陳 頌， 王光偉， 劉欣宇， 杜 娟

(①北京市裝甲兵工程學(xué)院信息系計(jì)算機(jī)教研室，北京 100072；②北京市96610部隊(duì)，北京 102208)

0 引言

隨著全球信息化步伐的加快和網(wǎng)絡(luò)信息系統(tǒng)基礎(chǔ)性作用的日益增強(qiáng)，以網(wǎng)絡(luò)為載體、信息資源為核心的新經(jīng)濟(jì)改變了傳統(tǒng)的資產(chǎn)運(yùn)營(yíng)模式，中國(guó)的社會(huì)經(jīng)濟(jì)和快速發(fā)展對(duì)信息網(wǎng)絡(luò)和系統(tǒng)等基礎(chǔ)設(shè)施的依賴性越來(lái)越大。然而，由于信息網(wǎng)絡(luò)和信息系統(tǒng)本身的已有缺陷以及與之密切相連的網(wǎng)絡(luò)環(huán)境的復(fù)雜性，信息系統(tǒng)容易遭受病毒、木馬、惡意代碼、網(wǎng)絡(luò)攻擊、物理故障等多個(gè)方面的威脅，導(dǎo)致這些信息系統(tǒng)的整體癱瘓或信息泄露，從而給人類財(cái)產(chǎn)造成重大甚至是災(zāi)難性的損失。

針對(duì)信息系統(tǒng)安全性帶來(lái)的巨大挑戰(zhàn)，近年來(lái)人們加大了信息系統(tǒng)安全性研究的力度，并設(shè)計(jì)了眾多安全性保障措施，以提高信息系統(tǒng)的安全性。然而，由于安全性是一個(gè)復(fù)雜的綜合概念，信息系統(tǒng)的安全性度量和評(píng)估一直都未得到有效的解決。通過(guò)長(zhǎng)時(shí)間社會(huì)實(shí)踐探索，逐漸意識(shí)將基于安全風(fēng)險(xiǎn)（Security Risk）的系統(tǒng)評(píng)估方法引入到信息系統(tǒng)的重要性。通過(guò)采用安全風(fēng)險(xiǎn)評(píng)估方法，可以采用風(fēng)險(xiǎn)大小來(lái)分析信息系統(tǒng)在機(jī)密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)信息系統(tǒng)安全的主要問(wèn)題和矛盾，從而為安全風(fēng)險(xiǎn)的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散等決策提供依據(jù)，以最大限度地控制和化解安全威脅。

本文系統(tǒng)地介紹信息系統(tǒng)安全風(fēng)險(xiǎn)分析的概念，分析風(fēng)險(xiǎn)評(píng)估的基本要素和常見(jiàn)的安全風(fēng)險(xiǎn)評(píng)測(cè)方法。系統(tǒng)性考慮信息網(wǎng)絡(luò)和信息系統(tǒng)面臨的安全威脅、存在的脆弱性以及已經(jīng)確知的安全控制策略等因素，提出一種信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的流程，從而提高風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性。

1 信息安全風(fēng)險(xiǎn)評(píng)測(cè)的概念

所謂信息安全風(fēng)險(xiǎn)評(píng)測(cè)評(píng)估，是從安全風(fēng)險(xiǎn)管理層面出發(fā)，運(yùn)用科學(xué)的手段和方法，系統(tǒng)性地研究網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估信息系統(tǒng)與網(wǎng)絡(luò)中一旦發(fā)生安全事件將會(huì)對(duì)信息系統(tǒng)所造成的危害程度，有針對(duì)性提出抵御信息系統(tǒng)所面臨威脅的防護(hù)措施和策略，同時(shí)為防范信息安全風(fēng)險(xiǎn)、化解信息安全風(fēng)險(xiǎn)，或?qū)L(fēng)險(xiǎn)控制在可接受范圍，從而最大程度地為網(wǎng)絡(luò)和信息系統(tǒng)的安全保障提供可信賴科學(xué)依據(jù)［1］。

1.1 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估要素：

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估主要包括以下 3個(gè)要素［2-3］:

1）價(jià)值資產(chǎn)（Importance Asset）:所有對(duì)單位或組織具有價(jià)值的東西，包括計(jì)算機(jī)、基礎(chǔ)通信設(shè)施、建筑物、數(shù)據(jù)庫(kù)系統(tǒng)、檔案信息、信息系統(tǒng)、軟硬件、和單位職工等，所有這些價(jià)值資產(chǎn)都需要妥善保護(hù)。

