探討涉密信息系統(tǒng)之風(fēng)險(xiǎn)與成本管控

◆張紹福

?

探討涉密信息系統(tǒng)之風(fēng)險(xiǎn)與成本管控

◆張紹福

(貴州航空發(fā)動(dòng)機(jī)研究所 貴州 550000)

本文以涉密信息系統(tǒng)安全保密管理作為關(guān)鍵點(diǎn)，即以安全風(fēng)險(xiǎn)控制作為切入點(diǎn)，應(yīng)用成本效益分析法，根據(jù)安全風(fēng)險(xiǎn)發(fā)生的概率、風(fēng)險(xiǎn)危害性、風(fēng)險(xiǎn)損益成本等要素探討涉密信息系統(tǒng)安全管理的人力、財(cái)力、物力、管理等成本管控問(wèn)題，研究使企業(yè)涉密信息系統(tǒng)安全風(fēng)險(xiǎn)管控與成本管控均達(dá)到可接受程度的評(píng)價(jià)方法。

涉密信息；系統(tǒng)風(fēng)險(xiǎn)；成本管控

0 前言

隨著信息技術(shù)的不斷發(fā)展，信息安全問(wèn)題也日顯突出,信息安全已成為事關(guān)國(guó)家安全和國(guó)家發(fā)展的重大戰(zhàn)略問(wèn)題，如何確保信息系統(tǒng)的安全已成為國(guó)家及各行各業(yè)高度關(guān)注的問(wèn)題。尤其是對(duì)于從事武器裝備科研生產(chǎn)單位的涉密信息系統(tǒng)安全保密管理，是保密工作的重中之重，關(guān)系國(guó)家秘密的安全和企業(yè)生存發(fā)展。

為指導(dǎo)和規(guī)范涉及國(guó)家秘密的信息系統(tǒng)的安全保密管理，國(guó)家已先后頒發(fā)了一系列涉密信息系統(tǒng)的管理標(biāo)準(zhǔn)。此外，通過(guò)開(kāi)展涉密信息系統(tǒng)安全保密測(cè)評(píng)、安全保密風(fēng)險(xiǎn)評(píng)估、軍工保密資格審查認(rèn)證等工作，進(jìn)一步規(guī)范和加強(qiáng)了各單位涉密信息系統(tǒng)的安全保密建設(shè)與管理。

涉密信息系統(tǒng)使用單位根據(jù)國(guó)家相關(guān)保密標(biāo)準(zhǔn)要求，已逐步建立和完善了涉密信息系統(tǒng)安全保密技術(shù)防范和管理體系，較好地保障了國(guó)家秘密的安全。然而，保密是需要付出成本的，隨著對(duì)涉密信息系統(tǒng)安全保密管理要求的不斷提高，所付出的人力、財(cái)力、物力、管理等成本也在不斷增長(zhǎng)，具體到一個(gè)項(xiàng)目或單位可能不很突出，但從總體上看，這其實(shí)是一個(gè)相當(dāng)龐大的數(shù)目。如何使涉密信息系統(tǒng)安全風(fēng)險(xiǎn)管控與成本管控均達(dá)到可接受的程度，是每個(gè)單位需要權(quán)衡的問(wèn)題。本文通過(guò)涉密信息系統(tǒng)安全保密管理的關(guān)鍵點(diǎn)，即安全風(fēng)險(xiǎn)控制作為切入點(diǎn)，應(yīng)用成本效益分析法，根據(jù)安全風(fēng)險(xiǎn)發(fā)生的概率、風(fēng)險(xiǎn)危害性、風(fēng)險(xiǎn)損益成本等要素探討涉密信息系統(tǒng)安全保密管理的成本管控問(wèn)題，研究使企業(yè)涉密信息系統(tǒng)安全風(fēng)險(xiǎn)管控與成本管控均達(dá)到可接受程度的評(píng)價(jià)方法。

