信息安全風險評估服務資質認證發現

王 笑 成林芳 翟亞紅

1(中國網絡安全審查技術與認證中心 北京 100020)2(湖南省電子信息產業研究院 長沙 410001)

(wangx@isccc.gov.cn)

信息安全風險評估(以下簡稱“風險評估”)是從風險管理角度，運用科學的方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性，以及評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施的過程，為防范和化解信息安全風險，將風險控制在可接受的水平，為最大限度地保障信息安全提供科學依據［1-7］.

隨著信息技術的發展和互聯網應用的普及，民眾對信息化技術手段的依賴程度也越來越強，網絡和信息系統面臨著前所未有的潛在威脅和信息安全風險，風險評估作為一種有效的信息安全風險識別與管理手段，越來越受到重視.越來越多的技術服務機構為了能夠對外證明自身具備提供風險評估服務的能力，申請了中國網絡安全審查技術與認證中心(以下簡稱“本中心”)的風險評估服務資質，同時，也借助申請資質的過程，按照本中心發布的《信息安全服務規范》進行自我對標和符合性檢查，尋找及彌補自身在對外開展風險評估服務過程中的短板，提升服務能力，提高服務公信力.從2017年以來，特別是《中華人民共和國網絡安全法》頒布以后，申請風險評估服務資質的組織數量迅猛提升，截至2018年4月1日，本中心對外頒發的風險評估服務資質證書共277張，其中3級資質137張、2級資質86張、1級資質54張.

本中心在對外開展風險評估資質認證的過程中，發現大部分組織使用的是GB T 20984—2007《信息安全技術 信息安全風險評估規范》中明確的風險分析模型，將風險評估項目實施分為4個階段，分別是準備階段、風險識別階段、風險分析和控制階段及項目驗收階段，具體評估流程如圖1所示:

圖1 風險評估服務流程圖

在GB T 20984—2007《信息安全技術信息安全風險評估規范》4.2節——風險分析原理中，明確了對資產、威脅和脆弱性進行賦值，是進行風險計算與分析的前提，但是，對于賦值的方法，該標準只是提供了基本的思路和原則，在風險評估的實際操作層面不具備指導意義.另外，在該標準中，對于“已有安全措施確認”工作的成果如何作為風險計算階段的輸入，并沒有進行明確解釋.同時，該標準對于如何有效地識別威脅也未作具體說明，僅給出一些參考性的方法.

本中心在對外開展風險評估資質認證的過程中，發現大多數組織在開展風險評估項目時，對于賦值、已有安全措施確認、威脅識別等環節的工作，在實施過程中往往存在缺乏依據、不夠客觀、說服性不足等問題，另外，在輸出的風險評估報告中，往往偏重于各種圖表及計算模型的羅列，而相應的文字解釋說明不夠具體，報告的可讀性不強.在下文中，將分別對上述問題進行列舉及分析，同時，介紹本中心基于風險評估工作實踐總結得出的問題解決和處理思路.

1 應強化資產賦值過程中的關鍵業務功能和關鍵業務流程分析

本中心發現，大部分組織對評估對象業務應用的調研工作做得不夠細致，對業務應用的分析不是很到位.在風險評估項目的準備階段，往往會使用類似“信息系統基本情況調查表”的調研表格，來對評估對象的基本情況、物理環境情況、信息系統網絡結構(環境)情況、外聯線路及設備端口(網絡邊界)情況、網絡設備情況、安全設備情況、服務器設備情況等進行調研，但對信息系統承載的業務、涉及的用戶、用戶的分布范圍、應用系統的可用性要求、重要程度、系統運行產生的數據等，并未開展細致的調研工作，因此在后續的資產賦值過程中，往往會脫離業務應用本身進行.

風險評估工作的核心，應當是針對被評估對象所承載的業務應用進行的.IT基礎設施，包括物理環境、網絡環境(包括防火墻、交換機、路由器等)、主機環境(服務器、操作系統、中間件、數據庫等)，都是為了支撐業務應用的運行而存在，如果沒有業務應用，這些基礎設施也就沒有存在的價值和必要.在開展風險評估工作的初期，首先應當識別信息系統處理的業務功能，重點識別出關鍵業務功能和關鍵業務流程，根據業務特點和業務流程識別出關鍵數據和關鍵服務，識別處理數據和提供服務所需的關鍵系統單元和關鍵系統組件，對數據的流向進行分析，并以此為基礎，對資產的重要程度進行分析和評價.

