信息系統安全風險評估研究

陳 頌， 王光偉， 劉欣宇， 杜 娟

(①北京市裝甲兵工程學院信息系計算機教研室，北京 100072；②北京市96610部隊，北京 102208)

0 引言

隨著全球信息化步伐的加快和網絡信息系統基礎性作用的日益增強，以網絡為載體、信息資源為核心的新經濟改變了傳統的資產運營模式，中國的社會經濟和快速發展對信息網絡和系統等基礎設施的依賴性越來越大。然而，由于信息網絡和信息系統本身的已有缺陷以及與之密切相連的網絡環境的復雜性，信息系統容易遭受病毒、木馬、惡意代碼、網絡攻擊、物理故障等多個方面的威脅，導致這些信息系統的整體癱瘓或信息泄露，從而給人類財產造成重大甚至是災難性的損失。

針對信息系統安全性帶來的巨大挑戰，近年來人們加大了信息系統安全性研究的力度，并設計了眾多安全性保障措施，以提高信息系統的安全性。然而，由于安全性是一個復雜的綜合概念，信息系統的安全性度量和評估一直都未得到有效的解決。通過長時間社會實踐探索，逐漸意識將基于安全風險（Security Risk）的系統評估方法引入到信息系統的重要性。通過采用安全風險評估方法，可以采用風險大小來分析信息系統在機密性、完整性、可用性等方面所面臨的威脅，發現信息系統安全的主要問題和矛盾，從而為安全風險的預防、減少、轉移、補償和分散等決策提供依據，以最大限度地控制和化解安全威脅。

本文系統地介紹信息系統安全風險分析的概念，分析風險評估的基本要素和常見的安全風險評測方法。系統性考慮信息網絡和信息系統面臨的安全威脅、存在的脆弱性以及已經確知的安全控制策略等因素，提出一種信息系統安全風險評估的流程，從而提高風險評估的準確性。

1 信息安全風險評測的概念

所謂信息安全風險評測評估，是從安全風險管理層面出發，運用科學的手段和方法，系統性地研究網絡與信息系統所面臨的威脅及其存在的脆弱性，評估信息系統與網絡中一旦發生安全事件將會對信息系統所造成的危害程度，有針對性提出抵御信息系統所面臨威脅的防護措施和策略，同時為防范信息安全風險、化解信息安全風險，或將風險控制在可接受范圍，從而最大程度地為網絡和信息系統的安全保障提供可信賴科學依據［1］。

1.1 信息系統安全風險評估要素：

信息系統安全風險評估主要包括以下 3個要素［2-3］:

1）價值資產（Importance Asset）:所有對單位或組織具有價值的東西，包括計算機、基礎通信設施、建筑物、數據庫系統、檔案信息、信息系統、軟硬件、和單位職工等，所有這些價值資產都需要妥善保護。

2）信息威脅(Information Threat):是可能對價值資產或單位造成嚴重損害的事件的潛在原因，即威脅源（Threat Source）或威脅組織（Threat Agent）成功利用信息系統存在的弱點對價值資產造成負面的、潛在的影響的一種可能性。

3）潛在攻擊點（Potential Vulnerability）：稱為漏洞或脆弱性，即價值資產中存在的可能被攻擊者用于威脅信息系統的缺點。

除此之外信息系統的風險評估要素還包括隱形風險、潛在可能性、系統影響、抗風險措施、存留風險等。圖1給出了風險評估各要素及相互關系［4］。

1.2 風險評估分析方法

信息系統的常用的風險評估方法一般分為定性、定量和基于評估模型分析法3種，具體方法介紹如下［5-6］：

1）定性法：即是以被評估對象的描述性信息作為基本數據，依據信息系統的評估理論、歷史經驗數據和研究者對被研究者的感性認識進行系統性分析、邏輯推導、全面總結，最后做出研究結論。定性法一般只用于對安全風險進行識別，對導致風險的原因進行分析，對威脅所造成影響進行分析等幾個方面。

2）定量法：即是研究者通過試驗或實踐方法，采取一定方法量化試驗或實踐所收集的數據，并以此作為研究被研究對象基礎材料，依據相應數學方法進行計算、分析，最后得出定量的結論數據。定量法主要應用于計算信息系統安全威脅發生概率，預測信息系統安全風險發生概率和確立系統總體風險評價等幾個方面。

3）基于評估模型分析法：在風險評估理論的指導下，結合定量、定性分析方法，重點針對被評估信息系統的實際要素（包括價值資產、安全風險、安全措施防范性等）建立有科學的、合理的、有效性的安全風險評估模型，其目的是引導信息系統更好進行自主評估，發揮安全風險評估的指導作用。

2 信息安全風險評估的實施流程

為了確定未來有害事件發生的可能性，必須要對信息系統面臨的威脅、可能的脆弱性及信息系統中已經確認的安全控制一起進行分析。為此，結合風險評估的一般過程，并綜合考慮信息系統面臨的威脅、潛在的脆弱性以及安全控制確知等因素，提出了風險評估過程如圖2所示。

