陳 頌， 王光偉， 劉欣宇， 杜 娟

(①北京市裝甲兵工程學院信息系計算機教研室，北京 100072；②北京市96610部隊，北京 102208)

0 引言

隨著全球信息化步伐的加快和網(wǎng)絡信息系統(tǒng)基礎性作用的日益增強，以網(wǎng)絡為載體、信息資源為核心的新經(jīng)濟改變了傳統(tǒng)的資產(chǎn)運營模式，中國的社會經(jīng)濟和快速發(fā)展對信息網(wǎng)絡和系統(tǒng)等基礎設施的依賴性越來越大。然而，由于信息網(wǎng)絡和信息系統(tǒng)本身的已有缺陷以及與之密切相連的網(wǎng)絡環(huán)境的復雜性，信息系統(tǒng)容易遭受病毒、木馬、惡意代碼、網(wǎng)絡攻擊、物理故障等多個方面的威脅，導致這些信息系統(tǒng)的整體癱瘓或信息泄露，從而給人類財產(chǎn)造成重大甚至是災難性的損失。

針對信息系統(tǒng)安全性帶來的巨大挑戰(zhàn)，近年來人們加大了信息系統(tǒng)安全性研究的力度，并設計了眾多安全性保障措施，以提高信息系統(tǒng)的安全性。然而，由于安全性是一個復雜的綜合概念，信息系統(tǒng)的安全性度量和評估一直都未得到有效的解決。通過長時間社會實踐探索，逐漸意識將基于安全風險（Security Risk）的系統(tǒng)評估方法引入到信息系統(tǒng)的重要性。通過采用安全風險評估方法，可以采用風險大小來分析信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)信息系統(tǒng)安全的主要問題和矛盾，從而為安全風險的預防、減少、轉(zhuǎn)移、補償和分散等決策提供依據(jù)，以最大限度地控制和化解安全威脅。

本文系統(tǒng)地介紹信息系統(tǒng)安全風險分析的概念，分析風險評估的基本要素和常見的安全風險評測方法。系統(tǒng)性考慮信息網(wǎng)絡和信息系統(tǒng)面臨的安全威脅、存在的脆弱性以及已經(jīng)確知的安全控制策略等因素，提出一種信息系統(tǒng)安全風險評估的流程，從而提高風險評估的準確性。

1 信息安全風險評測的概念

所謂信息安全風險評測評估，是從安全風險管理層面出發(fā)，運用科學的手段和方法，系統(tǒng)性地研究網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估信息系統(tǒng)與網(wǎng)絡中一旦發(fā)生安全事件將會對信息系統(tǒng)所造成的危害程度，有針對性提出抵御信息系統(tǒng)所面臨威脅的防護措施和策略，同時為防范信息安全風險、化解信息安全風險，或?qū)L險控制在可接受范圍，從而最大程度地為網(wǎng)絡和信息系統(tǒng)的安全保障提供可信賴科學依據(jù)［1］。

1.1 信息系統(tǒng)安全風險評估要素：

信息系統(tǒng)安全風險評估主要包括以下 3個要素［2-3］:

1）價值資產(chǎn)（Importance Asset）:所有對單位或組織具有價值的東西，包括計算機、基礎通信設施、建筑物、數(shù)據(jù)庫系統(tǒng)、檔案信息、信息系統(tǒng)、軟硬件、和單位職工等，所有這些價值資產(chǎn)都需要妥善保護。

2）信息威脅(Information Threat):是可能對價值資產(chǎn)或單位造成嚴重損害的事件的潛在原因，即威脅源（Threat Source）或威脅組織（Threat Agent）成功利用信息系統(tǒng)存在的弱點對價值資產(chǎn)造成負面的、潛在的影響的一種可能性。

3）潛在攻擊點（Potential Vulnerability）：稱為漏洞或脆弱性，即價值資產(chǎn)中存在的可能被攻擊者用于威脅信息系統(tǒng)的缺點。