表1是一個對某應用系統進行深度分析的具體實例:

另外，對系統的架構、部署方式、承載的數據形式、用戶量，數據流等進行分析如下:

XX系統采用Java平臺，B S模式，中間件為Weblogic，服務器為 RedHat-Linux、生產數據庫使用一體機(1套，包括2臺數據庫服務器、存儲交換機等)，應用服務器采用集群部署，接口服務器進行系統相關接口調用，Oracle數據庫采用RAC集群方式.

XX系統數據可分為結構化數據和非結構化數據.結構化數據為與XX系統相關的市場開發、業務辦理、合同管理、客戶檔案、賬務、增值服務等關鍵業務數據.業務數據存放于Oracle數據庫中，采用RMAN和邏輯備份方法，總量備份方式，目前數據增量約為1 GB 天.

目前XX系統用戶為XX萬，用戶類型為集團內網用戶，即具備賬戶權限的XX公司員工，涉及集團及下屬成員公司.XX系統目前為內網應用，系統后期會增加外網訪問網上營業廳功能，即系統存在外網終端、內網終端、銀行終端、短信網關4種系統模塊數據流.

其中主系統數據流為內網終端訪問.內網終端訪問的數據流向為:XX系統內網終端請求，經過成員公司防火墻后，通過專線訪問總部防火墻，數據流經過核心交換機，再過負載均衡，最后到應用服務器，應用服務器會與數據庫交互.

外網終端訪問的數據流向為:網上營業廳外網終端請求，經過DMZ防火墻，請求到網上營業廳應用服務器，網上營業廳應用會調用XX系統應用接口，請求經接入交換機，再過內網防火墻，經核心交換機，與網上營業廳數據庫交互，并經負載均衡，調用XX應用服務器接口，XX應用服務器會與數據庫交互.

通過以上的分析過程，對該應用系統承載業務的重要性、涉及到的資產和用戶接口、產生的數據流向有了較為清晰的介紹，在進行資產賦值時，應參考資產承載業務的重要程度，特別是需要參考數據流向進行，對于重要數據所流經的設備資產，在進行資產賦值的過程中，要參考所流經數據的重要程度，特別要參考保密性方面的要求.另外，也要參考資產在業務應用中起到的實際作用，資產和其他系統、其他資產之間的依賴和被依賴、訪問和被訪問的關系，資產在網絡中的接入位置，資產影響的區域等因素進行.通過這樣的分析過程，能夠使資產賦值的客觀性、準確性大大提升.

2 應細化脆弱性賦值過程中的賦值依據或基線

大部分組織在脆弱性識別過程中，主要從技術和管理2個方面進行評估，脆弱性評估采用工具掃描、配置核查、策略文檔分析、安全審計、網絡架構分析、業務流程分析、應用軟件分析、滲透測試等方法，主要依據表2中明確的脆弱性分類方法來識別資產脆弱性.

表2 脆弱性識別分類表

大部分組織會根據脆弱性嚴重程度的不同，將脆弱性分為若干個不同的等級，具體的判斷準則如表3所示:

表3 脆弱性賦值依據表

一般來說，脆弱性的賦值主要依據脆弱性對資產的暴露程度、技術實現的難易程度、流行程度等，采用等級方式對已識別的脆弱性的嚴重程度進行賦值，但具體怎么賦值，評估組織往往缺乏足夠的依據，存在“拍腦袋”的嫌疑，并且常常不會參考被評估對象已采取的安全防護措施對脆弱性利用難易程度的影響，在表4和表5中分別列舉2個脆弱性賦值的例子.

目前大部分組織采用的風險計算分析模型，是將風險識別階段的賦值結果作為輸入，利用一定的計算公式來計算風險.如果前期的賦值不客觀、缺乏依據，那么也勢必導致利用這些賦值結果計算得出的風險值缺乏根基，經不起推敲和回溯，甚至在評估過程中，很有可能會出現不同評估人員對同一評估對象評估后，得出評估結論不一致的情況.

