科研院所安全信息系統節點風險評價研究

惠建新 婁洪偉 喬德志

摘? 要：風險對組織及其資產存在破壞的可能性，它是安全評估的重要因素之一。文章采用定性分析與定量分析相結合的方法進行風險評估，在確定評價對象的基礎上，建立一種基于知識的定性分析法，提出風險等級設定和風險防范措施，實踐運行證明，該評價體系具有安全性高、穩定性好、易操作、高可靠等優勢，可極大提高風險評估效率。

關鍵詞：節點風險;信息安全;系統網絡測評

中圖分類號：TP39? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A文章編號：2096-4706（2021）16-0153-05

Research on Node Risk Assessment of Security Information System in Scientific Research Institutes

HUI Jianxin1， LOU Hongwei2， QIAO Dezhi3

（1.Purple Mountain Observatory， Chinese Academy of Sciences， Nanjing? 210023， China; 2.Changchun Institute of Optics， Fine Mechanics and Physics， Chinese Academy of Sciences， Changchun? 130033， China; 3.Dalian Institute of Chemical Physics， Chinese Academy of Sciences， Dalian? 116023， China）

Abstract： Risk has the possibility of damage to the organization and its assets， which is one of the important factors of safety assessment. In this paper， it is the combination use of qualitative analysis and quantitative analysis for risk assessment. On the basis of determining the evaluation object， a knowledge-based qualitative analysis method is established， and the risk level setting and risk prevention measures are put forward. The practical operation shows that the evaluation system has the advantages of high security， good stability， easy operation and high reliability， which can greatly improve the efficiency of risk assessment.

Keywords： node risk; information security; system network evaluation

0? 引? 言

經過多年的系統改造工作，大部分安全項目承研單位的安全信息系統都配置了必要的安全產品，建立了安全策略以及系統內相關的風險管制目標和針對每種節點風險評價所采取的各種控制措施。

然而，安全信息系統的節點風險評價缺失，目前普遍采用的方法是根據信息系統資產、脆弱性和威脅各要素最終賦值結果進行風險計算，存在不確定信息難以量化的問題，掩蓋了資產要素對保密性、完整性和可用性的不同需求，導致參與計算的脆弱性要素存在重復計算問題，而且評估結果太過依賴專家的主觀性判斷，對最終結果造成干擾。

安全網絡的節點管理不等同于網絡系統管理。應用安全網以服務科研相關的安全工作需要切實了解在此過程中相關的資產。這里的資產包括對組織或相應任務有價值的所有事件，包括涉密網信息系統軟硬件設備、存儲的文件和數據等。了解這些資產對于組織或任務的價值及其他屬性。業務對資產依賴度越高，資產的價值越高，其面臨的風險系數越大，越應該加強相關保密工作。不完整識別資產與風險，不能形成完整的安全保密需求，不能全面確保涉密網絡運行的效能。因此形成資產與風險識別的標準、方法及體系對于確定節點風險管理范圍及進行安全節點網絡的管理至關重要。

1? 安全信息系統節點風險評價價值

1.1? 安全信息系統的節點風險評價的意義

風險評價的目的是通過一系列措施對系統進行檢查、評價，及時發現系統運行過程中存在的風險，并對風險等級、重要程度進行評價，指導系統運維人員解決系統中存在的問題、完善系統安全防護措施。應當每年由信息化管理部門和運維部門共同進行系統風險評價。

1.2? 安全信息系統節點風險審計作用

系統安全審計是發現系統問題、降低系統風險的重要手段，單位如果沒有建立完善的系統安全審計機制，將導致無法及時發現系統運行過程中存在的問題、用戶違規行為等。單位應當建立完善的系統安全審計機制，安全審計員組織定期對信息系統的各種日志進行分析、對用戶使用情況進行檢查，掌握系統運行情況，不斷完善信息系統安全防護措施、降低系統風險。

1.3? 系統數據備份與恢復的管理

數據備份機制是保證信息系統正常運行、故障恢復的重要手段，單位如果沒有建立完善的備份恢復機制，在遇到系統故障時系統應用、安全防護措施將遭受徹底性破壞，并且無法修復。數據恢復過程要嚴格管理，必須嚴格履行審批，由系統管理員和安全管理員共同操作，對系統進行調研、分析，在保障系統安全的前提下進行數據恢復工作。

建立系統備份和恢復的制度及操作規程，并制定詳細的數據恢復步驟和方法，使用模擬環境進行測試，驗證備份操作過程的可靠性。單位還應定期對重要系統進行恢復演練，用來判斷數據備份、恢復過程是否可靠。系統管理員和安全安全員嚴格按照備份和恢復管理規定執行，尤其是數據恢復操作過程的測試和演練，如果忽視這部分工作，即便是做了很詳細周密的備份計劃、恢復方法，因為方案沒有得到演練、驗證，遇到系統故障時往往無法順利地完成恢復工作，對信息系統的正常運行、數據安全造成巨大損失。

