基于等級保護標準的信息安全風險評估方法

郭磊

摘 要 本文對某大型集團企業為有效提高信息安全的整體水平和安全管控效率，如何基于我國信息安全等級保護標準進行信息安全風險評估活動，進行了具體的分析和研究，總結歸納了該企業在日常信息安全管理工作中的等級保護和信息安全管理體系系列活動，通過效果評估確定等級保護標準已完全融入了該企業的日常信息安全風險評估活動，并發揮了關鍵作用。

【關鍵詞】信息安全 信息系統 等級保護 風險評估

信息安全等級保護作為我國信息安全方面重要的標準，與其他國際標準（如ISO/IEC 27001、ISO/IEC 13335）相比，更加符合我國的信息安全管理需求。信息系統安全等級保護是以信息系統是否符合等級保護基本要求為目的，從技術要求和管理要求兩個方面著手對信息系統安全實行等級化保護和等級化管理，信息安全等級保護的核心是對信息系統特別是對業務應用系統的信息安全分等級、按標準進行建設、管理和監督。

同時，信息安全風險評估也是信息安全管理的一項重要活動，信息安全風險評估以PDCA循環持續推進信息安全風險管理為目的，以信息安全建設為出發點，通過對用戶關心的重要信息資產的安全威脅發生的可能性及嚴重性進行分析，并通過對已有安全控制措施的確認，借助定量、定性分析的方法，推斷出用戶關心的重要信息資產當前的安全風險，并根據風險的嚴重級別制定風險處置計劃，確定下一步的安全需求方向。

信息安全等級保護是標準和體系，信息安全風險評估是等級保護（不同等級不同安全需求）的出發點和針對性的手段。信息安全風險評估中的風險等級和等級保護中的系統定級均充分考慮到信息資產價值的高低，但風險評估中的風險等級加入了對現有安全控制措施的確認因素，也就是說，等級保護中高級別的信息系統不一定就有高級別的安全風險。因此，如何信息安全風險評估如何與等級保護標準有效結合，是信息化安全工作的一項重要命題。

某大型集團企業作為國資委直屬企業，近幾年來，隨著信息化程度的不斷提升，信息系統的安全管控工作愈發重要。為此，該企業在公安機關的指導監督下已連續四年開展了信息安全等級保護工作，信息安全等級保護能力與水平已得到有效提高。同時，該企業也根據ISO27001建立了信息安全管理體系，并按照體系要求定期開展信息安全風險評估活動，保障信息資產安全。為更有效的提高企業信息安全整體水平和安全管控效率，該企業通過制定評估標準，開展了將信息安全風險評估和信息安全等級保護標準融合在日常信息安全風險評估的活動中，使得企業能夠在滿足等級保護基本要求的前提下，使風險評估活動更加符合企業個性化的信息安全需求，取得了更為良好的評估和保護效果。

1 風險評估常用方法介紹

ISO/IEC13335-3：1998《IT安全管理技術》中將信息安全風險評估方法分為四類，包括基線方法、非正式方法、詳細風險分析和綜合方法。各類安全風險評估方法的形成都來源于對安全風險評估過程的解讀，在信息安全管理行業實踐方面，如何保障信息資產安全是信息安全管理的核心思想。目前國內外有不少關于風險評估方面的標準和指南，其中國內的GBT 20984-2007《信息安全技術 信息安全風險評估規范》較為完整的介紹了風險評估過程，主要評估階段如圖1所示。

第一階段：資產的識別和估值階段，調查并了解企業信息系統業務的流程和運行環境，確定評估范圍的邊界，對評估范圍內的所有資產進行識別，調查信息資產一旦被破壞后可能造成的影響大小，并根據影響的大小為資產進行賦值。

第二階段：安全威脅評估階段，即根據各類信息資產的特點，評估資產所面臨的各種威脅發生的可能性。

第三階段：脆弱性評估階段，包括從技術、管理、策略方面進行脆弱程度檢查，特別是技術方面，采用系統掃描和手動抽查等手段進行有效評估。

第四階段：風險的分析階段，即通過分析上面所評估的數據，進行風險值計算，區分和確認高風險因素。

第五階段：風險的處置階段，這一階段主要是總結整個風險評估過程，遵循已確定的風險接受準則，生成風險評估報告，并對需要處置的風險先實施適合的風險控制措施。

2 基于等級保護標準的風險評估方法

信息系統安全等級保護是指對信息安全實行等級化保護和等級化管理，目的是根據信息系統應用業務重要程度及其實際安全需求，實行分級、分類、分階段實施保護，保障信息安全和系統安全正常運行。從實際工作來看，信息安全風險評估是信息系統安全等級保護和信息安全建設的出發點，能夠改變以往純粹以等級保護為驅動導向的信息安全體系設計，改為重視信息安全的實際應用效果，通過對安全威脅進行定性和定量的分析來判斷信息資產所面臨的信息安全風險，同時根據信息安全風險的威脅級別，在滿足等級保護基本要求的前提下，制訂風險處置計劃。

2.1 基于等級保護標準的風險評估流程

將信息安全等級保護基線方法和信息安全風險評估方法進行融合，以適用于大部分企業信息系統的二級等級保護要求為基線，結合詳細的信息資產風險評估，形成基于等級保護標準的信息安全風險評估過程，如圖2所示。

