一種企業(yè)信息安全風(fēng)險評估模型

成昂軒+王健弘

摘要： 隨著企業(yè)系統(tǒng)的信息化程度不斷加深，企業(yè)信息安全風(fēng)險評估迎來了新的挑戰(zhàn)。針對當(dāng)前評估方法指標(biāo)單一且缺乏直觀性特點，該文設(shè)計了一種企業(yè)信息安全風(fēng)險評估模型，該模型依據(jù)信息安全風(fēng)險評估流程對信息系統(tǒng)進行風(fēng)險評估，從系統(tǒng)安全事件的損失和資產(chǎn)價值兩個方面描述系統(tǒng)的風(fēng)險情況，并在二維坐標(biāo)系上對系統(tǒng)進行劃分，直觀地描述了系統(tǒng)的風(fēng)險情況。

關(guān)鍵詞：企業(yè)信息安全；風(fēng)險評估；破壞程度；資產(chǎn)價值

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2017）25-0032-02

Abstract： With the enhancing degree of information technology to of enterprise systems， the enterprise information security risk assessment will be in face of challenges. Because of the single index and lack of intuitive features of the current evaluation methods， we design an enterprise information security risk assessment model， which assesses risks of information systems according to the information security risk assessment process. It describes the system from two respects， the extent of damage about security events and asset value， and classify systems in the two-dimensional coordinate to intuitively describe the risk situation of the system.

Key words： enterprise information security； risk assessment； damage extent； asset value

隨著計算機技術(shù)高速發(fā)展，企業(yè)辦公的信息化程度也在不斷加深。從紙質(zhì)化辦公到企業(yè)信息系統(tǒng)的大規(guī)模使用，安全問題伴隨著信息化而來，如何對企業(yè)信息安全風(fēng)險進行評估是一個必須要考慮的問題。依據(jù)國標(biāo)GB/T20984-2007中的定義，信息安全風(fēng)險評估是指依據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)定量評價的過程[1]。

目前信息安全風(fēng)險評估研究很多，文獻[2]介紹的層次分析法是一種定性與定量相結(jié)合的多層次交叉分析方法，該方法要求將企業(yè)系統(tǒng)分為多個決策對象，將這些決策對象與事先制定的決策標(biāo)準(zhǔn)依次進行兩兩比較，用這些比較結(jié)果進行歸一化處理后求和的值來進行風(fēng)險評估。層次分析法要求對系統(tǒng)進行分割，這增加了方法的復(fù)雜性。文獻[3]和文獻[4]分別采用的基于信息資產(chǎn)和基于安全事件的風(fēng)險評估方法，文獻[3]中風(fēng)險評估矩陣對信息資產(chǎn)劃分不夠細致，文獻[4]中所采用的系統(tǒng)風(fēng)險評估方式只有考慮了風(fēng)險值，較為單一不夠全面。

本文所提出的企業(yè)信息安全風(fēng)險評估模型，按照信息安全風(fēng)險評估流程進行風(fēng)險評估，從系統(tǒng)安全事件的損失和資產(chǎn)價值兩個方面描述系統(tǒng)的風(fēng)險情況，并在二維坐標(biāo)系上對系統(tǒng)風(fēng)險進行劃分。文章第1節(jié)介紹信息資源的分類以及如何賦值，第2節(jié)介紹信息資源脆弱性以及安全威脅識別與評估，第3節(jié)介紹企業(yè)信息安全風(fēng)險評估模型，第4節(jié)是結(jié)束語。

1 企業(yè)信息資源分類與賦值

資源調(diào)查主要完成資源識別、資源價值計算等工作，是風(fēng)險評估的基礎(chǔ)。資源是指對企業(yè)有用的信息或資源，是安全策略保護的對象。資源的存在形式是多種多樣的，可以是有形的、無形的，也可以是兩者組合形成的信息服務(wù)，包括硬件、軟件、文檔、數(shù)據(jù)、服務(wù)、人員等。由于資源實現(xiàn)了信息相關(guān)業(yè)務(wù)，而資源面臨的威脅會導(dǎo)致資源的保密性、可用性、完整性受損，從而造成安全風(fēng)險事件。

