一种适合于ISMS建设的风险评估方法

文章编号:1671-9662(2007)03-0009-04
一种适合于IS MS 建设的风险评估方法
王亚东1,汤永利2
(1.平煤集团天成分公司研究发展部,河南平顶山467000;
2.北京邮电大学信息安全中心,北京100876)
摘　要:　风险评估是建设信息安全管理体系(IS MS )的重要环节。

本文从IS O17799标准和等级保护的
要求出发,设计了一种适合于IS MS 体系建设的风险评估方法。

该评估方法采取故障树和基
线评估相结合的方式,对组织的安全管理状况进行了全面、科学的评价。

该方法被应用在国
信办IS MS 试点项目中,并取得了很好的效果,从而验证了该方法的科学性和可行性。

关键词:　IS MS 建设;风险评估;IS O 17799;故障树;等级保护
中图分类号:　TP315 文献标识码:A
1　IS MS 建设概述
BS7799是英国标准协会(Britain S tandard Institute ,简称BSI )针对信息安全管理而制定的一个标准,其最早始于1995年。

BS 7799分为两个部分:BS7799-1:1999《信息安全管理实施细则》;BS7799-2:2002《信息安全管理体系规范》。

第二部分BS7799-2,2005年10月正式成为IS O27001[1],是建立信息安全管理体系(IS MS )的一套规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,指导相关人员应用IS O 17799标准建立适合企事业单位实际需要的信息安全管理体系(In formation Security Management System ,简称IS MS )。

信息安全管理体系是目前国际信息安全管理标准研究的重点。

IS O27001提供了为建立、实施、运行、监视、评审、保持和改进IS MS 建设提供模型。

采用IS MS 应当是企事业单位的一项战略性决策。

一个企事业单位的IS MS 的设计和实施受其需要和目标、安全要求、所采用的过程以及单位的规模和结构的影响,上述因素及其支持系统会不断发生变化。

IS O27001采用了“规划(Plan )、实施(D o )、检查(Check )、处置(Act )”
(PDC A )模型来进行建设IS MS 体系,Plan 就是建立IS MS ,D o 就是实施和运行IS MS ,Check 就是监视和评审IS MS ,Act 就是保持和改进IS MS 。

而有针对性的风险评估是IS MS 体系的建设过程中的重要过程。

如何设计与建立适合于IS MS 需要的风险评估模型是大家都在探讨的研究课题,本文也旨在探讨这一课题。

2　IS O 17799标准
BS7799标准的第一部分BS7799-1:1999《信息安全管理实施细则》,国际标准化组织(IS O )于2005年6月在IS O/IEC 17799:2000的基础上发布了IS O/IEC 17799:2005的2005年版本[2]。

最新版的IS O/IEC 17799:2005标准是一个非常详尽、复杂的信息安全管理标准,内容涵盖了安全管理的各个方面,同时体现层次结构的特点,分为3层结构:第一层为信息安全的11个核心领域(管理要项);第二层为又细分为39个管理目标;第三层为133个控制措施以及细分的若干个控制要点。

尽管IS O17799标准的内容覆盖了信息安全的各个方面,为IS MS 体系建设提供了统一的规范和要求,其科学性和有效性在具体的风险评估中也得到了充分验证。

但标准中对每个控制措施对风险发生的危害程度的分析不足,没有建立各个控制措施对系统整体风险的贡献系数。

而实际情况往往是不同的控制措施对整体的风险贡献是不同的。

因此,很有必要依据IS O17799标准的控制措施的要求,建立适合IS MS 建设的风险评估模型与方法,来指导相应的风险评估过程和IS MS 建设,从而做到既对标准有效、灵活的运用,又建立起符合企事业实际需要的IS MS 。

