◆張 惠

信息系統(tǒng)運維階段信息安全風險評估工作研究

◆張 惠

（國家知識產權局專利局專利審查協(xié)作河南中心 河南 450018）

隨著信息系統(tǒng)的廣泛使用，信息系統(tǒng)的安全工作得到越來越多的重視，識別信息系統(tǒng)的安全風險，解決信息系統(tǒng)的安全問題變得尤為重要。信息安全風險評估作為信息安全保障的基礎性工作，從風險管理的角度，系統(tǒng)的分析信息系統(tǒng)面臨威脅和脆弱性，并據此進行安全措施的實施，以將不可接受的風險控制在最低。信息安全風險評估可用于信息系統(tǒng)生命周期各階段的風險評估工作，不同階段的風險評估對象、目的和要求可能有所不同，但風險評估的原則和方法都是一致的。信息系統(tǒng)運維階段的風險評估是了解和控制運行過程的安全風險，是一種較為全面的風險評估工作，本文以對門戶網站系統(tǒng)運維階段的信息安全風險評估工作為例，對風險評估工作的過程進行詳細的分析與說明，以供企事業(yè)單位自評估信息系統(tǒng)參考。

信息安全風險評估；威脅識別；脆弱性識別；風險管理

0 引言

隨著信息系統(tǒng)的廣泛使用，信息系統(tǒng)的安全工作得到越來越多的關注和重視，信息系統(tǒng)風險管理是信息系統(tǒng)安全運行的重要基礎保障工作，而信息安全風險評估則為信息系統(tǒng)風險管理的重要基礎。信息安全風險評估作為信息系統(tǒng)安全保障工作的基礎性工作，貫穿于信息系統(tǒng)規(guī)劃、設計、實施、運行維護等各個階段。信息系統(tǒng)的運維階段，不可避免地會發(fā)生信息系統(tǒng)的更新，需對信息系統(tǒng)安全管理進行持續(xù)性的改進，通過風險評估可確保系統(tǒng)滿足相應的安全需求。門戶網站作為企事業(yè)單位宣傳的重要信息系統(tǒng)，幾乎已經成為每個企事業(yè)單位必備的信息系統(tǒng)，本文以門戶網站系統(tǒng)為例，針對其運維階段的風險評估工作進行說明，以供企事業(yè)單位信息系統(tǒng)風險評估管理工作參考。

1 相關概念

1.1信息安全風險評估

信息安全風險評估，是指依據國家有關信息安全技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的保密性、完整性和可用性等安全屬性進行評價的過程。它評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事一旦發(fā)生對單位造成的影響。

1.2資產及資產價值

資產是指對單位具有價值的信息或資源。資產價值是資產重要性和敏感程度性的表征，是資產的屬性，是進行資產評估的具體內容，而不是資產購買時的價值。

1.3威脅及威脅分類

威脅是指客觀存在對資產或單位造成損害的潛在原因。分為人為因素和環(huán)境因素，人為因素分為有意和無意，環(huán)境因素分為自然界不可抗拒的因素和其它物理因素。

1.4脆弱性及分類

脆弱性是指資產或資產中能被威脅利用的弱點，涉及物理層、網絡層、系統(tǒng)層、應用層、管理層等各個層面的安全問題。

2 信息系統(tǒng)運維階段風險評估流程

信息系統(tǒng)運維階段風險評估的目的是了解和控制運行過程中的安全風險，是較為全面的風險評估，評估的內容包括運行的信息系統(tǒng)、資產、威脅、脆弱性等內容，其評估流程主要分為以下三個階段，如下圖1所示，具體每個階段的詳細描述如下。

2.1風險評估準備階段

風險評估準備階段，主要開展確定評估范圍，確定評估團隊，確定評估依據和評估方法，制訂評估工作方案等工作。

2.2系統(tǒng)評估階段

系統(tǒng)評估階段，在整個風險評估過程占有較大比重，期間需要完成系統(tǒng)的資產識別與賦值，威脅識別與賦值，脆弱性識別與賦值，已有安全措施的確認等工作。

2.3風險分析及管理階段

在完成了資產識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響。

通過等級化處理的風險結果，可實現(xiàn)對不同風險的直觀比較，從而根據不同側重點的風險分析結果，提出一個可接受的風險范圍，并對不可接受的風險制定詳細的風險處理計劃，將系統(tǒng)風險降到最低。

圖1 信息安全風險評估流程

3 信息系統(tǒng)運維階段風險評估工作的實施

3.1風險評估準備

風險評估準備是進行風險評估工作的基礎，是風險評估過程有序開展的重要保障，針對門戶網站系統(tǒng)運維階段的風險評估工作需做準備工作，如表1。

3.2系統(tǒng)評估

（1）資產識別及賦值

根據資產在門戶網站系統(tǒng)中的角色對信息資產進行分類識別，綜合考慮信息資產的保密性、完整性和可用性，根據《信息安全風險評估規(guī)范》對保密性、完整性和可用性的分級標準結合企事業(yè)單位自身的特點進行賦值，針對門戶網站的資產分類及資產賦值如下表2。

（2）威脅識別及賦值

作為風險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統(tǒng)而言，它總是一定存在。威脅可能源于對系統(tǒng)直接或間接的攻擊，例如：信息泄露、篡改、刪除等，破壞信息的保密性、完整性或可用性。

