信息安全風(fēng)險(xiǎn)管理現(xiàn)狀及發(fā)展趨勢

賈海云 張超 謝宗曉

摘要：梳理了三代風(fēng)險(xiǎn)管理，并對六因素在信息安全情境中的應(yīng)用不足進(jìn)行了分析，分析了開發(fā)基于業(yè)務(wù)的信息安全管理框架以及定量風(fēng)險(xiǎn)評估的迫切性。

關(guān)鍵詞：信息安全 業(yè)務(wù)安全 風(fēng)險(xiǎn)管理

Business Based Information Security Risk Management Framework

Jia Haiyun， Zhang Chao （Inner Mongolia Autonomous Region Public Security Department）

Xie Zongxiao （China Financial Certification Authority）

Abstract： This paper sorts out three generations of risk management， analyzes the deficiency of six factors in information security situation， and analyzes the urgency of developing information security management framework based on business and quantitative risk assessment.

Key words： information security， business security， risk management

1 風(fēng)險(xiǎn)管理及其模型

風(fēng)險(xiǎn)管理是組織管理活動(dòng)的一部分，其管理的主要對象就是潛在的風(fēng)險(xiǎn)。GB/T 23694—2013 / ISO Guide 73：2009《風(fēng)險(xiǎn)管理 術(shù)語》認(rèn)為，風(fēng)險(xiǎn)管理是由一系列的活動(dòng)所組成，這些活動(dòng)包括了標(biāo)識、評價(jià)和處理以及可能影響組織正常運(yùn)行事件的整個(gè)過程。

隨著概率論的研究和發(fā)展，風(fēng)險(xiǎn)概念不再僅存在于原先的感性認(rèn)識上。美國學(xué)者Haynes最早對風(fēng)險(xiǎn)進(jìn)行了分類，對風(fēng)險(xiǎn)的本質(zhì)進(jìn)行了分析，并且首次定義風(fēng)險(xiǎn)為損失發(fā)生的可能性，這些研究為風(fēng)險(xiǎn)管理奠定了理論基礎(chǔ)。1955年，美國賓夕法尼亞大學(xué)沃頓商學(xué)院的Schneider提出了“風(fēng)險(xiǎn)管理”的概念，從此使其逐漸發(fā)展成一門學(xué)科。20世紀(jì)70年代以后逐漸掀起了全球性的風(fēng)險(xiǎn)管理運(yùn)動(dòng)，法國、日本相繼學(xué)習(xí)美國開始了風(fēng)險(xiǎn)管理研究。

風(fēng)險(xiǎn)管理的方法和實(shí)踐最早應(yīng)用于金融保險(xiǎn)行業(yè)，在信息安全行業(yè)的應(yīng)用比較晚[1]。由于行業(yè)不同，金融領(lǐng)域成功地實(shí)現(xiàn)了風(fēng)險(xiǎn)的定量化[2]，例如，風(fēng)險(xiǎn)價(jià)值模型（Value at Risk，VaR）。但是到目前為止，信息安全風(fēng)險(xiǎn)管理依然是以定性方法為主、定量方法為輔，并沒有從根本上解決理論基礎(chǔ)或數(shù)量化的問題。因此，應(yīng)用于信息安全的風(fēng)險(xiǎn)管理大多是建立在簡單的模型之上。當(dāng)然，這并不意味著不夠有效。Milton Friedman1）在論文The Methodology of Positive Economics中提出，一個(gè)模型的成功與否應(yīng)該從預(yù)測功能方面來評價(jià)，而不是根據(jù)模型是否能有效地抓住所有現(xiàn)實(shí)世界中的細(xì)節(jié)來評價(jià)。也就是說，模型可以是簡單的，只要能夠預(yù)測未來和提高做決策過程的效率就是好的。一個(gè)簡單的事實(shí)是，如果模型與客觀世界的細(xì)節(jié)盡量吻合，那么任何條件的微小改變都會(huì)使模型失去原來的意義。因此，模型一般要簡化復(fù)雜的結(jié)構(gòu)，從而突出那些最重要的因素。也就是說，一個(gè)“好的”模型是那些可以幫助分析者從紛繁蕪雜的背景中分離重要的變量的模型。

