信息系統(tǒng)運(yùn)維階段信息安全風(fēng)險評估工作研究

◆張 惠

信息系統(tǒng)運(yùn)維階段信息安全風(fēng)險評估工作研究

◆張 惠

（國家知識產(chǎn)權(quán)局專利局專利審查協(xié)作河南中心 河南 450018）

隨著信息系統(tǒng)的廣泛使用，信息系統(tǒng)的安全工作得到越來越多的重視，識別信息系統(tǒng)的安全風(fēng)險，解決信息系統(tǒng)的安全問題變得尤為重要。信息安全風(fēng)險評估作為信息安全保障的基礎(chǔ)性工作，從風(fēng)險管理的角度，系統(tǒng)的分析信息系統(tǒng)面臨威脅和脆弱性，并據(jù)此進(jìn)行安全措施的實(shí)施，以將不可接受的風(fēng)險控制在最低。信息安全風(fēng)險評估可用于信息系統(tǒng)生命周期各階段的風(fēng)險評估工作，不同階段的風(fēng)險評估對象、目的和要求可能有所不同，但風(fēng)險評估的原則和方法都是一致的。信息系統(tǒng)運(yùn)維階段的風(fēng)險評估是了解和控制運(yùn)行過程的安全風(fēng)險，是一種較為全面的風(fēng)險評估工作，本文以對門戶網(wǎng)站系統(tǒng)運(yùn)維階段的信息安全風(fēng)險評估工作為例，對風(fēng)險評估工作的過程進(jìn)行詳細(xì)的分析與說明，以供企事業(yè)單位自評估信息系統(tǒng)參考。

信息安全風(fēng)險評估；威脅識別；脆弱性識別；風(fēng)險管理

0 引言

隨著信息系統(tǒng)的廣泛使用，信息系統(tǒng)的安全工作得到越來越多的關(guān)注和重視，信息系統(tǒng)風(fēng)險管理是信息系統(tǒng)安全運(yùn)行的重要基礎(chǔ)保障工作，而信息安全風(fēng)險評估則為信息系統(tǒng)風(fēng)險管理的重要基礎(chǔ)。信息安全風(fēng)險評估作為信息系統(tǒng)安全保障工作的基礎(chǔ)性工作，貫穿于信息系統(tǒng)規(guī)劃、設(shè)計、實(shí)施、運(yùn)行維護(hù)等各個階段。信息系統(tǒng)的運(yùn)維階段，不可避免地會發(fā)生信息系統(tǒng)的更新，需對信息系統(tǒng)安全管理進(jìn)行持續(xù)性的改進(jìn)，通過風(fēng)險評估可確保系統(tǒng)滿足相應(yīng)的安全需求。門戶網(wǎng)站作為企事業(yè)單位宣傳的重要信息系統(tǒng)，幾乎已經(jīng)成為每個企事業(yè)單位必備的信息系統(tǒng)，本文以門戶網(wǎng)站系統(tǒng)為例，針對其運(yùn)維階段的風(fēng)險評估工作進(jìn)行說明，以供企事業(yè)單位信息系統(tǒng)風(fēng)險評估管理工作參考。

1 相關(guān)概念

1.1信息安全風(fēng)險評估

信息安全風(fēng)險評估，是指依據(jù)國家有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程。它評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事一旦發(fā)生對單位造成的影響。

1.2資產(chǎn)及資產(chǎn)價值

資產(chǎn)是指對單位具有價值的信息或資源。資產(chǎn)價值是資產(chǎn)重要性和敏感程度性的表征，是資產(chǎn)的屬性，是進(jìn)行資產(chǎn)評估的具體內(nèi)容，而不是資產(chǎn)購買時的價值。

1.3威脅及威脅分類

威脅是指客觀存在對資產(chǎn)或單位造成損害的潛在原因。分為人為因素和環(huán)境因素，人為因素分為有意和無意，環(huán)境因素分為自然界不可抗拒的因素和其它物理因素。

1.4脆弱性及分類

脆弱性是指資產(chǎn)或資產(chǎn)中能被威脅利用的弱點(diǎn)，涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層等各個層面的安全問題。

2 信息系統(tǒng)運(yùn)維階段風(fēng)險評估流程

信息系統(tǒng)運(yùn)維階段風(fēng)險評估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險，是較為全面的風(fēng)險評估，評估的內(nèi)容包括運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等內(nèi)容，其評估流程主要分為以下三個階段，如下圖1所示，具體每個階段的詳細(xì)描述如下。

