基于等級保護思想的網絡安全風險評估關鍵技術研究

張 彥，馬延妮，司 群

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

常用的網絡安全測評方法有等級保護測評和安全風險評估，前者對測評對象的安全符合性進行判定，后者指出測評對象存在哪些安全風險。雖然是從不同角度評判測評對象的安全狀況，在實際操作過程中，兩種方法也存在過程、方法等相通之處，可以將兩者結合起來應用。中國電信北京研究院的趙陽等人[1]開展過面向等級保護的大規模網絡動態風險評估方法研究，提出用風險評估的結果來動態調整安全等級，是對測評結果的運用，不是方法的結合。

網絡安全測評實際工作中，面臨著兩個難點：（1）等級保護作為我國網絡安全工作的重要制度，如何與風險評估進行融合，做到既能判別評估對象是否安全合規，又能研判其安全風險；（2）GB/T20984標準對資產、威脅、脆弱性3個要素的識別范圍和賦值方法已不能適應現階段網絡安全風險評估工作的要求，如何對其進行有效識別和賦值？這兩個問題也是當前“關鍵信息基礎設施網絡安全保護基本要求”在安全防護（等級保護）和檢測評估（風險評估）兩個環節要解決的問題[2]。

因此，本文重點研究等級保護測評與風險評估之間的關聯關系，建立二者之間的理論模型，并通過對資產、脆弱性、威脅3個要素賦值算法的研究，提出切實可行的計算方法，指導網絡安全測評工作的開展。

1 等級保護與風險評估關系分析

1.1 等級保護合規性評判

等級保護測評是對系統確定的安全等級開展合規性評判，系統的安全等級根據系統的業務信息安全級別和系統服務安全級別確定[3]。業務信息安全與系統信息資產及其所支持的業務密切相關，資產的保密性、完整性、可用性受到破壞時，會增加系統面臨的業務安全風險；系統服務安全是確保定級對象可以及時地提供服務，其重要程度取決于系統服務范圍及業務對系統的依賴程度。

系統等級保護測評過程可歸納為：（1）對系統的基本情況進行調查，了解系統的定級要求、資產構成、網絡拓撲、主要業務以及曾經發生的安全威脅等情況[3]；（2）根據系統基本情況確定測評對象、測評內容和測評指標；（3）根據選定的測評對象和測評指標，按照等級保護基本要求和測評要求等相關標準，對選定的測評對象和測評指標逐一開展現場測評；（4）根據測評結果，對系統進行單元測評、整體測評和總體安全狀況分析，在進行總體安全狀況分析時，重點考慮在現有安全保障措施情況下，對測試中發現的安全問題進行風險評估。

1.2 風險評估方法

按照國標GB/T20984的定義，信息安全風險評估是指：依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程[4]；也就是評估資產面臨的威脅和脆弱點，以及威脅利用脆弱點產生安全事件的可能性，并根據安全事件涉及的資產來判斷安全風險嚴重程度。

從上述定義可知，風險評估涉及資產、威脅、脆弱性3個要素，資產的價值、存在的脆弱性、威脅利用脆弱性導致安全事件的可能性成為安全事件給企業或單位帶來安全風險的主要評判依據[5]。風險評估過程可歸納為：（1）梳理測評對象的資產及其價值；（2）尋找資產存在的漏洞或弱點；（3）識別測評對象可能面臨的安全威脅；（4）根據理論模型評判測評對象存在的安全風險。

1.3 關聯分析

開展等級保護測評時能梳理出應用系統的資產、重要程度及脆弱性，風險評估對信息系統和信息資產所面臨的安全風險進行定量和定性分析，二者之間存在如下關系：

（1）等級保護測評可以作為風險評估的基礎，通過等級測評，明確系統資產的重要性和脆弱源。

（2）風險評估結果的準確性和客觀性，與等級保護測評過程所選的資產有關，資產選取范圍越廣，種類越全，評估結果越有價值。

（3）在開展等級保護測評、風險評估過程中，均可采用漏洞掃描、滲透測試、配置核查等多種測評方法，發現系統資產不同層面存在的安全隱患和漏洞。

（4）在檢測對象選擇方面，等級保護測評、風險評估所選擇的檢測對象都應涵蓋物理環境、網絡、服務器、終端、應用系統、數據、管理制度和人員等。

（5）在檢測流程方面，等級保護測評、風險評估的工作流程都可以分為4個階段，分別為準備階段、方案編制階段、現場實施階段和報告編制階段，但二者在各階段輸出的結果不同。