2 信息安全風(fēng)險(xiǎn)管理的發(fā)展

一般認(rèn)為，信息安全風(fēng)險(xiǎn)管理實(shí)踐到目前大致經(jīng)歷了三次飛躍[3]。

第一代實(shí)踐產(chǎn)生于集中式的大型機(jī)領(lǐng)域。假設(shè)面臨的威脅環(huán)境是一定的，風(fēng)險(xiǎn)通過測量為這些設(shè)施預(yù)先設(shè)好的一系列的安全措施的遵守程度來計(jì)算或評價(jià)。這時(shí)候基本是利用檢查表和基本的風(fēng)險(xiǎn)評估方法來選擇信息系統(tǒng)的安全控制。當(dāng)網(wǎng)絡(luò)日益增多，計(jì)算環(huán)境越來越趨向于分布式時(shí)，第一代信息安全風(fēng)險(xiǎn)管理實(shí)踐顯然已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足要求。

第二代方法，NIST2）開發(fā)出風(fēng)險(xiǎn)的通用框架，在風(fēng)險(xiǎn)評估中形成6個(gè)概念：資產(chǎn)（asset）、脆弱性（vulnerability）、威脅（threat）、可能性（likelihood）、影響（impact）和防護(hù)措施（safeguard）。第二代實(shí)踐可以使分析師識別并評估資產(chǎn)，識別并完成威脅和脆弱性的評估等工作從而得到風(fēng)險(xiǎn)的大小。也可以執(zhí)行簡單的定量評估，例如ALE（Annual Loss Expectancy）法。整體而言，這代實(shí)踐是針對單個(gè)的資產(chǎn)或者系統(tǒng)的。

第三代信息風(fēng)險(xiǎn)管理實(shí)踐應(yīng)該是對“整個(gè)系統(tǒng)”的評估而不是單獨(dú)的系統(tǒng)或資產(chǎn)。這種框架是在整個(gè)組織業(yè)務(wù)運(yùn)行風(fēng)險(xiǎn)的前提下構(gòu)建的。因此，必須要搞明白與組織運(yùn)行環(huán)境相關(guān)的所有因素，例如，組織目標(biāo)、組織結(jié)構(gòu)和文檔體系等。在安全處理的問題上必須重視成本效益分析，這種成本效益分析的目的是使組織的收益最大化，而不是僅僅為了信息系統(tǒng)本身更加安全。這種更加注重整體的信息安全風(fēng)險(xiǎn)評估方法與組織業(yè)務(wù)休戚相關(guān)，從而使得安全不但是信息系統(tǒng)設(shè)計(jì)不可或缺的一部分，也是整個(gè)組織業(yè)務(wù)運(yùn)營不可或缺的一部分。

信息風(fēng)險(xiǎn)管理方法和實(shí)踐的發(fā)展歷程，和技術(shù)在業(yè)務(wù)中的應(yīng)用過程一樣，從零星應(yīng)用到大型機(jī)，到分布式作業(yè)環(huán)境，最后集成到業(yè)務(wù)運(yùn)行各個(gè)方面，成為不可分割的一部分。在風(fēng)險(xiǎn)管理已經(jīng)被公認(rèn)為良好管理一部分的今天，其方法必然隨著業(yè)務(wù)環(huán)境的改變和新技術(shù)的不斷涌現(xiàn)而繼續(xù)發(fā)展。

3 信息安全風(fēng)險(xiǎn)管理的框架

風(fēng)險(xiǎn)管理一般包括風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置的過程[4]，這在ISO 31000：2018《風(fēng)險(xiǎn)管理 指南》等標(biāo)準(zhǔn)中都有詳細(xì)的描述，風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)管理中最為復(fù)雜和審慎的過程，在討論框架時(shí)，包括上述三代風(fēng)險(xiǎn)管理框架的劃分，實(shí)際都是以風(fēng)險(xiǎn)評估所應(yīng)用的不同模型/方法來區(qū)分的，并沒有可以強(qiáng)調(diào)風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理的不同，這可能主要是因?yàn)轱L(fēng)險(xiǎn)處置的過程一般都比較流程化，不需要復(fù)雜的模型。同理，在很多文獻(xiàn)中，會(huì)用更細(xì)的風(fēng)險(xiǎn)分析過程來表征整體風(fēng)險(xiǎn)管理的框架。這是因?yàn)轱L(fēng)險(xiǎn)分析又是風(fēng)險(xiǎn)評估中最重要的步驟。

