基于等級保護思想的網(wǎng)絡(luò)安全風(fēng)險評估關(guān)鍵技術(shù)研究

張 彥，馬延妮，司 群

（中國鐵道科學(xué)研究院集團有限公司 電子計算技術(shù)研究所，北京 100081）

常用的網(wǎng)絡(luò)安全測評方法有等級保護測評和安全風(fēng)險評估，前者對測評對象的安全符合性進行判定，后者指出測評對象存在哪些安全風(fēng)險。雖然是從不同角度評判測評對象的安全狀況，在實際操作過程中，兩種方法也存在過程、方法等相通之處，可以將兩者結(jié)合起來應(yīng)用。中國電信北京研究院的趙陽等人[1]開展過面向等級保護的大規(guī)模網(wǎng)絡(luò)動態(tài)風(fēng)險評估方法研究，提出用風(fēng)險評估的結(jié)果來動態(tài)調(diào)整安全等級，是對測評結(jié)果的運用，不是方法的結(jié)合。

網(wǎng)絡(luò)安全測評實際工作中，面臨著兩個難點：（1）等級保護作為我國網(wǎng)絡(luò)安全工作的重要制度，如何與風(fēng)險評估進行融合，做到既能判別評估對象是否安全合規(guī)，又能研判其安全風(fēng)險；（2）GB/T20984標(biāo)準(zhǔn)對資產(chǎn)、威脅、脆弱性3個要素的識別范圍和賦值方法已不能適應(yīng)現(xiàn)階段網(wǎng)絡(luò)安全風(fēng)險評估工作的要求，如何對其進行有效識別和賦值？這兩個問題也是當(dāng)前“關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求”在安全防護（等級保護）和檢測評估（風(fēng)險評估）兩個環(huán)節(jié)要解決的問題[2]。

因此，本文重點研究等級保護測評與風(fēng)險評估之間的關(guān)聯(lián)關(guān)系，建立二者之間的理論模型，并通過對資產(chǎn)、脆弱性、威脅3個要素賦值算法的研究，提出切實可行的計算方法，指導(dǎo)網(wǎng)絡(luò)安全測評工作的開展。

1 等級保護與風(fēng)險評估關(guān)系分析

1.1 等級保護合規(guī)性評判

等級保護測評是對系統(tǒng)確定的安全等級開展合規(guī)性評判，系統(tǒng)的安全等級根據(jù)系統(tǒng)的業(yè)務(wù)信息安全級別和系統(tǒng)服務(wù)安全級別確定[3]。業(yè)務(wù)信息安全與系統(tǒng)信息資產(chǎn)及其所支持的業(yè)務(wù)密切相關(guān)，資產(chǎn)的保密性、完整性、可用性受到破壞時，會增加系統(tǒng)面臨的業(yè)務(wù)安全風(fēng)險；系統(tǒng)服務(wù)安全是確保定級對象可以及時地提供服務(wù)，其重要程度取決于系統(tǒng)服務(wù)范圍及業(yè)務(wù)對系統(tǒng)的依賴程度。

系統(tǒng)等級保護測評過程可歸納為：（1）對系統(tǒng)的基本情況進行調(diào)查，了解系統(tǒng)的定級要求、資產(chǎn)構(gòu)成、網(wǎng)絡(luò)拓撲、主要業(yè)務(wù)以及曾經(jīng)發(fā)生的安全威脅等情況[3]；（2）根據(jù)系統(tǒng)基本情況確定測評對象、測評內(nèi)容和測評指標(biāo)；（3）根據(jù)選定的測評對象和測評指標(biāo)，按照等級保護基本要求和測評要求等相關(guān)標(biāo)準(zhǔn)，對選定的測評對象和測評指標(biāo)逐一開展現(xiàn)場測評；（4）根據(jù)測評結(jié)果，對系統(tǒng)進行單元測評、整體測評和總體安全狀況分析，在進行總體安全狀況分析時，重點考慮在現(xiàn)有安全保障措施情況下，對測試中發(fā)現(xiàn)的安全問題進行風(fēng)險評估。

1.2 風(fēng)險評估方法

按照國標(biāo)GB/T20984的定義，信息安全風(fēng)險評估是指：依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程[4]；也就是評估資產(chǎn)面臨的威脅和脆弱點，以及威脅利用脆弱點產(chǎn)生安全事件的可能性，并根據(jù)安全事件涉及的資產(chǎn)來判斷安全風(fēng)險嚴(yán)重程度。