除此之外信息系統(tǒng)的風險評估要素還包括隱形風險、潛在可能性、系統(tǒng)影響、抗風險措施、存留風險等。圖1給出了風險評估各要素及相互關系［4］。

1.2 風險評估分析方法

信息系統(tǒng)的常用的風險評估方法一般分為定性、定量和基于評估模型分析法3種，具體方法介紹如下［5-6］：

1）定性法：即是以被評估對象的描述性信息作為基本數(shù)據(jù)，依據(jù)信息系統(tǒng)的評估理論、歷史經(jīng)驗數(shù)據(jù)和研究者對被研究者的感性認識進行系統(tǒng)性分析、邏輯推導、全面總結(jié)，最后做出研究結(jié)論。定性法一般只用于對安全風險進行識別，對導致風險的原因進行分析，對威脅所造成影響進行分析等幾個方面。

2）定量法：即是研究者通過試驗或?qū)嵺`方法，采取一定方法量化試驗或?qū)嵺`所收集的數(shù)據(jù)，并以此作為研究被研究對象基礎材料，依據(jù)相應數(shù)學方法進行計算、分析，最后得出定量的結(jié)論數(shù)據(jù)。定量法主要應用于計算信息系統(tǒng)安全威脅發(fā)生概率，預測信息系統(tǒng)安全風險發(fā)生概率和確立系統(tǒng)總體風險評價等幾個方面。

3）基于評估模型分析法：在風險評估理論的指導下，結(jié)合定量、定性分析方法，重點針對被評估信息系統(tǒng)的實際要素（包括價值資產(chǎn)、安全風險、安全措施防范性等）建立有科學的、合理的、有效性的安全風險評估模型，其目的是引導信息系統(tǒng)更好進行自主評估，發(fā)揮安全風險評估的指導作用。

2 信息安全風險評估的實施流程

為了確定未來有害事件發(fā)生的可能性，必須要對信息系統(tǒng)面臨的威脅、可能的脆弱性及信息系統(tǒng)中已經(jīng)確認的安全控制一起進行分析。為此，結(jié)合風險評估的一般過程，并綜合考慮信息系統(tǒng)面臨的威脅、潛在的脆弱性以及安全控制確知等因素，提出了風險評估過程如圖2所示。

1）風險評估準備過程是開展風險評估的基礎，是整個系統(tǒng)風險評估過程是否有效的保證。開展風險評估對于信息系統(tǒng)而言是信一種戰(zhàn)略性的考慮，其評估結(jié)果將會受到業(yè)務安全需求及單位戰(zhàn)略目標、組織文化、信息流程、組織規(guī)模和組織結(jié)構的影響。不同單位對于風險評估的實施存在不同的要求，因此風險評估實施前必須做好工作有：a.明確風險評估的范圍；b.確立風險評估的目標；c.成立有效的組織結(jié)構；d.選用可行的風險評估方法；e.取得最高管理者的同意和經(jīng)濟支持。

2）資產(chǎn)估價與識別。按照信息系統(tǒng)的業(yè)務操作流程進行價值資產(chǎn)識別，確定要保護的價值資產(chǎn)及其物理位置，并依據(jù)估價原則評價價值資產(chǎn)的重要程度。在對價值資產(chǎn)進行有效估價時，不但要考慮價值資產(chǎn)的市場價格，同時要考慮價值資產(chǎn)對于信息系統(tǒng)重要性，即根據(jù)價值資產(chǎn)損失所導致的潛在風險性來決定。為確定價值資產(chǎn)估價準確性，信息系統(tǒng)應建立一個統(tǒng)一的風險評價標準，以明確如何對價值資產(chǎn)進行權重賦值。除此之外，還應注重特定資產(chǎn)價值的動態(tài)性和時效性。

3）系統(tǒng)信息的管理者、操作員、安全風險專家應對信息系統(tǒng)進行全面的安全風險分析。對信息系統(tǒng)采取的安全性分析方法包括現(xiàn)場調(diào)研、會議座談、理論建模、數(shù)學計算、仿真攻擊等方法，可應用的分析技術手段有貝葉斯網(wǎng)絡法、事件樹分析法、故障樹分析法、危險性和可操作性分析法、、寄生電路分析法、Petri網(wǎng)以及系統(tǒng)影響和危險度分析法。其分析目的主要是識別價值資產(chǎn)所在環(huán)境中的存在的威脅，確定與安全威脅相對應的資產(chǎn)或信息系統(tǒng)脆弱程度，評估可能威脅對信息系統(tǒng)造成的危害程度，從而為風險估計收集數(shù)據(jù)。

