信息安全风险评估中的关键技术

牛旭明，李智勇，桂坚勇，耿振国
(解放军信息安全测评认证中心，北京 100016)
【摘 要】文章在深入研究信息安全风险评估理论的基础上，结合国内外风险评估的实例，从实践的角度提出了风险 评估中所涉及的关键技术。

同时，文中还重点阐述了关键技术的实现方法，形成了一套完整的评估流程，为建立信息 安全风险评估体系打下了良好的基础。

【关键词】信息安全风险评估；资产评估；威胁评估；脆弱性评估；风险计算；量化分析 【中图分类号】TP393.08
【文献标识码】A
【文章编号】1009-8054(2007) 04-0017-04
Key Tech nology In Inf or mat ion S ecurit y Risk Ass ess me nt
NI U X u mi ng, LI Zh i yo n g, GU I Jia n yo n g, GE N G Zhe ngg uo
(Pe opl e Li b er a ti o n Arm y In f or m at ion Se c uri ty Tes t E v alu ati o n Cen ter , B e iJ i ng 10 001 6, C h in a )
【Ab str a c t 】In c o mb ini n g wi t h th e p r a c ti c e of do m e s ti c and fo r e i gn r i sk as s e s sm en t , the k e y te c hn olo g y of i n fo r ma t i o n
s e c u r i t y ri s k a s s e s s m e n t i s pr o p o s e d o n t h e b a s i s o f st u d y i n g in d e p t h t h e i n f o r m a t i o n se c u r i t y r i s k a s s e s s m e n t th e o r y . M e a n w h i l e , t h e i m p l e m e n t a t i o n o f t h e k e y te c h n o l o g y i s d e s c r i b e d i n t h i s p a p e r , t h e co m p l e t e as s e s s i n g pr o c e d u r e i s fo r med , a n d a go o d foun dat i on is lai d fo r i n fo r mat ion sec u ri t y risk as s ess men t s y ste m.
【Key word s 】In form atio n Se c uri ty Risk Ass essm ent; As s et Asse ssme nt; Thre at Asse ssme nt; Vuln era bili t y A s ses smen t;
Ri s k C a lcu lati o n; Qua ntiz atio n An a lys is
系实施规范》和《O C T A V E 》等。

风险评估的结果往往只
给出一个笼统的报告，没有系统的规范评论，缺乏统一的评 估标准，对同一信息系统评估，不同的单位得出不同的结 论。

近期即将推出的国标《信息安全风险评估指南》，对风 险评估的理论进行了归纳和总结，但缺乏操作实例。

针对上述情况，本文在深入研究信息安全风险管理和 风险评估理论的基础上，结合具体的评估过程，提出了信息 安全风险评估中所涉及的几项关键技术，形成了较为完整 的评估流程，其中关键技术包括资产评估、威胁评估、脆弱 性评估、风险计算和量化分析等方面。

1 前言
信息安全风险评估，是指依据有关信息安全技术与管 理标准，对信息系统及由其处理、传输和存储的信息的机密
性、完整性和可用性等安全属性进行评价的过程。

它要评估 资产面临的威胁以及威胁利用脆弱性导致安全事件的可能 性，并结合安全事件所涉及的资产价值来判断安全事件一 旦发生对组织造成的影响。

信息安全风险评估的概念早在 2002 年就被业界众多专家、厂商提出，到目前为止还多以 国外的相关标准为指导原则，如《ISO17799：2000：信息 安全管理实施准则》、《BS7799-2：2002：信息安全管理体
2 风险评估的理论
风险评估主要是对信息系统中的资产面临的威胁、存
在的脆弱性和采用的安全控制措施等进行分析，确定信息 系统面临的安全风险，从技术和管理两个层面综合判断信 息系统面临的风险。

风险评估是建立信息安全保障机制中 的一种科学方法。

对信息系统而言，存在风险并不意味着不 安全，只要风险控制在可接受的范围内，就可以达到系统稳
收稿日期：2007-2-13
作者简介：牛旭明，1969 年生，男，解放军信息安全测评认 证中心高级工程师，主要研究方向为信息安全。

李智勇，1971 年生，男，解放军信息安全测评认证中心工程师，主要研究 方向为信息安全。

表 1 资产分类
表 2 资产赋值
风险评估是信息系统安全等级确定
业务的机构，业务生产系统及建设过程中一种不可或缺的技术
很多，因此，首先需要将信
手段。

资产按照形态和用途进行
式如表 1 所示。

(2) 资产赋值。

在识
与信息系统面临的风险相关的
要素较多，风险评估围绕着这些基
本要素展开，在对这些要素的评估
后，接着是为每项资产赋予
过程中，需要充分考虑到系统的资
权值分为 1 至 5 五个级别，
产价值、面临的威胁、存在的脆弱性
产的重要等级。

