信息安全风险评估指标采集技术

关于信息安全风险评估指标采集技术的几点考虑
范红 吕俊杰
摘要：信息安全成为国家安全的重要组成部分，因此为保证信息安全，建立信息安全管理体系已成为目前安全建设的首要任务。

风险评估作为信息安全管理体系建设的基础，在体系建设的各个阶段发挥着重要的作用。

风险评估的进行离不开风险评估工具，本文首先对风险管理和风险评估的关系进行了分析，然后对指标体系技术进行了简要介绍，并依据此技术提出了风险评估的指标采集技术。

在分析指标采集技术和风险评估关系的基础上，提出了信息安全指标采集技术的实现路线。

关键字：信息安全 风险评估 指标采集
随着信息技术的发展，信息安全风险分析方法也逐渐发展起来，由最初的单一技术手段发展成为技术与管理相结合的科学方法。

信息安全风险评估在信息安全管理中占据着重要的位置。

最早发表的信息安全风险评估方法是由1979年美国标准局发布了FIPS 65，自动的数据处理风险分析指南。

该指南基于年损失率ALE为大型数据处理中心提出了风险评估标准，在上世纪80年代末到90年代初，市场上开发了很多与基于该指南的商业工具，如@Risk，BDSS，及Buddy等。

由于ALE风险分析方法过于侧重细节而影响了其可行性，导致该方面没有获得广泛应用。

整个上世纪90年代，对于信息安全风险分析方法的研究并没有取得实质进展，更多的研究侧重于风险评估的流程研究，所采取的方法大多是调查问卷方式，如OCTACVE。

目前，关于风险评估的标准也很多，如CC，SSE-CMM，ISO17799等等。

本文根据信息安全风险管理的特征，根据ISO17799信息安全风险管理指南和风险评估指南的规定，提出了一种在信息安全风险管理过程中采用指标采集技术的思路。

一、信息安全风险评估和风险管理
1.信息安全风险管理的目的。

一个机构要利用其拥有的资产来完成其使命。

在信息时代，信息成为第一战略资源，更是起着至关重要的作用。

因此，信息资产的安全是关系到该机构能否完成其使命的大事。

资产与风险是天生的一对矛盾，资产价值越高，面临的风险就越大。

信息资产有着与传统资产不同的特性，面临着新型风险。

信息安全风险管理的目的就是要缓解和平衡这一对矛盾，将风险控制到可接受的程度，保护信息及其相关资产，最终保证机构能够完成其使命。

2.信息安全风险评估的目的。

信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

3.信息安全风险评估和风险管理的关系。

信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。

风险评估使得机构能够准确“定位”风险管理的策略、实践和工具，能够将安全活动的重点放在重要的问题上，能够选择成本效益合理的和适用的
安全对策。

基于风险评估的风险管理方法被实践证明是有效的和实用的，已被广泛应用于各个领域。

因此，风险评估是信息安全管理体系和信息安全风险管理的基础。

是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一，为实施风险管理和风险控制提供了直接的依据。

4．信息安全风险评估的过程和难点。

风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段。

风险因素的识别方式包括文档审查、人员访谈、现场考察、辅助工具等多种形式，在风险因素识别的基础上，如何对风险进行度量一直是一个难点。

信息系统安全是一个整体性概念，包括很多方面，除了依赖于所采用的信息安全技术，还更多的依赖于信息安全管理体制。

风险评估通过信息资产的识别与赋值，威胁评估，弱点评估，现有安全措施评估，综合风险分析等环节，对组织当前的安全现状进行评价，为制定改善安全措施提供依据。

根据《信息安全风险评估指南》，风险的计算公式为：R= f(A,V,T)=f(Ia,L(Va,T))
R表示风险；A表示资产；V表示脆弱性；T表示威胁；Ia表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度)；Va表示某一资产本身的脆弱性，L表示威胁利用资产的脆弱性造成安全事件发生的可能性。