2）信息威脅(Information Threat):是可能對(duì)價(jià)值資產(chǎn)或單位造成嚴(yán)重?fù)p害的事件的潛在原因，即威脅源（Threat Source）或威脅組織（Threat Agent）成功利用信息系統(tǒng)存在的弱點(diǎn)對(duì)價(jià)值資產(chǎn)造成負(fù)面的、潛在的影響的一種可能性。

3）潛在攻擊點(diǎn)（Potential Vulnerability）：稱為漏洞或脆弱性，即價(jià)值資產(chǎn)中存在的可能被攻擊者用于威脅信息系統(tǒng)的缺點(diǎn)。

除此之外信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估要素還包括隱形風(fēng)險(xiǎn)、潛在可能性、系統(tǒng)影響、抗風(fēng)險(xiǎn)措施、存留風(fēng)險(xiǎn)等。圖1給出了風(fēng)險(xiǎn)評(píng)估各要素及相互關(guān)系［4］。

1.2 風(fēng)險(xiǎn)評(píng)估分析方法

信息系統(tǒng)的常用的風(fēng)險(xiǎn)評(píng)估方法一般分為定性、定量和基于評(píng)估模型分析法3種，具體方法介紹如下［5-6］：

1）定性法：即是以被評(píng)估對(duì)象的描述性信息作為基本數(shù)據(jù)，依據(jù)信息系統(tǒng)的評(píng)估理論、歷史經(jīng)驗(yàn)數(shù)據(jù)和研究者對(duì)被研究者的感性認(rèn)識(shí)進(jìn)行系統(tǒng)性分析、邏輯推導(dǎo)、全面總結(jié)，最后做出研究結(jié)論。定性法一般只用于對(duì)安全風(fēng)險(xiǎn)進(jìn)行識(shí)別，對(duì)導(dǎo)致風(fēng)險(xiǎn)的原因進(jìn)行分析，對(duì)威脅所造成影響進(jìn)行分析等幾個(gè)方面。

2）定量法：即是研究者通過(guò)試驗(yàn)或?qū)嵺`方法，采取一定方法量化試驗(yàn)或?qū)嵺`所收集的數(shù)據(jù)，并以此作為研究被研究對(duì)象基礎(chǔ)材料，依據(jù)相應(yīng)數(shù)學(xué)方法進(jìn)行計(jì)算、分析，最后得出定量的結(jié)論數(shù)據(jù)。定量法主要應(yīng)用于計(jì)算信息系統(tǒng)安全威脅發(fā)生概率，預(yù)測(cè)信息系統(tǒng)安全風(fēng)險(xiǎn)發(fā)生概率和確立系統(tǒng)總體風(fēng)險(xiǎn)評(píng)價(jià)等幾個(gè)方面。

3）基于評(píng)估模型分析法：在風(fēng)險(xiǎn)評(píng)估理論的指導(dǎo)下，結(jié)合定量、定性分析方法，重點(diǎn)針對(duì)被評(píng)估信息系統(tǒng)的實(shí)際要素（包括價(jià)值資產(chǎn)、安全風(fēng)險(xiǎn)、安全措施防范性等）建立有科學(xué)的、合理的、有效性的安全風(fēng)險(xiǎn)評(píng)估模型，其目的是引導(dǎo)信息系統(tǒng)更好進(jìn)行自主評(píng)估，發(fā)揮安全風(fēng)險(xiǎn)評(píng)估的指導(dǎo)作用。

2 信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施流程

為了確定未來(lái)有害事件發(fā)生的可能性，必須要對(duì)信息系統(tǒng)面臨的威脅、可能的脆弱性及信息系統(tǒng)中已經(jīng)確認(rèn)的安全控制一起進(jìn)行分析。為此，結(jié)合風(fēng)險(xiǎn)評(píng)估的一般過(guò)程，并綜合考慮信息系統(tǒng)面臨的威脅、潛在的脆弱性以及安全控制確知等因素，提出了風(fēng)險(xiǎn)評(píng)估過(guò)程如圖2所示。