1 信息安全風(fēng)險(xiǎn)控制理論

1.1信息安全風(fēng)險(xiǎn)控制需求

涉密信息系統(tǒng)安全保密管理的核心是實(shí)施信息安全風(fēng)險(xiǎn)管理，風(fēng)險(xiǎn)管理是一種主動(dòng)預(yù)防性行為，通過(guò)付出一定的控制成本將安全風(fēng)險(xiǎn)控制到可接受的程度，目的是杜絕或避免潛在的安全風(fēng)險(xiǎn)演變成安全事件，實(shí)現(xiàn)信息安全保障的目標(biāo)。因此，信息安全風(fēng)險(xiǎn)管理貫穿涉密信息系統(tǒng)生命周期的全部過(guò)程，在信息系統(tǒng)規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢止等階段均需加以控制。同時(shí)依據(jù)等級(jí)保護(hù)的思路和適度安全的原則，平衡成本與效益，確定合適的安全措施，從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。

1.2 信息安全風(fēng)險(xiǎn)控制模型

信息安全風(fēng)險(xiǎn)控制模型由風(fēng)險(xiǎn)的構(gòu)成、風(fēng)險(xiǎn)的控制兩方面的內(nèi)容組成，圖1描繪了風(fēng)險(xiǎn)控制的概念模型：

風(fēng)險(xiǎn)的構(gòu)成包括五個(gè)方面：起源、方式、途徑、受體和后果。

起源是威脅的發(fā)起方，叫做威脅源；

方式是威脅源實(shí)施威脅所采取的手段，叫做威脅行為；

途徑是威脅源實(shí)施威脅所利用的薄弱環(huán)節(jié)，叫做脆弱性或漏洞；

圖1 信息安全風(fēng)險(xiǎn)控制的概念模型

受體是威脅的承受方，即資產(chǎn)；

后果是威脅源實(shí)施威脅所造成的利益損失，叫做影響。

它們之間的相互關(guān)系可表述為，風(fēng)險(xiǎn)的一個(gè)或多個(gè)起源(威脅源)，采用一種或多種方式(威脅行為)，通過(guò)一種或多種途徑(脆弱性或漏洞)，侵害一個(gè)或多個(gè)受體(資產(chǎn))，造成不良后果(影響)。

風(fēng)險(xiǎn)的控制包括五個(gè)方面：起源、方式、途徑、受體和成果。

起源是威脅控制的發(fā)起方，叫做資產(chǎn)所有者；

方式是資產(chǎn)所有者實(shí)施威脅控制所采取的手段，叫做控制行為；

途徑是資產(chǎn)所有者實(shí)施威脅控制所采用的措施，叫做技術(shù)、組織或管理；

受體是威脅控制的承受方，即資產(chǎn)；

成果是資產(chǎn)所有者實(shí)施威脅控制所帶來(lái)的收益，叫做保障。

它們之間的相互關(guān)系可表述為，資產(chǎn)的一個(gè)或多個(gè)所有者(資產(chǎn)所有者)，采用一種或多種方式(控制行為)，通過(guò)一種或多種途徑(技術(shù)、組織或管理)，保障一個(gè)或多個(gè)受體(資產(chǎn))，帶來(lái)投資收益(保障)。

風(fēng)險(xiǎn)控制的概念模型，可表述為，威脅源利用脆弱性，對(duì)資產(chǎn)實(shí)施威脅行為，造成損益成本，而資產(chǎn)所有者以遠(yuǎn)低于損益成本的控制成本，采取技術(shù)、組織、管理等措施，為資產(chǎn)提供安全保障。其中的虛線表示威脅行為和影響是潛在的，雖處于未發(fā)生狀態(tài)，但具有發(fā)生的可能性；粗線表示不管威脅行為是否發(fā)生，資產(chǎn)所有者一旦實(shí)施了風(fēng)險(xiǎn)控制保障措施，風(fēng)險(xiǎn)控制成本都將產(chǎn)生。因此，如何平衡成本與效益，確定合適的安全措施，是資產(chǎn)所有者實(shí)施風(fēng)險(xiǎn)控制的關(guān)鍵。