3　基于IS MS 建设的风险分析方法
3.1　故障树分析方法
故障树分析法[3～5]是一种演绎的风险分析法,它将系统总的风险状况作为顶事件。

通过分析造成顶事件的各种可能的原因及彼此间的关系,画出逻辑关系图(即故障树)。

根据该逻辑关系图,确定顶事件发生的原因(包括多种因素收稿日期:2007-01-20
第一作者简介:王亚东(1974-),男,河南平顶山人,平煤集团天成分公司助工。

第16卷第3期2007年5月 平顶山工学院学报Journal of Pingdingshan Institute of T echnology V ol.16N o.3May.2007
的组合原因)和概率。

由分析结果,可以确定被分析系统的薄弱环节、关键部位、应采取的措施、对安全性实验的要求等。

风险树分析的步骤和顺序如下:
(1)确定被评估目标与范围,确定故障树的顶事件;
(2)根据被评估目标的体系结构,分析建造故障树;
(3)求故障树的最小割集,确定底事件;
(4)用最小割集的结构函数求顶事件的总体风险。

其中步骤(1)、(2)、(3)主要是对被分析系统的内容、结构、各要素彼此之间的风险逻辑关系进行定性的研究。

(4)则
是对风险树中各安全要素进行定量分析计算,求出被评估目标的总体风险值。

以下是上述步骤中的几个关键概念。

顶事件是风险分析所关心的结果事件,其位于故障树的顶端。

而底事件是在特定风险分析过程中的最小单元。

割集是风险树的若干底事件的集合,如果这些事件都发生,则顶事件发生。

最小割集是底事件不能再减少的割集,即在最小割集中任意去掉一个底事件之后,剩下的底事件就不是割集。

故障树分析法适合对IS O17799标准的树型结构进行分析,建立起科学、系统的安全评估体系,从而在建立IS MS 过程中使用IS O17799标准有效地实施风险评估。

3.2　基线风险评估方法
基线风险评估(Baseline Risk Assessment )[6]就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所有要求。

采用基线风险评估,组织根据自身的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查,也就是说,比较现有的安全措施与安全基线规定的措施,找出其中的差距,得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。

所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。

对于一般的信息系统或组织状况而言,可按以下原则来选择安全基线:
3国际标准、国家标准,例如IS O17799、IS O13335-4等;
3行业标准或推荐手册,例如公安部的G A/T 391-2002;
3来自其他有相似性的公司或组织的惯例。

当然,组织根据实际需要,也可以自行建立安全基线。

基线评估的优点是需要的资源少,周期短,操作简单。

当然,基线评估也有其难以避免的缺点,比如基线水平的高低难以设定,如果过高,可能导致资源浪费和限制过度,如果过低,可能难以达到充分的安全。

在故障树分析的基础上,选定合适的安全基线,对已建好的故障树中的底事件的风险进行风险分析,以弥补IS O17799对底事件的危害程度分析的不足。

4　风险评估方法的具体实现
4.1　故障树分析法的实现
在设计具体风险分析方法时,还应结合IS O17799自身特点,力求实现对BS7799科学、有效的应用。

首先,IS O17799:2005是一个三层结构体系。

从风险评估的角度来看,各层之间是一种因与果的关系。

即系统的整体风险状况是总体结果,下面各层安全要素即是上一层的原因又是下一层的结果。

根据这个特点,采取故障树分析法对其各层安全要素之间的风险逻辑关系进行分析,以实现对标准中安全要素完整、有效的提取与实施。

各层彼此之间的逻辑关系如图1所示:其中顶事件是被评估目标的总体风险;顶事件的下一层是11个管理要项中的每一项;而管理要项是通过多个控制目标的组合来实现;控制目标是由多个控制措施组合来实现,而控制措施的选择合适与否则间接影响到被评估目标的总体风险。