1）風(fēng)險(xiǎn)評(píng)估準(zhǔn)備過(guò)程是開(kāi)展風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，是整個(gè)系統(tǒng)風(fēng)險(xiǎn)評(píng)估過(guò)程是否有效的保證。開(kāi)展風(fēng)險(xiǎn)評(píng)估對(duì)于信息系統(tǒng)而言是信一種戰(zhàn)略性的考慮，其評(píng)估結(jié)果將會(huì)受到業(yè)務(wù)安全需求及單位戰(zhàn)略目標(biāo)、組織文化、信息流程、組織規(guī)模和組織結(jié)構(gòu)的影響。不同單位對(duì)于風(fēng)險(xiǎn)評(píng)估的實(shí)施存在不同的要求，因此風(fēng)險(xiǎn)評(píng)估實(shí)施前必須做好工作有：a.明確風(fēng)險(xiǎn)評(píng)估的范圍；b.確立風(fēng)險(xiǎn)評(píng)估的目標(biāo)；c.成立有效的組織結(jié)構(gòu)；d.選用可行的風(fēng)險(xiǎn)評(píng)估方法；e.取得最高管理者的同意和經(jīng)濟(jì)支持。

2）資產(chǎn)估價(jià)與識(shí)別。按照信息系統(tǒng)的業(yè)務(wù)操作流程進(jìn)行價(jià)值資產(chǎn)識(shí)別，確定要保護(hù)的價(jià)值資產(chǎn)及其物理位置，并依據(jù)估價(jià)原則評(píng)價(jià)價(jià)值資產(chǎn)的重要程度。在對(duì)價(jià)值資產(chǎn)進(jìn)行有效估價(jià)時(shí)，不但要考慮價(jià)值資產(chǎn)的市場(chǎng)價(jià)格，同時(shí)要考慮價(jià)值資產(chǎn)對(duì)于信息系統(tǒng)重要性，即根據(jù)價(jià)值資產(chǎn)損失所導(dǎo)致的潛在風(fēng)險(xiǎn)性來(lái)決定。為確定價(jià)值資產(chǎn)估價(jià)準(zhǔn)確性，信息系統(tǒng)應(yīng)建立一個(gè)統(tǒng)一的風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)，以明確如何對(duì)價(jià)值資產(chǎn)進(jìn)行權(quán)重賦值。除此之外，還應(yīng)注重特定資產(chǎn)價(jià)值的動(dòng)態(tài)性和時(shí)效性。

3）系統(tǒng)信息的管理者、操作員、安全風(fēng)險(xiǎn)專家應(yīng)對(duì)信息系統(tǒng)進(jìn)行全面的安全風(fēng)險(xiǎn)分析。對(duì)信息系統(tǒng)采取的安全性分析方法包括現(xiàn)場(chǎng)調(diào)研、會(huì)議座談、理論建模、數(shù)學(xué)計(jì)算、仿真攻擊等方法，可應(yīng)用的分析技術(shù)手段有貝葉斯網(wǎng)絡(luò)法、事件樹(shù)分析法、故障樹(shù)分析法、危險(xiǎn)性和可操作性分析法、、寄生電路分析法、Petri網(wǎng)以及系統(tǒng)影響和危險(xiǎn)度分析法。其分析目的主要是識(shí)別價(jià)值資產(chǎn)所在環(huán)境中的存在的威脅，確定與安全威脅相對(duì)應(yīng)的資產(chǎn)或信息系統(tǒng)脆弱程度，評(píng)估可能威脅對(duì)信息系統(tǒng)造成的危害程度，從而為風(fēng)險(xiǎn)估計(jì)收集數(shù)據(jù)。

4）安全風(fēng)險(xiǎn)評(píng)估。在開(kāi)展風(fēng)險(xiǎn)評(píng)估時(shí)，可采取定性分析方法或定量分析方法。定性評(píng)估分析師不使用具體的數(shù)據(jù)表示，只采用邏輯語(yǔ)言描述方式描述相對(duì)程度；定量分析方法是要求關(guān)注價(jià)值資產(chǎn)的損失以及所受威脅的量化數(shù)據(jù)，主要采用概率統(tǒng)計(jì)的方法進(jìn)行描述。由于特定環(huán)境下安全風(fēng)險(xiǎn)發(fā)生的概率可表示為安全威脅發(fā)生的概率和信息系統(tǒng)脆弱點(diǎn)被利用的概率的數(shù)學(xué)函數(shù)，因此可利用聯(lián)合概率分布計(jì)算方法計(jì)算出安全事件的發(fā)生概率。