也就是说风险是关于资产、脆弱性和威胁的函数。

他们之间的函数关系如何定量化的表示就是研究的主要内容。

二、指标采集技术
信息安全风险管理要通过度量系统的风险以及选择经济有效的安全控制来增进系统的安全性。

然而，网络与信息系统是一个复杂的系统工程，其中既有硬件，也有软件；既有外部因素也有内部因素；而且许多方面是相互制约的。

另外，不仅系统本身是复杂的，考虑风险管理得7个要素，每个要素又是由多个因素构成的。

以威胁源为例。

威胁源是任何可能对系统造成危害的环境或事件，包括人、自然以及环境等多种因素。

指标采集技术为解决风险评估中因素众多，因素间关系错综复杂，主观性强等诸多问题提供了一个较好的解决方法。

指标采集技术通过建立各个指标间的层次关系和隶属关系，在关系明确的基础上，逐级进行评价的一种方法。

其效果直观，应用简便，这方面的研究可以最大化的减小评估中的主观成分，寻找出便捷、有效、实用的信息安全评估准则和测量方法。

（一）几个指标采集技术的简单介绍
1.AHP（层次分析法）是一种整理和综合主观判断的客观方法，适用于多目标、多准则的复杂评价问题。

它可以将复杂的问题分解为递阶层次结构。

然后在比原问题简单的多的层次上逐步分析。

可以将人的主观判断用数量形式和处理，可以同时处理定量和不定量因素。

也可以提示人们对问题的主观判断是否存在一致性。

AHP强调人的思维判断在决策过程中的作用，通过一定模式使决策思维过程规范化。

2.灰色系统是部分信息明确，部分信息不明确的系统。

信息系统符合灰色系统的特征，
因此灰色评估理论适用于对信息系统进行安全风险评估。

3.模糊综合评价法是以模糊数学为基础，应用模糊关系合成原理，将一些边界不清、不易定量分析的因素进行定量化，而后综合评价的一种方法。

（二）．综合评价的分类方法
对信息安全风险评估的综合评价方法，需要将信息安全的风险分为多个层次，然后进行多级的综合评价。

分类方法可以采用ISO17799国际标准作为风险的分类标准。

由于安全因素众多，相互关系复杂，可以将复杂关系分解为由局部简单关系构成的多层次结构。

ISO17799全面、系统的覆盖安全管理的每一个方面，是最全面的安排标准。

ISO17799规定了用于组织实施信息安全管理的安全体制。

规定了10个主题，每个主题又由几个子类构成。

子类下规定了若干的安全要素。

这些控制主题、子类、要素之间存在着错综复杂的依赖制约关系。

具体分类如图所示，是一个四级的层次结构。

1.信息安全政策：信息安全方针目标是为信息安全提供管理指导和支持。

管理者应该制定一套清晰的指导方针，并通过在组织内对信息安全方针的发布和保持来证明对信息安全的支持与承诺。

（1） 信息安全方针文件的制定。

（2）评审与评价。

方针应有专人按照既定的评审程序负责它的保持和评审。

2．组织与权责：
（1）信息安全基础结构。

信息安全基础结构的目的是在组织内部管理信息安全。

（2）第三方访问安全管理。

第三方访问安全管理目标是维护被第三方访问的组织的信息处理设备和信息资产的安全。

（3）委外资源管理。

当把信息处理的责任委托给其他组织时，执行委外资源管理以确
保委外信息的安全性。

3.资产分类与管理
（1）资产责任。

规定资产责任的目标是保证信息资产得以适当的保护。

所有重要的信息资产都要进行说明并指定责任者。

（2）信息资产分类。

信息资产分类目标是确保信息资产得到恰当的保护；应对信息进行分类，表明其用途、优先和保护等级。

4．人员安全管理
（1）岗位安全责任和人员任用安全要求。

设立岗位安全责任和人员任用安全要求可以降低人为错误、盗窃、诈骗和误用设备的风险。

（2）用户培训。

用户培训目标是确保用户在日常工作过程中，意识到信息安全的威胁和利害关系，并支持组织的信息安全方针。

（3）安全事件与故障的响应。

安全事件与故障的响应目标是尽量减小安全事故和故障的损失，监督此类事件并接受教训。

5.物理和环境安全
（1）安全区域。

划定安全区域的目标是防止对业务所在地和信息的未授权的访问、破坏和干扰。

（2）设备安全。

加强设备安全以防止资产的丢失、损坏和危害以及对业务活动的干扰。

设备应在物理上保证免受安全威胁和环境的危害。

（3）常规控制措施。

常规控制措施目标是防止对信息和信息处理系统的危害和盗用。

防止信息和信息处理设备泄漏给未经授权的人员，以及防止其被未经授权的人修改或盗用。

6.通信和操作管理
（1）操作程序和责任。

确定操作程序和责任是为了确保对信息处理设备的正确和安全的操作。

（2）系统规划和验收。

系统规划和验收是将系统发生故障的风险降到最小。

（3）恶意软件的防范。

