信息安全風險評估實施模型研究

張 益 霍珊珊 劉美靜

（信息產業信息安全測評中心 北京 100083）

（zhangy＠itstec.org.cn）

信息安全風險評估作為保障信息系統、信息資產安全的基礎性工作，近年來在多個領域開展了較好的研究并形成了應用成果.特別是在評估方法研究上，各方學者給出了量化評估、定性評估、量化與定性綜合評估等方面的多種評估方法，常見的定性評估方法有德爾斐法［1］、故障樹法［2］等；定量評估方法有模糊數學［3］、灰色理論［4］等；定性和定量相結合方法有層次分析法［5］等.以上研究旨在結合《GB?T 20984—2007信息安全技術信息安全風險評估規范》（以下簡稱“風險評估規范”）標準，以期滿足各行各業信息安全風險評估的需求.但目前在信息安全風險評估工作實施方面存在以下問題：1）偏重于與信息系統相關的服務器（包括操作系統、數據庫管理系統、應用中間件等）、網絡和安全設備（如路由器、防火墻、入侵防御系統等）、應用軟件等信息資產的評估，評估對象范圍較為局限，評估的結果通常是對信息系統的信息安全風險水平的評價；2）缺少對組織業務層面信息安全的關注度和具有針對性的評估方法，沒有體現組織業務流程、業務服務等方面面臨的信息安全風險；3）缺少從單個資產（包括某單個評估對象，如防火墻，也包括某信息系統）風險評估到業務或組織整體風險評估的依據或方法，信息安全風險評估工作沒有起到真正指導組織開展信息安全工作戰略布局、宏觀安全防護措施部署的效果.

當前，正值《風險評估規范》修訂之際，為解決以上突出存在的具體問題，同時，從宏觀層面更好地指導信息安全風險評估工作，標準修訂首先從標準要求、方法規范上進行了針對性調整，其次，在考慮實際工作開展時，又提出了具體化的依據和方法，并通過示例指導如何實施信息安全風險評估.

本文基于《風險評估規范》修訂內容，并結合信息安全風險評估領域已有的研究成果和評估方法，重在指導如何在實施層面采用不同的評估實施方式和方法，滿足不同評估需求，據此提出3種信息安全風險評估實施模型.

1 2種信息安全風險評估方式

《ISO?IEC 27005—2011信息技術 安全技術信息安全風險管理》附錄E提出了2種信息安全風險評估方式，即高階信息安全風險評估（Highlevel inf or mation security risk assess ment）和詳細信息安全風險評估（detailed infor mation security risk assess ment）.其中，高階信息安全風險評估主要是從組織的全局出發，分析范疇集中于業務和運行環境而不是具體技術要素；詳細信息安全風險評估涉及更深層次的資產識別和賦值、資產所面臨威脅的評估和脆弱點的評估通常需要大量的時間、精力和專業知識，詳細信息風險評估的最后階段是評估整體風險.

高階信息安全風險評估是綱領性的，可以是組織開展信息安全風險評估初始階段用到的一種簡單、有效的評估方法，使得資源和資金能夠用在使組織收益最大的地方，而且通過此評估，可以讓系統在最需要防護的地方得到優先處理.但高階信息安全風險評估可能會缺乏準確性，特別是針對某一業務或某具體信息系統，為使得評估對具體評估對象更具有針對性，需要開展進一步詳細的風險評估.

詳細信息安全風險評估一般結合定量和定性的評估方式，在開展詳細信息安全風險評估時，一般會考慮資產的吸引力或可能造成的后果、利用資產的脆弱點轉化成資金回報的容易程度、威脅的技術能力以及脆弱點的利用便利程度.開展詳細信息安全風險評估時經常會利用細化到單個資產、詳細評估指標的表格，并結合評估人員主觀和經驗值來實施評估.ISO?IEC 27005給出了預定值矩陣和通過風險值進行威脅評級的詳細信息安全風險評估方法.

本文將結合以上2種信息安全風險評估方式，進一步探討如何在評估實施工作中依據目前修訂的《風險評估規范》，開展信息安全風險評估工作，并給出對應的3種信息安全風險評估實施模型，以指導實際評估工作的開展.

2 3種信息安全風險評估實施模型

2.1 高階信息安全風險評估實施模型（模型1）

由于組織的預算、技術成熟度等多種原因，可能不會同時實施所有安全措施；另外，如果安全防護措施預計在一兩年后實施，則此時進行詳細風險管理可能太早.此外，由于近些年來安全威脅的不斷演變，如今，新一代的攻擊者常常向企業和組織發起針對性的網絡攻擊，這種針對特定企業或行業的攻擊一般經過了精心的策劃，攻擊方法錯綜復雜，常導致嚴重的數據泄露或者破壞.而急速增長的針對性網絡攻擊又直接催生了威脅情報.目前在學術上也給出了威脅情報的具體定義，即關于IT或信息資產所面臨的現有或潛在威脅的循證知識，包括情境、機制、指標、推論與可行建議，這些知識可為威脅響應提供決策依據［6］.組織為快速應對獲取到的威脅情報，以及為達到風險管理的目標，則需要先開展高階信息安全風險評估，該類評估可以從威脅產生的后果評估著手，而不是進行威脅、脆弱點、資產和后果的系統性和細化分析.