1.3 信息安全風(fēng)險(xiǎn)控制成本損益分析

評(píng)估一個(gè)信息安全風(fēng)險(xiǎn)控制措施時(shí)，資產(chǎn)所有者最為關(guān)注的是通過(guò)增加控制成本實(shí)施風(fēng)險(xiǎn)控制后所能帶來(lái)的收益，當(dāng)降低某個(gè)風(fēng)險(xiǎn)時(shí)，并非所有的控制措施都具有相同的經(jīng)濟(jì)可行性，可以采用成本效益分析法作為評(píng)估標(biāo)準(zhǔn)。成本效益分析是通過(guò)比較項(xiàng)目的全部成本和效益來(lái)評(píng)估項(xiàng)目?jī)r(jià)值的一種方法，成本—效益分析作為一種經(jīng)濟(jì)決策方法，將成本費(fèi)用分析法運(yùn)用于信息安全風(fēng)險(xiǎn)控制的計(jì)劃決策之中，以尋求在投資決策上如何以最小的成本獲得最大的收益。

為了便于計(jì)算成本與收益,可采用凈現(xiàn)值法計(jì)算公式:

公式中，Bi為某一風(fēng)險(xiǎn)控制項(xiàng)目i所可能產(chǎn)生的凈收益總值，t為項(xiàng)目建造和投入使用的第t年，bi(t)為風(fēng)險(xiǎn)控制項(xiàng)目i在第t年所產(chǎn)生的收益；ci(t)為風(fēng)險(xiǎn)控制項(xiàng)目i在第t年所支出的成本；n為所分析項(xiàng)目的生命周期(按年計(jì)算)；ki為項(xiàng)目i最初的投入成本。

凈現(xiàn)值法是利用凈現(xiàn)金效益量的總現(xiàn)值與凈現(xiàn)金投資量之差算出凈收益，然后根據(jù)凈收益的大小來(lái)評(píng)價(jià)投資方案。凈現(xiàn)值為正值，投資方案是可以接受的；凈現(xiàn)值是負(fù)值，投資方案就是不可接受的。凈現(xiàn)值越大，投資方案越好。其具體步驟如下:

1.3.1風(fēng)險(xiǎn)控制的成本分析

為了控制某個(gè)信息安全風(fēng)險(xiǎn)所產(chǎn)生的成本包括該風(fēng)險(xiǎn)控制項(xiàng)目最初的投入成本(ki)和每年所支出的成本ci(t)，項(xiàng)目最初的投入成本包括軟硬件采購(gòu)、安裝實(shí)施、人員培訓(xùn)等支出組成，每年所支出的成本ci(t)包括人力投入成本和軟硬件維護(hù)升級(jí)成本，計(jì)算公式如下：

ci(t) = LC(人力成本) + MC(維護(hù)成本)

ci(t)代表控制風(fēng)險(xiǎn)i在第t年所支出的總成本，LC代表第t年所支出的人力成本，MC代表第t年所支出的維護(hù)成本。其中LC的計(jì)算公式如下：

公式中，T代表各類員工工作的總時(shí)間（小時(shí)），S代表各類員工的小時(shí)工資，i代表各類員工，n代表員工類型的數(shù)量。

比如，為加強(qiáng)涉密網(wǎng)絡(luò)信息打印輸出的風(fēng)險(xiǎn)管理，某企業(yè)花費(fèi)50萬(wàn)元部署實(shí)施了1套打印審計(jì)系統(tǒng)，每3年升級(jí)一次，升級(jí)費(fèi)用為部署費(fèi)用的50%，并在系統(tǒng)中設(shè)置了一個(gè)3個(gè)節(jié)點(diǎn)的打印審批流程，假設(shè)每個(gè)節(jié)點(diǎn)處理用時(shí)1分鐘，每天執(zhí)行打印輸出流程200次，全年有效工作日250天，員工的平均小時(shí)工資為20元，那么實(shí)施該系統(tǒng)后每年所支出的人力成本LC = 200次 x 3/60小時(shí) x 250天 x 20元 = 5萬(wàn)元，每年支出的維護(hù)成本MC = 50萬(wàn)元x 50% ÷ 3 = 8.3萬(wàn)元。由此可以計(jì)算出每年所支出的總成本ci(t) = 5萬(wàn) + 8.3萬(wàn) = 13.3萬(wàn)。

