信息系統安全評估評測過程與方法研究

肖新祥 施游

摘要：本文以信息系統安全評估過程為研究對象，圍繞風險分析方法、風險計算方法、網絡安全風險處置、安全風險評估方法進行了深入的研究和探討。

關鍵詞：安全評估;風險分析;評估過程;風險計算;風險處置

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）11-0003-03

由于信息系統與網絡也會存在各類的風險，不了解風險、不控制風險就無法保證信息系統的安全。對于各類信息系統，尤其是即將上線的信息系統，需要有一套安全評估體系和方法評估和分析風險，然后再尋找對應的方法防范風險或者減小風險帶來的損失。

風險評估就是依據標準，利用評估技術、方法、工具，對系統中資產、威脅、脆弱點所帶來風險的大小，以及可能的控制措施的全面評估。

1 安全評估概述

系統外部可能造成的損害，稱為威脅;系統內部可能造成的損害，稱為脆弱性。系統風險則是威脅利用脆弱性造成損壞的可能性。網絡風險評估就是評估攻擊網絡、系統的脆弱性而造成的損失程度。

網絡安全風險評估要素包含資產、威脅、脆弱性、風險、安全措施等。具體關系如圖1所示。

網絡安全風險評估方式有自評估、檢查評估、委托評估等。

實際應用中，常使用期望貨幣值、系統風險量化值等工具量化評價系統的風險。

（1）期望貨幣值

期望貨幣值（Expected Monetary Value，EMV）用于計算在將來某種情況下發生或不發生的情況下的平均結果。期望貨幣價值是每個可能的值與其發生概率相乘之后的總和。EMV可用于表示網絡安全風險值。

期望貨幣值公式如下：

[EMV=i=1mPiXi]

其中，Pi是情況i發生的概率，Xi為i情況下風險的期望貨幣價值。

圖2給出了一個具體的EMV應用實例。該實例為某游戲公司選擇防火墻1和防火墻2的防范DDoS攻擊，根據給出不同情況下的有效概率及對應的獲利或損失情況，求選擇防火墻1的EMV和選擇防火墻2的EMV。

選擇防火墻1的EMV=60%×A+40%×B（A、B值盈利為正，損失為負）。

選擇防火墻2的EMV=50%×C+50%×D（C、D值盈利為正，損失為負）。

（2）系統風險量化值

系統風險量化值是依據系統受到攻擊的概率、影響價值兩個指標綜合評價風險。具體公式如下：

系統風險量化值=系統受到攻擊的概率×影響價值

假定某電子商務網站群系統受到攻擊概率為0.6，如果攻擊成功影響價值為1000萬人民幣。則該網站群系統的系統風險量化值=0.6×1000=600萬人民幣。

2 風險評估過程

風險評估過程包括評估準備、現狀識別（包含資產識別、威脅識別、脆弱性識別）、已實施的安全措施分析、風險分析、風險處置與管理等。具體評估過程見圖3。

（1）評估準備

網絡安全評估準備就是要了解全網的物理環境、拓撲結構、網絡協議、網絡設備、網絡服務、IP地址分配、操作系統、已采用的安全措施、人員部署等。

（2）資產識別

資產識別包含資產鑒定、資產價值估算兩個部分。

1）資產鑒定：清點并記錄網絡中的設備、應用、數據、文檔等資產的種類和數量。

2）資產價值估算：量化并評估資產保密性、完整性、可用性，并進行等級劃分。

（3）威脅識別

威脅識別用于分析資產的危害，可以從威脅的來源、途徑、意圖、效果等多個方面進行展開分析。

（4）脆弱性識別

脆弱性識別是找出網絡資產的缺陷，并分析并評估缺陷的危害。脆弱性識別的核心是資產。常見的資產漏洞評估工具有CVE、CWE、CNNVD、CNVD等。

（5）已實施的安全措施分析

分析并確定已實施的安全措施，評估其有效性，分析實施之后是否還存在脆弱性。

（6）風險分析

用定性和定量的方法分析風險的大小和等級。

風險分析的步驟如下。

[第一步（資產識別）：識別資產并量化資產價值。

第二步（威脅識別）：識別威脅，分析威脅屬性，量化威脅的頻率。

第三步（脆弱性識別）：識別脆弱性并量化脆弱性的嚴重程度。

第四步（可能性概率分析）：分析利用威脅的難易程度，分析攻擊發生的可能性。

第五步（脆弱性損失分析）：根據資產重要性，脆弱性嚴重性計算安全事件出現而帶來的損失。

第六步（確定安全風險值）：依據風險發生的概率和安全事件出現所帶來的損失，求安全風險值，即安全事件發生的影響程度。 ]