目前，以威脅為導向的信息安全風險評估方法較多，其中有量化的基于威脅分析的信息系統安全評估方法 （inf or mation syste m security risk eval uation met hod，ISSREM）［7］.ISSREM 風險評估方法的評估過程主要包括風險識別、確定安全風險的后果屬性、提取安全威脅發生頻率確定后果屬性值、計算威脅指數、靈敏度分析與結果優化5個步驟.另有綜合馬爾可夫等方法的綜合信息安全風 險 評 估 方 法 （menace analysis security risk assess ment，MASRA）［8］，該方法建立以威脅為核心的風險評估模型，MASRA風險評估模型綜合馬爾可夫、德爾菲集體討論法、層次分析法等方法，通過威脅識別、威脅后果屬性計算及威脅指數計算等步驟對信息安全風險進行風險等級評估和威脅預測.

在上述研究基礎上，結合對《風險評估規范》的修訂工作，高階信息安全風險評估實施模型（high－level inf or mation security risk assessment i mplementation model，HLISRAI M）如圖1所示：

圖1 HLISRAI M圖

在對《風險評估規范》的修訂過程中，明確了威脅識別是風險評估的基礎環節.威脅識別的內容包括威脅的來源、種類、動機、時機和頻率.其中，威脅來源包括環境、意外和人為3類；根據威脅來源的不同，威脅可劃分為網絡攻擊、軟硬件故障和管理不到位等威脅種類；威脅動機可劃分為惡意和非惡意，惡意包括攻擊、破壞、竊取等，非惡意包括誤操作、好奇心等；威脅時機可劃分為普通時期、特殊時期和自然規律；威脅頻率根據經驗和有關的統計數據來進行判斷，綜合考慮安全事件報告、檢測發現、監測發現、威脅情報4個方面.

結合上述威脅識別的分析，從組織的全局和被評估對象的視點出發，將技術層面和業務問題獨立考慮，更集中于業務和運行環境而不是技術要素，進而采用ISSREM或MASRA等方法，分析和計算出組織面臨的風險.其中，在以威脅情報作為高階信息安全風險評估的輸入時，為加速風險分析及處理過程，僅關注風險或攻擊的場景而不是詳細風險評估中各要素，需處理的僅是有限清單中的威脅和已定義域中的脆弱點.

高階信息安全風險評估實施模型由于很少處理技術細節，更適合于通過基于此模型的評估實施，以期為組織提供組織性的、非技術的控制措施，以及管理方面的技術控制措施，或者關鍵并通用的技術安全措施.

一個典型的高階信息安全風險評估實施模型例子是組織實施基于公有云平臺的信息安全風險評估.組織需購買公有云服務（如騰訊公有云服務）搭建相關業務系統，涉及到基礎設施（如機房、網絡和安全設備等）及部分安全防護（如邊界訪問控制、防DDOS等），以外包方式開展.組織在外包計劃實施前，可能無法針對具體的操作系統、數據庫系統、應用軟件等資產或具體業務進行信息安全風險評估，但能以現有云平臺環境和業務場景面臨的安全威脅為導向，以公有云平臺相關威脅情報、對公有云平臺安全檢測和監測發現的安全問題為輸入，結合各類威脅來源、種類、動機、時機和頻率等屬性進行分析，采用ISSREM或 MASRA等方法，分析和計算出各類威脅導致的風險水平，從而可協助和指導組織應購買何種云防護服務或產品，有助于組織定義外包合同內容.

2.2 詳細信息安全風險評估實施模型（模型2）

《風險評估規范》中明確說明了風險分析要涉及資產、威脅、脆弱性3個基本要素.風險分析的主要內容，如圖2所示［9］：

圖2 原信息安全風險評估規范分析圖

修訂的《風險評估規范》對分析原理進行了調整，明確風險分析要涉及戰略、業務、資產、威脅、脆弱性、安全措施和風險等基本要素.依據修訂的《風險評估規范》開展風險評估時，應考慮基本要素之間的以下關系：

1）組織的發展戰略依賴業務實現，業務重要性與其在戰略中所處的地位相關；

2）業務的開展需要資產作為支撐，而資產會暴露出脆弱性；

3）安全措施的實施要考慮需保障的業務以及所應對的威脅；

4）風險的分析與計算應綜合考慮業務、資產、脆弱性、威脅和安全措施等基本因素.

具體如圖3所示：

圖3 修訂的信息安全風險評估規范分析圖

對比圖2和圖3，在依據修訂的《風險評估規范》開展評估時，重點將戰略、業務納入到分析要素中，并得以重點體現，如圖4所示.