所以故障树的底事件对应着IS O17799标准中的各个控制措施。

需要注意的是,故障树第三层的底事件,还包括信息系统安全等级保护管理要求中的一些安全管理的等级要求,以使风险评估的结果也符合等级保护一定级别的安全管理要求。

如“信息分类”控制目标下的“资产分类、分级管理”就是等级保护第三级的安全管理要求。

在故障树分析的基础上,根据IS O17799标准的结构特点,对每两层之间的权重系数进行定义。

具体分析如下: ISO17799标准中的第一层是11个管理要项,也是故障树中的第一层,体现被评估目标的风险所包含的安全要素。

其权重系数我们用αi 表示,并且有∑11
i =1
αi =1,i =11表明有11个管理要项。

ISO17799标准中的第二层是控制目标层,也是故障树中的第二层,体现每一个管理要项要通过若干个控制目标来实现其安全性,其权重系数我们用βij 来表示,表示是第
10 平顶山工学院学报 2007年5月
i 个管理要项下的第j 个控制目标的权重系数,并且有
∑m
j =1βij =1,m 表示每一个管理要项下的控制目标的数目,根据管理
要项的不同其数目也有所不同。

ISO17799标准中的第三层是控制措施,也是故障树的第三层,说明每个控制目标要通过若干个控制措施的具体落实来实现,其权重系数用γi ,j ,k 表示,表示是第i 个管理要项下的第j 个控制目标下的第k 个控制措施,并且有
∑n k =1γi ,j ,k =1,n 表示每一个控制目标下的控制措施的数目,根据控制目标的不同其数目也有所不同。

而αi 、βij 、γi ,j ,k 的权重值是事先确定的,根据各个控制措施对控制目标所提供的安全能力来定。

图1　采用故障树对IS O17799进行分析(部分)4.2　基线风险评估方法的实现
要实施基线评估,最重要的环节是选择好
安全基线。

我们选择的安全基线考虑从两个方
面来考虑:(1)选择IS O17799标准中的133个控
制措施作为风险评估的安全基线;(2)选择中华
人民共和国公安部标准G A/T 391-2002《计算
机信息系统安全等级保护管理要求》[7]为依
据,将其第三级(安全标记保护级)的安全管理
要求也补充作为风险评估的安全基线。

之所以这样考虑,其原因是对于政府、行政
事业单位的信息系统而言,国家以安全等级保
护的第三级来进行规范和要求。

这样我们在完
成风险评估之后,被评估目标也就达到了等级
保护三级的安全管理要求。

在具体实施过程中,对被评估目标安全状况的通过调查问卷或其他方式进行整理、收集,然后与我们选定的安全基线进行逐项比较,找出二者的差距,通过定量分析给出符合度。

符合度反映出被评估目标与安全基线要求的差距,以定量分析的方式反映被评估目标当前的安全状况。

下面给出符合度的规定,分5个等级,见表1所示。

表1　符合度定义
符合度
量化值符合程度描述C 1
0无相应地安全控制措施C 2
0.25有一定的安全控制措施,但达不到安全基线的要求,或者安全控制措施只能起到部分作用C 3
0.5有比较好的安全控制措施,但没有起到很好的效果C 40.75
现有的安全控制措施基本上能达到安全基线要求,或者现有的安全控制措施能起到较好的效果C 5
1安全措施完全符合安全基线的要求,并完全按照安全控制措施来执行4.3　风险分析与计算
我们以定量分析的方法来对权重进行赋值,首先将权重系数与风险影响等级[5]进行规定,如表2所示。

为了计算方便,对(R 1,R 2,R 3,R 4,R 5)分别赋值以(0,0.25,0.5,0.75,1),这样可以方便的对故障树每一层权重系数进行量化计算,并依据最终计算的总体风险值来得到被评估目标的风险级别。

表2　风险影响等级定义
影响等级量化值影响描述R 1
　可以忽略0危害程度微乎其微,几乎可以不予考虑R 2
　较小0.25危害会造成一些很小的影响,只需很小的努力就可以弥补影响R 3
　程度中等0.5能直接影响到系统的运行,或是对系统资源或服务信任程序的降低R 4
　较大0.75可导致数据的较大损失,即使付出很大的努力也难于弥补影响R 5　极为关键1可引起灾难性的损失,或直接导致业务的中断或关闭
在实际操作中对权重系数进行赋值时,根据实际需要,也可以取5个影响等级之间的量化值,如取介于R 2和R 3之间的0.4,以求更加准确和恰当地反映出各安全要求的重要程度。

