信息系統運維階段信息安全風險評估工作研究

◆張 惠

信息系統運維階段信息安全風險評估工作研究

◆張 惠

（國家知識產權局專利局專利審查協作河南中心 河南 450018）

隨著信息系統的廣泛使用，信息系統的安全工作得到越來越多的重視，識別信息系統的安全風險，解決信息系統的安全問題變得尤為重要。信息安全風險評估作為信息安全保障的基礎性工作，從風險管理的角度，系統的分析信息系統面臨威脅和脆弱性，并據此進行安全措施的實施，以將不可接受的風險控制在最低。信息安全風險評估可用于信息系統生命周期各階段的風險評估工作，不同階段的風險評估對象、目的和要求可能有所不同，但風險評估的原則和方法都是一致的。信息系統運維階段的風險評估是了解和控制運行過程的安全風險，是一種較為全面的風險評估工作，本文以對門戶網站系統運維階段的信息安全風險評估工作為例，對風險評估工作的過程進行詳細的分析與說明，以供企事業單位自評估信息系統參考。

信息安全風險評估；威脅識別；脆弱性識別；風險管理

0 引言

隨著信息系統的廣泛使用，信息系統的安全工作得到越來越多的關注和重視，信息系統風險管理是信息系統安全運行的重要基礎保障工作，而信息安全風險評估則為信息系統風險管理的重要基礎。信息安全風險評估作為信息系統安全保障工作的基礎性工作，貫穿于信息系統規劃、設計、實施、運行維護等各個階段。信息系統的運維階段，不可避免地會發生信息系統的更新，需對信息系統安全管理進行持續性的改進，通過風險評估可確保系統滿足相應的安全需求。門戶網站作為企事業單位宣傳的重要信息系統，幾乎已經成為每個企事業單位必備的信息系統，本文以門戶網站系統為例，針對其運維階段的風險評估工作進行說明，以供企事業單位信息系統風險評估管理工作參考。

1 相關概念

1.1信息安全風險評估

信息安全風險評估，是指依據國家有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的保密性、完整性和可用性等安全屬性進行評價的過程。它評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事一旦發生對單位造成的影響。

1.2資產及資產價值

資產是指對單位具有價值的信息或資源。資產價值是資產重要性和敏感程度性的表征，是資產的屬性，是進行資產評估的具體內容，而不是資產購買時的價值。

1.3威脅及威脅分類

威脅是指客觀存在對資產或單位造成損害的潛在原因。分為人為因素和環境因素，人為因素分為有意和無意，環境因素分為自然界不可抗拒的因素和其它物理因素。

1.4脆弱性及分類

脆弱性是指資產或資產中能被威脅利用的弱點，涉及物理層、網絡層、系統層、應用層、管理層等各個層面的安全問題。

2 信息系統運維階段風險評估流程

信息系統運維階段風險評估的目的是了解和控制運行過程中的安全風險，是較為全面的風險評估，評估的內容包括運行的信息系統、資產、威脅、脆弱性等內容，其評估流程主要分為以下三個階段，如下圖1所示，具體每個階段的詳細描述如下。

2.1風險評估準備階段

風險評估準備階段，主要開展確定評估范圍，確定評估團隊，確定評估依據和評估方法，制訂評估工作方案等工作。

2.2系統評估階段

系統評估階段，在整個風險評估過程占有較大比重，期間需要完成系統的資產識別與賦值，威脅識別與賦值，脆弱性識別與賦值，已有安全措施的確認等工作。

2.3風險分析及管理階段

在完成了資產識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響。

通過等級化處理的風險結果，可實現對不同風險的直觀比較，從而根據不同側重點的風險分析結果，提出一個可接受的風險范圍，并對不可接受的風險制定詳細的風險處理計劃，將系統風險降到最低。

圖1 信息安全風險評估流程

3 信息系統運維階段風險評估工作的實施

3.1風險評估準備

風險評估準備是進行風險評估工作的基礎，是風險評估過程有序開展的重要保障，針對門戶網站系統運維階段的風險評估工作需做準備工作，如表1。

3.2系統評估

（1）資產識別及賦值

根據資產在門戶網站系統中的角色對信息資產進行分類識別，綜合考慮信息資產的保密性、完整性和可用性，根據《信息安全風險評估規范》對保密性、完整性和可用性的分級標準結合企事業單位自身的特點進行賦值，針對門戶網站的資產分類及資產賦值如下表2。

（2）威脅識別及賦值

作為風險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統而言，它總是一定存在。威脅可能源于對系統直接或間接的攻擊，例如：信息泄露、篡改、刪除等，破壞信息的保密性、完整性或可用性。