1.4? 節點風險防病毒系統和系統補丁的管理

防病毒系統是信息系統重要的安全保障，如果缺乏病毒防護，系統中數據和業務將遭受嚴重破壞。單位應制定防病毒系統策略，運維人員按照要求部署防病毒系統，并定期升級防病毒系統病毒庫文件。信息系統服務器、終端計算機、網絡設備如存在重大安全隱患，容易被終端用戶或者惡意程序利用，從而破壞系統服務、安全系統，嚴重影響系統的正常運行。單位應當制定系統補丁管理策略，在新增服務器、終端計算機時統一安裝系統補丁，定期對系統重要資源進行安全掃描，及時發現系統安全漏洞，并及時下載補丁文件進行修復。

依據“規范定密、準確定級;依據標準，同步建設;突出重點，確保核心;明確責任，加強監督”的指導思想，從物理安全、運行安全、信息安全風險、安全風險管理、產品選型與安全服務等方面對科研院所安全網進行安全風險防護設計。系統安全風險防護框架圖如圖1所示。

2? 安全信息系統節點評價對象及風險分析

2.1? 安全信息系統節點風險評價對象

安全信息系統網絡劃分為安全管理域、應用服務器安全域和用戶終端安全域。硬件方面包括：各域之間用防火墻等設備隔離開來;交換機上做IP地址和MAC地址的綁定;所有不使用端口邏輯關閉，物理斷開;主交換部署IDS系統，及時發現網絡中的攻擊行為;部署漏洞掃描系統，定期掃描網絡設備的漏洞;應用安全域使用證書來確定用戶身份，保證用戶對應用訪問的身份認證、訪問控制和安全審計，同辦公和文檔相關的數據和信息處理集中在服務器，用戶終端無信息使用痕跡;與程序開發和仿真業務相關的仍保留原有的分布式方式。軟件方面包括：用戶終端安裝登錄管理軟件，以USB KEY方式進行登錄;用戶終端安裝安全管理軟件，對USB口、COM口、串口等進行管理;用戶終端安裝證書讀取等基礎模塊，可以訪問應用服務器的各種資源。

評價涉及的風險點有：物理安全風險、運行安全風險、信息安全保密風險、管理風險、物理與設施管理風險。用戶認證包括終端用戶身份認證和應用層用戶身份認證，兩者都統一使用基于USB KEY和口令的雙因子身份認證，保證用戶一KEY登錄所有應用。

訪問控制措施：主要通過防火墻的包過濾加上應用層的身份認證來進行，保證只有授權的用戶才能訪問相應的服務器及應用，未授權用戶不能看到服務器及上面的應用。對于不同等級的安全域間的通信，應實施有效的訪問控制策略和機制，禁止高密級信息由高等級安全域流向低等級安全域。根據終端和服務器功能用途的不同，將全網劃分為三個安全域，安全域劃分情況如圖2所示。

2.2? 安全信息系統節點風險現狀調查

信息系統風險是指：人為或自然的威脅與攻擊，直接或間接地利用系統存在的脆弱性和漏洞所造成的不確定性事件及其后果。實現對信息系統風險進行有效管理，將信息系統風險控制在可接受范圍內，科學分析和評估信息系統的風險分布和風險強度很有必要。通過對科研院所安全網的技術和管理脆弱性分析、對威脅源和攻擊類型的判別，以及定性的風險分析，可以確定科研院所安全網存在的安全風險、嚴重程度和影響范圍，風險分析過程如圖3所示。

通過一個完整的風險分析過程，可以全面掌握科研院所安全網中的信息安全處理措施（包括技術措施與相應的管理措施），可以對系統的風險狀態有一個相對客觀的了解。風險狀態信息的獲取可以通過技術調查、訪談以及獲取操作記錄與日志等方式進行，力求客觀。風險的狀態信息可以為科研院所安全網的安全風險建設方案的制定提供有力支持。

2.3? 安全信息系統節點風險脆弱性分析

脆弱性分析是在對安全網絡基礎設施建設完成后未做安全風險建設前的脆弱性分析。針對科研院所安全網內不同類型的安全信息資產（各類信息資源、應用系統、軟硬件資源、網絡平臺等）和安全風險管理制度進行分類脆弱性分析，并結合人員訪談和安全檢查進行脆弱性識別。根據脆弱性對資產的暴露程度、技術實現的難易程度、流行程度等，采用等級方式對已識別的脆弱性的嚴重程度進行賦值。同時，根據脆弱性被威脅利用可能性大小、造成影響的程度，采用定性的分析方法，將脆弱性安全等級從低到高劃分五個等級。脆弱性分析主要分析技術脆弱性和管理脆弱性，如表1所示。