表4 脆弱性賦值表示例1

表5 脆弱性賦值表示例2

本中心認為，為賦值過程尋找依據，通過制定賦值的標準基線是一個可行的辦法，可考察脆弱性被利用后對關鍵業務系統及關鍵數據的暴露程度，來確定脆弱性的嚴重程度，以下舉2個例子:

1)脆弱性被利用后對關鍵業務系統的暴露程度，如表6所示:

表6 關鍵業務系統的暴露程度對脆弱性的賦值結果

2)脆弱性被利用后對關鍵業務數據的暴露程度，如表7所示:

表7 關鍵業務數據的暴露程度對脆弱性的賦值結果

3 應強化已有安全措施有效性分析結果的運用

在開展風險評估工作的過程中，評估人員在識別脆弱性的同時，應對已采取安全措施的有效性進行確認，評估其有效性，即是否真正地降低了系統的脆弱性，抵御了威脅.對有效的安全措施繼續保持，以避免不必要的工作和費用，防止安全措施的重復實施.對確認為不適當的安全措施應核實是否應被取消或對其進行修正，或用更合適的安全措施替代.安全措施可以分為預防性安全措施和保護性安全措施2種.預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性，如入侵檢測系統;保護性安全措施可以減少因安全事件發生后對組織或系統造成的影響.已有安全措施確認與脆弱性識別存在一定的聯系.一般來說，安全措施的使用將減少系統技術或管理上的脆弱性.

大部分組織出具的風險評估報告中，“已有安全措施確認”章節往往是孤立的存在，體現不出該章節的分析結果對脆弱性數值的修正過程，或者對風險計算分析結果的影響.換句話說，具備相同屬性的資產(資產價值相同、存在的脆弱性及面臨的威脅也相同)，無論是否具備了安全措施，很有可能最終計算得出的風險值相同，這樣一來，就無法凸顯出進行已有安全措施確認工作的價值.

本中心在利用“已有安全措施確認”分析結果方面，提供了一些解決思路，舉例如下:

1)通過對脆弱性數值的修正，來體現已有安全措施分析結果的作用，如表8所示.

在表8中，脆弱性嚴重程度分為“1～5”5個級別，“5”為最高;安全控制措施級別5個級別:0%，25%，50%，75%，100%;脆弱性嚴重程度(已有安全措施)=脆弱性嚴重程度(未有安全措施)×(1－控制措施值).

2)通過在風險計算公式中增加已有安全措施分析結果的因子，來體現已有安全措施分析結果的作用，最終在計算風險時，將已有安全措施防護等級的評價結果也作為一項輸入，即:

風險值=資產價值×威脅×脆弱性×(5－已有安全措施有效性).

表8 已有安全措施確認分析表

根據公式可以看出，安全措施越有效防護等級越高，那么最終計算得出的風險值也就越低，改變了以往“已有安全措施”確認工作結束后，從形式上來看，對風險計算并沒有什么貢獻的局面.

4 應重視威脅識別與分析過程中的數據采集及關聯分析

幾乎所有的組織在進行威脅識別與分析時，都是直接參考GB T 20984—2007《信息安全技術信息安全風險評估規范》，把規范中所提到的所有威脅類型全部一次性列出或者列出其中大部分，當作被評估對象所面臨的威脅，而不考慮這些威脅源是否真正對被評估對象能夠造成相應的影響.本中心認為，在進行威脅識別時，首先應該結合被評估對象的關鍵業務路徑及數據流可能存在的安全隱患點，然后結合滲透測試結果、已發生安全事件調研、事件日志(包含安全設備、網絡設備、服務器、Web請求等)、網絡流量分析等方面分析結果，確認被評估對象所真正面臨的威脅.

以下通過一個例子，來描述威脅識別與分析的過程:

某單位一個Web應用系統提供對外查詢數據的服務，在對該Web應用系統進行風險評估時發現，該系統Web應用目錄下存在Webshell，說明該系統曾經受到過攻擊.通過進一步對Web訪問日志進行分析，發現該應用調用了一個存在漏洞的第三方插件，惡意人員正是通過該插件存在的上傳漏洞對服務器中上傳了Webshell，并通過該系統的滲透測試驗證了該漏洞的存在.因此可以確認，該Web應用系統面臨著漏洞利用這一威脅.