1.1 信息資源分類

企業(yè)或機構(gòu)的信息資源通常會分散存在于各類不同的系統(tǒng)之中，比如人力資源系統(tǒng)、財務(wù)統(tǒng)計系統(tǒng)，辦公系統(tǒng)等，而對于具有多種業(yè)務(wù)的企業(yè)或機構(gòu)，各業(yè)務(wù)部門對應(yīng)的系統(tǒng)數(shù)量可能還會更多。這時首先需要對不同系統(tǒng)之中的信息資源進行恰當(dāng)分類，基于此才能進行下一步的風(fēng)險評估工作。對于實際項目中的具體信息資源分類方法，需要評估人員依據(jù)企業(yè)或機構(gòu)的具體狀況靈活處理。

由于不同類型的資源涉及的屬性不同，資源識別的活動需要依據(jù)資源分類而開展，依照資源的每個分類，分別調(diào)查屬于此類的所有資源的相關(guān)屬性信息。

1.2 信息資源賦值

資源賦值是對資源安全重要性進行的估值。在對企業(yè)或機構(gòu)信息系統(tǒng)的資源進行估值的過程中，除了需要統(tǒng)計信息資源的成本價值之外，更需要考慮該信息資源對于機構(gòu)或企業(yè)信息系統(tǒng)安全的重要性。由于信息資源重要性描述帶有主觀性，為了保證信息資源賦值的準(zhǔn)確性和一致性，需要建立一套統(tǒng)一的信息資源估值標(biāo)準(zhǔn)。

對資源進行估值的過程，也就是分析各類安全事件對其保密性、完整性和可用性影響的過程。安全事件包括人為或突發(fā)性引起的對資源破壞，這些破壞可能會導(dǎo)致某些資源毀滅，危及信息系統(tǒng)并使其喪失保密性、完整性和可用性，最終導(dǎo)致經(jīng)濟損失。一般情況下，安全事件影響主要從以下幾方面來考慮：（1）違反相關(guān)規(guī)章制度或法律；（2）影響正常業(yè)務(wù)進行；（3）造成人員人身傷害；（4）造成企業(yè)機密外泄。

通過對信息資源的保密性、完整性和可用性三個安全屬性的考察分析，能夠基本反映出該資源的價值，最終資源的安全重要性估值是依據(jù)上述三個安全屬性的賦值級別通過綜合評定得出。依據(jù)經(jīng)驗，三個安全屬性之中，屬性值最大的一個對最終的資源估值影響最大，較高的屬性值具有較大的權(quán)重，資源的整體安全屬性賦值與三個安全屬性值并不是線性關(guān)系，因此采用以下基于對數(shù)的經(jīng)驗公式來計算信息資源的安全價值V：endprint

上式中，class表示機密性屬性的賦值，Comp表示完整性屬性的賦值，Serv表示可用性賦值，[]表示對小數(shù)點后第一位四舍五入取整數(shù)。從該公式可以看出：賦值最高的屬性對最終的資源的安全價值起主導(dǎo)作用。

2 企業(yè)信息資源脆弱性以及安全威脅識別與評估

要準(zhǔn)確評估企業(yè)信息安全存在的風(fēng)險，必須對企業(yè)系統(tǒng)存在的脆弱性進行識別，并根據(jù)脆弱性嚴重程度對它們進行分類，賦予相應(yīng)的值來衡量威脅程度的大小。系統(tǒng)存在的所有脆弱性是系統(tǒng)安全威脅的一部分，在識別安全威脅的基礎(chǔ)上準(zhǔn)確評估安全威脅出現(xiàn)概率，可以基于脆弱性嚴重程度對出安全事件造成的損失進行計算。

2.1 脆弱性識別和嚴重程度因子確定

依據(jù)2009年ISO/IEC SC 27發(fā)布的國際標(biāo)準(zhǔn)《SD6：Glossary of Information Security Terms》定義：脆弱性是可以被一個或多個威脅利用的一個或一組資產(chǎn)的弱點，是違反某些環(huán)境中安全功能要求的評估對象中的弱點，是在信息系統(tǒng)（包括其安全控制）或其環(huán)境的設(shè)計及實施中的缺陷、弱點或特性[5]。一般可以從安全策略、訪問控制[6]、狀態(tài)空間和信息安全風(fēng)險管理[7]等多個角度對脆弱性進行分類。脆弱性嚴重程度因子一般分為5級，如表1所示。