1.3.2安全風(fēng)險(xiǎn)的損益分析

評(píng)估一個(gè)信息安全風(fēng)險(xiǎn)控制措施實(shí)施所能帶來(lái)的收益是非常困難的，因?yàn)轱L(fēng)險(xiǎn)控制是一種主動(dòng)預(yù)防性行為，控制的是潛在的未發(fā)生的安全風(fēng)險(xiǎn)，每一個(gè)安全風(fēng)險(xiǎn)演變成安全事件后造成的影響也不一樣，只能進(jìn)行主觀性的初略估算。因此,可以通過(guò)某一資產(chǎn)存在的潛在安全風(fēng)險(xiǎn)發(fā)生的概率、風(fēng)險(xiǎn)危害性及資產(chǎn)價(jià)值概算出該風(fēng)險(xiǎn)每年可能造成的利益損失，簡(jiǎn)稱為損益分析。

信息安全風(fēng)險(xiǎn)造成的利益損失通過(guò)評(píng)估bi(t)值來(lái)確定:

bi(t) = SLE(單一預(yù)期損失) x ARO(年發(fā)生幾率)

單一預(yù)期損失（SLE）是根據(jù)每次安全事件造成的損失的價(jià)值計(jì)算，包括資產(chǎn)的價(jià)值和事件所造成損失的期望百分比:

SLE=資產(chǎn)價(jià)值（AV）x 暴露因子（EF）

評(píng)估資產(chǎn)價(jià)值(AV)是信息安全項(xiàng)目中最富挑戰(zhàn)性的工作，其范圍包括開(kāi)發(fā)和獲取硬件、軟件以及服務(wù)的成本、培訓(xùn)成本、實(shí)施成本、維護(hù)及升級(jí)成本，以及其產(chǎn)生的價(jià)值，簡(jiǎn)單的說(shuō)就是成本及收益。成本較易計(jì)算，但是收益則不可能精確計(jì)算，比如說(shuō)國(guó)家秘密的泄露，造成的經(jīng)濟(jì)損失是無(wú)法被精確計(jì)算出來(lái)的。EF是已知漏洞所造成的損失的百分比。

比如，假使一個(gè)網(wǎng)站的評(píng)估價(jià)值為100萬(wàn)（資產(chǎn)評(píng)估所得），黑客的蓄意破壞導(dǎo)致該網(wǎng)站的10%會(huì)受到損壞（暴露因子），那么該網(wǎng)站的單一預(yù)期損失就是SLE=100萬(wàn) x 10%=10萬(wàn)，這將用來(lái)計(jì)算另一項(xiàng)價(jià)值---每年的預(yù)期損失。

量化評(píng)估威脅發(fā)生的可能性很難，大多數(shù)情況下，威脅發(fā)生的可能性會(huì)以一個(gè)容易推導(dǎo)的形式來(lái)描述。利用在已知時(shí)間內(nèi)（比如說(shuō)過(guò)去5年）威脅發(fā)生的可能性，這個(gè)值通常被稱為年發(fā)生幾率（ARO）。比如，黑客蓄意破壞網(wǎng)站的安全事件每?jī)赡臧l(fā)生一次。那么，其ARO就是50%。

確定了資產(chǎn)價(jià)值以及某個(gè)安全事件的SLE和ARO，就可以計(jì)算出每年的預(yù)期損失，以此來(lái)表明此風(fēng)險(xiǎn)的總體損失。bi(t)=SLE x ARO。使用前面的示例，可以計(jì)算出bi(t) =10萬(wàn)x50%=5萬(wàn)。這樣，除非提高網(wǎng)站的安全等級(jí)，否則每年都會(huì)在黑客攻擊上損失5萬(wàn)。