1）風險評估準備過程是開展風險評估的基礎，是整個系統風險評估過程是否有效的保證。開展風險評估對于信息系統而言是信一種戰略性的考慮，其評估結果將會受到業務安全需求及單位戰略目標、組織文化、信息流程、組織規模和組織結構的影響。不同單位對于風險評估的實施存在不同的要求，因此風險評估實施前必須做好工作有：a.明確風險評估的范圍；b.確立風險評估的目標；c.成立有效的組織結構；d.選用可行的風險評估方法；e.取得最高管理者的同意和經濟支持。

2）資產估價與識別。按照信息系統的業務操作流程進行價值資產識別，確定要保護的價值資產及其物理位置，并依據估價原則評價價值資產的重要程度。在對價值資產進行有效估價時，不但要考慮價值資產的市場價格，同時要考慮價值資產對于信息系統重要性，即根據價值資產損失所導致的潛在風險性來決定。為確定價值資產估價準確性，信息系統應建立一個統一的風險評價標準，以明確如何對價值資產進行權重賦值。除此之外，還應注重特定資產價值的動態性和時效性。

3）系統信息的管理者、操作員、安全風險專家應對信息系統進行全面的安全風險分析。對信息系統采取的安全性分析方法包括現場調研、會議座談、理論建模、數學計算、仿真攻擊等方法，可應用的分析技術手段有貝葉斯網絡法、事件樹分析法、故障樹分析法、危險性和可操作性分析法、、寄生電路分析法、Petri網以及系統影響和危險度分析法。其分析目的主要是識別價值資產所在環境中的存在的威脅，確定與安全威脅相對應的資產或信息系統脆弱程度，評估可能威脅對信息系統造成的危害程度，從而為風險估計收集數據。

4）安全風險評估。在開展風險評估時，可采取定性分析方法或定量分析方法。定性評估分析師不使用具體的數據表示，只采用邏輯語言描述方式描述相對程度；定量分析方法是要求關注價值資產的損失以及所受威脅的量化數據，主要采用概率統計的方法進行描述。由于特定環境下安全風險發生的概率可表示為安全威脅發生的概率和信息系統脆弱點被利用的概率的數學函數，因此可利用聯合概率分布計算方法計算出安全事件的發生概率。

5）明確安全防護等級。開展風險評估的最終目標是確立信息系統所能達到安全保護等級。根據確定的安全防護措施及其安全性評估模型，對照安全風險評估標準中設立的安全保護等級所規定的安全要求，即可計算出信息系統達到的安全保護等級，從而可完成安全等級保護風險評估的主要工作。

6）對于信息系統不可接受范圍內的安全風險，應重點選擇適當的安全防護措施并對無法防護的殘余風險進行系統評價，判定風險是否已經降低到對系統影響最小的水平，為風險管理提供可行輸入。系統殘余風險的評價可參照組織風險評估的準則開展，綜合考慮選定的和已有的安全防護措施對威脅發生可能性的降低程度。

7）系統風險評估結果是信息系統風險評估的終極目標。它將風險評估的結果數據以文檔的形式提供呈現給用戶，為信息系統的建設提供重要的參考數據和指導憑證。同時，在實施安全防護等級保護體系時，系統風險評估結果文檔不僅要作為信息安全文檔加以保存，還要上報相關部門進行備案，以加強系統安全保護的監督和監管。

3 結語

信息系統安全風險評估主要是對不同范疇、性質、層次的風險因子，通過綜合歸納、系統比較形成一致性評價的過程。隨著各種系統風險評估工具的出現，信息系統的安全風險評估將從單純的技術評估發展為一體化風險評估，并向基于知識的評估和基于模型的評估方向發展。風險評估將導出信息系統的安全需求，因此所有信息系統的安全建設都應該以風險評估為起點，以服務于信息化建設和拓展。本文提出的安全風險評估流程，綜合考慮了信息系統所面臨安全威脅、潛在脆弱性以及安全防護確知等因素，可以在一定程度上提高安全風險評估的有效性和準確性。在此基礎上，可以進一步地確定關鍵信息資產及其估價，并對資產、安全事件、威脅、脆弱點之間的關系分析，研究并提出更加有效的信息系統安全風險評估模型。

[1] 蔡昱,張玉清,馮登國.基于GB17859-1999標準體系的風險評估方法[J]. 計算機工程與應用,2005(12): 134-137.

[2] THOMAS R P. Information Security Risk Analysis[M].[s.l.]: CRC Press LLC,2001.

[3] LUONG T N,ZHAO Liping, BILL Applebee. A Set Approach to RoleModelingTechnology of Object-Oriented Languages and Systems[C].USA:IEEE, 2000:158-169.

[4] 李娟,梁軍,李永杰.信息安全風險評估研究[J].計算機與數字工程,2006(11):64-66,71.

[5] The Basle Commitlee. Operational Risk Management Technology[S].[s.l.]: Risk Monitor, 2002.

[6] WRIGHT M. Third Generation Risk Management Practices[J]. Computer Fraud & Security,1999(02):9-11.

[7] NIST.Risk Management Guide for Information Technology Systems[EB/OL].(2001-09-01)[2011-09-08].http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.