网络信息安全风险评估理论基础的研究

-1-网络信息安全风险评估理论——发展、研究与运用考号：115106193552姓名：周倩【内容提要】信息是有价值的，是一种资源，是一种资产。无论是个人，组织，还是国家，保持关键的信息资产的安全性是非常重要的。保障信息安全是国家安全地需要，组织持续发展的需要和个人隐私与财产的需要。而建立信息系统安全体系首先必须明确系统的脆弱性，并明确这些弱点在什么条件下将形成对信息系统的冲击实践。在安全体系建设过程中需要具体地了解这些冲击事件产生的概率和造成地损失，以便选择恰当地安全控制方式，制定相应地应急计划和管理措施，进而形成完整的安全策略，这就是信息安全风险评估。系统的风险评估是信息安全的基础和前提。【关键词】信息安全风险管理信息安全评估正文“信息”是一个十分广泛地概念。这里所说的“信息安全”中的“信息”是指数字化信息，或者数是指通过网络、计算机进行传、处理的信息。信息安全就应该是指通过网络、计算机进行传输、处理的数据信息的安全。信息是一种资产，就像其他重要的商业资产一样，它对一个组织来说是有价值的，因此需要妥善进行保护。信息安全保护信息免受多种威胁的攻击，保证业务连续性，将业务损失降至最少，同时最大限度地获得投资回报和利用商业机遇。信息安全具有保密性、完整性、可用性特征（即CAI）[1]：保密性：确保只有经过受权的人才能访问信息；完整性：保护信息和信息的处理方法准确而完整；可能性：确保受权的用户在需要时可以访问信息并使用相关信息资产。威胁和脆弱性结合在一起会破坏以上三种CAI属性。信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一套的控制措施，确保满足组织特定的安全目标。对信息安全实施等级化保护和等级化管理是一种实现信息安全的方法。信息安全问题的基础和前提就是对信息安全解决方案进行充分有效的风险分析评估，了解系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，从而将系统的风险降到一个可以接受的程度，这就是风险评估所要完成的任务。信息安全评估的基本原理可从三方面说起，即：信息安全风险管理、信息安全评估定义以及信息安全评估的时机和作用。而本文研究的是基于安全等级的风险评估，所以若不作特别说明，本文将安全等级评估和安全风险评估统称为“安全评估”。风险管理（RiskManagement），由风险评估、风险处理以及基于风险的决策所组成的完整过程。风险管理由三部分组成：风险评估、风险减缓以及基于风险的决策。风险评估过程将全面评估信息系统的资产，威胁，脆弱性以及现有的安全措施，分析安全事件发生的可能性以及可能的损失，从而确定信息系统的风险，判断风险的优先级，建议处理风险的措施。基于风险评估的结果，风险处理过程将考察信息安全措施的成本，选择合适的方法处理风险，将风险控制到可以接受的程度。基于风险的决策是风险管理的最后过程，旨在由信息系统的主管者或运营者判断残余风险是否处在可接受的水平之内[2]。基于-2-这一判断，主管者或运营者将做出决策，决定是否允许信息系统运行。风险管理的基本要素包括：使命、资产、资产价值、威胁、脆弱性、事件、风险、残余风险、安全要求、安全措施。图1风险管理各要素之间的关系风险管理要素之间的关系如上图所示。使命依赖于资产去完成。资产拥有价值，信息化的程度越高，单位的使命越重要，对资产的依赖度越高，资产的价值则就越大。资产的价值越大则风险越大。风险是由威胁发起的，威胁越大则风险越大，并可能演变成事件。威胁都要利用脆弱性，脆弱性越大则风险越大。脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险。资产的重要性和对风险的意识会导出安全需求；安全需求要通过安全措施来得以满足，且是有成本的。安全措施可以抗击威胁，降低风险，减弱事件的影响。