從上述定義可知，風(fēng)險評估涉及資產(chǎn)、威脅、脆弱性3個要素，資產(chǎn)的價值、存在的脆弱性、威脅利用脆弱性導(dǎo)致安全事件的可能性成為安全事件給企業(yè)或單位帶來安全風(fēng)險的主要評判依據(jù)[5]。風(fēng)險評估過程可歸納為：（1）梳理測評對象的資產(chǎn)及其價值；（2）尋找資產(chǎn)存在的漏洞或弱點；（3）識別測評對象可能面臨的安全威脅；（4）根據(jù)理論模型評判測評對象存在的安全風(fēng)險。

1.3 關(guān)聯(lián)分析

開展等級保護測評時能梳理出應(yīng)用系統(tǒng)的資產(chǎn)、重要程度及脆弱性，風(fēng)險評估對信息系統(tǒng)和信息資產(chǎn)所面臨的安全風(fēng)險進行定量和定性分析，二者之間存在如下關(guān)系：

（1）等級保護測評可以作為風(fēng)險評估的基礎(chǔ)，通過等級測評，明確系統(tǒng)資產(chǎn)的重要性和脆弱源。

（2）風(fēng)險評估結(jié)果的準(zhǔn)確性和客觀性，與等級保護測評過程所選的資產(chǎn)有關(guān)，資產(chǎn)選取范圍越廣，種類越全，評估結(jié)果越有價值。

（3）在開展等級保護測評、風(fēng)險評估過程中，均可采用漏洞掃描、滲透測試、配置核查等多種測評方法，發(fā)現(xiàn)系統(tǒng)資產(chǎn)不同層面存在的安全隱患和漏洞。

（4）在檢測對象選擇方面，等級保護測評、風(fēng)險評估所選擇的檢測對象都應(yīng)涵蓋物理環(huán)境、網(wǎng)絡(luò)、服務(wù)器、終端、應(yīng)用系統(tǒng)、數(shù)據(jù)、管理制度和人員等。

（5）在檢測流程方面，等級保護測評、風(fēng)險評估的工作流程都可以分為4個階段，分別為準(zhǔn)備階段、方案編制階段、現(xiàn)場實施階段和報告編制階段，但二者在各階段輸出的結(jié)果不同。

（6）在檢測內(nèi)容方面，等級保護測評、風(fēng)險評估工作都涵蓋技術(shù)安全檢測和管理安全檢查2個部分；其中，技術(shù)安全檢測主要包含物理環(huán)境安全、通信網(wǎng)絡(luò)安全、計算環(huán)境安全、應(yīng)用安全、數(shù)據(jù)安全等方面的內(nèi)容；管理安全檢查主要包括安全管理制度、安全管理機構(gòu)、安全管理人員、系統(tǒng)建設(shè)安全管理和系統(tǒng)運維安全管理等方面的內(nèi)容。

（7）在檢測結(jié)果運用方面，等級保護測評判別系統(tǒng)安全保護措施是否符合相應(yīng)等級的要求，風(fēng)險評估判別系統(tǒng)風(fēng)險源并評估面臨的安全風(fēng)險程度。

2. 資產(chǎn)分類及價值量化分析

2.1 資產(chǎn)分類

鐵路信息系統(tǒng)中包含大量的軟硬件資產(chǎn)。硬件資產(chǎn)有主機設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，這些資產(chǎn)可以通過網(wǎng)絡(luò)拓撲結(jié)構(gòu)、連通關(guān)系、安全策略等進行關(guān)聯(lián)；軟件資產(chǎn)有應(yīng)用程序、數(shù)據(jù)、文件等，這些資產(chǎn)若保護不當(dāng)，易暴露其脆弱性，遭受攻擊者攻擊。按等級保護測評時選擇的測評對象，可將這些資產(chǎn)劃分為硬件資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、制度資產(chǎn)、人員資產(chǎn)、物理資產(chǎn)等類型。

2.2 資產(chǎn)價值量化分析

資產(chǎn)價值可以從3個維度考慮：（1）系統(tǒng)自身的安全等級以及系統(tǒng)處理業(yè)務(wù)的重要程度，即系統(tǒng)維度；（2）資產(chǎn)在系統(tǒng)中的重要程度以及資產(chǎn)自身的購買成本和維護成本，即資產(chǎn)維度；（3）資產(chǎn)的機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）受到損害時對業(yè)務(wù)運營的負面影響程度，即CIA屬性維度[2]。按照國家標(biāo)準(zhǔn)GB/T 20984，資產(chǎn)價值劃分為5個不同等級，各個維度的資產(chǎn)價值用5分制表示，見表1。

