一種基于信息資產(chǎn)的風(fēng)險值計算方法

曹彥

摘要：風(fēng)險威脅無處不在，信息安全管理部門應(yīng)對風(fēng)險范圍、影響值風(fēng)險進(jìn)行管理，將其控制在一定范圍之內(nèi)。

關(guān)鍵詞：信息系統(tǒng)；信息安全；安全風(fēng)險

中圖分類號：TN918 文獻(xiàn)識別碼：A 文章編號：1001-828X（2018）025-0341-02

信息系統(tǒng)分布廣、源頭多，信息數(shù)據(jù)涉及各行各業(yè)，各種形式軟硬件故障、病毒感染、入侵攻擊、運維誤操作引起的故障都可能會對關(guān)鍵數(shù)據(jù)安全帶來極大的威脅和隱患。風(fēng)險威脅無處不在，信息安全管理部門應(yīng)對風(fēng)險范圍、影響值風(fēng)險進(jìn)行管理，將其控制在一定范圍之內(nèi)。估算風(fēng)險值的前提要對評估對象進(jìn)行資產(chǎn)、威脅進(jìn)行識別，并進(jìn)行定量的分析和量化，對已有的安全措施進(jìn)行確認(rèn)。

一、計算方法

1.資產(chǎn)的識別與賦值：資產(chǎn)的評估主要評估信息系統(tǒng)資產(chǎn)的價值、信息系統(tǒng)弱點被威脅利用的可能性、信息系統(tǒng)面臨威脅的概率。參照《信息安全技術(shù)信息安全風(fēng)險評估指南》中資產(chǎn)脆弱性和威脅識別相關(guān)內(nèi)容進(jìn)行賦值（分五個級別：非常高、高、中等、低、非常低，權(quán)重：5、4、3、2、1）。

2.風(fēng)險值的計算：可以用字母“A”來表示疾控信息資產(chǎn)的價值，字母“V”來表示信息系統(tǒng)弱點被威脅利用的可能性，字母“T”來表示系統(tǒng)面臨威脅的概率。風(fēng)險值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））。安全事件發(fā)生的可能性：L=T*V；安全事件發(fā)生造成的損失：F=V*A；資產(chǎn)的風(fēng)險值：Rn=L*F；系統(tǒng)的風(fēng)險值：R=Max（Rn）。Ia：安全事件所作用的資產(chǎn)價值；Va：脆弱性嚴(yán)重程度；L：威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F：安全事件發(fā)生后產(chǎn)生的損失。

3.風(fēng)險的等級：設(shè)定信息系統(tǒng)風(fēng)險值為資產(chǎn)風(fēng)險值最大值R=Max（Rn）。可以根據(jù)風(fēng)險值大小將風(fēng)險等級分為5級：第一級（很低：1-125）、第二級（低：126-250）、第三級（中等：251-375）、第四級（高：376-500）、第五級（很高：501-625）

二、應(yīng)用

假設(shè)評估對象為某應(yīng)急指揮系統(tǒng)。

1.資產(chǎn)賦值

（1）資產(chǎn)識別。明確應(yīng)急指揮系統(tǒng)資產(chǎn)為：服務(wù)器、網(wǎng)絡(luò)交換機(jī)、入侵檢測系統(tǒng)、防火墻、軟件、數(shù)據(jù)庫、技術(shù)資料。根據(jù)專家賦值法參照信息資產(chǎn)的保密性、完整性和可用性對信息資產(chǎn)的價值進(jìn)行賦值，見表1。

（2）主要脆弱性問題確認(rèn)：參照《信息安全技術(shù)信息安全風(fēng)險評估指南》中威脅分類的定義，確認(rèn)信息資產(chǎn)存在的主要脆弱性問題并賦值，見表1。

2.風(fēng)險值計算

（1）通過脆弱性與發(fā)生概率的乘積來計算威脅發(fā)生的可能性L（L=V*T）。通過計算可見L值最大為20，最小為4，見表2。

f2）通過脆弱性與資產(chǎn)價值的乘積來計算威脅產(chǎn)生的損失F（F=A*V）。通過計算可見F值最大為20，最小值為10，見表2。

（3）通過威脅發(fā)生的可能性與威脅產(chǎn)生的損失的乘積計算相關(guān)脆弱性問題的風(fēng)險值Rn（Rn=L*F）。Rn最大值為320，最小值為40，見表2。

3.結(jié)論評估

Rn最大值為320，最小值為40。根據(jù)風(fēng)險分級標(biāo)準(zhǔn)：第一級（很低：1～125）、第二級（低：126～250）、第三級（中等：251～375）、第四級（高：376～500）、第五級（很高：501～625），應(yīng)急指揮系統(tǒng)的風(fēng)險值取最大值320，結(jié)論為系統(tǒng)風(fēng)險中等。

從對風(fēng)險子項Rn分值分析可見某應(yīng)急指揮系統(tǒng)安全問題主要還在軟件和管理措施上。信息系統(tǒng)風(fēng)險整改過程中交換機(jī)弱口令、信息系統(tǒng)重要信息敏感性標(biāo)記和用戶審計問題風(fēng)險值最大，為優(yōu)先處理問題。

三、討論

實際風(fēng)險評估項目實施中，往往會遇到系統(tǒng)量大人員少，實際操作中要考慮以下問題：

1.脆弱性問題的遺漏

根據(jù)技術(shù)水平與工作經(jīng)驗，不同的人員對資產(chǎn)脆弱性問題的判斷和標(biāo)準(zhǔn)會有所不同，可能會導(dǎo)致關(guān)鍵脆弱性問題的遺漏。實際操作中建議參照《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》中資產(chǎn)、威脅、脆弱性分類進(jìn)行對照識別。

2.賦值的偏差

本評估賦值依賴歷史經(jīng)驗與專家判斷，可能會因不同專家的不同判斷而得出不同的結(jié)論。實際操作中應(yīng)盡可能使用多名專家賦值取均值方法得到相對較為真實可靠的結(jié)果。

本方法作為信息系統(tǒng)安全風(fēng)險評估的方法嘗試，其結(jié)果能夠反映信息系統(tǒng)資產(chǎn)當(dāng)前安全風(fēng)險狀況，能夠協(xié)助管理人員較便捷地識別出信息系統(tǒng)存在的風(fēng)險點。