4）安全風險評估。在開展風險評估時，可采取定性分析方法或定量分析方法。定性評估分析師不使用具體的數(shù)據(jù)表示，只采用邏輯語言描述方式描述相對程度；定量分析方法是要求關注價值資產(chǎn)的損失以及所受威脅的量化數(shù)據(jù)，主要采用概率統(tǒng)計的方法進行描述。由于特定環(huán)境下安全風險發(fā)生的概率可表示為安全威脅發(fā)生的概率和信息系統(tǒng)脆弱點被利用的概率的數(shù)學函數(shù)，因此可利用聯(lián)合概率分布計算方法計算出安全事件的發(fā)生概率。

5）明確安全防護等級。開展風險評估的最終目標是確立信息系統(tǒng)所能達到安全保護等級。根據(jù)確定的安全防護措施及其安全性評估模型，對照安全風險評估標準中設立的安全保護等級所規(guī)定的安全要求，即可計算出信息系統(tǒng)達到的安全保護等級，從而可完成安全等級保護風險評估的主要工作。

6）對于信息系統(tǒng)不可接受范圍內(nèi)的安全風險，應重點選擇適當?shù)陌踩雷o措施并對無法防護的殘余風險進行系統(tǒng)評價，判定風險是否已經(jīng)降低到對系統(tǒng)影響最小的水平，為風險管理提供可行輸入。系統(tǒng)殘余風險的評價可參照組織風險評估的準則開展，綜合考慮選定的和已有的安全防護措施對威脅發(fā)生可能性的降低程度。

7）系統(tǒng)風險評估結(jié)果是信息系統(tǒng)風險評估的終極目標。它將風險評估的結(jié)果數(shù)據(jù)以文檔的形式提供呈現(xiàn)給用戶，為信息系統(tǒng)的建設提供重要的參考數(shù)據(jù)和指導憑證。同時，在實施安全防護等級保護體系時，系統(tǒng)風險評估結(jié)果文檔不僅要作為信息安全文檔加以保存，還要上報相關部門進行備案，以加強系統(tǒng)安全保護的監(jiān)督和監(jiān)管。

3 結(jié)語

信息系統(tǒng)安全風險評估主要是對不同范疇、性質(zhì)、層次的風險因子，通過綜合歸納、系統(tǒng)比較形成一致性評價的過程。隨著各種系統(tǒng)風險評估工具的出現(xiàn)，信息系統(tǒng)的安全風險評估將從單純的技術評估發(fā)展為一體化風險評估，并向基于知識的評估和基于模型的評估方向發(fā)展。風險評估將導出信息系統(tǒng)的安全需求，因此所有信息系統(tǒng)的安全建設都應該以風險評估為起點，以服務于信息化建設和拓展。本文提出的安全風險評估流程，綜合考慮了信息系統(tǒng)所面臨安全威脅、潛在脆弱性以及安全防護確知等因素，可以在一定程度上提高安全風險評估的有效性和準確性。在此基礎上，可以進一步地確定關鍵信息資產(chǎn)及其估價，并對資產(chǎn)、安全事件、威脅、脆弱點之間的關系分析，研究并提出更加有效的信息系統(tǒng)安全風險評估模型。

[1] 蔡昱,張玉清,馮登國.基于GB17859-1999標準體系的風險評估方法[J]. 計算機工程與應用,2005(12): 134-137.

[2] THOMAS R P. Information Security Risk Analysis[M].[s.l.]: CRC Press LLC,2001.

[3] LUONG T N,ZHAO Liping, BILL Applebee. A Set Approach to RoleModelingTechnology of Object-Oriented Languages and Systems[C].USA:IEEE, 2000:158-169.

[4] 李娟,梁軍,李永杰.信息安全風險評估研究[J].計算機與數(shù)字工程,2006(11):64-66,71.

[5] The Basle Commitlee. Operational Risk Management Technology[S].[s.l.]: Risk Monitor, 2002.

[6] WRIGHT M. Third Generation Risk Management Practices[J]. Computer Fraud & Security,1999(02):9-11.

[7] NIST.Risk Management Guide for Information Technology Systems[EB/OL].(2001-09-01)[2011-09-08].http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.