信息系统安全风险评估的形式

1、信息系统安全风险评估的形式本文介绍了信息安全风险评估的基本概述，信息安全风险评估基本要素、原则、 模型、方法以及通用的信息安全风险评估过程。提出在实际工作中结合实际情况 进行剪裁，完成自己的风险评估实践。随着我国经济发展及社会信息化程度不断加快，信息技术得到了迅速的发展。信 息在人们的生产、生活中扮演着越来越重要的角色，人类越来越依赖基于信息技 术所创造出来的产品。然而人们在尽情享受信息技术带给人类巨大进步的同时， 也逐渐意识到它是一把双刃剑，在该领域潘多拉盒子已经不止一次被打开。由于信息系统安全问题所产生的损失、 影响不断加剧，信息安全问题也日益引起 人们的关注、重视。信息安全问题单凭技术是

2、无法得到彻底解决的，它的解决涉及到政策法规、管理、 标准、技术等方方面面，任何单一层次上的安全措施都不可能提供真正的全方位 的安全，信息安全问题的解决更应该站在系统工程的角度来考虑。在这项工作中， 信息安全风险评估占有重要的地位，它是信息系统安全的基础和前提。信息安全风险评估概述信息安全风险评估所指的是信息系统资产因为自身存在着安全弱点，当在自然或者自然的威胁之下发生安全问题的可能性，安全风险是指安全事件发生可能性及 事件会造成的影响来进行综合衡量，在信息安全的管理环节中，每个环节都存在 着安全风险。信息安全的风险评估所指的是从风险管理的角度看，采用科学的手 段及方法，对网络信息系统存在的脆弱

3、性及面临的威胁进行系统地分析，对安全 事件发生可能带来的危害程度进行评估，同时提出有针对的防护对策及整改措 施，从而有效地化解及防范信息安全的风险，或把风险控制在能够接受的范围内， 这样能够最大限度地为信息安全及网络保障提供相关的科学依据。信息安全风险评估的作用信息安全风险评估是信息安全工作的基本保障措施之一。风险评估工作是预防为 主方针的充分体现，它能够把信息化工作的安全控制关口前移，超前防范。针对信息系统规划、设计、建设、运行、使用、维护等不同阶段实行不同的信息 安全风险评估，这样能够在第一时间发现各种所存在的安全隐患， 然后再运用科 学的方法对风险进行分析，从而解决信息化过程中不同层次和

4、阶段的安全问题。在信息系统的规划设计阶段，信息安全风险评估工作的实行，可以使企业在充分 考虑经营管理目标的条件下，对信息系统的各个结构进行完善从而满足企业业务 发展和系统发展的安全需求，有效的避免事后的安全事故。这种信息安全风险评 估是必不可少的，它很好地体现了 预防为主方针的具体体现，可以有效降低 整个信息系统的总体拥有成本。信息安全风险评估作为整个信息安全保障体系建 设的基础、它确保了信息系统安全、业务安全、数据安全的基础性、预防性工作。 因此企业信息安全风险评估工作需要落到实处，从而促进其进一步又好又快发 展。信息安全风险评估的基本要素3.1使命 一个组织机构通过信息化形成的能力要来进行

5、的工作任务。使命是信息化的目的，一个信息系统如果不能实现具体的工作任务是没有意义的。对一个组织机构来说，信息系统的使命是业务战略。3.2依赖度一个组织机构的使命对信息系统和信息的依靠程度。依赖度越高，风险评估的任 务就越重要。3.3资产对组织具有价值的信息或资源，是安全策略保护的对象。3.4资产价值体现了资产在重要程度或敏感程度上的表现特征。作为资产的属性，资产价值同 时也是对资产进行识别的重要内容。3.5威胁一般指会对系统或组织造成不良后果的不希望事故潜在起因。3.6脆弱性可能被威胁所利用的资产或若干资产的脆弱环节。通常脆弱性也被称作是弱点或 漏洞。威胁是外因，脆弱性是内因，威胁只有通过利用

6、脆弱性才能造成安全事件。3.7风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的 发生及其对组织造成的影响。衡量风险的指标有两种，分别是由意外事件发生的 概率或者是发生后可能造成的影响。3.8残余风险指在安全保障手段之后，防护能力有了提升，但是危险并没有完全消失。3.9安全需求为了保证信息资产正常的工作，因此在信息安全保障措施方面提出的要求。3.10安全保障措施为了降低脆弱性，应对威胁，保护资产而进行的预防和控制意外事件的后果，检 测、响应意外事件，使得灾难恢复迅速，同时打击信息违法行为而采取的各种实 践、规程和机制的总称信息安全的风险评估原则风险计算模型及评估方法4.

