基于風險分析的信息系統等級測評

廖其耀

摘 要：信息系統等級保護是我國當前信息安全工作的基本制度。風險評估、等級測評是信息安全等級保護的重要階段和方法。簡要論述了等級保護、風險評估和等級測評三者的概念、區別和聯系，并在基于三者含義及其關系的基礎上，結合等級測評的內在要求，論述了基于風險分析的等級測評。

關鍵詞：等級保護；風險評估；等級測評；信息系統

中圖分類號：TP309 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2017.09.128

1 信息系統等級保護、風險評估和等級測評

1.1 等級保護

信息安全等級保護包括3個方面的內容，分別是對信息技術產品分不同等級進行管理，對信息和處理信息的信息系統分不同等級進行安全保護，對信息安全事件分不同等級進行響應和處置。

1999年，我國發布《計算機信息系統安全保護等級劃分準則》（GB 17859—1999）標準，根據信息技術產品（比如操作系統等）的安全保護技術能力，把信息技術產品從低到高分為用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級5個級別。

GB 17859—1999標準為信息技術產品提出了安全保護要求，但不能體現信息安全風險管理思想，也不能覆蓋信息系統的技術、管理等方面的內容。為此，公安部制定和發布的《關于信息安全等級保護工作的實施意見的通知》（66號文）、《信息系統安全等級保護定級指南》（GB/T 22240—2008）等文件中，根據信息系統的重要程度，遭到破壞后對客體（比如國家安全、社會秩序等）的危害程度，將信息系統的保護等級由低到高分為自主保護級、指導保護級、監督保護級、強制保護級和專控保護級5個級別。

1.2 風險評估

我國于2004年發布了《信息安全風險評估規范》（GB/T 20984—2007）和《信息安全風險管理指南》，規范了信息安全風險評估的內容、流程、方法和風險判斷準則。信息安全風險評估，就是根據風險管理的原理，系統地分析信息系統的不同級別的資產、所面臨的不同級別的威脅和系統資產存在的脆弱性3個要素，進而評估安全事件發生時可能導致的不同級別的危害，并提出有針對性的防護對策，從而為信息安全風險控制提供依據。

1.3 等級測評

由我國發布的《信息安全技術 信息系統安全等級保護實施指南》等一系列標準可知，等級測評是等級保護流程的5個環節（定級、備案、建設整改、等級測評和監督檢查）中的第4個環節。信息安全等級保護測評，本質上是一種合規性安全測評。具體而言，是指由政府授權、具備一定檢驗技術能力的第三方測評機構，依據等級保護相關的法規、標準，檢測和評估系統的安全保護能力是否符合系統等級保護的要求。

1.4 三者之間的聯系和區別

當前，等級保護已成為我國信息安全的一項基本制度。風險評估和相應的風險管理是等級保護的本質和依據。等級測評是落實信息安全等級保護制度不可缺少的步驟。

信息系統等級保護，核心是根據信息系統的重要性進行系統定級，然后根據信息系統等級確定相應等級的保護要求，并進行相應等級的安全保護建設、管理和監督。通過等級保護，信息系統相關實施部門、主管部門才可根據信息系統的等級，有針對性地建設、監督和管理。我國從信息系統等級保護入手信息安全工作，并制定了一系列的政策、標準，形成了我國信息安全的基本制度。

風險評估和風險管理的思路，就是分析資產的不同等級和資產面臨的風險的不同等級，并以此為依據有針對性地進行相應的管理。信息系統等級保護工作體現了風險管理的思路。等級保護中的系統定級工作，就是評估信息系統資產的價值。而確定系統等級后，通過風險評估可以準確評估信息系統不同級別的資產當前面臨的不同級別的安全風險。由此，依據風險管理的思想，信息系統運維單位可以有針對性地確定信息系統的安全需求，并進行信息安全建設；信息安全主管單位可以根據信息資產的重要性及其風險等級，進行有針對性的監督和管理。這樣做，可以避免信息安全的“過度保護”或“保護不到位”，保證信息安全建設符合信息系統等級。所以，風險評估和風險管理是等級保護工作的本質和依據。

等級測評是落實等級保護工作不可或缺的步驟。《信息安全風險評估規范》只說明了風險評估的流程和方法，但沒有說明不同等級信息系統的不同級別的安全保護要求。而《信息安全技術 信息系統安全等級保護基本要求》（GB/T 22239—2008）等標準提出了不同級別的信息系統應具有的不同級別的安全保護要求。此外，我國當前未限制從事風險評估工作的主體單位，執行等級測評的單位一般是具有相應授權的第三方機構。因此，通過等級測評，可以判斷系統的安全保護措施是否符合系統的等級要求，并判斷系統當前面臨的不同級別的風險。信息系統的運維部門可以根據等級測評結果，有針對性地進行安全建設整改工作；信息安全主管部門可以根據等級測評結果，決定是否允許系統運行，以加強對信息安全的監管，落實國家的等級保護工作。因此，當前我國信息安全主管部門對信息系統安全性的認可和監管，依據的是權威機構的等級測評結果，而不是依據風險評估結果。