5）明確安全防護(hù)等級(jí)。開(kāi)展風(fēng)險(xiǎn)評(píng)估的最終目標(biāo)是確立信息系統(tǒng)所能達(dá)到安全保護(hù)等級(jí)。根據(jù)確定的安全防護(hù)措施及其安全性評(píng)估模型，對(duì)照安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)中設(shè)立的安全保護(hù)等級(jí)所規(guī)定的安全要求，即可計(jì)算出信息系統(tǒng)達(dá)到的安全保護(hù)等級(jí)，從而可完成安全等級(jí)保護(hù)風(fēng)險(xiǎn)評(píng)估的主要工作。

6）對(duì)于信息系統(tǒng)不可接受范圍內(nèi)的安全風(fēng)險(xiǎn)，應(yīng)重點(diǎn)選擇適當(dāng)?shù)陌踩雷o(hù)措施并對(duì)無(wú)法防護(hù)的殘余風(fēng)險(xiǎn)進(jìn)行系統(tǒng)評(píng)價(jià)，判定風(fēng)險(xiǎn)是否已經(jīng)降低到對(duì)系統(tǒng)影響最小的水平，為風(fēng)險(xiǎn)管理提供可行輸入。系統(tǒng)殘余風(fēng)險(xiǎn)的評(píng)價(jià)可參照組織風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則開(kāi)展，綜合考慮選定的和已有的安全防護(hù)措施對(duì)威脅發(fā)生可能性的降低程度。

7）系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果是信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的終極目標(biāo)。它將風(fēng)險(xiǎn)評(píng)估的結(jié)果數(shù)據(jù)以文檔的形式提供呈現(xiàn)給用戶，為信息系統(tǒng)的建設(shè)提供重要的參考數(shù)據(jù)和指導(dǎo)憑證。同時(shí)，在實(shí)施安全防護(hù)等級(jí)保護(hù)體系時(shí)，系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果文檔不僅要作為信息安全文檔加以保存，還要上報(bào)相關(guān)部門進(jìn)行備案，以加強(qiáng)系統(tǒng)安全保護(hù)的監(jiān)督和監(jiān)管。

3 結(jié)語(yǔ)

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估主要是對(duì)不同范疇、性質(zhì)、層次的風(fēng)險(xiǎn)因子，通過(guò)綜合歸納、系統(tǒng)比較形成一致性評(píng)價(jià)的過(guò)程。隨著各種系統(tǒng)風(fēng)險(xiǎn)評(píng)估工具的出現(xiàn)，信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估將從單純的技術(shù)評(píng)估發(fā)展為一體化風(fēng)險(xiǎn)評(píng)估，并向基于知識(shí)的評(píng)估和基于模型的評(píng)估方向發(fā)展。風(fēng)險(xiǎn)評(píng)估將導(dǎo)出信息系統(tǒng)的安全需求，因此所有信息系統(tǒng)的安全建設(shè)都應(yīng)該以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)，以服務(wù)于信息化建設(shè)和拓展。本文提出的安全風(fēng)險(xiǎn)評(píng)估流程，綜合考慮了信息系統(tǒng)所面臨安全威脅、潛在脆弱性以及安全防護(hù)確知等因素，可以在一定程度上提高安全風(fēng)險(xiǎn)評(píng)估的有效性和準(zhǔn)確性。在此基礎(chǔ)上，可以進(jìn)一步地確定關(guān)鍵信息資產(chǎn)及其估價(jià)，并對(duì)資產(chǎn)、安全事件、威脅、脆弱點(diǎn)之間的關(guān)系分析，研究并提出更加有效的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估模型。

[1] 蔡昱,張玉清,馮登國(guó).基于GB17859-1999標(biāo)準(zhǔn)體系的風(fēng)險(xiǎn)評(píng)估方法[J]. 計(jì)算機(jī)工程與應(yīng)用,2005(12): 134-137.

[2] THOMAS R P. Information Security Risk Analysis[M].[s.l.]: CRC Press LLC,2001.

[3] LUONG T N,ZHAO Liping, BILL Applebee. A Set Approach to RoleModelingTechnology of Object-Oriented Languages and Systems[C].USA:IEEE, 2000:158-169.

[4] 李娟,梁軍,李永杰.信息安全風(fēng)險(xiǎn)評(píng)估研究[J].計(jì)算機(jī)與數(shù)字工程,2006(11):64-66,71.

[5] The Basle Commitlee. Operational Risk Management Technology[S].[s.l.]: Risk Monitor, 2002.

[6] WRIGHT M. Third Generation Risk Management Practices[J]. Computer Fraud & Security,1999(02):9-11.

[7] NIST.Risk Management Guide for Information Technology Systems[EB/OL].(2001-09-01)[2011-09-08].http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.