基于等級保護標準的信息安全風險評估流程前面三個階段與常用的風險評估方法相同，不同處在于風險分析階段和風險處置階段：

在風險分析階段，原有的風險評估方法只要判斷最終風險值是否滿足風險接受準則，而基于等級保護標準的風險評估方法還需判斷已有安全措施是否滿足等保二級要求。

在風險處置階段，原有的風險評估方法采用的風險控制措施只要將風險值降到風險接受準則以下即可，對于采取何種措施沒有明確要求，而基于等級保護標準的風險評估更加側重于從等保二、三級要求中選擇控制措施。

2.2 基于等級保護標準的風險控制措施

控制措施是信息系統針對不同安全保護等級，所應該具有的基本安全保護能力，根據實現方式的不同，控制措施分為技術措施和管理措施兩大類。技術措施分為物理安全、網絡安全、主機安全、應用安全和數據安全等方面；管理措施分為安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理等方面。技術措施和管理措施是確保信息系統安全不可分割的兩個部分。

該企業應用基于等級保護標準的信息安全風險評估方法后，期望得到的風險控制級別如圖3所示。

3 新型風險評估方法的應用

該企業在實際工作中應開始應用基于等級保護標準的信息安全風險評估方法，在每年一次的風險評估活動中，風險評估團隊按照2.1章節中的流程開展工作，在完成信息資產識別、威脅識別、弱點識別及已有措施識別后，根據以下公式計算風險值：風險值=資產價值 × ROUND（弱點值 × 威脅值 × 現有措施有效性系數）。

資產價值與資產的保密性（C）、完整性（I）和可用性（A）三個屬性相關，根據屬性喪失后對信息資產的影響程度來賦值，目前總共分為5級，根據影響程度從低到高分別賦值1到5，資產價值是根據三個屬性的賦值綜合計算后，按照分級定義最終確認。

弱點值和威脅值是風險評估團隊根據經驗和有關的統計數據綜合判斷得出，對風險評估團隊的專業技能要求較高。弱點值根據嚴重程度分為5級，根據嚴重程度從低到高分別賦值1到5，威脅值根據發生的頻繁程度分為5級，根據頻率程度從低到高分別賦值1到5。

現有控制措施有效性系數與等級保護要求掛鉤，即等保一級要求有效性賦值為1，等保二級要求有效性賦值為2，依此類推。現有安全措施可以降低系統脆弱性，降低威脅發生的可能性，減少信息安全事件發生后對信息資產和企業業務的影響，即現有措施有效性越高，風險值越低。該企業目前采用下列公式計算有效性系數：現有措施有效性系數=1-現有措施有效性賦值/5。

按照四舍五入對風險計算值取整，可以得出最終的風險值。風險值根據大小劃分區間，根據風險計算結果所在的區間定義風險等級。該企業風險值級別劃分標準及風險接受準則如表1所示。

該企業采用等保二級要求作為基線，即使在風險等級落在低和很低區間的情況下，如果其現有安全措施賦值小于2，也將會作為風險項納入風險處置計劃。也就是說所有風險項只有在同時滿足等保二級和風險接受準則的情況下才能作為可忽略風險項。風險評估過程記錄和風險處置結果如表2所示。

從風險評估記錄中可以看出，使用基于等級保護標準的風險評估方法其實在進行現有控制措施有效性評估時，就已經按照等級保護標準進行了對標。另外對于不滿足等保二級標準的風險項，首先需提升到滿足等保二級標準；對不滿足風險接受準則的風險項，從等級保護二級以上標準中選取更高等級。

與分別進行等級保護測評和信息資產風險評估活動相比，進行這樣的綜合評估，可以減少重復的工作，在風險評估過程中參考等級保護標準，也可以減少遺漏的風險項，另外對于該企業來說，可以非常明確的知道當前采取的各項控制措施所對應的等保級別，而且對于后續如何提升也給出了明確的方向，有利于該企業不斷提升信息安全水平。

4 結束語

信息安全管理是一個過程而不是結果。隨著系統的改擴建和組織業務的變化，系統的安全性要求和信息資產本身的價值也會改變。因此，信息系統需要不斷地反復進行安全風險評估，不斷調整合適的安全保護等級，直至系統生命周期結束。另外，不同時期進行評估的力度是不同的，這依賴于系統當前的安全保護等級和具體的安全需求。

等級保護是指導信息安全保障體系的一項基本制度，而風險評估是在等級保護制度基礎上，對信息及信息系統進行安全性評價的分析方法，是滿足等級保護中“不同安全等級，不同安全需求”思想的重要參考和技術手段。

參考文獻

[1]ISO/IEC13335-3 Information technology - Guidelines forthe management of IT SecurityPart 3：Techniques for the management of IT Security.

[2]GBT 20984-2007信息安全技術.信息安全風險評估規范.

[3]GBT 22239-2008信息安全技術.信息系統安全等級保護基本要求.

[4]趙瑞穎.等級保護、風險評估、安全測評三者的內在聯系及實施建議[M].全國計算機安全學術交流會，2005.

[5]廖其耀.基于風險分析的信息系統等級測評[J].科技與創新，2017（09）：128-129.

作者單位

中遠海運科技股份有限公司 上海市 200135