2.1風(fēng)險評估準(zhǔn)備階段

風(fēng)險評估準(zhǔn)備階段，主要開展確定評估范圍，確定評估團(tuán)隊(duì)，確定評估依據(jù)和評估方法，制訂評估工作方案等工作。

2.2系統(tǒng)評估階段

系統(tǒng)評估階段，在整個風(fēng)險評估過程占有較大比重，期間需要完成系統(tǒng)的資產(chǎn)識別與賦值，威脅識別與賦值，脆弱性識別與賦值，已有安全措施的確認(rèn)等工作。

2.3風(fēng)險分析及管理階段

在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認(rèn)后，采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響。

通過等級化處理的風(fēng)險結(jié)果，可實(shí)現(xiàn)對不同風(fēng)險的直觀比較，從而根據(jù)不同側(cè)重點(diǎn)的風(fēng)險分析結(jié)果，提出一個可接受的風(fēng)險范圍，并對不可接受的風(fēng)險制定詳細(xì)的風(fēng)險處理計劃，將系統(tǒng)風(fēng)險降到最低。

圖1 信息安全風(fēng)險評估流程

3 信息系統(tǒng)運(yùn)維階段風(fēng)險評估工作的實(shí)施

3.1風(fēng)險評估準(zhǔn)備

風(fēng)險評估準(zhǔn)備是進(jìn)行風(fēng)險評估工作的基礎(chǔ)，是風(fēng)險評估過程有序開展的重要保障，針對門戶網(wǎng)站系統(tǒng)運(yùn)維階段的風(fēng)險評估工作需做準(zhǔn)備工作，如表1。

3.2系統(tǒng)評估

（1）資產(chǎn)識別及賦值

根據(jù)資產(chǎn)在門戶網(wǎng)站系統(tǒng)中的角色對信息資產(chǎn)進(jìn)行分類識別，綜合考慮信息資產(chǎn)的保密性、完整性和可用性，根據(jù)《信息安全風(fēng)險評估規(guī)范》對保密性、完整性和可用性的分級標(biāo)準(zhǔn)結(jié)合企事業(yè)單位自身的特點(diǎn)進(jìn)行賦值，針對門戶網(wǎng)站的資產(chǎn)分類及資產(chǎn)賦值如下表2。

（2）威脅識別及賦值

作為風(fēng)險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統(tǒng)而言，它總是一定存在。威脅可能源于對系統(tǒng)直接或間接的攻擊，例如：信息泄露、篡改、刪除等，破壞信息的保密性、完整性或可用性。

表1 評估工作準(zhǔn)備表

表2 資產(chǎn)識別與賦值表

根據(jù)威脅源的分類和威脅的表現(xiàn)形式，結(jié)合資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅，按照《信息安全風(fēng)險評估規(guī)范》中威脅的賦值方法， 針對門戶網(wǎng)站系統(tǒng)運(yùn)維階段的威脅及賦值如下表3。

表3 威脅識別與賦值表

（3）脆弱性識別及賦值

脆弱性只有被威脅利用了之后才會導(dǎo)致安全事件，脆弱性評估需要針對評估范圍內(nèi)的每項(xiàng)資產(chǎn)，找出所有被威脅利用的脆弱性，并對脆弱性的嚴(yán)重程度進(jìn)行評估。脆弱性的評估主要從技術(shù)和管理兩個方面進(jìn)行。由于不同單位的門戶網(wǎng)絡(luò)系統(tǒng)建設(shè)過程中使用的產(chǎn)品具有差異性，所以本文不再對個例系統(tǒng)的脆弱性一一進(jìn)行賦值，而是針對門戶網(wǎng)站系統(tǒng)運(yùn)維階段如何進(jìn)行脆弱性賦值進(jìn)行介紹，詳情如下表4。

表5 管理脆弱性識別與賦值分析

除以上表5對門戶網(wǎng)站的脆弱性識別與賦值之外，還可通過模擬惡意黑客攻擊滲透測試方法，進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全的評估，以發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，如SQL注入、敏感信息泄露、腳本執(zhí)行漏洞、暴力破解漏洞、安全策略配置漏洞、操作系統(tǒng)漏洞等。

（4）已有安全措施確認(rèn)