5 應強化風險評估報告中的文字解釋說明

部分組織在編寫風險評估報告的過程中，往往習慣用圖表羅列各種賦值的結果，以及風險的計算過程，但相應的文字解釋說明不夠具體.針對風險評估報告來說，由于具備一定的技術性，牽扯到賦值、計算模型等比較專業的內容時，如果報告的可讀性不夠好，甲方對風險評估報告內容的理解就不會很到位，對風險評估報告的接受度就不會很高.本中心認為，風險評估報告在用各種圖表和計算模型來進行相關分析的同時，一定要配合相應的文字解釋和說明，特別是對脆弱性被威脅利用后可能造成的后果要進行著重強調，增強甲方對“風險”的認知.另外，風險評估報告的結論要經得起推敲和溯源，在風險識別階段所得出的中間結果，一定要有相應的數據支撐.

以下也通過2個例子，來體現對脆弱性和威脅分析結果的描述過程.

1)脆弱性內容:主機未啟用安全密碼策略.

①脆弱性分析

操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換.

②安全現狀

#cat etc security user 查看密碼最小長度和有效期，如建議如下設置(或者根據客戶密碼管理策略):

maxage=8，密碼的生命期最大為8周;

maxexpired=2，密碼過期鎖定時間小于等于2周;

maxrepeats=2，密碼中可重復字符的最大數目小于等于2;

minlen=8，root用戶的密碼最小長度是8個字符;

minother=2，密碼包含的非字母字符數目至少是2.

③受影響主機

10.158.5.235，10.158.5.236 密碼策略未啟用，如圖2所示:

2)威脅內容:操作錯誤.

①威脅分析

圖2 脆弱性分析過程截圖

這種威脅的主體為管理 維護人員或其他合法用戶，威脅的客體為所有信息資產，其中重點是XX系統以及移動應用系統的服務器主機.這種威脅是非故意的行為，此種威脅產生的原因主要是由于業務系統的主機應用比較多，管理人員人數相對較少、負擔較重、技術水平及安全意識不均衡造成的.

②評估認為

操作錯誤發生的可能性較大，但呈下降的趨勢.

③解釋說明

首先，通過本次調查和訪談了解到，XX公司的服務器維護分為系統、應用和網絡3個層面:應用組負責系統應用相關維護、主機操作系統的使用與維護;基礎組負責網絡相關設備、服務器設備的維護;系統及應用人員比較固定且有相當的管理維護經驗，技術能力較強，目前已形成較為規范的維護流程，從客觀上降低了誤操作的可能性.

以上列舉了風險評估服務機構在開展風險評估項目過程中的一些常見問題，以及本中心基于工作實踐針對這些問題所提出的解決思路及方法.要做好風險評估，一定要針對被評估對象所承載的業務應用進行深入分析，采取各種評估手段，挖掘評估對象存在的問題和薄弱點，并采用恰當的基準，對問題和薄弱點的嚴重程度進行量化評價.同時，將分析過程以通俗易懂的語言，體現在最終輸出的風險評估報告中.另外，不管采用什么樣的風險計算及分析模型，在現階段，最能體現評估組織技術實力的，往往還是脆弱性的發現能力最為重要.如果不能全面地、深入地挖掘到被評估對象所存在的脆弱性，找不到“痛點”，風險評估工作也就失去了它原本的價值.

本中心在對外開展風險評估服務資質認證業務的過程中，除了按照《信息安全服務規范》中對于風險評估各級別資質的要求，對申請組織進行符合性判標之外，還會派出具有豐富的信息系統風險評估經驗或者業內的專家作為現場審核人員.通過認證的過程，將目前風險評估的一些項目最佳實踐、技術問題的處理思路和方式以及風險評估的最新發展動向向申請組織進行宣貫，讓申請組織明白風險評估不僅僅是識別一堆的資產、脆弱性、威脅以及已有安全措施，而是要在識別關鍵業務系統及關鍵數據的基礎上，分析關鍵業務路徑及數據流中所存在的風險點，以及這些風險點所涉及的資產、資產脆弱性以及資產所面臨的威脅，從而實現風險評估的終極目標——核心業務價值的保護.本中心希望申請組織不僅僅只是獲得了一張風險評估資質證書，而是通過資質申請的過程，對自身的服務能力和技術水平有質的提升，為客戶的信息系統健康運行保駕護航，對網絡安全行業發展起到積極的推動作用.