雖然原則上說，信息安全風(fēng)險(xiǎn)管理已經(jīng)發(fā)展到第三代，但實(shí)際情況是，目前實(shí)踐中，占主流的評估方法還是經(jīng)典“六因素法”，即風(fēng)險(xiǎn)是資產(chǎn)、威脅、脆弱性、控制措施、可能性和影響的函數(shù)，其中的6個(gè)因素也可以簡化為4個(gè)因素，因?yàn)椤翱赡苄浴焙汀坝绊憽笔怯汕懊娴囊蛩赜?jì)算或推導(dǎo)而來。

普遍認(rèn)為，風(fēng)險(xiǎn)存在兩個(gè)最重要的維度，即可能性和影響。在目前常見的標(biāo)準(zhǔn)中，例如，ISO/IEC 27005：2018《信息安全風(fēng)險(xiǎn)管理》[5]，NIST SP800-30 Rev.1《風(fēng)險(xiǎn)評估實(shí)施指南》 以及GB/T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》[6]等，應(yīng)該如何計(jì)算風(fēng)險(xiǎn)，對這6個(gè)因素的處理，不盡相同，各有組合或者算法，但萬變不離其宗，整體而言，還是應(yīng)該通過資產(chǎn)、威脅、脆弱性和控制措施來獲得風(fēng)險(xiǎn)發(fā)生的可能性和發(fā)生后的影響。

基于這樣的共識，目前信息安全事件的風(fēng)險(xiǎn)建模，就是建立在安全事件發(fā)生的可能性和影響上，例如，文獻(xiàn)[7]提出了一個(gè)真正定量的模型，用泊松分布：N～Poisson（λ）來刻畫事件發(fā)生的可能性，用對數(shù)正態(tài)分布（logarithmic normal distribution）為基礎(chǔ)的一個(gè)拼接分布來刻畫事件發(fā)生后的影響。

以損失建模作為理論依據(jù)的定量風(fēng)險(xiǎn)評估，可能是以后信息安全風(fēng)險(xiǎn)評估最重要的發(fā)展方向。因?yàn)槲ㄓ卸康亩攘匡L(fēng)險(xiǎn)，如同VaR法那樣，才能為決策者提供有力的依據(jù)。目前定性評估的結(jié)果體現(xiàn)為風(fēng)險(xiǎn)等級（rank），實(shí)際只是給出組織內(nèi)部風(fēng)險(xiǎn)相對的大小，這樣的列表很難作為投資依據(jù)。

4 由基于資產(chǎn)轉(zhuǎn)向基于業(yè)務(wù)的評估

經(jīng)典“六因素法”在信息安全情境中的不足還是較為明顯的。

首先，也是最重要的一點(diǎn)，“六因素法”起源于航天、核工業(yè)和化工等這樣的重工業(yè)領(lǐng)域，在這些領(lǐng)域中，保護(hù)資產(chǎn)是最重要的目標(biāo)，在“六因素法”中表現(xiàn)得也很明確，其中從識別資產(chǎn)開始，后續(xù)的威脅和脆弱性實(shí)際都是圍繞資產(chǎn)展開的。這是因?yàn)椋?，在航天工業(yè)中，最重要的資產(chǎn)和待保護(hù)的資產(chǎn)是一致的，可能是待發(fā)射的火箭。在信息安全情境中有所不同，最重要的資產(chǎn)是信息系統(tǒng)中存儲(chǔ)的“信息”和信息系統(tǒng)能夠提供的“服務(wù)”[8]，但是絕大部分的控制往往都是針對信息系統(tǒng)的，例如，防火墻、防病毒和入侵檢測系統(tǒng)（IDS）等。在實(shí)踐中，最為直觀的評估對象也是信息系統(tǒng)。這就導(dǎo)致了信息安全風(fēng)險(xiǎn)評估中引用“六因素法”的效果，并沒有原來的應(yīng)用情境更契合。

