曾志廉 黃丹鳳

摘要：本文分析了信息安全風(fēng)險評估業(yè)務(wù)的工作流程，在此基礎(chǔ)上設(shè)計了以安全知識庫為支撐，以業(yè)務(wù)系統(tǒng)及其相關(guān)信息資產(chǎn)的信息安全風(fēng)險評估要素為對象，以風(fēng)險評估過程為主要業(yè)務(wù)流程的信息安全風(fēng)險評估管理系統(tǒng)的模型。

關(guān)鍵詞：信息安全；風(fēng)險評估；系統(tǒng)設(shè)計

中圖分類號：G647 文獻標志碼：A 文章編號：1674-9324（2016）23-0249-02

一、引言

信息時代為國家和個人提供了全新的發(fā)展機遇和生活空間，但也帶來了新的安全威脅。信息安全的威脅可能來自內(nèi)部的破壞、外部的攻擊、內(nèi)外勾結(jié)的破壞和信息系統(tǒng)自身的意外事故等，因此我們應(yīng)按照風(fēng)險管理的思想，對可能的威脅和需要保護的信息資源進行風(fēng)險分析，以便采取安全措施，妥善應(yīng)對可能發(fā)生的安全風(fēng)險。信息安全風(fēng)險評估是依據(jù)國家信息安全風(fēng)險評估有關(guān)管理要求和技術(shù)標準，對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等安全屬性進行科學(xué)、公正的綜合評價的過程。根據(jù)ISO27001的管理思想，信息安全風(fēng)險評估在信息安全管理的PDCA環(huán)中是一個很重要的過程，如何處理信息安全風(fēng)險評估所產(chǎn)生的數(shù)據(jù)，是每一個信息安全管理者都非常迫切需要解決的一個問題。最好的解決方法是開發(fā)出一套實用性強、可操作性高的系統(tǒng)安全風(fēng)險評估管理工具。

二、風(fēng)險評估過程

信息安全風(fēng)險評估系統(tǒng)的設(shè)計是針對組織開展信息安全風(fēng)險評估的過程。這個過程包括對信息系統(tǒng)中的安全風(fēng)險識別、信息收集、評估和報告等。風(fēng)險評估的實施過程如下頁圖1。

1.評估前準備。在風(fēng)險評估實施前，需要對以下工作進行確定：確定風(fēng)險評估的目標、確定風(fēng)險評估的范圍、組建風(fēng)險評估團隊、進行系統(tǒng)調(diào)研、確定評估依據(jù)和方法、制定評估計劃和評估方案、獲得最高管理者對工作的支持。

2.資產(chǎn)識別。資產(chǎn)識別過程分為資產(chǎn)分類和資產(chǎn)評價兩個階段。資產(chǎn)分類是將單位的信息資產(chǎn)分為實物資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、服務(wù)資產(chǎn)和無形資產(chǎn)六類資產(chǎn)進行識別；資產(chǎn)評價是對資產(chǎn)的三個安全屬性保密性、可用性及完整性分別等級評價及賦值，經(jīng)綜合評定后，得出資產(chǎn)的價值。

3.威脅識別。威脅識別主要工作是評估者需要從每項識別出的資產(chǎn)出發(fā)，找到可能遭受的威脅。識別威脅之后，還需要確定威脅發(fā)生的可能性。

4.脆弱性識別。評估者需要從每項識別出的資產(chǎn)和對應(yīng)的威脅出發(fā)，找到可能被利用的脆弱性。識別脆弱性之后，還需要確定弱點可被利用的嚴重性。

5.已有安全措施確認。在識別脆弱性的同時，評估人員將對已采取的安全措施的有效性進行確認，評估其是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。

6.風(fēng)險分析。風(fēng)險評估中完成資產(chǎn)賦值、威脅評估、脆弱性評估后，在考慮已有安全措施的情況下，利用恰當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險。

三、系統(tǒng)設(shè)計

1.用角色設(shè)計。系統(tǒng)角色分為三種類型，各用戶在登錄后自動轉(zhuǎn)入各自的操作頁面。A.超級管理員：擁有系統(tǒng)所有權(quán)限；B.評估項目管理員：可以對所負責(zé)的評估項目進行管理，對評估人員進行分工和權(quán)限管理；C.評估人員：負責(zé)由項目管理員分配的測評工作，將評估數(shù)據(jù)導(dǎo)入系統(tǒng)。

2.系統(tǒng)模型。根據(jù)信息安全風(fēng)險評估管理的業(yè)務(wù)需求，我們構(gòu)建了以安全知識庫為支撐，以風(fēng)險評估流程為系統(tǒng)主要業(yè)務(wù)流，以受測業(yè)務(wù)系統(tǒng)及其相關(guān)信息資產(chǎn)的風(fēng)險評估要素為對象的信息安全風(fēng)險評估綜合管理系統(tǒng)模型，系統(tǒng)模型如圖2所示。

