一、引言
信息化技术的广泛应用,在提高科研、生产效率和质量的同时,也极大地增加了信息安全风险。目前解决信息安全问题普遍采用的方法是风险评估,从风险管理的角度,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生时可能造成的危害程度,并提出有针对性的防护对策和整改措施,将风险控制在可接受的水平,最大程度地保障信息安全。
信息安全风险评估分为自评估和检查评估两种形式。风险自评估是建立信息安全体系的基础和前提,目前风险自评估没有统一的标准和方法,如何组织风险自评估是困扰评估单位的难题,也是本文的主要讨论内容。
二、信息安全风险评估理论和方法
(一)风险管理过程
背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤。
背景建立阶段:确定风险管理的对象和范围,进行相关信息的调查分析,准备风险管理的实施。
风险评估阶段:根据风险管理的范围识别资产,分析信息系统所面临的威胁以及资产的脆弱性,结合采用的安全控制措施,在技术和管理两个层面对信息系统所面临的风险进行综合判断,并对风险评估结果进行等级化处理。
风险处理阶段:综合考虑风险控制的成本和风险造成的影响,从技术、组织和管理层面分析信息系统的安全需求,提出实际可行的安全措施。明确信息系统可接受的残余风险,采取接受、降低、规避或转移等控制措施。
批准监督阶段:包括批准和持续监督两部分。依据风险评估的结果和处理措施能否满足信息系统的安全要求,决策层决定是否认可风险管理活动。监控人员对机构、信息系统、信息安全相关环境的变化进行持续监督,在可能引入新的安全风险并影响到安全保障级别时,启动新一轮的风险评估和风险处理。
监控审查和沟通咨询贯穿于上述4个基本步骤,跟踪系统和信息安全需求的变化,对风险管理活动的过程和成本进行有效控制。
(二)风险分析原理
风险值=R(A,T,V)R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性。资产、威胁和脆弱性是风险的3个因素,是风险分析的基础。根据风险分析原理,首先应进行资产、威胁和脆弱性识别,分析得出资产价值、威胁出现的频率和脆弱性的严重程度,然后分析计算安全事件的可能性和损失程度,得出风险值。
(三)风险因素识别
资产在表现形式上可分为数据、软件、硬件、服务、人员等类型。根据风险评估的范围识别出关键资产与一般资产,形成需要保护的资产清单。根据资产在保密性、完整性和可用性3个方面的安全属性,结合评估单位业务战略对资产的依赖程度等因素,对资产价值进行评估。威胁具有多种类型,如:软硬件故障、物理环境影响、管理问题、恶意代码、网络攻击、物理攻击、泄密、篡改等。有多种因素会影响威胁发生的可能性,如:攻击者的技术能力、威胁行为动机、资产吸引力、受惩罚风险等。在威胁识别阶段,评估者依据经验和相关统计数据对威胁进行识别,并判断其出现的频率。
脆弱性的识别可以以资产为核心,针对资产识别可能被威胁利用的弱点进行识别,也可以从物理、网络、系统、应用、制度等层次进行识别,然后与资产、威胁对应起来。在此过程中应对已采取的安全措施进行评估,确认其是否有效抵御了威胁、降低了系统的脆弱性,以此作为风险处理计划的依据和参考。
(四)风险评估方法
风险评估方法概括起来可分为定量、定性、以及定性与定量相结合的评估方法。
定量评估法基于数量指标对风险进行评估,依据专业的数学算法进行计算、分析,得出定量的结论数据。典型的定量分析法有因子分析法、时序模型、等风险图法、决策树法等。有些情况下定量法的分析数据会存在不可靠和不准确的问题:一些类型的风险因素不存在频率数据,概率很难精确。在这种情况下单凭定量法不能准确反映系统的安全需求。
定性评估法主要依据评估者的知识、经验、政策走向等非量化资料对系统风险做出判断,重点关注安全事件所带来的损失,而忽略其发生的概率。定性法在评估时使用"高""中""低"等程度值,而非具体的数值。典型的定性分析法有因素分析法、逻辑分析法、历史比较法、德尔菲法等。定性分析法可以挖掘出一些蕴藏很深的思想,使评估结论更全面、深刻,但其主观性很强,对评估者本身的要求较高。
定量与定性的风险评估法各有优缺点,在具体评估时可将二者有机结合、取长补短,采用综合的评估方法以提高适用性。
三、信息系统安全风险管理
(一)信息系统全生命周期风险管理
信息系统的生命周期包括系统规划、方案设计、建设实施、运行维护、系统废止等阶段。信息系统生命周期各阶段涉及的风险评估原则和方法是一致的,但由于各阶段的特点和安全需求不同,风险评估具体实施的侧重点也有所不同。
在系统规划阶段,风险评估主要是识别系统的业务战略,在保证业务需求的前提下,梳理安全隐患,明确系统的安全需求及安全战略。评估结果应体现在信息系统整体规划或项目建议书中。