表1 資產(chǎn)價值賦值表

資產(chǎn)任一維度（系統(tǒng)維度、資產(chǎn)維度、CIA屬性維度）的價值由其維度價值最高者確定，資產(chǎn)的最終價值A(chǔ)取3個維度價值之和，即：

3 資產(chǎn)脆弱性分析

脆弱性也可稱為弱點或漏洞，是資產(chǎn)中存在的薄弱環(huán)節(jié)，若被威脅利用將對系統(tǒng)造成損害，是導(dǎo)致安全事件的內(nèi)因。風(fēng)險評估中的一個重要環(huán)節(jié)是脆弱性分析，分析過程劃分為發(fā)現(xiàn)、分類、驗證、賦值4個步驟[6]。有學(xué)者采用基于規(guī)則、基于模型的脆弱性發(fā)現(xiàn)方法[7]；還有Schneier[8]和Moore[9]等人利用樹型結(jié)構(gòu)來表示系統(tǒng)面臨的攻擊；脆弱性分類可以從技術(shù)和管理2個方面進行；脆弱性驗證可以采用滲透測試、仿真測試等方式；脆弱性賦值可以從脆弱點被利用可能性、漏洞修補情況、已有安全措施對脆弱性的修正程度等方面進行綜合考量。

3.1 脆弱性發(fā)現(xiàn)

等級保護合規(guī)性判別工具：根據(jù)國家、行業(yè)等級保護標(biāo)準(zhǔn)，分類梳理被評估系統(tǒng)安全符合性判別指標(biāo)，編制成檢測表格工具，逐項對被檢測資產(chǎn)的安全狀況進行安全合規(guī)性判別，得出符合或不符合的檢查結(jié)果。安全符合性判別既能發(fā)現(xiàn)技術(shù)類弱點，也能發(fā)現(xiàn)管理類弱點，采用的方法主要有問卷調(diào)查、訪談、文檔查閱、人工核查和滲透性測試等[2]。

脆弱性掃描工具：針對網(wǎng)絡(luò)設(shè)備、主機設(shè)備、應(yīng)用系統(tǒng)的安全薄弱環(huán)節(jié)與漏洞問題進行安全評估的工具，用于發(fā)現(xiàn)網(wǎng)絡(luò)或設(shè)備存在的開放端口、弱口令、安全漏洞等，發(fā)現(xiàn)漏洞的能力依賴于工具中保存的規(guī)則庫的完備性和準(zhǔn)確性，使用這類工具發(fā)現(xiàn)的資產(chǎn)弱點一般是技術(shù)類脆弱性。

3.2 脆弱性賦值

脆弱性嚴(yán)重程度可參考通用漏洞評分系統(tǒng)（CVSS）3類指標(biāo)組進行評判：脆弱點利用可能性（攻擊途徑）、漏洞修補情況、已有安全措施對脆弱點的修正程度[10]。根據(jù)CVSS系統(tǒng)給出的3類指標(biāo)的度量方程和評分規(guī)則給脆弱性賦值。

脆弱點利用可能性指標(biāo)由可利用指標(biāo)和影響指標(biāo)組成，代表易受攻擊事務(wù)的本質(zhì)特征；漏洞修補情況指標(biāo)衡量漏洞利用技術(shù)或代碼可用性隨時間變化的當(dāng)前狀態(tài)，如是否存在補丁或其它變通辦法修復(fù)漏洞，對現(xiàn)有漏洞描述的可信程度等；修正程度指標(biāo)根據(jù)安全控制措施到位情況、機密性、完整性和可用性需求來修正CVSS分值，表2舉例說明其指標(biāo)構(gòu)成及賦值。

4 網(wǎng)絡(luò)安全威脅判定

威脅也可稱為破壞或攻擊。鐵路信息系統(tǒng)的安全威脅來自多方面，可能是環(huán)境帶來的，也可能是人為造成的，或是設(shè)備自身損壞原因產(chǎn)生的。威脅一般不能對系統(tǒng)造成直接影響，只有在利用資產(chǎn)存在的脆弱性后才能引發(fā)安全事件，對資產(chǎn)具備潛在的破壞作用，是引起安全事件的外因。