（6）在檢測內容方面，等級保護測評、風險評估工作都涵蓋技術安全檢測和管理安全檢查2個部分；其中，技術安全檢測主要包含物理環境安全、通信網絡安全、計算環境安全、應用安全、數據安全等方面的內容；管理安全檢查主要包括安全管理制度、安全管理機構、安全管理人員、系統建設安全管理和系統運維安全管理等方面的內容。

（7）在檢測結果運用方面，等級保護測評判別系統安全保護措施是否符合相應等級的要求，風險評估判別系統風險源并評估面臨的安全風險程度。

2. 資產分類及價值量化分析

2.1 資產分類

鐵路信息系統中包含大量的軟硬件資產。硬件資產有主機設備、網絡設備、安全設備等，這些資產可以通過網絡拓撲結構、連通關系、安全策略等進行關聯；軟件資產有應用程序、數據、文件等，這些資產若保護不當，易暴露其脆弱性，遭受攻擊者攻擊。按等級保護測評時選擇的測評對象，可將這些資產劃分為硬件資產、軟件資產、數據資產、制度資產、人員資產、物理資產等類型。

2.2 資產價值量化分析

資產價值可以從3個維度考慮：（1）系統自身的安全等級以及系統處理業務的重要程度，即系統維度；（2）資產在系統中的重要程度以及資產自身的購買成本和維護成本，即資產維度；（3）資產的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）受到損害時對業務運營的負面影響程度，即CIA屬性維度[2]。按照國家標準GB/T 20984，資產價值劃分為5個不同等級，各個維度的資產價值用5分制表示，見表1。

表1 資產價值賦值表

資產任一維度（系統維度、資產維度、CIA屬性維度）的價值由其維度價值最高者確定，資產的最終價值A取3個維度價值之和，即：

3 資產脆弱性分析

脆弱性也可稱為弱點或漏洞，是資產中存在的薄弱環節，若被威脅利用將對系統造成損害，是導致安全事件的內因。風險評估中的一個重要環節是脆弱性分析，分析過程劃分為發現、分類、驗證、賦值4個步驟[6]。有學者采用基于規則、基于模型的脆弱性發現方法[7]；還有Schneier[8]和Moore[9]等人利用樹型結構來表示系統面臨的攻擊；脆弱性分類可以從技術和管理2個方面進行；脆弱性驗證可以采用滲透測試、仿真測試等方式；脆弱性賦值可以從脆弱點被利用可能性、漏洞修補情況、已有安全措施對脆弱性的修正程度等方面進行綜合考量。

3.1 脆弱性發現

等級保護合規性判別工具：根據國家、行業等級保護標準，分類梳理被評估系統安全符合性判別指標，編制成檢測表格工具，逐項對被檢測資產的安全狀況進行安全合規性判別，得出符合或不符合的檢查結果。安全符合性判別既能發現技術類弱點，也能發現管理類弱點，采用的方法主要有問卷調查、訪談、文檔查閱、人工核查和滲透性測試等[2]。

脆弱性掃描工具：針對網絡設備、主機設備、應用系統的安全薄弱環節與漏洞問題進行安全評估的工具，用于發現網絡或設備存在的開放端口、弱口令、安全漏洞等，發現漏洞的能力依賴于工具中保存的規則庫的完備性和準確性，使用這類工具發現的資產弱點一般是技術類脆弱性。

3.2 脆弱性賦值

脆弱性嚴重程度可參考通用漏洞評分系統（CVSS）3類指標組進行評判：脆弱點利用可能性（攻擊途徑）、漏洞修補情況、已有安全措施對脆弱點的修正程度[10]。根據CVSS系統給出的3類指標的度量方程和評分規則給脆弱性賦值。