其次，由于威脅脆弱性對作用的對象，在信息安全情境中，與具體的控制往往對應(yīng)不起來，所以容易導(dǎo)致風(fēng)險(xiǎn)評估和結(jié)果以及最后的風(fēng)險(xiǎn)控制，實(shí)際上并沒有很完整的邏輯鏈條，而是取決于評估者的直覺，或者定性的判斷。這種情況在重工業(yè)中并不存在，仍然以航天為例，因?yàn)槠渲性u估和控制的對象都是要保護(hù)的最重要的資產(chǎn)。

如果評估對象改為“信息”，那么信息紛繁蕪雜，以每條信息都要識別威脅脆弱性對來實(shí)施，根本不現(xiàn)實(shí)。因此，應(yīng)該將評估對象定位在與“服務(wù)”類似的概念，即“業(yè)務(wù)”。雖然業(yè)務(wù)或者服務(wù)是一個(gè)虛擬概念，并沒有直觀的物理實(shí)體與之對應(yīng)，但是并不難梳理，由于以業(yè)務(wù)為主線可以分為諸多子業(yè)務(wù)，信息系統(tǒng)正是為了保障這些業(yè)務(wù)或子業(yè)務(wù)的正常運(yùn)行而存在的。至此，信息安全風(fēng)險(xiǎn)評估分為基于保護(hù)業(yè)務(wù)的評估和基于保護(hù)數(shù)據(jù)的評估兩種，基于業(yè)務(wù)的評估更偏重于“可用性”，基于數(shù)據(jù)的評估則偏重于“機(jī)密性”和“完整性”。當(dāng)然，從更廣義角度來看，數(shù)據(jù)也是為了保障其業(yè)務(wù)。這都可以列入基于業(yè)務(wù)的風(fēng)險(xiǎn)管理之列。

5 結(jié)論與討論

綜上所述，基于資產(chǎn)的經(jīng)典“六因素法”在應(yīng)用中還是存在一定的實(shí)際問題，在本文中分析了問題產(chǎn)生的原因，以及后續(xù)可能的發(fā)展方向，首先，基于損失建模的定量風(fēng)險(xiǎn)評估應(yīng)該是之后的主流方向之一;其次，如果依然延續(xù)目前的定量分析框架，評估對象也盡量不能以識別資產(chǎn)開始，而是應(yīng)該從識別業(yè)務(wù)作為起點(diǎn)。

參考文獻(xiàn)

[1] 趙戰(zhàn)生，謝宗曉. 信息安全風(fēng)險(xiǎn)評估 概念、方法和實(shí)踐：第2版[M]. 北京：中國標(biāo)準(zhǔn)出版社，2016.

[2] 謝宗曉，劉振華，張文卿.VaR法在信息安全風(fēng)險(xiǎn)評估中的應(yīng)用探討[J].微計(jì)算機(jī)信息， 2006（18）：76-77+131.

[3] WRIGHT M . Third Generation Risk ManagementPractices [J]. Computer Fraud & Security， 1999（2）：9-12.

[4] 謝宗曉.信息安全風(fēng)險(xiǎn)管理相關(guān)詞匯定義與解析[J].中國標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（4）：26-29.

[5] 謝宗曉，許定航.ISO/IEC 27005：2018解讀及其三次版本演化[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)， 2018（9）：16-18.

[6] 謝宗曉，劉立科.信息安全風(fēng)險(xiǎn)評估/管理相關(guān)國家標(biāo)準(zhǔn)介紹[J].中國標(biāo)準(zhǔn)導(dǎo)報(bào)， 2016（5）：30-33.

[7] BOUVERET A. Cyber Risk for the Financial Sector： AFramework for Quantitative Assessment [DB/OL].IMF Working Papers. https：//www.elibrary.imf.org/.

[8] 公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì). 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南：GA/T 1389—2017[S]. 北京：中國標(biāo)準(zhǔn)出版社， 2017.