表1 評估工作準備表

表2 資產識別與賦值表

根據威脅源的分類和威脅的表現形式，結合資產所處的環境條件和資產以前遭受威脅，按照《信息安全風險評估規范》中威脅的賦值方法， 針對門戶網站系統運維階段的威脅及賦值如下表3。

表3 威脅識別與賦值表

（3）脆弱性識別及賦值

脆弱性只有被威脅利用了之后才會導致安全事件，脆弱性評估需要針對評估范圍內的每項資產，找出所有被威脅利用的脆弱性，并對脆弱性的嚴重程度進行評估。脆弱性的評估主要從技術和管理兩個方面進行。由于不同單位的門戶網絡系統建設過程中使用的產品具有差異性，所以本文不再對個例系統的脆弱性一一進行賦值，而是針對門戶網站系統運維階段如何進行脆弱性賦值進行介紹，詳情如下表4。

表5 管理脆弱性識別與賦值分析

除以上表5對門戶網站的脆弱性識別與賦值之外，還可通過模擬惡意黑客攻擊滲透測試方法，進行網絡系統安全的評估，以發現和挖掘系統中存在的漏洞，如SQL注入、敏感信息泄露、腳本執行漏洞、暴力破解漏洞、安全策略配置漏洞、操作系統漏洞等。

（4）已有安全措施確認

安全措施分為預防性安全措施和保護性安全措施兩種，預防性安全措施可以降低威脅發生的可能性，保護性安全措施可以減少威脅造成的影響。安全措施的確認，不僅僅是確認系統中有哪些安全產品、方法或配置，而是需要從系統的各個層面上對已有的安全措施進行確認，安全措施的確認應兼顧管理與技術，如安全策略、安全機構、安全制度、人員安全、物理安全、訪問控制、身份鑒別等方面進行一一的確認，以避免不必要的工作，防止安全措施的重復使用。

3.3風險分析管理

（1）風險等級判定

完成資產識別、威脅識別、脆弱性識別以及對已有安全措施確認后，采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性。參考選擇《信息安全風險評估規范》（GB/T 20984-2015）給出的風險計算方法，計算出資產的風險值，對評估結果進行等級化處理，等級化的處理結果可參考以下表6示例。

（2）風險處理

綜合考慮相關法律法規、單位業務發展方向，對存在風險等級高，單位不可接受的風險，統籌考慮國家相關法律法規要求、單位發展情況、人員素質水平、管理要求、技術力量、資金成本等選擇適當的處理方式，統一制訂風險處理計劃。

風險的處理方式包括：回避風險、降低風險、轉移風險和接受風險。

表6 風險分析表

（3）殘余風險處理

采取了風險處理措施后，為確保措施的有效性，可再次進行評估，以確認殘余風險是否降到可接受的水平，如殘余風險仍處于不可接受的范圍之內，應考慮增加相應的安全措施，如有必要可再次進行評估。

4 結束語

本文以門戶網站運維階段的信息安全風險評估工作為例，對信息系統運維階段的風險評估工作進行了詳細的說明，包括風險評估工作的準備、風險評估工作的評估及風險分析管理，雖然不同的信息系統用途有所不同，但風險評估工作的過程大體無差，本文可供企事業單位進行信息系統自評估工作做參考。

[1]沈昌祥，左曉棟.信息安全[M].浙江:浙江大學出版社，2007.

[2]公安部信息安全等級保護評估中心.信息安全等級保護政策培訓教程.北京:電子工業出版社，2010.

[3]陸寶華，王曉宇.信息安全等級保護技術基礎培訓教程.北京:電子工業出版社，2010.

[4]陸寶華.信息安全等級保護基本要求培訓教程.北京:電子工業出版社，2010.

[5]吳亞非，李新友，祿凱.信息安全風險評估.北京:清華大學出版社，2007.

[6]范紅等.信息安全風險評估方法與應用[M].北京:清華大學出版社，2006.

[7]GB/T 22239-2008, 信息系統安全等級保護基本要求》[S].

[8]GB/T 22240-2008, 信息系統安全等級保護定級指南[S].

[9]GB 17859-1999, 計算機信息系統安全保護等級劃分準則[S].

[10]GB/T 25058-2010, 信息系統安全等級保護實施指南[S].

[11]GB/T 20984-2015, 信息安全風險評估規范[S ].

[12]GB/T 9361-2011, 計算機場地安全要求[S].

[13]GB/T 18336-2015, 信息技術 安全技術 信息技術安全評估準則[S].

[14]GB/T 22081-2016, 信息技術 安全技術 信息安全控制實踐指南[S].

[15]GB/T 20272-2006, 信息技術 操作系統安全技術要求[S].

[16]GB/T 20273-2006, 信息技術 數據庫管理系統安全技術要求[S].