脆弱點利用可能性指標由可利用指標和影響指標組成，代表易受攻擊事務的本質特征；漏洞修補情況指標衡量漏洞利用技術或代碼可用性隨時間變化的當前狀態，如是否存在補丁或其它變通辦法修復漏洞，對現有漏洞描述的可信程度等；修正程度指標根據安全控制措施到位情況、機密性、完整性和可用性需求來修正CVSS分值，表2舉例說明其指標構成及賦值。

4 網絡安全威脅判定

威脅也可稱為破壞或攻擊。鐵路信息系統的安全威脅來自多方面，可能是環境帶來的，也可能是人為造成的，或是設備自身損壞原因產生的。威脅一般不能對系統造成直接影響，只有在利用資產存在的脆弱性后才能引發安全事件，對資產具備潛在的破壞作用，是引起安全事件的外因。

表2 脆弱性指標示例

4.1 威脅分類

按照威脅產生的原因，可以從環境、人員、設備3個方面對鐵路信息系統的威脅進行分類[2]，參見表3。

表3 威脅分類

4.2 威脅量化計算

威脅可從3個維度進行度量：威脅發生的頻率、威脅的影響范圍和損害程度。各威脅因素發生頻率和影響程度的權重通過古林（A·J·Klee）法[11]計算賦值，其中心思想是：按序正向比較兩兩相鄰指標，確定其重要性比例；再以末端指標為基準，逆向計算各指標的橫向比較權重。

具體計算時，按以下步驟進行。

（1）確定各指標的數值集合Tj（j=1,2，…，k）；

（2）確定評價指標的重要度Rj：

（3）對Rj進行基準化處理，其結果設為Kj，以最后一項評價指標為基準，令其Kn值為1，自下而上兩兩相乘，計算其它評價項目的K值：

（4）計算各評價指標的權重Wj，將K列的數值相加，分別除以各行的Kj值，得到各評價指標的權重Wj：

并進行歸一化，使各指標的權重之和為1，即∑Wj=1。

5 安全風險評估模型建立

信息系統安全風險由安全事件發生的可能性L及安全事件造成的損失對組織的影響F確定，其中，L取決于威脅發生的頻率與脆弱性大小，F取決于資產價值與威脅影響范圍及程度。根據上述分析，可以建立如圖3所示的安全風險評估模型[2]。

圖3 基于等級保護思想的安全風險評估模型

具體開展風險評估工作時，可以按如下步驟進行。

（1）通過等級測評，識別被測對象的資產集合A，根據表1確定資產的系統維度、資產維度、CIA屬性維度值，按式（1）計算各資產值Ai，即：A={A1，{A1，...，Am}。

（2）通過等級測評，發現資產的脆弱點。通過CVSS從脆弱點可利用性、漏洞修補情況、已有安全措施對脆弱性修正情況3個方面確定各資產存在的脆弱性賦值矩陣V：

（3）分析評估對象所處的外部環境，明確各威脅發生頻率、影響范圍、影響程度的初始值，采用古林法計算威脅集T內各項威脅發生頻率權重W1和威脅影響權重W2：

（4）根據脆弱性賦值矩陣集合V、威脅發生頻率集合W1，采用關聯矩陣法，計算各資產發生安全事件的可能性L：

（5）根據資產價值集合A、威脅影響集合W2，以及威脅作用于資產情況，采用相乘法，計算安全事件造成的損失F：

（6）按降序排列安全事件發生可能性L和安全事件造成的損失F，將L值和F值落到圖4所示的風險象限圖中，依據各資產風險在象限圖中的落點，評估資產風險等級；其中，落在第1象限屬于高危安全風險，落在第2、4象限屬于中危安全風險，落在第3象限屬于低危安全風險。

圖4 安全風險象限圖

6 結束語

主要從兩個方面對風險評估關鍵技術開展研究：（1）完善了GB/T20984標準中對資產、威脅、脆弱性3要素的識別范圍和賦值方法，識別粒度更細，賦值所考慮的因素更貼合實際情況；（2）將網絡安全的等級保護與風險評估2種方法進行融合，使得在網絡安全實際測評工作中，既能判別評估對象是否安全合規，又能研判其面臨的安全風險嚴重程度。

從理論角度看，該方法是合理可行的，但其效果還需在實踐工作中加以檢驗。