从公安机关信息安全监管的角度谈信息安全风险评估

从公安机关信息安全监管的角度谈信息安全风险评估包木春文章摘要：本文从公安信息安全监管业务的角度，分析信息安全风险评估过程，提出风险评估要关注信息内容的安全，威胁识别、脆弱性识别的方法可以借鉴计算机电子证据取证的方法，风险评估过程应该与等级保护制度相统一。关键字：风险评估、内容安全、计算机取证、等级保护Discusses information security risk assessment from the public information security supervising and managing angle【Abstract】This paper discusses the information security risk assessment process from the public security information security supervising and managing angle, proposed the risk assessment needs to pay attention to the information content security, the threat recognition and the vulnerable recognition method may profit from the computer forensics method, the risk assessment process should unify with the rank protection system.【Key words】Risk assess; Content Security; Computer forensics；Rank protection信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。信息安全风险评估要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。信息安全风险评估是企业建立信息安全管理体系的关键环节，它贯穿于信息系统规划、设计、实施、运维、废弃的整个生命周期中。风险评估的主要流程包括资产识别、威胁识别、脆弱性识别、已有安全措施识别、风险分析。从公安信息安全监管角度看，目前风险评估中还存在着一些问题。主要如下：1、仅从信息的机密性、完整性、可用性、可追溯性、抗抵赖性的进行分析，对信息内容安全性考虑较少；2、威胁识别和脆弱性识别的方法多借助于入侵监测、漏洞扫描等信息安全产品对网络和系统的存在的技术漏洞进行分析，对人员的上网行为的安全分析不够；3、风险评估与等级保护不协调。如资产识别与定级指南，风险分析和检查准则是否相互相一致。针对这些问题，我们该采取什么措施，提高风险评估的成效呢？下面是笔者结合公安机关信息安全的监管工作经验提出的几点建议：一、提高信息内容安全风险认识，加强风险评估内容安全风险识别。 目前的风险评估，很少考虑信息资产可能遭受的内容安全风险。作者认为信息内容安全所带来的风险可能比黑客、恶意代码等带来的风险更大，尤其是一些政务系统，可能因为信息内容安全，遭受巨大的损失。所以进行风险评估的时候，应该参照有关信息内容安全的法律法规，识别不安全的信息内容。目前公安机关的信息网络安全监察部门所依据的法律法规主要是计算机信息网络国际联网安全保护管理办法，此法规的第五条规定了九类有害信息： （一）煽动抗拒、破坏宪法和法律、行政法规实施的； （二）煽动颠覆国家政权，推翻社会主义制度的； （三）煽动分裂国家、破坏国家统一的； （四）煽动民族仇恨、民族歧视，破坏民族团结的； （五）捏造或者歪曲事实，散布谣言，扰乱社会秩序的； （六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的； （七）公然侮辱他人或者捏造事实诽谤他人的； （八）损害国家机关信誉的； （九）其他违反宪法和法律、行政法规的。这九类有害信息，都会给企业的信息系统带来严重威胁，在风险评估中，我们可以根据此法规，识别来自不同信息源的有害信息，具体如下：1、识别自身的业务信息系统存在的有害信息。例如企业或机关对外的网站，特别是论坛、BBS等交互式服务是否存在有害信息。2、识别内部人员上网行为是否违法。内部人员是否有浏览、传播有害信息的行为。特别是利用即时通讯工具（QQ、MSN），P2P工具（BT、电驴），加密传输工具（无界浏览等）。