信息系統(tǒng)安全評估評測過程與方法研究

肖新祥 施游

摘要：本文以信息系統(tǒng)安全評估過程為研究對象，圍繞風險分析方法、風險計算方法、網(wǎng)絡(luò)安全風險處置、安全風險評估方法進行了深入的研究和探討。

關(guān)鍵詞：安全評估;風險分析;評估過程;風險計算;風險處置

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）11-0003-03

由于信息系統(tǒng)與網(wǎng)絡(luò)也會存在各類的風險，不了解風險、不控制風險就無法保證信息系統(tǒng)的安全。對于各類信息系統(tǒng)，尤其是即將上線的信息系統(tǒng)，需要有一套安全評估體系和方法評估和分析風險，然后再尋找對應(yīng)的方法防范風險或者減小風險帶來的損失。

風險評估就是依據(jù)標準，利用評估技術(shù)、方法、工具，對系統(tǒng)中資產(chǎn)、威脅、脆弱點所帶來風險的大小，以及可能的控制措施的全面評估。

1 安全評估概述

系統(tǒng)外部可能造成的損害，稱為威脅;系統(tǒng)內(nèi)部可能造成的損害，稱為脆弱性。系統(tǒng)風險則是威脅利用脆弱性造成損壞的可能性。網(wǎng)絡(luò)風險評估就是評估攻擊網(wǎng)絡(luò)、系統(tǒng)的脆弱性而造成的損失程度。

網(wǎng)絡(luò)安全風險評估要素包含資產(chǎn)、威脅、脆弱性、風險、安全措施等。具體關(guān)系如圖1所示。

網(wǎng)絡(luò)安全風險評估方式有自評估、檢查評估、委托評估等。

實際應(yīng)用中，常使用期望貨幣值、系統(tǒng)風險量化值等工具量化評價系統(tǒng)的風險。

（1）期望貨幣值

期望貨幣值（Expected Monetary Value，EMV）用于計算在將來某種情況下發(fā)生或不發(fā)生的情況下的平均結(jié)果。期望貨幣價值是每個可能的值與其發(fā)生概率相乘之后的總和。EMV可用于表示網(wǎng)絡(luò)安全風險值。

期望貨幣值公式如下：

[EMV=i=1mPiXi]

其中，Pi是情況i發(fā)生的概率，Xi為i情況下風險的期望貨幣價值。

圖2給出了一個具體的EMV應(yīng)用實例。該實例為某游戲公司選擇防火墻1和防火墻2的防范DDoS攻擊，根據(jù)給出不同情況下的有效概率及對應(yīng)的獲利或損失情況，求選擇防火墻1的EMV和選擇防火墻2的EMV。

選擇防火墻1的EMV=60%×A+40%×B（A、B值盈利為正，損失為負）。

選擇防火墻2的EMV=50%×C+50%×D（C、D值盈利為正，損失為負）。

（2）系統(tǒng)風險量化值

系統(tǒng)風險量化值是依據(jù)系統(tǒng)受到攻擊的概率、影響價值兩個指標綜合評價風險。具體公式如下：

系統(tǒng)風險量化值=系統(tǒng)受到攻擊的概率×影響價值

假定某電子商務(wù)網(wǎng)站群系統(tǒng)受到攻擊概率為0.6，如果攻擊成功影響價值為1000萬人民幣。則該網(wǎng)站群系統(tǒng)的系統(tǒng)風險量化值=0.6×1000=600萬人民幣。

2 風險評估過程

風險評估過程包括評估準備、現(xiàn)狀識別（包含資產(chǎn)識別、威脅識別、脆弱性識別）、已實施的安全措施分析、風險分析、風險處置與管理等。具體評估過程見圖3。

（1）評估準備

網(wǎng)絡(luò)安全評估準備就是要了解全網(wǎng)的物理環(huán)境、拓撲結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)、IP地址分配、操作系統(tǒng)、已采用的安全措施、人員部署等。

（2）資產(chǎn)識別

資產(chǎn)識別包含資產(chǎn)鑒定、資產(chǎn)價值估算兩個部分。

1）資產(chǎn)鑒定：清點并記錄網(wǎng)絡(luò)中的設(shè)備、應(yīng)用、數(shù)據(jù)、文檔等資產(chǎn)的種類和數(shù)量。

2）資產(chǎn)價值估算：量化并評估資產(chǎn)保密性、完整性、可用性，并進行等級劃分。

（3）威脅識別

威脅識別用于分析資產(chǎn)的危害，可以從威脅的來源、途徑、意圖、效果等多個方面進行展開分析。

（4）脆弱性識別

脆弱性識別是找出網(wǎng)絡(luò)資產(chǎn)的缺陷，并分析并評估缺陷的危害。脆弱性識別的核心是資產(chǎn)。常見的資產(chǎn)漏洞評估工具有CVE、CWE、CNNVD、CNVD等。