2 基于風險分析的等級測評

作為落實信息系統等級保護的重要環節，等級測評主要分為測評準備、現場測評、分析及報告編制3個基本測評活動。為了準確判斷系統所面臨的安全風險，準確判斷系統的安全防護能力是否滿足該系統的等級要求，必須把風險分析的思想貫徹于等級測評各階段中。

2.1 測評準備階段

在測評準備階段，主要進行與信息系統相關的信息收集工作，然后，基于所收集和分析的信息，編制相應的測評方案，準備相關測評指導書、測評表格和測試工具。這個階段是后續階段工作的基礎，影響著整個等級測評過程的質量。測評準備工作不夠充分，將導致現場測評工作不能順利開展，等級測評結果不夠有效和準確。

在這個階段要完成風險分析中的資產識別和威脅評估工作。為此，該階段必須結合風險分析的方法，確定評估范圍，考慮資產識別和評估，并進行威脅評估。然后結合資產價值和系統威脅情況，在制訂測評方案時，必須綜合考慮威脅可能利用的信息系統入口，有針對性地設計漏洞掃描、滲透測試方案。

2.2 現場測評階段

在現場測評階段，測評人員將按照測評方案的要求，根據測評作業指導書和等級保護相關標準的要求，采取現場查看、訪談、配置核查、滲透測試等方法，檢測和驗證信息系統，從而了解并驗證信息系統所具有的實際防護情況，及時發現信息系統中存在的安全漏洞（脆弱性）。

這個階段要完成風險分析中的脆弱性評估工作。為了有效驗證系統的脆弱性，判斷系統面臨的風險，本階段必須結合信息系統的資產、面臨的威脅，從技術、管理、策略等方面進行脆弱程度檢查。特別在技術方面，采用配置核查、漏洞掃描、滲透測試、惡意代碼檢查等方法檢查和評估，從而有效驗證系統的脆弱性。

2.3 分析及報告編制

在分析及報告編制階段，主要工作是根據現場測評階段所獲取的數據，結合《信息系統安全等級保護測評準則》的有關要求，采用科學的風險計算方法，通過單項測評結論判定、控制點間測評、層面間測評、區域間測評和系統結構測評等各個層面的測評，判定安全事件的可能性及其造成的損失，從而得出各個安全漏洞的風險值和整個信息系統的風險值，并最終判斷系統的安全保護措施是否符合系統的安全等級，分析整個系統的安全保護現狀與相應等級的保護要求之間的差距，給出相應的整改建議。

這個階段要完成風險評估工作。為此，必須貫徹科學的風險計算方法，準確評價整個信息系統所面臨的風險，才能為后續的安全建設整改工作提供支持，進而幫助信息安全相關主管單位順利、有效地完成信息安全工作。

3 結束語

隨著信息安全問題的日益增加，依據國家標準對信息系統實施等級保護、風險評估和等級測評，以保證信息和信息系統的保密性、完整性、可用性，讓維護系統實施機構業務流程的順利進行的意識逐漸深入人心。只有依照相關等級保護的國家規定和標準工作，才能促進信息系統的安全建設、運行和監管，保證信息安全和業務安全。作為等級保護的重要環節和方法，基于風險分析的等級測評可以準確判斷信息系統所面臨的安全風險，從而為信息系統的安全整改奠定基礎。

參考文獻

[1]趙瑞穎.等級保護、風險評估、安全測評三者的內在聯系及實施建議[G]//第二十次全國計算機安全學術交流會論文集.西寧：中國計算機學會，2005.

[2]清華大學，北京大學，中國科學院.GB 17859—1999 計算機信息系統安全保護等級劃分準則[S].北京：中國標準出版社，1999.

[3]公安部國家保密局，國家密碼管理委員會辦公室，國務院信息化工作辦公室，公通字〔2004〕66號.關于印發《關于信息安全等級保護工作的實施意見》的通知[EB/OL]. http：//www.atmb.net.cn/web/UploadFile/2010111094557873.pdf，2010.11.10.

[4]中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會.GB/T 22240—2008 信息安全技術 信息系統安全等級保護定級指南[S].北京：中國標準出版社，2008.

[5]國家信息中心，公安部第三研究所，國家保密技術研究所，等.GB/T 20984—2007 信息安全技術信息安全風險評估規范[S].北京：中國標準出版社，2007.

[6]周元德，董鳳翔，胡波，等.基于等級保護的信息安全風險評估方法[J].鐵道工程學報，2006，23（9）：89-92.

〔編輯：白潔〕