风险不可能业没有必要降为零，在实施了安全措施后还会有残余风险——一部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全措施的成本与资产价值后，有意未去控制的风险，脆弱性资产价值威胁安全需求事件安全措施残留依赖使命风险资产残余风险暴露拥有演变成导出增加满足未控制可能诱发降低利用增加增加成本-3-这部分风险是可以被接受的。残余风险应到密切监视，因为它可能会在将来诱发新的事件。通过安全措施来对资产加以保护，对脆弱性加以弥补，可以降低风险。实施了安全措施后，威胁只能形成残余风险。为了对付某种威胁，往往需要多个安全措施共同作用。在某些情况下，也会有多个脆弱性被同时利用。脆弱性与威胁是独立的，威胁要利用脆弱性才能造成安全事件。但有时，某些脆弱性可能没有对应的威胁，这可能是由于其对应的威胁不存在，或者这个威胁的影响极小，以至忽略不计。采取安全措施的目的是处理风险，将残余风险控制在能够接受的程度上。风险管理的目的和意义：风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡，并最终通过对支持其使命的信息系统及数据进行保护而提高其使命能力。一套合理的风险管理方法，可以帮助信息系统的主管者和运营者最大程度地提高其信息安全保障能力，以便最有效地实现其使命。风险评估（RiskAssessment）是通过一定的步骤和技术手段来评估信息系统安全风险的过程，判断风险的优先级，建议处理风险的措施，是对威胁、影响、脆弱性以及三者发生的可能性的评估。它是确认安全风险及其大小的过程。风险评估也称为风险分析，是风险管理的一部分。信息安全风险评估，是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估的信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。安全评估的定义：安全评估是一种在信息系统的拥有者委托、授权的情况下，由法定的评估机构或专业的安全服务商实施的复杂过程，通过该过程，信息系统安全状况能被反射为预先设定的某种度量方法下的一个状态值，该状态值可以表明信息系统是否满足特定的安全要求（如安全标准、预定义的安全策略或自定义的安全风险阈值等）。状态值集合可以是｛满足、不满足｝、｛高风险、中风险、低风险｝、｛达到安全等级、没有达到安全等级｝等集合。获得状态值的判断依据是系统当前的安全控制是否符合既定的安全策略。通过安全评估，信息系统拥有者可以获得投入运行的信心和相关的许可证明；同时，结合业务的发展，还可以确定未来的安全需求，包括安全策略、安全管理、安全功能、安全设备等方面的变更需求。安全风险评估针对的是风险三因素：资产、威胁和安全隐患（或脆弱性），根据风险的基本要素可知风险评估的主要功能是：资产分析、脆弱性评测、威胁分析以及风险估算。完整的安全评估包括如下过程：资产分析。根据系统资产的重要性敏感级别，为其标定价值。当然价值不仅仅是资金的多少，和保密性、完整性和可用性等相关。威胁分析。针对信息系统现状，并根据威胁的统计调查，确定系统可能面临的威胁。对策分析。标识系统所有者对资产采取的安全保护措施，并检查其实现情况。脆弱性分析。检测安全保护措施可能存在的脆弱性，以及系统其他方面的脆弱性（如因软件编程不符合规范所致的安全漏洞等）。安全风险分析。综合以上安全因素，按照既定的计算方法，估算资产的风险度，以确定系统的安全需求。本文研究的是基于安全等级的风险评估。根据信息系统的特点和风险状况，对信息系统需求进行等级划分，实施不同级别的保护措施。从管理的职能看，没有度量就没有管理，而评估就是一种度量，因此，为控制风险，-4-必须先评估风险。考察整个信息安全建设过程，即可得到其风险点和安全评估的时机。