信息系統(tǒng)安全評估評測過程與方法研究

肖新祥 施游

摘要：本文以信息系統(tǒng)安全評估過程為研究對象，圍繞風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)計(jì)算方法、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處置、安全風(fēng)險(xiǎn)評估方法進(jìn)行了深入的研究和探討。

關(guān)鍵詞：安全評估;風(fēng)險(xiǎn)分析;評估過程;風(fēng)險(xiǎn)計(jì)算;風(fēng)險(xiǎn)處置

中圖分類號：TP393? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）11-0003-03

由于信息系統(tǒng)與網(wǎng)絡(luò)也會存在各類的風(fēng)險(xiǎn)，不了解風(fēng)險(xiǎn)、不控制風(fēng)險(xiǎn)就無法保證信息系統(tǒng)的安全。對于各類信息系統(tǒng)，尤其是即將上線的信息系統(tǒng)，需要有一套安全評估體系和方法評估和分析風(fēng)險(xiǎn)，然后再尋找對應(yīng)的方法防范風(fēng)險(xiǎn)或者減小風(fēng)險(xiǎn)帶來的損失。

風(fēng)險(xiǎn)評估就是依據(jù)標(biāo)準(zhǔn)，利用評估技術(shù)、方法、工具，對系統(tǒng)中資產(chǎn)、威脅、脆弱點(diǎn)所帶來風(fēng)險(xiǎn)的大小，以及可能的控制措施的全面評估。

1 安全評估概述

系統(tǒng)外部可能造成的損害，稱為威脅;系統(tǒng)內(nèi)部可能造成的損害，稱為脆弱性。系統(tǒng)風(fēng)險(xiǎn)則是威脅利用脆弱性造成損壞的可能性。網(wǎng)絡(luò)風(fēng)險(xiǎn)評估就是評估攻擊網(wǎng)絡(luò)、系統(tǒng)的脆弱性而造成的損失程度。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估要素包含資產(chǎn)、威脅、脆弱性、風(fēng)險(xiǎn)、安全措施等。具體關(guān)系如圖1所示。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估方式有自評估、檢查評估、委托評估等。

實(shí)際應(yīng)用中，常使用期望貨幣值、系統(tǒng)風(fēng)險(xiǎn)量化值等工具量化評價(jià)系統(tǒng)的風(fēng)險(xiǎn)。

（1）期望貨幣值

期望貨幣值（Expected Monetary Value，EMV）用于計(jì)算在將來某種情況下發(fā)生或不發(fā)生的情況下的平均結(jié)果。期望貨幣價(jià)值是每個(gè)可能的值與其發(fā)生概率相乘之后的總和。EMV可用于表示網(wǎng)絡(luò)安全風(fēng)險(xiǎn)值。

期望貨幣值公式如下：

[EMV=i=1mPiXi]

其中，Pi是情況i發(fā)生的概率，Xi為i情況下風(fēng)險(xiǎn)的期望貨幣價(jià)值。

圖2給出了一個(gè)具體的EMV應(yīng)用實(shí)例。該實(shí)例為某游戲公司選擇防火墻1和防火墻2的防范DDoS攻擊，根據(jù)給出不同情況下的有效概率及對應(yīng)的獲利或損失情況，求選擇防火墻1的EMV和選擇防火墻2的EMV。

選擇防火墻1的EMV=60%×A+40%×B（A、B值盈利為正，損失為負(fù)）。

選擇防火墻2的EMV=50%×C+50%×D（C、D值盈利為正，損失為負(fù)）。

（2）系統(tǒng)風(fēng)險(xiǎn)量化值

系統(tǒng)風(fēng)險(xiǎn)量化值是依據(jù)系統(tǒng)受到攻擊的概率、影響價(jià)值兩個(gè)指標(biāo)綜合評價(jià)風(fēng)險(xiǎn)。具體公式如下：

系統(tǒng)風(fēng)險(xiǎn)量化值=系統(tǒng)受到攻擊的概率×影響價(jià)值

假定某電子商務(wù)網(wǎng)站群系統(tǒng)受到攻擊概率為0.6，如果攻擊成功影響價(jià)值為1000萬人民幣。則該網(wǎng)站群系統(tǒng)的系統(tǒng)風(fēng)險(xiǎn)量化值=0.6×1000=600萬人民幣。