2.2 安全威脅的識別與評估

安全威脅通常是基于威脅的主體、動機、資源和途徑等多個相關(guān)屬性進行描述。形成威脅的原因可以大致分為認為原因和環(huán)境因素。依據(jù)人為威脅的動機，人為原因還可以繼續(xù)細分為惡意與非惡意原因兩類。環(huán)境因素包含不可抗因素和其他因素。安全威脅對企業(yè)或機構(gòu)信息系統(tǒng)的作用形式主要包括以下三類：直接或者間接的攻擊；對信息系統(tǒng)機密性、完整性以及可用性等造成損傷；偶發(fā)或蓄意的安全事件。

威脅賦值評估的最主要參數(shù)是威脅出現(xiàn)的頻率，該參數(shù)通常是根據(jù)相關(guān)的統(tǒng)計數(shù)據(jù)以及評估者經(jīng)驗進行評估。在評估威脅發(fā)生概率過程中，需要綜合考慮下面三個方面：（1）過往的安全事件中報告過的安全威脅及其頻率的統(tǒng)計；（2）實際環(huán)境中通過日志統(tǒng)計以及工具檢測發(fā)現(xiàn)的安全威脅及其頻率的統(tǒng)計；（3）近年來針對整個社會或某些特定行業(yè)發(fā)布的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預(yù)警。

可以將安全威脅出現(xiàn)概率進行量化處理，將所有威脅概率（TP）在1.0-0.1范圍內(nèi)量化排序，不同等級分別代表威脅發(fā)生的概率的高低，根據(jù)這個等級范圍，TP為0.1的威脅發(fā)生的概率最低，而TP為1的威脅則一定會發(fā)生。

3 企業(yè)信息安全風(fēng)險評估模型

風(fēng)險評估模型要素刻畫了信息的安全性，通過對模型中各個要素的估值，能夠反映出系統(tǒng)的安全風(fēng)險狀況。信息系統(tǒng)安全風(fēng)險評估模型的模型要素包括：資源，脆弱性，威脅以及控制措施。圖1描述了模型要素之間客觀存在的關(guān)系。

最終的風(fēng)險值用（V， L）二維坐標(biāo)來表示，在實際風(fēng)險評估中對于不同的企業(yè)系統(tǒng)，各個企業(yè)標(biāo)準(zhǔn)可能不同。如圖3所示，企業(yè)可以選定根據(jù)各自的資產(chǎn)價值劃分和安全事件損失承受標(biāo)準(zhǔn)，定義不同的風(fēng)險標(biāo)準(zhǔn)即（v， l）來進行分類評估，這樣就可以把風(fēng)險值分為4類，并對這4類分別賦予不同風(fēng)險等級，另外根據(jù)圖上點的分布，可以準(zhǔn)確掌握每一類的分布情況。

4 總結(jié)

本文設(shè)計了一種企業(yè)信息安全風(fēng)險評估模型，依據(jù)信息安全風(fēng)險評估流程，分別從信息資源的重要性、威脅發(fā)生的頻率以及脆弱性的嚴重程度三個角度對企業(yè)信息系統(tǒng)進行評估，采用從安全事件的損失和資產(chǎn)價值兩個方面描述系統(tǒng)的風(fēng)險情況，同時在二維坐標(biāo)系上對系統(tǒng)進行劃分，全面地對企業(yè)信息安全威脅的風(fēng)險進行了評估。

參考文獻：

[1] GB/T20984-2007.信息安全技術(shù)信息安全風(fēng)險評估規(guī)范.

[2] 曾立梅，蔣文豪.基于AHP法的信息安全風(fēng)險評估研究[J]. 電腦知識與技術(shù)， 2010，6（19）：5129-5131.

[3] 陳芳，趙海，黃鎮(zhèn). 基于信息資產(chǎn)的風(fēng)險評估方法的研究與實現(xiàn)[J]. 信息技術(shù)與標(biāo)準(zhǔn)化， 2014（6）：15-19.

[4] Lulu He. An Enterprise Information Security Risk Assessment and Implementation of The Implementation Method.Peking： Beijing University of Posts and Telecommunications，2010.

[5] ISO/IEC SC 27， SD6：Glossary of Information Security Terms.

[6] 吳世忠，劉暉，郭濤，等. 信息安全漏洞分析基礎(chǔ)[M]. 北京：科學(xué)出版社， 2013.

[7] Longley. D， Shain M， Caell W. Information Security： Dictionary of Concepts， Standards and Terms. New York， USA： MacMillan， 1992.endprint