下面简述被评估目标总体风险的计算过程。

第16卷第3期 王亚东等:一种适合于IS MS 建设的风险评估方法 11
我们假设第i 个管理要项下的第j 个控制目标下的第k 个控制措施所对应的符合度已得出,用C i ,j ,k 表示,则每一层的风险要素的风险计算如下:(风险值以R 表示)
第i 个管理要项下的第j 个控制目标的风险:
R ij =∑n
k =1C
i ,j ,k γi ,j ,k ,这里假设第j 个控制目标下有n 个控制措施; 第i 个管理要项的风险:
R i =
∑m j =1V ij βij
,这里假设第i 个管理要项下有m 个控制目标; 被评估目标的总体风险: R =
∑11i =1V i αi ,共有11个管理要项。

综合可得整个计算被评估目标的风险公式: R =∑11i =1R i αi =
∑11i =1∑m j =1∑n k =1C i ,j ,k γi ,j ,k βij α
i 最后通过判断风险值R ,再对照风险影响等级定义,就可以判断被评估目标的风险等级,从而以量化的方式得出故障树中每一级安全要素的风险等级,以及被评估目标的总体风险状况。

进一步地,我们针对安全风险较大的安全要素,或者存在较大安全隐患的地方,可以通过实施新的安全控制措施或加固现有的安全控制措施,以减少其风险。

之后,我们可以通过再次计算总体风险,来检验其安全控制措施的加固效果。

如此反复,直到被评估目标的风险达到安全要求为止。

5　结束语
本文首先概述了信息安全管理体系IS MS 建设方法,并分析IS O17799标准在实施过程的优缺点,采用故障树分析法和基线评估方法相结合的方法,建立起一套适合于IS MS 体系建设的、使用IS O17799标准来进行风险评估的方法,既弥补IS O17799标准在具体实施过程中的不足,又建立起一套适合企事业单位需要的风险评估方法。

本文采用的风险评估方法在国信办信息安全标准应用试点过程中得到实现,效果较好,较好地支撑了基于IS MS 建设的风险评估工作,为在国内建设IS MS 提供了思路与借鉴。

下一步将主要考虑该采用更合理的权重系数的量化方法,以及考虑使用模糊的方法来定量分析控制措施。

参考文献
[1](I DT IS O/IEC 27001:2005).信息安全信息技术信息安全管理体系要求[S]
[2](I DT IS O/IEC 17799:2005).信息安全信息技术信息安全管理实用规则[S]
[3](IEC 1025:1990).Fault T ree Analysis (FT A )[S]
[4](NUREG-0492).Fault T ree Handbook[S]
[5]聂晓伟.基于BS7799标准风险评估方法的设计与应用[J ].计算机工程,2005(19):70-73.
[6](IS O/IEC TR 13335).国际IT 安全管理标准[S].
[7](G A/T 391:2002).计算机信息系统安全等级保护管理要求[S].
A risk assessment method for constructing ISMS
WANG Y a 2dong 1,T ANG Y ong 2li 2
(1.Tiancheng Company ,Pingdingshan Coal Co.Ltd.,Pingdingshan 467000,China ;
rmation Security Center ,Beijing Univer sity o f Posts and Telecommunications ,Beijing 100876,China )
Abstract :Risk assessment is a very im portant step in the course of constructing IS MS.According to the requirements of IS O17799and classified protection ,this paper designs a risk assessment method to adopt for constructing IS MS.This paper adopts method combined with fault tree analysis and baseline assessment to scientifically evaluate security condition.The method puts into project about IS MS ,which gains all -right effectiveness and proves its scientificity and feasibility.
K ey w ords :IS MS construction ;risk assessment ;IS O17799;fault tree ;classified protection 12 平顶山工学院学报 2007年5月。