2.4? 安全信息系統節點風險安全審計

2.4.1? 安全審計需求分析

根據對系統脆弱點的分析、系統運行性能和安全需求確定系統安全審計的范圍，為安全事件的事后追查提供足夠信息。

安全信息系統安全審計標準由網絡審計標準、數據庫審計標準、主機監控審計標準和應用審計標準等組成。

2.4.2? 審計范圍

安全信息系統安全審計的范圍包括：對服務器操作系統、啟明星辰防火墻、“三合一”系統、榕基漏掃系統、北信源主機監控與審計系統、瑞星網絡版防病毒軟件、涉密郵件系統七個安全產品產生的審計日志進行查看，每月形成安全審計報告。

2.4.3? 審計事件

安全信息系統審計事件主要包括：服務器、涉密終端和安全保密產品的啟動與關閉;審計功能的啟動和關閉;系統內用戶增加、刪除;用戶權限的更改;系統管理員、安全保密管理員和安全審計員所實施的操作;用戶的違規操作等。

2.4.4? 網絡審計

重點對以下類型的網絡行為進行審計：

（1）文件傳輸類行為審計：FTP上傳與下載、FTP命令交互。

（2）終端類行為審計：遠程桌面RDP、TELNET、SSH等嘗試連接事件。

2.4.5? 主機監控審計

對安全信息系統計算機終端上的以下操作進行設置、監控和審計：

（1）軟件安裝監控：明確在計算機終端上允許安裝、必須安裝和禁止安裝的軟件，對違規安裝/卸載軟件的行為進行“提示”處理。

（2）進程執行監控：明確在計算機終端上禁止運行的服務，對違規啟動服務的行為進行上報處理，并自動關閉相關服務。

（3）進程保護標準：在計算機終端上保護相關的重要進程（如瑞星、安全登錄與文件保護系統的關鍵進程）。

3? 安全信息系統節點風險評價研究

3.1? 安全信息系統節點風險計算方法

根據科研院所安全網的特點，整個風險分析過程采用基線評估方法，科研院所的安全網的安全風險由安全事件造成的損失（安全事件造成的損失=F（資產價值，脆弱性嚴重程度））和安全事件的可能性（安全事件的可能性=L（威脅出現頻率，脆弱性））共同確定的，即：安全風險值=R（安全事件的可能性，安全事件造成的損失）。由于涉密信息系統中內的涉密資產都具有高等級保護價值，一旦發生安全事件，都會產生一定的影響。因此，安全信息系統的風險以涉密資產的脆弱性和威脅（發生可能性和影響程度）為分析基礎，將涉密事件造成的損失作最大化處理，安全風險值近似等于安全事件的可能性。

通過風險分析矩陣，節點風險值=節點資產重要性程度值×威脅風險系數;確定科研院所安全網的風險等級，如表2所示。

為實現對風險的控制與管理，對風險評估的結果進行等級化處理，根據風險對系統所造成的危害程度，我們將風險定性分析，如表3所示，劃分為5個不同的等級。

參照BMB22-2007標準要求，對不符合15項基本測評項必須整改的風險類別直接沿用較高等級，如表4風險等級描述。

根據以上對科研院所安全網的脆弱性分析與威脅分析，再根據國家的相關規定，確定安全網的風險及風險等級。

3.2? 安全信息節點風險的判定

節點運維管理風險評價的原則：“防控風險：管理和技術同等重要”。通過對基本制度、組織機構及崗位設置、運維工作機構、責任分工、責任履職、運維工具、設備管理、風險監測、經費與檔案管理10個方面進行監督檢查和風險評價，風險賦值不是風險評價的最終目的，其核心是明確不同威脅，及安全資產所產生風險的相對值，以百分制的定量表示，提出四個風險等級和防范措施。評價等級界定為：

（1）得分在80分以上的為綠色，相對安全，風險度低。

（2）得分在60分至80分的為黃色，有風險，加強安全。

（3）得分在59分以下的為紅色，風險度高，要求整改。

（4）得分在40分以下的和發生泄密事故事件的，停止使用節點，整改后達到黃色的，方可開始節點使用。

3.3? 殘留風險點與風險規避措施

科研院所安全網的安全風險建設是不斷完善、不斷增強的過程，建設完成后，還可能存在以下安全風險：

（1）系統中計算機終端的機箱沒有采取上鎖等措施，存在用戶私自更換計算機終端中的硬盤導致信息泄漏的風險。

殘余風險處理策略：該風險目前可以接受。通過對所有計算機終端貼易碎封條并加強監督檢查，防止用戶私自打開機箱。

（2）沒有采用安全操作系統和安全數據庫。

殘余風險處理策略：該風險目前可以接受。科研院所已經及時對安全終端和服務器的操作系統進行了加固，同時采用了補丁、安全策略配置和服務優化來進行操作系統和數據庫的安全增強。