3 風險分析方法

常見的風險分析方法有：

（1）定性風險分析：主觀評估風險相關的資產、威脅、脆弱性等因素，并按高、中、低等方式進行粗略的排序。

（2）定量風險分析：量化評估風險相關的資產、威脅、脆弱性等因素。

（3）綜合計算法：結合了定量、定性風險分析方法，將資產、威脅、脆弱性等因素，按“很高、高、中、低、很低”或者“（5）、（4）、（3）、（2）、（1）”方式進行風險分析。

4 風險計算方法

常見的信息系統的風險計算方法有相乘法、矩陣法。

（1）相乘法

相乘法屬于一種定量計算法，該方法將兩個要素值相乘，得到另一要素值。

所使用的公式為計算公式如下：

[z=fx，y=x×y]

其中，x和y分別相乘的兩要素值，而z代表另一要素值。

【例1】某單位做安全評估時，識別出一項重要資產，設定為A1。經過風險分析，確定的條件如下：

1）資產價值A1=9;

2）資產A1所面臨的主要威脅是T1，威脅發生頻率為1，用T1=1表示。

3）T1可以利用的資產A1的脆弱性V1，脆弱性嚴重程度為4，用V1=4表示。

用相乘法求安全事件風險值。

風險值計算過程如下：

[第一步：計算事件發生的可能性

計算過程：

[z=fx，y=威脅發生頻率×脆弱性嚴重程度=T1×V1=4] 第二步：計算安全事件造成的損失

[z=fx，y=資產價值×脆弱性嚴重程度=A1×V1=36] 第三步：計算安全風險值

安全風險值=事件發生的可能性×安全事件造成的損失=[4×36]=12 ]

（2）矩陣法

矩陣法就是構建一個事件發生可行性與安全事件造成的損失兩個維度的二維表，這里表也可以看成矩陣的形式。

矩陣法計算的實質就是，“根據已知條件查表”。

【例2】假定某單位資產A1的相關情況與條件如下：

資產價值：A1=3;威脅發生概率T1=3;脆弱性嚴重程度V1=3。

第一步：計算事件發生的可能性，劃分安全事件發生可能性等級

本步驟就是查“安全事件發生可能性表”和“安全事件發生可能性等級劃分表”。

查表1，可得到安全事件發生的可能性=12。

查表2，可得到安全事件發生可能性等級=3。

第二步：計算安全事件損失，劃分安全事件損失等級

本步驟就是查“安全事件損失表”和“安全事件損失等級劃分表”。

查表3，可得到安全事件損失=11。

查表4，可得到安全事件損失等級=3。

第三步：計算風險值，確定風險等級

本步驟就是查“安全事件風險值表”和“安全事件風險等級劃分表”。

查表5，可得到安全事件風險值=15。

查表6，可得到安全事件風險等級=3。

5 網絡安全風險處置

網絡安全風險處置作用是分析已發現的安全風險，制定風險處理計劃，給出具體的處置建議，控制風險。

可行的網絡安全風險處置主要方法和措施可以分為下幾個方面。

（1）管理方面：具體控制措施有：制定安全策略;建立安全組織;加強人員管理;確保符合法律法規要求，確保滿足安全目標。

（2）技術方面：具體控制措施有：實施資產分控;確保物理和環境安全;確保通信安全;構建合理的訪問控制機制。

（3）業務和系統保障方面：具體控制措施有：業務持續運行;安全的系統開發和維護。

6 安全風險評估方法

常見的風險評估方法分類和具體工具，參見表7。

參考文獻：

[1] 蔣建春.文偉平，焦健副.信息安全工程師教程[M].2版.北京：清華大學出版社，2020.

[2] 朱小平，施游.網絡工程師5天修煉[M].2版.北京：中國水利水電出版社，2015.

[3] 汪京培.分布式場景中信任管理和模型評估的關鍵技術研究[D].北京：北京郵電大學，2013

[4] 謝宗曉，李寬.通用準則（CC）與信息安全管理體系（ISMS）的比較分析[J].中國質量與標準導報，2018（7）：28-32.

【通聯編輯：唐一東】