（5）已實施的安全措施分析

分析并確定已實施的安全措施，評估其有效性，分析實施之后是否還存在脆弱性。

（6）風險分析

用定性和定量的方法分析風險的大小和等級。

風險分析的步驟如下。

[第一步（資產(chǎn)識別）：識別資產(chǎn)并量化資產(chǎn)價值。

第二步（威脅識別）：識別威脅，分析威脅屬性，量化威脅的頻率。

第三步（脆弱性識別）：識別脆弱性并量化脆弱性的嚴重程度。

第四步（可能性概率分析）：分析利用威脅的難易程度，分析攻擊發(fā)生的可能性。

第五步（脆弱性損失分析）：根據(jù)資產(chǎn)重要性，脆弱性嚴重性計算安全事件出現(xiàn)而帶來的損失。

第六步（確定安全風險值）：依據(jù)風險發(fā)生的概率和安全事件出現(xiàn)所帶來的損失，求安全風險值，即安全事件發(fā)生的影響程度。 ]

3 風險分析方法

常見的風險分析方法有：

（1）定性風險分析：主觀評估風險相關(guān)的資產(chǎn)、威脅、脆弱性等因素，并按高、中、低等方式進行粗略的排序。

（2）定量風險分析：量化評估風險相關(guān)的資產(chǎn)、威脅、脆弱性等因素。

（3）綜合計算法：結(jié)合了定量、定性風險分析方法，將資產(chǎn)、威脅、脆弱性等因素，按“很高、高、中、低、很低”或者“（5）、（4）、（3）、（2）、（1）”方式進行風險分析。

4 風險計算方法

常見的信息系統(tǒng)的風險計算方法有相乘法、矩陣法。

（1）相乘法

相乘法屬于一種定量計算法，該方法將兩個要素值相乘，得到另一要素值。

所使用的公式為計算公式如下：

[z=fx，y=x×y]

其中，x和y分別相乘的兩要素值，而z代表另一要素值。

【例1】某單位做安全評估時，識別出一項重要資產(chǎn)，設(shè)定為A1。經(jīng)過風險分析，確定的條件如下：

1）資產(chǎn)價值A(chǔ)1=9;

2）資產(chǎn)A1所面臨的主要威脅是T1，威脅發(fā)生頻率為1，用T1=1表示。

3）T1可以利用的資產(chǎn)A1的脆弱性V1，脆弱性嚴重程度為4，用V1=4表示。

用相乘法求安全事件風險值。

風險值計算過程如下：

[第一步：計算事件發(fā)生的可能性

計算過程：

[z=fx，y=威脅發(fā)生頻率×脆弱性嚴重程度=T1×V1=4] 第二步：計算安全事件造成的損失

[z=fx，y=資產(chǎn)價值×脆弱性嚴重程度=A1×V1=36] 第三步：計算安全風險值

安全風險值=事件發(fā)生的可能性×安全事件造成的損失=[4×36]=12 ]

（2）矩陣法

矩陣法就是構(gòu)建一個事件發(fā)生可行性與安全事件造成的損失兩個維度的二維表，這里表也可以看成矩陣的形式。

矩陣法計算的實質(zhì)就是，“根據(jù)已知條件查表”。

【例2】假定某單位資產(chǎn)A1的相關(guān)情況與條件如下：

資產(chǎn)價值：A1=3;威脅發(fā)生概率T1=3;脆弱性嚴重程度V1=3。

第一步：計算事件發(fā)生的可能性，劃分安全事件發(fā)生可能性等級

本步驟就是查“安全事件發(fā)生可能性表”和“安全事件發(fā)生可能性等級劃分表”。

查表1，可得到安全事件發(fā)生的可能性=12。

查表2，可得到安全事件發(fā)生可能性等級=3。

第二步：計算安全事件損失，劃分安全事件損失等級

本步驟就是查“安全事件損失表”和“安全事件損失等級劃分表”。

查表3，可得到安全事件損失=11。

查表4，可得到安全事件損失等級=3。

第三步：計算風險值，確定風險等級

本步驟就是查“安全事件風險值表”和“安全事件風險等級劃分表”。

查表5，可得到安全事件風險值=15。

查表6，可得到安全事件風險等級=3。

5 網(wǎng)絡(luò)安全風險處置

網(wǎng)絡(luò)安全風險處置作用是分析已發(fā)現(xiàn)的安全風險，制定風險處理計劃，給出具體的處置建議，控制風險。

可行的網(wǎng)絡(luò)安全風險處置主要方法和措施可以分為下幾個方面。

（1）管理方面：具體控制措施有：制定安全策略;建立安全組織;加強人員管理;確保符合法律法規(guī)要求，確保滿足安全目標。

（2）技術(shù)方面：具體控制措施有：實施資產(chǎn)分控;確保物理和環(huán)境安全;確保通信安全;構(gòu)建合理的訪問控制機制。

（3）業(yè)務(wù)和系統(tǒng)保障方面：具體控制措施有：業(yè)務(wù)持續(xù)運行;安全的系統(tǒng)開發(fā)和維護。

6 安全風險評估方法

常見的風險評估方法分類和具體工具，參見表7。

參考文獻：

[1] 蔣建春.文偉平，焦健副.信息安全工程師教程[M].2版.北京：清華大學出版社，2020.

[2] 朱小平，施游.網(wǎng)絡(luò)工程師5天修煉[M].2版.北京：中國水利水電出版社，2015.

[3] 汪京培.分布式場景中信任管理和模型評估的關(guān)鍵技術(shù)研究[D].北京：北京郵電大學，2013

[4] 謝宗曉，李寬.通用準則（CC）與信息安全管理體系（ISMS）的比較分析[J].中國質(zhì)量與標準導報，2018（7）：28-32.

【通聯(lián)編輯：唐一東】