安全措施分為預(yù)防性安全措施和保護(hù)性安全措施兩種，預(yù)防性安全措施可以降低威脅發(fā)生的可能性，保護(hù)性安全措施可以減少威脅造成的影響。安全措施的確認(rèn)，不僅僅是確認(rèn)系統(tǒng)中有哪些安全產(chǎn)品、方法或配置，而是需要從系統(tǒng)的各個層面上對已有的安全措施進(jìn)行確認(rèn)，安全措施的確認(rèn)應(yīng)兼顧管理與技術(shù)，如安全策略、安全機(jī)構(gòu)、安全制度、人員安全、物理安全、訪問控制、身份鑒別等方面進(jìn)行一一的確認(rèn)，以避免不必要的工作，防止安全措施的重復(fù)使用。

3.3風(fēng)險分析管理

（1）風(fēng)險等級判定

完成資產(chǎn)識別、威脅識別、脆弱性識別以及對已有安全措施確認(rèn)后，采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。參考選擇《信息安全風(fēng)險評估規(guī)范》（GB/T 20984-2015）給出的風(fēng)險計算方法，計算出資產(chǎn)的風(fēng)險值，對評估結(jié)果進(jìn)行等級化處理，等級化的處理結(jié)果可參考以下表6示例。

（2）風(fēng)險處理

綜合考慮相關(guān)法律法規(guī)、單位業(yè)務(wù)發(fā)展方向，對存在風(fēng)險等級高，單位不可接受的風(fēng)險，統(tǒng)籌考慮國家相關(guān)法律法規(guī)要求、單位發(fā)展情況、人員素質(zhì)水平、管理要求、技術(shù)力量、資金成本等選擇適當(dāng)?shù)奶幚矸绞?，統(tǒng)一制訂風(fēng)險處理計劃。

風(fēng)險的處理方式包括：回避風(fēng)險、降低風(fēng)險、轉(zhuǎn)移風(fēng)險和接受風(fēng)險。

表6 風(fēng)險分析表

（3）殘余風(fēng)險處理

采取了風(fēng)險處理措施后，為確保措施的有效性，可再次進(jìn)行評估，以確認(rèn)殘余風(fēng)險是否降到可接受的水平，如殘余風(fēng)險仍處于不可接受的范圍之內(nèi)，應(yīng)考慮增加相應(yīng)的安全措施，如有必要可再次進(jìn)行評估。

4 結(jié)束語

本文以門戶網(wǎng)站運(yùn)維階段的信息安全風(fēng)險評估工作為例，對信息系統(tǒng)運(yùn)維階段的風(fēng)險評估工作進(jìn)行了詳細(xì)的說明，包括風(fēng)險評估工作的準(zhǔn)備、風(fēng)險評估工作的評估及風(fēng)險分析管理，雖然不同的信息系統(tǒng)用途有所不同，但風(fēng)險評估工作的過程大體無差，本文可供企事業(yè)單位進(jìn)行信息系統(tǒng)自評估工作做參考。

[1]沈昌祥，左曉棟.信息安全[M].浙江:浙江大學(xué)出版社，2007.

[2]公安部信息安全等級保護(hù)評估中心.信息安全等級保護(hù)政策培訓(xùn)教程.北京:電子工業(yè)出版社，2010.

[3]陸寶華，王曉宇.信息安全等級保護(hù)技術(shù)基礎(chǔ)培訓(xùn)教程.北京:電子工業(yè)出版社，2010.

[4]陸寶華.信息安全等級保護(hù)基本要求培訓(xùn)教程.北京:電子工業(yè)出版社，2010.

[5]吳亞非，李新友，祿凱.信息安全風(fēng)險評估.北京:清華大學(xué)出版社，2007.

[6]范紅等.信息安全風(fēng)險評估方法與應(yīng)用[M].北京:清華大學(xué)出版社，2006.

[7]GB/T 22239-2008, 信息系統(tǒng)安全等級保護(hù)基本要求》[S].

[8]GB/T 22240-2008, 信息系統(tǒng)安全等級保護(hù)定級指南[S].

[9]GB 17859-1999, 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則[S].

[10]GB/T 25058-2010, 信息系統(tǒng)安全等級保護(hù)實(shí)施指南[S].

[11]GB/T 20984-2015, 信息安全風(fēng)險評估規(guī)范[S ].

[12]GB/T 9361-2011, 計算機(jī)場地安全要求[S].

[13]GB/T 18336-2015, 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則[S].

[14]GB/T 22081-2016, 信息技術(shù) 安全技術(shù) 信息安全控制實(shí)踐指南[S].

[15]GB/T 20272-2006, 信息技術(shù) 操作系統(tǒng)安全技術(shù)要求[S].

[16]GB/T 20273-2006, 信息技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求[S].