在方案设计阶段,风险评估主要是确定系统建设应达到的安全目标。此阶段的风险评估可以以安全建设方案评审的方式进行,判定设计方案所提供的安全功能是否符合相关标准。
在建设实施阶段,应将规划设计阶段的安全风险进一步细化,并评估安全措施的实现程度,另外,应对系统的实施过程进行风险识别。
在运行维护阶段,风险评估主要是识别、控制系统运行过程中的安全风险,是一种较为全面的风险评估。通过动态识别不断变化的系统所面临的安全风险,保证安全措施的有效性、确保安全目标的实现。
在系统废止阶段,主要是对报废资产的影响,以及可能带来的新威胁进行分析评估。此阶段应重点关注报废资产的处理过程及其去向,确保整个执行过程均处于有效的监督下,并对相关执行人员进行安全教育。
(二)信息系统安全风险评估方法
信息系统运行使用过程中,信息安全风险评估通常重点关注安全事件所带来的损失以及如何采取风险控制措施,而弱化事件发生的数量指标。基于以上特点,本文提出一种基于脆弱性识别的风险评估方法,将对脆弱性的识别、评价作为风险评估工作的重点,有效简化了风险分析模型。
1.风险评估组织
组建包括决策人员、管理人员、执行人员、监控人员、使用人员、支持人员等角色的风险管理团队,明确相关角色人员在风险管理中的任务和职责。决策人员负责风险管理的重大决策、总体规划和批准监督;管理人员负责风险管理过程中的管理、组织和协调;执行人员负责风险评估的具体规划、设计和实施;监控人员负责信息安全风险管理过程、成本和结果的监视和控制;使用人员反馈信息安全风险管理的效果;支持人员为信息安全风险管理提供专业技术支持。制定详细的风险评估计划,依据系统的业务战略、技术架构、安全防护体系,明确风险评估需求,确定风险评估的对象范围、风险评估方法、时间节点等要素,并得到决策层的支持和批准。
2.风险要素识别
在进行资产识别时,由于资产的价值由保密性、完整性和可用性3个方面的安全属性决定,赋值很难准确,建议资产识别主要以对资产对象的识别为主,不对资产价值做精确计算。
脆弱性不会产生安全事件,只有威胁作用于脆弱性时才会导致安全事件的产生。国家明确规定了信息系统安全防护的标准和要求,以应对安全事件,对标准的符合性核查即为风险识别的过程。在进行风险分析评估时,以脆弱性检查作为安全风险评估的主要依据,以威胁出现的频率作为参考,将信息系统面临的威胁整体考虑,不对脆弱性对应的具体威胁进行识别。
3.风险分析判断
将资产、威胁的等级分为高、低两个级别,脆弱性等级分为高、中、低3个级别。对资产、威胁、脆弱性的分析判断采用德尔菲法:通过背对背群体决策咨询的方式征询专家小组成员的意见,经过几轮征询使决策意见趋于集中。专家小组由管理人员、执行人员、监控人员、使用人员、支持人员等不同层级组成,以提高决策意见的准确性。德尔菲法在分析安全风险时需经过几轮群体决策咨询,才能使结论趋于集中。在实际操作中,可结合综合讨论的形式,加快分析速度,以快速做出决策。基于风险因素的分析结果,再采用新一轮的德尔菲法,或以构建风险分析矩阵的方式,最终确定安全风险等级。
在风险评估时,可以使用信息安全风险评估与控制类工具软件,完成对资产的管理、风险的分析与评估。
(三)持续改进建议
为了改进评估单位的安全状态、实现信息安全目标,根据风险评估的结果,必须提出实际可行的改进建议。综合考虑风险控制成本和风险造成的影响,依据安全需求,明确信息系统可接受的残留风险,对风险采取接受、降低、规避或转移等控制措施。在进行持续改进时,建议结合以下几点进行考虑。
1.通过信息安全风险评估推动信息安全架构的建立和完善,建立架构能力框架和核心业务流程。通过规范的策略、制度、操作规程实现IT服务和安全管理,同时保证业务的连续性。建立基于信息安全架构的风险管理方法,持续有效地发现、控制信息安全风险,实现对信息安全的长效监控、管理。
2.根据发现的信息安全风险,编写或修订安全保密策略,完善管理制度。通过策略描述实现安全目标的高层计划。通过制度规定详细、具体的执行程序,明确责任部门和责任人,将风险防控措施固化,以提供持续的信息安全保障。
3.通过内部控制机制强化日常监督,结合保密检查、奖惩机制、绩效考核等手段,对风险控制措施进行强化落实。对保密检查中重复发现的问题,核实策略和制度的合理性和有效性,并进行完善和修订,实现预防式管理。
四、结语
由于信息系统及其所在环境不断变化,信息安全风险和安全需求也会不断变化,信息安全风险评估是一个复杂、动态、循环的过程,通过动态的风险评估体系、动态的安全策略制定、动态的安全防护、实时的监控系统以及健全的安全管理体系,实现完整、动态的安全循环。
风险评估主要是为信息安全提供一个方向,不管采取的评估方法多详细、多专业,也只是描述信息安全风险状态,而不会改进评估单位的安全状态。只有切实利用风险评估结果强力推进改进活动,实现有效的风险管理,并保持其持续性,才能改善安全状态,进而保障系统安全。
(原载于《保密科学技术》杂志2017年10月刊)