1.3.3根據(jù)凈現(xiàn)值法評(píng)價(jià)原則進(jìn)行結(jié)果的評(píng)定

通過(guò)風(fēng)險(xiǎn)控制的成本分析和安全風(fēng)險(xiǎn)的損益分析，計(jì)算出風(fēng)險(xiǎn)控制措施的凈現(xiàn)值，然后根據(jù)凈現(xiàn)值的大小來(lái)評(píng)價(jià)投資方案。凈現(xiàn)值為正值，投資方案是可以接受的；凈現(xiàn)值是負(fù)值，投資方案就是不可接受的。凈現(xiàn)值越大，投資方案越好。

2 機(jī)房屏蔽建設(shè)項(xiàng)目成本效益分析示例

某企業(yè)在開(kāi)展新區(qū)網(wǎng)控中心機(jī)房建設(shè)規(guī)劃時(shí)，根據(jù)風(fēng)險(xiǎn)管理分析，認(rèn)為該網(wǎng)控中心機(jī)房未考慮建設(shè)屏蔽機(jī)房或屏蔽機(jī)柜，存在電磁泄露的安全風(fēng)險(xiǎn)。為加強(qiáng)該安全風(fēng)險(xiǎn)的控制，該企業(yè)通過(guò)調(diào)研咨詢，制定了兩套整改方案，供決策層選擇。

方案1：對(duì)新建的100平米網(wǎng)控中心機(jī)房進(jìn)行屏蔽改造，預(yù)計(jì)改造費(fèi)用為800萬(wàn)元，預(yù)期使用20年；

方案2：根據(jù)網(wǎng)控中心機(jī)房容納設(shè)備數(shù)量，配備足夠數(shù)量的電磁屏蔽機(jī)柜，假設(shè)需配備10套，預(yù)計(jì)采購(gòu)費(fèi)用30萬(wàn)元，預(yù)期使用10年。

下面按照信息安全風(fēng)險(xiǎn)控制成本效益分析步驟，對(duì)以上兩套方案進(jìn)行分析對(duì)比。

2.1確定風(fēng)險(xiǎn)的控制成本

首先確定風(fēng)險(xiǎn)控制項(xiàng)目的最初投入成本(ki)，

方案1：最初投入成本(k1) = 800萬(wàn)元；

方案2：最初投入成本(k2) = 30萬(wàn)元。

然后計(jì)算風(fēng)險(xiǎn)控制項(xiàng)目每年所支出的成本ci(t)。

方案1：假設(shè)每個(gè)工作日要求機(jī)房管理員對(duì)屏蔽機(jī)房整體情況進(jìn)行一次巡檢，每次用時(shí)5分鐘，全年有效工作日250天，員工的平均小時(shí)工資20元，那么屏蔽機(jī)房投用后每年所支出的人力成本LC = 1次 x 5/60小時(shí) x 250天 x 20元 = 416元；每3年需進(jìn)行一次專業(yè)的屏蔽檢測(cè)，檢測(cè)費(fèi)用6萬(wàn)元，那么每年支出的維護(hù)成本MC = 6萬(wàn)元÷ 3 = 2萬(wàn)元。由此可以計(jì)算出每年所支出的成本c1(t) = 0.0416萬(wàn)+ 2萬(wàn)= 2.0416萬(wàn)。

方案2：假設(shè)每個(gè)工作日要求機(jī)房管理員對(duì)屏蔽機(jī)柜內(nèi)設(shè)備運(yùn)行情況進(jìn)行一次巡檢，每次用時(shí)10分鐘，全年有效工作日250天，員工的平均小時(shí)工資20元，那么屏蔽機(jī)柜投用后每年所支出的人力成本LC = 1次 x 10/60小時(shí) x 250天 x 20元 = 832元；

每3年需進(jìn)行一次保養(yǎng)維護(hù)，維護(hù)費(fèi)用1萬(wàn)元，那么每年支出的維護(hù)成本MC = 1萬(wàn)元÷ 3 = 3333元。由此可以計(jì)算出每年所支出的成本c2(t) = 832元 + 3333元 =4165元。