3、识别来自外部有害信息的侵入。外部有害信息的侵入方式很多，如利用黑客技术更改企业的网页内容，针对企业或机关的交互栏目（论坛、流言版、BBS等）发布有害信，垃圾邮件等。针对不同的信息来源，我们可以借助不同的技术措施来识别。例如，针对企业内部信息系统的信息内容安全检查，可以借助的工具有“信息内容检索系统”，通过关键字比对的方式发现有害信息。内部人员上网安全的检查工具有“上网行为管理系统”。外部有害信息的侵入检测工具有“信息内容过滤系统”（防水墙）。当然仅仅通过技术措施检测是不够的，还需要考虑管理方面的措施，如是否建立了信息内容“安全巡查”或者“先审后发”制度，“用户实名制”等安全管理措施。二、利用计算机取证鉴定的技术，提高风险评估的威胁识别和脆弱性识别能力 。在风险评估中，笔者认为，我们可以借鉴计算机犯罪取证的技术，提高风险评估的能力，这是因为：首先，计算机取证过程中的“重构犯罪现场”和风险评估过程中的“构建威胁场景”是十分类似的。都包括WHWW四个要素，威胁主体（WHO）、威胁途径或方式（HOW）、威胁作用的客体即资产（WHOM）、以及威胁作用资产的必要条件（WHY），可以相互借鉴。其次，计算机取证包括动态取证和静态取证两个方面，动态取证主要针对的是网络上传输的电子数据和内存中运行的电子数据、静态取证主要是针对磁盘等存储设备的电子数据。风险评估的威胁识别过程更多的是关注外来的威胁对企业信息系统安全的威胁，评估工具也主要是通过IDS采样等方式。而实践证明内部人员的非法操作才是信息安全的最大隐患，因此应该对关键业务信息系统采取计算机取证的方法，不仅从网络中获取威胁，更应该检查主机内存、磁盘。通过对主机的检查，可以发现大量的已发生的威胁。并且，计算机取证讲究关联性分析。例如口令关联性，根据人的习惯，在不同的信息应用系统，如在QQ、论坛、邮箱、加密、操作系统登录等设置同一口令。在风险评估的脆弱性识别中，也应该考虑这种口令一致性所带来的风险。例如用户的QQ口令如果和企业关键信息系统的口令一致，那么黑客就可以轻松的破解用户邮箱的口令来访问企业的关键信息系统了。 三、加强等级保护观念，使风险评估与等级保护相统一 。 信息安全等级保护制度是国家在国民经济和社会信息化发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。中华人民共和国计算机信息系统安全保护条例规定“计算机信息系统实行安全等级保护”。等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。等级保护和风险评估都强调分级的原则。等级保护对信息系统按照其重要性分成自主性保护、指导性保护 、监督性保护、强制性保护、专控性保护五个级别，不同级别的监管要求不同。风险评估也是根据企业资产的财务价值及其损失可能会对业务造成的影响，对资产进行分级，不同价值的资产采取不同的评估方法，如基线评估和详细评估等。如何将两者同一起来，在风险评估的过程中完成等级保护要求呢？笔者认为：首先风险评估的方式可以借鉴等级保护的责任制度，“谁主管谁负责，谁运营谁负责”。对于一般的业务信息系统采取“自评估”方式，对企业的关键业务信息系统采取“检查评估”方式。其次风险评估的过程要完成等级保护制度要求。在风险评估资产识别过程中对资产价值赋值时，可以参照信息系统安全保护等级定级指南，从四个方面进行定性分析：信息系统所属类型，即信息系统资产的安全利益主体；信息系统主要处理的业务信息类别；信息系统服务范围，包括服务对象和服务网络覆盖范围；业务对信息系统的依赖程度。资产识别过程中确定等级保护的级别。风险评估的威胁识别和脆弱性识别过程，也可以应参照信息系统安全等级保护测评准则。测评准则包括安全技术测评和安全管理测评两个方面，安全技术测评包括：物理安全、网络安全、主机系统安全、应用安全、数据安全；安全管理测评包括：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。不同的保护等级，规定了不同程度的测评要求。风险评估可以针对不同等级保护的测评准则，实施不同强度的威胁识别和脆弱性识别。总之，信息安全是一个全民的行动，企业通过风险评估建立信息安全管理体系，国家信息安全监管部门依照法律法规进行监管，两者应该相互协调一致，才能构建我们国家的信息安全保障体系。参考文章：1、信息安全 风险评估吴亚非、李新友、禄凯主编，清华大学出版社2、信息安全风险管理指南3、信息安全风险评估规范4、计算机信息网络国际联网安全保护管理办法公安部33号令