（3）操作系統、數據庫補丁和防病毒軟件升級包分發到各終端和服務器時間滯后，存在系統內設備受到“O Day”攻擊的風險。

殘余風險處理策略：該風險目前可以接受，主要基于以下考慮：

1）從系統漏洞被發現到廠商提供針對性補丁必然存在時間差，從新型病毒出現和采取針對性查殺措施必然存在時間差，“0 Day”攻擊在整個信息安全界都是不可避免的。

2）科研院所安全網通過嚴格控制信息輸入和軟件安裝使用控制，防止有害程序和信息進入網內，可以降低未知病毒和惡意代碼對系統的威脅。

3）科研院所安全網建立了統一的系統補丁和升級包分發機制，每周（突發事件緊急處理）下載最新的補丁和升級包到補丁分發服務器，通過管理服務器檢查未安裝補丁和升級包的終端和服務器后，通過人工通知方式要求安裝。

4? 結? 論

綜上所述，信息系統節點安全有著重要意義，為加強風險管理，建設和完善預警監測體系，防范和化解安全信息系統運維中發現的重大安全風險，通過項目建設研究，給出具體的解決措施，每個研究所應根據其集團總部的要求圍繞自身進行全面、系統、整體分析考核，修訂制度標準，在把握好法律規定的前提之下，著重要解決業務工作與風險工作的深度融合問題。

此外，進一步明晰安全信息系統節點風險責任體系，落實“業務工作誰主管、風險工作誰負責”的工作原則，充分明確各業務職能部門在風險管理體系中的管理職責，通過提前策劃、充分辨識、查找風險管理風險點，消除風險管理盲區，將風險管理要求植入相應的科研生產和經營管理流程及環節中，在業務流程之中自動并行完成，既確保國家秘密安全，又精簡煩瑣、提高效率，彰顯出管理效益。

參考文獻：

[1] 劉玉林，王建新，謝永志.涉密信息系統風險評估與安全測評實施 [J].信息安全與通信風險，2007（1）：142-144.

[2] 李舸.信息安全風險評估的漏洞分析及評估方法改進 [D].重慶：重慶大學，2007.

[3] 陳曦.網絡安全監察系統中風險評估方法的研究 [D].北京：北方工業大學，2008.

[4] 魯娟.給水管網脆弱性評估研究 [D].合肥：合肥工業大學，2007.

[5] 肖薇薇.企業內網網絡安全體系的設計與實現 [D].大連：大連海事大學，2011.

[6] 沈鳴.企業網絡安全風險評估研究 [D].上海：上海交通大學，2009.

[7] 楊洋，姚淑珍.一種基于威脅分析的信息安全風險評估方法 [J].計算機工程與應用，2009，45（3）：94-96+100.

[8] 范紅，吳亞非.國家信息安全風險評估標準化工作的幾點思考 [C]//中國信息協會信息安全專業委員會年會.中國信息協會信息安全專業委員會年會文集.張家界：出版社不詳，2004：187-195.

[9] 何湘.基于BS7799標準的信息安全風險評估研究與實踐 [D].重慶：重慶大學，2008.

[10] 吳蘭.信息系統安全風險評估方法和技術研究 [D].無錫：江南大學，2007.

[11] 王麗平.政府接入網安全體系設計與實現 [D].長春：長春理工大學，2006.

[12] 周師熊，周亦群.信息網絡安全技術講座（1） [J].中國數據通信，2001（6）：55-60.

[13] 柯敏毅，肖俊林.網絡安全評估的量化研究 [J].網絡安全技術與應用，2006（9）：18-20.

[14] 張雷.軍工企業涉密信息系統安全管理技術研究 [J].決策與信息（中旬刊），2013（5）：83-86.

[15] 顧華杰.信息系統風險評估方法綜述 [J].無線互聯科技，2014（9）：84-85+182.

作者簡介：惠建新（1978—），男，漢族，江蘇鹽城人，高級工程師，碩士學位，研究方向：應用系統開發、系統分析與集成、信息系統管理;婁洪偉（1982—），男，漢族，吉林長春人，正高級工程師，碩士學位，研究方向：網絡安全架構研究、安全網建設與維護;喬德志（1979—），男，漢族，遼寧大連人，高級工程師，碩士學位，研究方向：安全信息系統設計與開發、安全網運維。