2.2估算風(fēng)險(xiǎn)的損益成本

方案1和方案2保障的資產(chǎn)均為網(wǎng)控中心機(jī)房?jī)?nèi)信息設(shè)備存儲(chǔ)和傳輸?shù)碾姶判畔?，遭到安全風(fēng)險(xiǎn)侵害后造成的損益成本是相同的。

首先確定存在風(fēng)險(xiǎn)的資產(chǎn)價(jià)值(VA),方案1和方案2保障的資產(chǎn)中包括大量涉密信息和企業(yè)內(nèi)部核心信息，這些資產(chǎn)是由大量 科研經(jīng)費(fèi)和人力成本長(zhǎng)期轉(zhuǎn)化而來(lái)，因此，可以根據(jù)信息的存儲(chǔ)量及重要程度初略估算，假設(shè)該企業(yè)的信息資產(chǎn)估值為1億元。

然后計(jì)算該資產(chǎn)的單一預(yù)期損失(SLE)。由于實(shí)施電磁泄露入侵的技術(shù)難度和實(shí)施成本較大，假使攻擊者成功入侵導(dǎo)致該資產(chǎn)的10%會(huì)被竊取(暴露因子)，那么該資產(chǎn)的單一預(yù)期損失就是SLE=1億元 x 10%=1000萬(wàn)元。

從全國(guó)近5年來(lái)的入侵事件分析，實(shí)施電磁泄露入侵的可能性非常小，假使全國(guó)1000個(gè)企業(yè)5年內(nèi)曾遭受過(guò)100次電磁泄露攻擊，那么年發(fā)生幾率ARO=100/1000次÷ 5 = 2％。

最后，根據(jù)確定的資產(chǎn)價(jià)值以及電磁泄露安全事件的SLE和ARO，可以計(jì)算出每年的預(yù)期損失bi(t) =1000萬(wàn)x 2％ = 20萬(wàn)。

2.3綜合評(píng)價(jià)結(jié)果

根據(jù)凈現(xiàn)值法計(jì)算公式，可以測(cè)算出方案1和方案2的凈收益總值，計(jì)算結(jié)果如下：

從以上計(jì)算結(jié)果可以看出，方案1得出的凈現(xiàn)值為負(fù)值，說(shuō)明該投資方案是不可接受的，方案2得出的凈現(xiàn)值為正值，且凈現(xiàn)值較大，說(shuō)明該投資方案可以接受。通過(guò)兩種方案的結(jié)果對(duì)比，可以直觀地為安全風(fēng)險(xiǎn)的控制措施選擇提供經(jīng)濟(jì)性評(píng)價(jià)決策依據(jù)。但由于分析過(guò)程中部分?jǐn)?shù)據(jù)給定較為主觀，若需進(jìn)行精確計(jì)算，必須根據(jù)實(shí)際情況獲取較為客觀的數(shù)據(jù)進(jìn)行計(jì)算。

3 結(jié)論

依據(jù)本文描述的信息安全風(fēng)險(xiǎn)控制模型，應(yīng)用成本效益分析的評(píng)價(jià)方法，通過(guò)計(jì)算實(shí)施風(fēng)險(xiǎn)控制措施所能產(chǎn)生的凈現(xiàn)值，可以對(duì)某個(gè)安全風(fēng)險(xiǎn)的一個(gè)或多個(gè)安全措施進(jìn)行經(jīng)濟(jì)性評(píng)價(jià)，為企業(yè)實(shí)施涉密信息系統(tǒng)安全風(fēng)險(xiǎn)管控與成本管控提供較為直觀的決策依據(jù)。

[1]中國(guó)信息安全測(cè)評(píng)中心.信息安全保障[M].北京：清華大學(xué)出版社，2014.

[2]盧加元.信息系統(tǒng)風(fēng)險(xiǎn)管理[M].北京：清華大學(xué)出版社，2011.

[3]王禎學(xué).信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估與控制理論[M].北京：科學(xué)出版社，2011.