表2 脆弱性指標(biāo)示例

4.1 威脅分類

按照威脅產(chǎn)生的原因，可以從環(huán)境、人員、設(shè)備3個方面對鐵路信息系統(tǒng)的威脅進行分類[2]，參見表3。

表3 威脅分類

4.2 威脅量化計算

威脅可從3個維度進行度量：威脅發(fā)生的頻率、威脅的影響范圍和損害程度。各威脅因素發(fā)生頻率和影響程度的權(quán)重通過古林（A·J·Klee）法[11]計算賦值，其中心思想是：按序正向比較兩兩相鄰指標(biāo)，確定其重要性比例；再以末端指標(biāo)為基準(zhǔn)，逆向計算各指標(biāo)的橫向比較權(quán)重。

具體計算時，按以下步驟進行。

（1）確定各指標(biāo)的數(shù)值集合Tj（j=1,2，…，k）；

（2）確定評價指標(biāo)的重要度Rj：

（3）對Rj進行基準(zhǔn)化處理，其結(jié)果設(shè)為Kj，以最后一項評價指標(biāo)為基準(zhǔn)，令其Kn值為1，自下而上兩兩相乘，計算其它評價項目的K值：

（4）計算各評價指標(biāo)的權(quán)重Wj，將K列的數(shù)值相加，分別除以各行的Kj值，得到各評價指標(biāo)的權(quán)重Wj：

并進行歸一化，使各指標(biāo)的權(quán)重之和為1，即∑Wj=1。

5 安全風(fēng)險評估模型建立

信息系統(tǒng)安全風(fēng)險由安全事件發(fā)生的可能性L及安全事件造成的損失對組織的影響F確定，其中，L取決于威脅發(fā)生的頻率與脆弱性大小，F(xiàn)取決于資產(chǎn)價值與威脅影響范圍及程度。根據(jù)上述分析，可以建立如圖3所示的安全風(fēng)險評估模型[2]。

圖3 基于等級保護思想的安全風(fēng)險評估模型

具體開展風(fēng)險評估工作時，可以按如下步驟進行。

（1）通過等級測評，識別被測對象的資產(chǎn)集合A，根據(jù)表1確定資產(chǎn)的系統(tǒng)維度、資產(chǎn)維度、CIA屬性維度值，按式（1）計算各資產(chǎn)值A(chǔ)i，即：A={A1，{A1，...，Am}。

（2）通過等級測評，發(fā)現(xiàn)資產(chǎn)的脆弱點。通過CVSS從脆弱點可利用性、漏洞修補情況、已有安全措施對脆弱性修正情況3個方面確定各資產(chǎn)存在的脆弱性賦值矩陣V：

（3）分析評估對象所處的外部環(huán)境，明確各威脅發(fā)生頻率、影響范圍、影響程度的初始值，采用古林法計算威脅集T內(nèi)各項威脅發(fā)生頻率權(quán)重W1和威脅影響權(quán)重W2：

（4）根據(jù)脆弱性賦值矩陣集合V、威脅發(fā)生頻率集合W1，采用關(guān)聯(lián)矩陣法，計算各資產(chǎn)發(fā)生安全事件的可能性L：

（5）根據(jù)資產(chǎn)價值集合A、威脅影響集合W2，以及威脅作用于資產(chǎn)情況，采用相乘法，計算安全事件造成的損失F：

（6）按降序排列安全事件發(fā)生可能性L和安全事件造成的損失F，將L值和F值落到圖4所示的風(fēng)險象限圖中，依據(jù)各資產(chǎn)風(fēng)險在象限圖中的落點，評估資產(chǎn)風(fēng)險等級；其中，落在第1象限屬于高危安全風(fēng)險，落在第2、4象限屬于中危安全風(fēng)險，落在第3象限屬于低危安全風(fēng)險。

圖4 安全風(fēng)險象限圖

6 結(jié)束語

主要從兩個方面對風(fēng)險評估關(guān)鍵技術(shù)開展研究：（1）完善了GB/T20984標(biāo)準(zhǔn)中對資產(chǎn)、威脅、脆弱性3要素的識別范圍和賦值方法，識別粒度更細，賦值所考慮的因素更貼合實際情況；（2）將網(wǎng)絡(luò)安全的等級保護與風(fēng)險評估2種方法進行融合，使得在網(wǎng)絡(luò)安全實際測評工作中，既能判別評估對象是否安全合規(guī)，又能研判其面臨的安全風(fēng)險嚴(yán)重程度。

從理論角度看，該方法是合理可行的，但其效果還需在實踐工作中加以檢驗。