2 風(fēng)險(xiǎn)評估過程

風(fēng)險(xiǎn)評估過程包括評估準(zhǔn)備、現(xiàn)狀識別（包含資產(chǎn)識別、威脅識別、脆弱性識別）、已實(shí)施的安全措施分析、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處置與管理等。具體評估過程見圖3。

（1）評估準(zhǔn)備

網(wǎng)絡(luò)安全評估準(zhǔn)備就是要了解全網(wǎng)的物理環(huán)境、拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、IP地址分配、操作系統(tǒng)、已采用的安全措施、人員部署等。

（2）資產(chǎn)識別

資產(chǎn)識別包含資產(chǎn)鑒定、資產(chǎn)價(jià)值估算兩個(gè)部分。

1）資產(chǎn)鑒定：清點(diǎn)并記錄網(wǎng)絡(luò)中的設(shè)備、應(yīng)用、數(shù)據(jù)、文檔等資產(chǎn)的種類和數(shù)量。

2）資產(chǎn)價(jià)值估算：量化并評估資產(chǎn)保密性、完整性、可用性，并進(jìn)行等級劃分。

（3）威脅識別

威脅識別用于分析資產(chǎn)的危害，可以從威脅的來源、途徑、意圖、效果等多個(gè)方面進(jìn)行展開分析。

（4）脆弱性識別

脆弱性識別是找出網(wǎng)絡(luò)資產(chǎn)的缺陷，并分析并評估缺陷的危害。脆弱性識別的核心是資產(chǎn)。常見的資產(chǎn)漏洞評估工具有CVE、CWE、CNNVD、CNVD等。

（5）已實(shí)施的安全措施分析

分析并確定已實(shí)施的安全措施，評估其有效性，分析實(shí)施之后是否還存在脆弱性。

（6）風(fēng)險(xiǎn)分析

用定性和定量的方法分析風(fēng)險(xiǎn)的大小和等級。

風(fēng)險(xiǎn)分析的步驟如下。

[第一步（資產(chǎn)識別）：識別資產(chǎn)并量化資產(chǎn)價(jià)值。

第二步（威脅識別）：識別威脅，分析威脅屬性，量化威脅的頻率。

第三步（脆弱性識別）：識別脆弱性并量化脆弱性的嚴(yán)重程度。

第四步（可能性概率分析）：分析利用威脅的難易程度，分析攻擊發(fā)生的可能性。

第五步（脆弱性損失分析）：根據(jù)資產(chǎn)重要性，脆弱性嚴(yán)重性計(jì)算安全事件出現(xiàn)而帶來的損失。

第六步（確定安全風(fēng)險(xiǎn)值）：依據(jù)風(fēng)險(xiǎn)發(fā)生的概率和安全事件出現(xiàn)所帶來的損失，求安全風(fēng)險(xiǎn)值，即安全事件發(fā)生的影響程度。 ]

3 風(fēng)險(xiǎn)分析方法

常見的風(fēng)險(xiǎn)分析方法有：

（1）定性風(fēng)險(xiǎn)分析：主觀評估風(fēng)險(xiǎn)相關(guān)的資產(chǎn)、威脅、脆弱性等因素，并按高、中、低等方式進(jìn)行粗略的排序。

（2）定量風(fēng)險(xiǎn)分析：量化評估風(fēng)險(xiǎn)相關(guān)的資產(chǎn)、威脅、脆弱性等因素。

（3）綜合計(jì)算法：結(jié)合了定量、定性風(fēng)險(xiǎn)分析方法，將資產(chǎn)、威脅、脆弱性等因素，按“很高、高、中、低、很低”或者“（5）、（4）、（3）、（2）、（1）”方式進(jìn)行風(fēng)險(xiǎn)分析。

4 風(fēng)險(xiǎn)計(jì)算方法

常見的信息系統(tǒng)的風(fēng)險(xiǎn)計(jì)算方法有相乘法、矩陣法。

（1）相乘法

相乘法屬于一種定量計(jì)算法，該方法將兩個(gè)要素值相乘，得到另一要素值。

所使用的公式為計(jì)算公式如下：

[z=fx，y=x×y]

其中，x和y分別相乘的兩要素值，而z代表另一要素值。

【例1】某單位做安全評估時(shí)，識別出一項(xiàng)重要資產(chǎn)，設(shè)定為A1。經(jīng)過風(fēng)險(xiǎn)分析，確定的條件如下：