發展戰略識別是詳細信息風險評估的重要環節，發展戰略識別數據應來自于高層管理人員或者熟悉組織發展戰略情況的人員.業務是實現組織發展戰略的具體活動，業務識別是詳細信息安全風險評估的關鍵環節，通過對組織各業務流程梳理，形成清晰的業務識別成果，業務識別數據應來自于熟悉組織業務結構的業務人員或管理人員.業務的實現又借助于信息系統等具體的資產得以支撐，并最終實現組織的戰略層目標.戰略、業務到資產自上而下進行組織價值的傳遞，而風險評估則又自下而上分析風險影響的反饋.

圖4 戰略、業務與資產分析圖

此外，修訂的《風險評估規范》又進一步完善了威脅、資產的屬性，以更適應當前日益復雜的安全形勢和評估需求.其中，資產屬性方面包括資產分類和業務承載性，業務承載性為新增屬性，業務承載性包括了承載類別和關聯程度.威脅屬性是此次各要素屬性修訂中的重點，包括威脅的來源、種類、動機、時機和頻率，動機和時機是新增屬性.威脅動機是指引導、激發人為威脅進行某種活動，對組織業務、資產產生影響的內部動力和原因；威脅動機可劃分為惡意和非惡意，惡意包括攻擊、破壞、竊取等，非惡意包括誤操作、好奇心等.威脅時機可劃分為普通時期、特殊時期和自然規律.

基于圖3的風險分析原理，以修訂的《風險評估規范》為基礎，詳細信息安全風險評估實施模型（detailed infor mation security risk assessment i mplementation model，DISRAI M）如圖5所示：

圖5 DISRAI M圖

該模型實施流程與現行風險評估流程類似，不同點在于采用修訂的分析方法和計算原理，在對基本要素及屬性分析時，應重點結合標準中屬性的分析方法，分析、計算出風險值，并進行評價.此部分的示例已在修訂的《風險評估規范》中的附錄詳細給出.

2.3 先詳細信息安全風險評估再高階信息安全風險評估實施模型（模型3）

在依據《風險評估規范》實施信息安全風險評估時，未能解決的一個重要問題是從已分析計算出的資產風險如何評價整體業務風險或組織的總體風險水平.本文針對該問題，給出先詳細信息安全風險評估再高階信息安全風險評估實施模型（detailed inf or mation－high－level inf or mation secu－rity risk assess ment i mplementation model，D－HLISRAI M），如圖6所示.

上述模型實施的關鍵環節在于：1）從某個資產風險（即資產單風險）分析和計算出業務整體風險（即業務多風險）；2）從業務多風險分析和計算出戰略總體風險.第1個環節是屬于多因素評價方法問題，對于某一業務，可以將業務面臨的潛在各類風險綜合分析為業務安全風險的多種因素.對于多因素綜合評價，目前已有研究方法包括模糊數學、灰色關聯分析理論、人工神經網絡等多種分析評價方法.其中模糊數學、灰色關聯分析方法在信息安全風險評估領域已具有較為成熟的研究基礎［10－12］，特別是通過引進信息熵，計算出各個風險因素在整體風險評估中所占的比例，進而計算整體層面的風險度，由此決定總體風險水平.第2個環節是屬于業務層面到戰略層面的綱領性分析，可以采用2.1節中的高階信息安全風險評估實施模型，分析和計算出組織戰略總體風險.

圖6 D－HLISRAI M圖

基于修訂的《風險評估規范》中的風險分析原理，計算出資產單風險值，即基于DISRAI M的風險評估；采用模糊數學或灰色關聯分析方法，分析與業務關聯的多個風險值下的整體業務風險水平；而后采用高階信息安全風險評估方法，對組織整體戰略風險進行分析和評估，即基于HLISRAI M的風險評估.

仍以模型1中案例為例，說明基于D－HLISRAI M的典型實施案例.組織在完成業務、安全措施部署和系統搭建后，可依照DISRAI M進行詳細信息安全風險評估，通過資產識別、威脅識別、脆弱性識別和已有安全措施確認，深入了解業務、資產等各方面安全防護狀況，依據修訂的《風險評估規范》方法，分別計算出資產面臨的各類威脅的單風險狀況（如系統服務面臨網絡攻擊威脅時，其自身存在的SQL注入漏洞而導致的風險狀況）；而后采用模糊數學或灰色關聯分析方法綜合分析多個單風險，計算出業務面臨多個風險時的整體安全風險狀況（如對應用層面的SQL注入漏洞導致的風險、操作系統層面的補丁未及時更新導致的風險等進行綜合分析）；最后再根據模型1中的HLISRAI M，分析和計算出組織戰略層面（如外包服務戰略）的總體風險水平，以指導組織后續信息安全戰略布局.

3 展 望

上述3個模型基本涵蓋了目前開展信息安全風險評估工作的各類情況，能夠指導后續各方開展相關評估實施工作.但仍需以即將修訂完成的《風險評估規范》為契機，進一步完善上述3個模型在實際信息安全風險評估工作中的運用，重點解決模型1中的ISSREM，MASRA等以威脅為導向的風險評估算法或模型在實踐中的落地，解決模型3中的模糊數學、灰色關聯分析方法在實踐中更有效的實現途徑.