控制措施只要將風(fēng)險值降到風(fēng)險接受準(zhǔn)則以下即可，對于采取何種措施沒有明確要求，而基于等級保護(hù)標(biāo)準(zhǔn)的風(fēng)險評估更加側(cè)重于從等保二、三級要求中選擇控制措施。

2.2 基于等級保護(hù)標(biāo)準(zhǔn)的風(fēng)險控制措施

控制措施是信息系統(tǒng)針對不同安全保護(hù)等級，所應(yīng)該具有的基本安全保護(hù)能力，根據(jù)實現(xiàn)方式的不同，控制措施分為技術(shù)措施和管理措施兩大類。技術(shù)措施分為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等方面；管理措施分為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等方面。技術(shù)措施和管理措施是確保信息系統(tǒng)安全不可分割的兩個部分。

該企業(yè)應(yīng)用基于等級保護(hù)標(biāo)準(zhǔn)的信息安全風(fēng)險評估方法后，期望得到的風(fēng)險控制級別如圖3所示。

3 新型風(fēng)險評估方法的應(yīng)用

該企業(yè)在實際工作中應(yīng)開始應(yīng)用基于等級保護(hù)標(biāo)準(zhǔn)的信息安全風(fēng)險評估方法，在每年一次的風(fēng)險評估活動中，風(fēng)險評估團隊按照2.1章節(jié)中的流程開展工作，在完成信息資產(chǎn)識別、威脅識別、弱點識別及已有措施識別后，根據(jù)以下公式計算風(fēng)險值：風(fēng)險值=資產(chǎn)價值 × ROUND（弱點值 × 威脅值 × 現(xiàn)有措施有效性系數(shù)）。

資產(chǎn)價值與資產(chǎn)的保密性（C）、完整性（I）和可用性（A）三個屬性相關(guān)，根據(jù)屬性喪失后對信息資產(chǎn)的影響程度來賦值，目前總共分為5級，根據(jù)影響程度從低到高分別賦值1到5，資產(chǎn)價值是根據(jù)三個屬性的賦值綜合計算后，按照分級定義最終確認(rèn)。

弱點值和威脅值是風(fēng)險評估團隊根據(jù)經(jīng)驗和有關(guān)的統(tǒng)計數(shù)據(jù)綜合判斷得出，對風(fēng)險評估團隊的專業(yè)技能要求較高。弱點值根據(jù)嚴(yán)重程度分為5級，根據(jù)嚴(yán)重程度從低到高分別賦值1到5，威脅值根據(jù)發(fā)生的頻繁程度分為5級，根據(jù)頻率程度從低到高分別賦值1到5。

現(xiàn)有控制措施有效性系數(shù)與等級保護(hù)要求掛鉤，即等保一級要求有效性賦值為1，等保二級要求有效性賦值為2，依此類推?，F(xiàn)有安全措施可以降低系統(tǒng)脆弱性，降低威脅發(fā)生的可能性，減少信息安全事件發(fā)生后對信息資產(chǎn)和企業(yè)業(yè)務(wù)的影響，即現(xiàn)有措施有效性越高，風(fēng)險值越低。該企業(yè)目前采用下列公式計算有效性系數(shù)：現(xiàn)有措施有效性系數(shù)=1-現(xiàn)有措施有效性賦值/5。

按照四舍五入對風(fēng)險計算值取整，可以得出最終的風(fēng)險值。風(fēng)險值根據(jù)大小劃分區(qū)間，根據(jù)風(fēng)險計算結(jié)果所在的區(qū)間定義風(fēng)險等級。該企業(yè)風(fēng)險值級別劃分標(biāo)準(zhǔn)及風(fēng)險接受準(zhǔn)則如表1所示。

該企業(yè)采用等保二級要求作為基線，即使在風(fēng)險等級落在低和很低區(qū)間的情況下，如果其現(xiàn)有安全措施賦值小于2，也將會作為風(fēng)險項納入風(fēng)險處置計劃。也就是說所有風(fēng)險項只有在同時滿足等保二級和風(fēng)險接受準(zhǔn)則的情況下才能作為可忽略風(fēng)險項。風(fēng)險評估過程記錄和風(fēng)險處置結(jié)果如表2所示。

從風(fēng)險評估記錄中可以看出，使用基于等級保護(hù)標(biāo)準(zhǔn)的風(fēng)險評估方法其實在進(jìn)行現(xiàn)有控制措施有效性評估時，就已經(jīng)按照等級保護(hù)標(biāo)準(zhǔn)進(jìn)行了對標(biāo)。另外對于不滿足等保二級標(biāo)準(zhǔn)的風(fēng)險項，首先需提升到滿足等保二級標(biāo)準(zhǔn)；對不滿足風(fēng)險接受準(zhǔn)則的風(fēng)險項，從等級保護(hù)二級以上標(biāo)準(zhǔn)中選取更高等級。

與分別進(jìn)行等級保護(hù)測評和信息資產(chǎn)風(fēng)險評估活動相比，進(jìn)行這樣的綜合評估，可以減少重復(fù)的工作，在風(fēng)險評估過程中參考等級保護(hù)標(biāo)準(zhǔn)，也可以減少遺漏的風(fēng)險項，另外對于該企業(yè)來說，可以非常明確的知道當(dāng)前采取的各項控制措施所對應(yīng)的等保級別，而且對于后續(xù)如何提升也給出了明確的方向，有利于該企業(yè)不斷提升信息安全水平。

4 結(jié)束語

信息安全管理是一個過程而不是結(jié)果。隨著系統(tǒng)的改擴建和組織業(yè)務(wù)的變化，系統(tǒng)的安全性要求和信息資產(chǎn)本身的價值也會改變。因此，信息系統(tǒng)需要不斷地反復(fù)進(jìn)行安全風(fēng)險評估，不斷調(diào)整合適的安全保護(hù)等級，直至系統(tǒng)生命周期結(jié)束。另外，不同時期進(jìn)行評估的力度是不同的，這依賴于系統(tǒng)當(dāng)前的安全保護(hù)等級和具體的安全需求。

等級保護(hù)是指導(dǎo)信息安全保障體系的一項基本制度，而風(fēng)險評估是在等級保護(hù)制度基礎(chǔ)上，對信息及信息系統(tǒng)進(jìn)行安全性評價的分析方法，是滿足等級保護(hù)中“不同安全等級，不同安全需求”思想的重要參考和技術(shù)手段。

參考文獻(xiàn)

[1]ISO/IEC13335-3 Information technology - Guidelines forthe management of IT SecurityPart 3：Techniques for the management of IT Security.

[2]GBT 20984-2007信息安全技術(shù).信息安全風(fēng)險評估規(guī)范.

[3]GBT 22239-2008信息安全技術(shù).信息系統(tǒng)安全等級保護(hù)基本要求.

[4]趙瑞穎.等級保護(hù)、風(fēng)險評估、安全測評三者的內(nèi)在聯(lián)系及實施建議[M].全國計算機安全學(xué)術(shù)交流會，2005.

[5]廖其耀.基于風(fēng)險分析的信息系統(tǒng)等級測評[J].科技與創(chuàng)新，2017（09）：128-129.

作者單位

中遠(yuǎn)海運科技股份有限公司 上海市 200135