1）資產(chǎn)價(jià)值A(chǔ)1=9;

2）資產(chǎn)A1所面臨的主要威脅是T1，威脅發(fā)生頻率為1，用T1=1表示。

3）T1可以利用的資產(chǎn)A1的脆弱性V1，脆弱性嚴(yán)重程度為4，用V1=4表示。

用相乘法求安全事件風(fēng)險(xiǎn)值。

風(fēng)險(xiǎn)值計(jì)算過程如下：

[第一步：計(jì)算事件發(fā)生的可能性

計(jì)算過程：

[z=fx，y=威脅發(fā)生頻率×脆弱性嚴(yán)重程度=T1×V1=4] 第二步：計(jì)算安全事件造成的損失

[z=fx，y=資產(chǎn)價(jià)值×脆弱性嚴(yán)重程度=A1×V1=36] 第三步：計(jì)算安全風(fēng)險(xiǎn)值

安全風(fēng)險(xiǎn)值=事件發(fā)生的可能性×安全事件造成的損失=[4×36]=12 ]

（2）矩陣法

矩陣法就是構(gòu)建一個(gè)事件發(fā)生可行性與安全事件造成的損失兩個(gè)維度的二維表，這里表也可以看成矩陣的形式。

矩陣法計(jì)算的實(shí)質(zhì)就是，“根據(jù)已知條件查表”。

【例2】假定某單位資產(chǎn)A1的相關(guān)情況與條件如下：

資產(chǎn)價(jià)值：A1=3;威脅發(fā)生概率T1=3;脆弱性嚴(yán)重程度V1=3。

第一步：計(jì)算事件發(fā)生的可能性，劃分安全事件發(fā)生可能性等級

本步驟就是查“安全事件發(fā)生可能性表”和“安全事件發(fā)生可能性等級劃分表”。

查表1，可得到安全事件發(fā)生的可能性=12。

查表2，可得到安全事件發(fā)生可能性等級=3。

第二步：計(jì)算安全事件損失，劃分安全事件損失等級

本步驟就是查“安全事件損失表”和“安全事件損失等級劃分表”。

查表3，可得到安全事件損失=11。

查表4，可得到安全事件損失等級=3。

第三步：計(jì)算風(fēng)險(xiǎn)值，確定風(fēng)險(xiǎn)等級

本步驟就是查“安全事件風(fēng)險(xiǎn)值表”和“安全事件風(fēng)險(xiǎn)等級劃分表”。

查表5，可得到安全事件風(fēng)險(xiǎn)值=15。

查表6，可得到安全事件風(fēng)險(xiǎn)等級=3。

5 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處置

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處置作用是分析已發(fā)現(xiàn)的安全風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)處理計(jì)劃，給出具體的處置建議，控制風(fēng)險(xiǎn)。

可行的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處置主要方法和措施可以分為下幾個(gè)方面。

（1）管理方面：具體控制措施有：制定安全策略;建立安全組織;加強(qiáng)人員管理;確保符合法律法規(guī)要求，確保滿足安全目標(biāo)。

（2）技術(shù)方面：具體控制措施有：實(shí)施資產(chǎn)分控;確保物理和環(huán)境安全;確保通信安全;構(gòu)建合理的訪問控制機(jī)制。

（3）業(yè)務(wù)和系統(tǒng)保障方面：具體控制措施有：業(yè)務(wù)持續(xù)運(yùn)行;安全的系統(tǒng)開發(fā)和維護(hù)。

6 安全風(fēng)險(xiǎn)評估方法

常見的風(fēng)險(xiǎn)評估方法分類和具體工具，參見表7。

參考文獻(xiàn)：

[1] 蔣建春.文偉平，焦健副.信息安全工程師教程[M].2版.北京：清華大學(xué)出版社，2020.

[2] 朱小平，施游.網(wǎng)絡(luò)工程師5天修煉[M].2版.北京：中國水利水電出版社，2015.

[3] 汪京培.分布式場景中信任管理和模型評估的關(guān)鍵技術(shù)研究[D].北京：北京郵電大學(xué)，2013

[4] 謝宗曉，李寬.通用準(zhǔn)則（CC）與信息安全管理體系（ISMS）的比較分析[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2018（7）：28-32.

【通聯(lián)編輯：唐一東】