7、1风险评估顾信息安全的风险评估原则主要包括可控性、保密性、最小影响及完整性四个原则。 可控性原则包含人员、项目过程及工具的可控性，人员的可控性是指凡是参与信 息的安全评估人员都应该资格的审查及备案，要对职责进行明确的分工，当人员 的工作岗位发生变更时，要严格执行审批手续，从而确定人员的可控；项目过程 的可控是指要运用项目管理的方法学进行项目管理的评估，并重视项目管理中的沟通管理，从而有效地实现项目过程的可控；工具的可控是指对风险评估工具应 运用多方的性能比对及精心挑选，同时要取得相关部门及相关专家的论证及认证。保密原则所指的是要跟相关的评估对象签订非侵害行为协议及保密协议。最小影响原则所指的是

8、通过工具技术及项目管理层面对信息系统进行风险评估，从而将影响正常运行的影响降到最低。完整性原则所指的是严格依照委托单位的制 定范围及评估要求进行有效地全面评估服务。4.2信息安全风险计算模型风险计算模型所指的是对风险进行分析及计算风险值过程的抽象，包括脆弱性评估、威胁评估、资产评估及风险分析，如图1所示。图1、风险计算模型图4.3风险计算过程对资产进行识别，且对资产进行赋值；对威胁分析且对其威胁的可能性给予赋值； 对资产的脆弱性进行识别，且对其严重程度给予赋值；依据脆弱及威胁性来计算 安全事件会发生的可能性；同时依据资产重要性来评估发生安全事件的风险值； 通过指标体系中的指标风险值进行定性及定

9、量的评估方法来综合分析，从而得出 信息安全风险的评估值。4.4信息安全风险评估方法介绍信息安全的风险评估方法有很多，按照计算方法可以分为三种，定量、定性及定 量和定性相结合的风险评估方法。4.4.1定风险评估方法 一种较为精确的风险评估法，常用数学形式来进行表达，当风险对信息会带来较 大的危险或者资料比较充足时，可运用定量风险进行评估。进行定量评估的优点 是能够用较为直观的数据进行表述，这样评估的结果较为客观，研究结果更为科 学；其缺点是在量化中，一些较为复杂的事物被模糊及简单化了，一些风险因素 可能被曲解或者误解，再加上资产价值及发生概率量化较为困难，这种方法使用 起来其难度是比较高的，定量

10、评估法中的分析方法有回归模型、聚类分析法、因 子分析法、决策树法、时序模型及等风险图法等4.4.2定性风险评估法定性风险评估法是指根据研究者的经验、知识、政策走向、特殊变例及历史教训 等非量化的资料对系统的风险状况作出相应判断的过程。主要对调查对象进行深 入访谈并作出个案记录作为基本的资料，运用理论对分析框架进行推导演绎，并 编码整理资料，以作出结论。定性分析法有历史比较法、因素分析法、德尔菲法 及逻辑分析法。这种方法的优点是所需要的时间、人力资源及费用比较少，缺点 是主观性太强，往往不太准确。4.4.3定量和定性相结合评估法在进行风险评估中，一些评估的要素是能够用量化形式进行表达的， 有些要

11、素用 量化是比较困难的，在信息安全的风险评估中一味地用量化是不准确科学的， 定 量风险分析是进行定性风险分析的前提和基础， 定性分析是灵魂，需要在定量分 析之上来揭示客观事物的规律，在进行信息安全的风险评估时，不应该将定量分 析及定性分析简单割裂，而是将这两种评估方法有机的结合起来，进行定量与定 性的综合评估。按照实施手段可以区分为动态系统技术和基于树的技术，动态系统技术有马尔可夫分析方法、尝试法、动态事件树的分析法及动态事件逻辑分析法等，其中马尔可夫分析法还可以称为马尔可夫转移矩阵法，所指的是在马儿可夫的过程之下，运用随机变量的变化情况对变量的未来变化情况进行预测的一种 方法。基于树技术的方