表1 評估工作準備表

表2 資產識別與賦值表

根據威脅源的分類和威脅的表現(xiàn)形式，結合資產所處的環(huán)境條件和資產以前遭受威脅，按照《信息安全風險評估規(guī)范》中威脅的賦值方法， 針對門戶網站系統(tǒng)運維階段的威脅及賦值如下表3。

表3 威脅識別與賦值表

（3）脆弱性識別及賦值

脆弱性只有被威脅利用了之后才會導致安全事件，脆弱性評估需要針對評估范圍內的每項資產，找出所有被威脅利用的脆弱性，并對脆弱性的嚴重程度進行評估。脆弱性的評估主要從技術和管理兩個方面進行。由于不同單位的門戶網絡系統(tǒng)建設過程中使用的產品具有差異性，所以本文不再對個例系統(tǒng)的脆弱性一一進行賦值，而是針對門戶網站系統(tǒng)運維階段如何進行脆弱性賦值進行介紹，詳情如下表4。

表5 管理脆弱性識別與賦值分析

除以上表5對門戶網站的脆弱性識別與賦值之外，還可通過模擬惡意黑客攻擊滲透測試方法，進行網絡系統(tǒng)安全的評估，以發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，如SQL注入、敏感信息泄露、腳本執(zhí)行漏洞、暴力破解漏洞、安全策略配置漏洞、操作系統(tǒng)漏洞等。

（4）已有安全措施確認

安全措施分為預防性安全措施和保護性安全措施兩種，預防性安全措施可以降低威脅發(fā)生的可能性，保護性安全措施可以減少威脅造成的影響。安全措施的確認，不僅僅是確認系統(tǒng)中有哪些安全產品、方法或配置，而是需要從系統(tǒng)的各個層面上對已有的安全措施進行確認，安全措施的確認應兼顧管理與技術，如安全策略、安全機構、安全制度、人員安全、物理安全、訪問控制、身份鑒別等方面進行一一的確認，以避免不必要的工作，防止安全措施的重復使用。

3.3風險分析管理

（1）風險等級判定

完成資產識別、威脅識別、脆弱性識別以及對已有安全措施確認后，采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性。參考選擇《信息安全風險評估規(guī)范》（GB/T 20984-2015）給出的風險計算方法，計算出資產的風險值，對評估結果進行等級化處理，等級化的處理結果可參考以下表6示例。

（2）風險處理

綜合考慮相關法律法規(guī)、單位業(yè)務發(fā)展方向，對存在風險等級高，單位不可接受的風險，統(tǒng)籌考慮國家相關法律法規(guī)要求、單位發(fā)展情況、人員素質水平、管理要求、技術力量、資金成本等選擇適當?shù)奶幚矸绞剑y(tǒng)一制訂風險處理計劃。

風險的處理方式包括：回避風險、降低風險、轉移風險和接受風險。

表6 風險分析表

（3）殘余風險處理

采取了風險處理措施后，為確保措施的有效性，可再次進行評估，以確認殘余風險是否降到可接受的水平，如殘余風險仍處于不可接受的范圍之內，應考慮增加相應的安全措施，如有必要可再次進行評估。

4 結束語

本文以門戶網站運維階段的信息安全風險評估工作為例，對信息系統(tǒng)運維階段的風險評估工作進行了詳細的說明，包括風險評估工作的準備、風險評估工作的評估及風險分析管理，雖然不同的信息系統(tǒng)用途有所不同，但風險評估工作的過程大體無差，本文可供企事業(yè)單位進行信息系統(tǒng)自評估工作做參考。

[1]沈昌祥，左曉棟.信息安全[M].浙江:浙江大學出版社，2007.

[2]公安部信息安全等級保護評估中心.信息安全等級保護政策培訓教程.北京:電子工業(yè)出版社，2010.

[3]陸寶華，王曉宇.信息安全等級保護技術基礎培訓教程.北京:電子工業(yè)出版社，2010.

[4]陸寶華.信息安全等級保護基本要求培訓教程.北京:電子工業(yè)出版社，2010.

[5]吳亞非，李新友，祿凱.信息安全風險評估.北京:清華大學出版社，2007.

[6]范紅等.信息安全風險評估方法與應用[M].北京:清華大學出版社，2006.

[7]GB/T 22239-2008, 信息系統(tǒng)安全等級保護基本要求》[S].

[8]GB/T 22240-2008, 信息系統(tǒng)安全等級保護定級指南[S].

[9]GB 17859-1999, 計算機信息系統(tǒng)安全保護等級劃分準則[S].

[10]GB/T 25058-2010, 信息系統(tǒng)安全等級保護實施指南[S].

[11]GB/T 20984-2015, 信息安全風險評估規(guī)范[S ].

[12]GB/T 9361-2011, 計算機場地安全要求[S].

[13]GB/T 18336-2015, 信息技術 安全技術 信息技術安全評估準則[S].

[14]GB/T 22081-2016, 信息技術 安全技術 信息安全控制實踐指南[S].

[15]GB/T 20272-2006, 信息技術 操作系統(tǒng)安全技術要求[S].

[16]GB/T 20273-2006, 信息技術 數(shù)據庫管理系統(tǒng)安全技術要求[S].