对恶意软件的防范是为了保护软件和信息的完整性。

（4）日常管理。

日常管理目标是维护信息处理和通信服务的完整性和可用性。

（5）网络管理。

网络管理目标是确保对网络中信息和支持性的基础设施的保护。

（6）媒体安全。

媒体安全目标是防止资产损失和商业活动的中断对媒体应加以管理和基于物理上的保护。

（7）信息和软件的交换。

信息和软件的交换管理是为了防止丢失、修改或误用组织之
间交换的信息。

7.访问控制
（1）访问控制的业务需求。

访问控制的业务需求管理是控制对信息的访问对信息和商业流程的访问应在商务和安全需求的基础上进行控制。

（2）用户访问管理。

用户访问管理控制是为了防止对信息系统的未授权访问应有正式的流程来控制对信息系统和服务的访问权的分配。

（3）用户职责。

用户职责的界定是防止未授权的用户访问。

（4）网络访问控制。

网络访问控制目标是保护网络服务，控制对内部网络和外部网络服务的访问。

（5）操作系统访问控制。

操作系统访问控制目标是防止对计算机的未授权访问。

（6）应用系统访问控制。

应用系统访问控制目标是防止对信息系统内部的信息的未授权访问。

（7）系统访问和使用的监控。

系统访问和使用的监控目标是为了检测未授权的行为。

（8）移动计算和远程工作。

移动计算和远程工作控制的目标是确保使用可移动的计算和远程工作设施时的信息的安全。

8.系统开发和维护
（1）系统安全需求。

系统安全需求控制是为了确保把安全置于信息系统内部。

（2）应用系统安全。

应用系统安全控制可以防止丢失，修改或误用使用者在应用系统中的数据。

（3）加密控制。

加密控制目标是保护信息的秘密性，真实性或完整性对于被视为面临风险的信息和其他的控制措施不能对其提供足够保护的信息，应当使用加密系统和技术。

（4）系统文件安全。

系统文件安全控制目标是确保以一种安全的方式进行IT计划和支持活动。

（5）开发过程和支持过程的安全。

开发过程和支持过程的安全控制目标是保持应用系统软件和信息的安全。

9.业务连续性管理
（1）业务连续性管理。

业务连续性管理目标是抵制商业活动的中断，保护关键的商业过程免受主要的故障或灾难的影响。

10.符合性
（1）符合法律要求。

要求符合法律的目标是避免触犯任何刑事、民事法律、法规或违
反合同约定的责任和任何安全要求。

（2）安全方针和技术符合性的评审。

评审安全方针和技术符合性是为了确保系统符合组织的安全方针和标准。

（3）系统审核的考虑事项。

规定系统审核的考虑事项是将系统审核过程的利益最大化，将其干扰最小化。

三、指标采集技术和信息安全风险评估的关系
1.指标体系清晰地反映了风险评估中风险与原因间的关系。

无论是定量因素，还是定性因素，无论是外部原因，还是内部原因，无论是法律因素，还是人员问题，风险管理的所有要项都毫无疑问被包括在多指标体系中。

该指标体系从造成风险的原因出发，对各要项的执行目标完成程度，以及每个目标的控制方法进行度量，然后进行多级进行综合评判，最后得出风险程度。

该方法不仅与ISO标准体系相结合，覆盖的体系中的所有要素，而且清晰的反映出造成风险的各个原因，要项与目标，目标与控制方法间的一一对应关系。

2.风险评估为指标采集技术提供了应用的平台。

指标采集技术现在被广泛应用于各个领域，包括效益评价，等级评价等方面。

风险评估就是要识别信息系统的安全风险。

构成安全风险的要素涉及到企业的方方面面，要素的性质也彼此不同。

指标评价体系就为解决风险评估中因素众多，因素间关系错综复杂，主观性强等诸多问题提供了一个较好的解决方法。

因此信息安全风险评估也为指标采集技术提供了一个应用平台。

四、信息安全风险评估指标采集技术的实现路线
目前国家正在信息安全风险评估的管理规范与技术要求的制定，已完成《信息安全风险评估指南》和《信息安全风险管理指南》等两项国标的草案，现在正在进行国家重要信息系统和关键基础设施的风险评估试点工作，并通过试点工作来进一步修改和完善两项国标草案。

基于前面的论述，评估指标采集技术的建立当与国家当前进行的信息安全风险评估工作紧密挂钩，在信息安全风险评估国家标准的指导下，将指标采集技术应用到风险评估和风险管理的量化工程实践中。

一方面使指标体采集技术在我国的实践中的应用更加完善和趋于成熟；更重要的是，可以依据《信息安全风险评估指南》和《信息安全风险管理指南》国标中所提出的关键环节建立量化的、科学的指标体系，在国标大框架下整合、梳理现有资源并着重开发适宜我国国情和信息安全实践的指标采集技术，从工程技术的角度支撑我国信息安全风险评估和风险管理的实践，并通过此为国家信息安全保障体系建设服务。