12、法主要有事件树分析法、故障树分析法及因果树分析法等。信息安全风险评估的基本过程目前信息安全风险评估有大量成熟的过程指南和最佳实践，但风险评估过程的本 质是搜集资产、威胁、漏洞、影响等资料和数据，其过程和流程有一定的通用性。5.1识别和特征化系统信息安全风险评估的第一步就是确定评估的工作范围，界定风险评估工作的边界，并识别和特征化工作范围内信息系统的各种资产、支持的业务流程及相应的管理信息等。5.2识别和特征化漏洞漏洞是在信息系统、系统安全程序、管理控制、物理设计、内部控制等可能被攻 击者利用来获得未授权的信息或破坏关键处理的弱点。识别和特征化漏洞工作的目的是开发一个信息系统漏洞列表。一般常用的

13、识别系统漏洞的方法包括：（1）使用以前的风险评估报告、系统异常报告、权威机构发布的漏洞列表等；（2）使用漏洞扫描工具、渗透性测试等主动的、系统化的测试方法；（3）开发和使用安全检查列表，对实际系统进行配置核查。5.3识别和特征化威胁 威胁是能够通过未授权访问、毁坏、揭露、数据修改或拒绝服务对系统造成潜在 危害的任何环境或事件，具体而言，威胁是一个特定威胁源成功利用一个特定漏 洞的潜在可能。威胁的具体描述没有严格规范，在信息安全风险评估过程中，应 根据组织机构及其运行环境的实际来识别威胁。5.4识别和特征化安全控制措施在进行信息安全风险评估时，除了分析漏洞和威胁，同时也要全面分析当前所采 取的各

14、种安全控制措施。控制措施可以分为技术控制措施、管理控制措施和物理控制措施。技术控制措施 是综合计算机硬件、软件和固件中的保护措施。如访问控制机制、身份识别机制、 加密机制、入侵检测软件等。管理控制措施指的是管理运行和控制的保护措施。如安全策略、操作维护标准等。物理安全措施是指保护物理和环境安全。如重要 资料柜加锁等。5.5确定可能性完成系统信息、漏洞、威胁和现有安全控制措施的搜集和分析后，下一步需要评 估安全事件一旦发生可能造成的危害程序。风险就是后果和可能性的产物。通用公式为：风险 二负面事件发生的可能性（概 率）X此负面事件的影响（后果）给定威胁源执行潜在漏洞的可能性可以用高、中、低进行描

15、述，如表1:可能性级别可能性定义高威胁源有强烈的动机和足够的能力，并且已有的控制措施对其无效中威胁源有动机和能力，但已有的控制可能可以迟缓漏洞的成功实施低威胁源缺少动机或能力，或已有控制可以防止或极大地迟缓漏洞的实施表1、给定威胁源执行潜在温洞的可能性描述表5.6分析影响从风险的最基本原理公式可以看到，要得出风险，需要计算威胁的影响。信息安全的主要目的是确保保密性、完整性和可用性，安全事件的影响是通过危 害保密性、完整性和可用性来体现的。因此，信息安全事件的影响量级（高、中、 低）可以通过分析这三个安全目标的受损程度来确定。失去完整性：由于有意或无意的行为对数据或信息系统的非授权修改。失去可用性：信息系统功能和操作对其终端用户不可用。失去保密性：受保护的数据和系统信息非授权访问、暴露。5.7确定风险通过分析和确定了安全事件影响和可能性后，可以使用风险基本原理公式进行风 险结果计算。在定性风险评估中，对风险级别的确定可能会相对主观。其基本方法是为每种威 胁可能性级别指定概率，为每种影响级别指定数值，最后确定风险区间等级。如高威胁可能性的概率是1.0,低影响级别为10 ,则风险为1.0 x10 = 10风险等级：高（50100 ），中（1050），低（110）5.8