3.系統(tǒng)功能設(shè)計。信息安全風(fēng)險評估綜合管理系統(tǒng)的功能模塊包括：①風(fēng)險評估項目管理：評估項目管理模塊包括評估項目的建立、項目列表、項目設(shè)置等功能。主要輸入項：項目名稱、評估時間、評估對象等；主要輸出項：項目計劃書。②信息安全需求調(diào)研管理：該模塊用于用戶填寫安全調(diào)研問卷，為安全評估提供數(shù)據(jù)支持。主要輸入項：用戶ID、調(diào)查答案；主要輸出項：問卷標題、調(diào)查題內(nèi)容。③資產(chǎn)識別。系統(tǒng)提供的資產(chǎn)識別，包括：硬件、軟件、數(shù)據(jù)等，根據(jù)業(yè)務(wù)系統(tǒng)對組織戰(zhàn)略的影響程度，對相關(guān)資產(chǎn)的重要性進行評價；主要輸入項：評估對象（信息資產(chǎn)）、賦值規(guī)則；主要輸出項：資產(chǎn)識別匯總表、資產(chǎn)識別報告。④威脅識別。威脅識別：系統(tǒng)提供多種網(wǎng)絡(luò)環(huán)境的威脅模板，支持和幫助用戶進行威脅識別和分析，并提供資產(chǎn)、脆弱性、威脅自動關(guān)聯(lián)功能：主要輸入項：評估對象、賦值規(guī)則；主要輸出項：威脅識別匯總表、威脅識別報告。⑤脆弱性識別。脆弱性識別：系統(tǒng)可提供多種系統(tǒng)的脆弱性識別功能，包括：主機、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等對象的脆弱性識別。系統(tǒng)支持常用漏洞掃描軟件掃描結(jié)果的導(dǎo)入，目前支持的掃描系統(tǒng)有：Nessus、NMap等，主機系統(tǒng)支持：Windows、Linux、Unix等，數(shù)據(jù)庫支持：MSSQL、Oracle等：主要輸入項：評估對象、漏洞掃描結(jié)果、賦值規(guī)則；主要輸出項：漏洞掃描報告、脆弱性識別匯總表、脆弱性識別報告。⑥安全措施識別。安全措施識別：系統(tǒng)提供基于技術(shù)、管理等方面的安全措施檢查功能，幫助用戶了解目前的安全狀況，找到安全管理問題，確定安全措施的有效性：主要輸出項：安全措施識別匯總表、安全措施識別報告。⑦風(fēng)險分析。系統(tǒng)通過資產(chǎn)評價、脆弱性評價、威脅評價、安全措施有效性評價、風(fēng)險分析等工作，可自動生成安全風(fēng)險評估分析報告。主要輸入項：評估對象、資產(chǎn)值、脆弱性值、威脅值、安全措施值、計算規(guī)則；主要輸出項：風(fēng)險計算匯總表、風(fēng)險分析報告。⑧評估結(jié)果管理。主要功能是對歷史記錄查詢與分析。匯總所有的安全評估結(jié)果進行綜合分析，并生成各階段風(fēng)險評估工作報告，主要包括如下：《資產(chǎn)識別報告》、《漏洞掃描報告》、《威脅識別報告》、《脆弱性識別報告》、《控制措施識別報告》、《風(fēng)險分析報告》。并可對當(dāng)期風(fēng)險評估結(jié)果和原始數(shù)據(jù)進行轉(zhuǎn)存或備份。在有需要時能調(diào)出評估歷史數(shù)據(jù)進行查詢及風(fēng)險趨勢分析。⑨信息安全知識庫更新維護。信息安全知識庫的更新維護主要對象有：系統(tǒng)漏洞庫、安全威脅庫、安全脆弱點庫、控制措施庫。為避免造成數(shù)據(jù)的冗余，系統(tǒng)將在各評估項目中需要反復(fù)使用的數(shù)據(jù)歸入基礎(chǔ)數(shù)據(jù)庫進行管理，在進行評估活動時再從基礎(chǔ)庫提取有關(guān)數(shù)據(jù)，這樣也能減少重復(fù)的輸入工作。⑩數(shù)據(jù)接口。導(dǎo)入數(shù)據(jù)接口：資產(chǎn)庫、脆弱點庫、威脅庫、控制措施庫。支持以下常用的格式：如EXCEL文件等；常用的漏洞掃描工具：如綠盟、啟明星辰、NESSUS、NMAP等。

四、結(jié)束語

該系統(tǒng)設(shè)計是以信息安全風(fēng)險評估工作流程為基礎(chǔ)，進行信息安全評估項目管理、風(fēng)險要素數(shù)據(jù)收集與輔助風(fēng)險分析的系統(tǒng)，在實際風(fēng)險管理過程中，可引入了質(zhì)量管理理念——PDCA循環(huán)，即通過監(jiān)控每一階段的信息系統(tǒng)風(fēng)險情況，及時發(fā)現(xiàn)問題，不斷調(diào)整風(fēng)險控制工作計劃，從而實現(xiàn)信息安全風(fēng)險管理的工作目標。

參考文獻

[1]GB/T 20984-2007，信息安全風(fēng)險評估規(guī)范[S].信息安全技術(shù).

[2]GBZ 24364-2009，信息安全風(fēng)險管理指南[S].信息安全技術(shù).