一、风险评估概念及其基本要素 信息系统的安全风险,是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。信息安全风险评估(本文以下简称“风险评估”),则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。 信息安全风险评估要关注如下基本要素: 使命:一个单位通过信息化要来实现的工作任务。 依赖度:一个单位的使命对信息系统和信息的依靠程度。 资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。 价值:资产的重要程度和敏感程度。 威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。 脆弱性:信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为弱点或漏洞。 风险:风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量。风险是在考虑事件发生的可能性及其可能造成的影响下,脆弱性被威胁所利用后所产生的实际负面影响。风险是可能性和影响的函数,前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响。 残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。 安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。 安全防护措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。 二、风险评估工作流程、理论和工具 风险评估一般遵循如下工作流程: 步骤1:体系特征描述 步骤2:识别威胁 步骤3:识别脆弱性 步骤4:分析现有安全防护措施 步骤5:确定可能性 步骤6:分析影响 步骤7:确定风险 步骤8:建议安全防护措施 步骤9:记录结果 上述工作流程是一个大致应当遵循和不断重复循环的过程。但是在实践中,基于不同目的和条件,在不同阶段所进行的风险评估工作,也可简化或者充实其中的某些步骤。 风险评估理论研究和工具开发应当服务于信息安全保障体系建设的总体目标。当前,国内外提出了一些广义的、传统的风险评估理论,以及一些专门针对信息系统安全的风险评估方法。从计算方法来区分,有定性的方法、定量的方法和部分定量的方法。从实施手段来区分,有基于“树”的技术、动态系统的技术等。 目前存在的信息安全评估工具大体可以分成以下几类:漏洞扫描工具;入侵检测系统(IDS);渗透性测试工具;主机安全性审计工具;安全管理评价系统;风险综合分析系统;评估支撑环境工具等等。 综观这些理论和工具的现状,存在的问题是:尚缺乏模型化、形式化描述和科学证明的深度;一般化的广义的理论如何用于风险评估;定性,定量的理论方法如何更加有效;工具运用的结果如何能够反映实质,有效测度,准确无误;工具的使用如何能够综合协调等等。 编辑版word 三、风险评估角色、责任和模式分析 信息系统风险评估的参与角色一般有主管机关、信息系统拥有者、信息系统承建者、信息系统安全评估服务机构、信息系统的关联者(即因信息系统互联、信息交换和共享、系统采购等行为与该系统发生关联的机构)。他们在信息系统安全风险评估中的责任如表1所示: 表1 风险评估中的角色和责任 角色 责任 国家信息安全主管机关 制定信息安全风险评估的政策、法规和标准督促、检查和指导 业务主管机关 提出、制定并批准本部门的信息安全风险管理策略领导和组织本部门内的信息系统安全评估工作基于本部门内信息系统的特征以及风险评估的结果,判断信息系统残余风险是否可接受,并确定是否批准信息系统投入运行检查信息系统运行中产生的安全状态报告定期或不定期地开展新的信息安全风险评估工作 信息系统拥有者 制定安全计划,报上级审批组织实施信息系统自评估工作配合检查评估或委托评估工作,并提供必要的文档等资源向主管机关提出新一轮风险评估的建议改善信息安全防护措施,控制信息安全风险 信息系统承建者 根据对信息系统建设方案的风险评估结果,修正安全方案,使安全方案成本合理、积极有效,在方案中有效地控制风险规范建设,减少在建设阶段引入的新风险确保安全组件产品得到了相关机构的认证 信息系统安全评估机构 提供独立的信息系统安全风险评估对信息系统中的安全防护措施进行评估,以判断(1)这些安全防护措施在特定运行环境中的有效性;(2)实现了这些措施后系统中存在的残余风险提出调整建议,以减少或根除信息系统中的脆弱性,有效对抗安全威胁,控制风险保护风险评估中获得的敏感信息,防止被无关人员和单位获得 信息系统的关联机构 遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求,减少信息安全风险协助风险评估机构确定评估边界在风险评估中提供必要的资源和资料 国内外现存的风险评估模式大体有自评估、检查评估与委托评估几种类型,后两种类型也可称为他评估。这种分类主要根据评估方与被评估方的关系,他们和信息资产的关系。在现阶段,不同模式各有优点和缺陷。 自评估是信息系统拥有者依靠自身力量,对自有的信息系统进行的风险评估活动。自评估有利于保密;有利于发挥行业和部门内的人员的业务特长;有利于降低风险评估的费用;有利于提高本单位的风险评估能力与信息安全认识。但是,如果没有统一的规范和要求,在缺乏安全风险评估专业人才的情况下,自评估的结果可能不深入,不规范,不到位,也可能会存在某些不利的干预。为了弥补这些缺陷,可以用发挥专家的指导作用或委托专业评估组织参与部分工作的方式加以解决。 检查评估则由信息安全主管机关或业务主管机关发起,旨在依据已经颁布的法规或标准进行检查评估。这是一种典型的他评估,需要被评估单位的配合。检查评估是通过行政手段加强信息安全的重要措施。这种模式最具权威性。但是,通常间隔时间较长,一般是抽样进行,难于贯穿信息系统的生命周期。 委托评估是指信息系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动。它兼具自评估和他评估的特点。委托评估一般过程较为规范,评估结果较为客观,置信度较高。但评估费用较高,且可能会难以深入了解行业应用服务中的安全风险。需着重指出,由于风险评估中必然会接触到被评估单位的敏感情况,且评估结果本身也属于敏感信息,因此委托评估易导致新的风险。 四、风险评估与等级保护、认证认可和风险管理的关系 1994年《中华人民共和国计算机信息系统安全保护条例》中正式提出了实施等级保护的要求。27号文件强调了这一重要的信息安全保障的基础工作。等级保护强调了信息系统应实现相应级别的安全性。信息系统安全级别的确定、安全需求的导出、安全保障措施的选择、安全状态的检查,无一不需要贯彻风险评估的思想和风险评估工作的支持。风险评估的结果也应当与信息系统的等级建立与保护紧密结合。 信息系统安全认证认可是国际上采用的信息系统安全评估与管理模式。由于实际运行中的信息系统与一般的产品不同,不具有流通性,对信息系统安全的认证是指运用技术和管理检查手段来测试、分析、评价信息系统的安全保障措施是否到位。信息安全产品的认证是信息系统安全认证的前提和基础,但不能代替对信息系统安全的认证。在风险评估中,认可是对评估结果的批准,是单位的管理层或上级主管机关依据安全认证的结果,判断信息系统中存在的残余风险是否可以接受,从而决定是否批准信息系统投入建设或运行的过程。这个认可与对信息安全产品的测评机构资质的认可是不同的。美国政府已经认识到了认证认可概念的多样性,明确提出了要区分安全认可与组织认可编辑版word 本文来源:https://www.wddqw.com/doc/2de7dbe70608763231126edb6f1aff00bed57028.html