图3信息安全建设过程Ⅰ应用层面业务战略和IT战略；信息资源经济特性和信息级别；业务价值创造和业务系统级别；业务流程及价值创造中的安全风险和需求业务流程中的安全控制设计；应用软件的安全性设计业务流程中的安全控制实现；应用软件代码安全性测试；应用软件分发和操作业务流程安全性是否符合安全等级要求性；应用软件安全性是否与设计的一致业务流程安全性监控；业务流程评价；应用软件安全维护平台层面IT基础设施现状分析；IT基础设施安全需求网络区域级别和安全构架设计；IT基础设施的安全控制设计网络区域部署和调整；IT基础设施的安全控制实现网络区域划分是否符合安全等级要求；IT基础设施的安全控制是否与设计一致IT基础设施的安全检测、评估应急和维护等规范、流程设计产品层面现有安全产品情况安全产品功能指标设计安全产品选择、部署、配置安全产品的类型、配置是否与设计的一致且符合安全等级要求安全产品检查和评估以及实施指南安全服务安全评估安全设计咨询安全性实现和测试安全评估验证安全运行规范设计图4信息安全建设过程Ⅱ信息系统风险评估的主要方法包括：资产评估、威胁评估、脆弱性评估和现有的安全措施评估。资产评估资产评估是确定资产的信息安全属性（机密性、完整性、可用性等）受到破坏而对信2356141－立项项目定义和目标项目可行性项目总体规划2－安全需求获取安全评估安全需求说明4－安全设计安全技术标准设计安全管理设计安全保障方案5－安全选型和集成选择安全设备部署和配置安全设备6－安全验证和认可验证安全设备的有效性认可安全建设投入运行3－安全规划安全目标实施步骤资源要求成本核算规划设计实现验证运维-5-息系统造成的影响的过程。在风险评估中，资产评估包含信息资产识别、资产赋值等内容。⑴资产识别资产识别是对信息资产分类、标记的过程，是风险评估的入口点。在确定评估抽样范围后，需要对抽样资产进行识别。资产识别是为了了解资产状况、确定资产价值而进行的准备工作。对评估范围内的资产进行分类识别，是进行系统的和结构化风险分析的基础。参照GB/T19716－2005《信息技术－信息安全管理实用规则》对信息资产的描述和定义，将信息资产按照表1的方法分类。信息资产分类表类别解释信息以物理或电子的方式记录的数据，或者用于完成企业使命任务的知识产权。软件软件应用程序，如操作系统、数据库应用程序、网络软件、办公应用程序、客户应用程序等，用于处理信息。硬件信息技术的物理设备，例如工作站、服务器等。人员指企业中拥有独特技能、知识和经验的、他人难以替代的人。系统处理信息的信息系统，代表一组信息、软件和硬件资产。⑵资产安全要求识别资产总是分布于不同的业务系统中，是业务系统的组成部分，相同的资产在不同的业务系统中会表现出不同的安全属性，因此，资产的识别过程需要将资产按照所属业务系统的情况进行标记，并根据业务系统总体的安全属性来调整对资产的评估。资产安全要求的流程图如下图所示：图5资产安全要求识别流程图资产归并系统分解数据分析与关联安全属性判定安全属性判定将资产与系统分组，每个系统包含与其相关的所有信息设施将系统分解成信息、硬件、软件等部分对系统操控的数据进行分类，并与分解的资产进行关联根据数据分析明确分解后系统组成部分的安全属性根据系统分解、数据安全属性对资产的各组成部分提出安全要求-6-⑶资产赋值综合考虑了资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。评估中，对于不同类型资产考虑其机密性、完整性和可用性安全要求，通过对资产的安全要求的判定，确定其重要程度。对不同类型资产考虑的安全属性的定义如下：⒈系统系统安全属性说明资产属性说明机密性未经授权不能使用、浏览、查看系统上的信息完整性系统上的信息只能由获得授权的人进行修改、删除等操作可用性在任何需要的时候，系统中的信息都必须是可用的⒉信息信息资产安全属性说明资产属性说明机密性未经授权不能使用、浏览、查看信息完整性信息只能由获得受权的人进行修改、删除等操作可用性在任何需要的时候，信息都必须是可用的⒊软件软件资产安全属性说明资产属性说明机密性未经授权不能使用软件完整性只有经过受权才能对软件进行修改、删除等操作可用性在需要的时候，软件必须是可