资产估价
以及安全需求、安全措施、安全事
程，资产估价不是以资产的
件、残余风险等基本要素。

这些基本 的，而是指其相对价值。

在
要素之间存在着较为复杂的关系， 时，不仅要考虑资产的成本
具体叙述如下：资产价值越大，原则 是考虑资产对于组织业务的上其面临的风险越大；风险是由威 资产损失所引发的潜在的
为确保对资产估价的一致
胁引发的，资产面临的威胁越多则
风险越大，并可能导致安全事件；弱 如何对资产进行赋值，需要
点越多，威胁利用脆弱性导致安全 估准则和资产与权值的关联
事件的可能性越大；脆弱性是未被 表 2 所示。

因此，与资产赋
满足的安全需求，威胁利用脆弱性 经济损失、业务影响、系统
危害资产，从而形成风险；风险的存
机密泄露、法律责任、商业
在及对风险的认识导出安全需求；安全需求可通过安全措施
公共秩序，而资产的权值则是各种因素总
3.2 威胁评估
得以满足，需要结合资产价值考虑实施成本；安全措施可抵
御威胁，降低安全事件发生的可能性，并减少影响；风险不 威胁是一种对组织及其资产构成潜在
可能也没有必要降为零，在实施了安全措施后还可能有残余 素，是客观存在的。

威胁可以通过威胁主体
风险。

径等多种属性来描述，造成威胁的因素可分
境因素。

根据威胁的动机，人为因素又可分
3 风险评估中的关键技术
文章第二部分介绍了风险评估的原理，其中包括与系统
两种。

环境因素包括自然界不可抗的因素
威胁作用形式可以是对信息系统直接或间接面临风险相关的各种要素。

理清各要素之间的关系，对各要 性、完整性或可用性等方面造成损害，也可
素进行客观、准确的评价对风险评估工作至关重要。

对各要
蓄意的事件。

(1) 威胁分类。

对威胁进行分类的方
素评估会涉及到多项关键技术，主要包括资产评估、威胁评
估、脆弱性评估、风险计算和量化分析等方面，下面进行详
照主观因素和客观因素，可将威胁来源分为
细的描述。

因素包括合法用户、内部黑客、外部黑客等
3.1 资产评估
资产是具有价值的信息或资源，它能够以多种形式存
系统因素、环境因素和管理因素，在威胁源
要对威胁源的具体行为进行分析。

主观因素
在，包括无形的、有形的；硬件、软件；文档、代码，也有 归纳为人员威胁行为，客观因素中的三部分
表5 脆弱性赋值
表4 脆弱性分类
表3 威胁赋值
表6 风险等级划分
历史数据可参考的威胁要素，则根
据资产的信息价值、脆弱性被利用
的难易程度等因素，制定威胁赋值
标准，以保证威胁等级赋值的有效
性和一致性。

对资产所面临的威胁
逐项进行赋值后，将某项资产面临
的威胁权值进行求和可得到该资产
面临威胁的总分值。

3.3 脆弱性评估脆弱性是指资
产本身存在的缺
陷，可以被威胁利用，并引起资产或
商业目标的损害。

脆弱性包括物理
环境、组织、过程、人员、管理、配
置、硬件、软件和信息等各种资产的
脆弱性。

脆弱性是资产本身固有的，
不会造成损失，只有发生相应的威
胁并被威胁利用才有可能造成资产
损失。

(1) 脆弱性分类。

脆弱性可分为
技术脆弱性和管理脆弱性。

技术脆
弱性是指由于采用技术存在的缺陷
导致了可能被威胁因素利用，对资
产造成损害；管理脆弱性是指由于
管理体系存在的缺陷导致了可能被
威胁因素所利用，对资产造成损害。

具体的脆弱性分为如表4 所示的几
类。

(2) 脆弱性赋值。

在进行脆弱性
赋值时，提供的数据应该来自于这
些资产的拥有者或使用者，来自于
相关业务领域的专家以及软硬件信
息系统方面的专业人员。

提取数据
的方法包括问卷调查、人员问询、工
具扫描、手动检查、文档审查、渗透
测试等。

脆弱性的赋值主要依据资产的
分类结果，分析每一种资产存在的
脆弱性，然后确定每一个脆弱性对
度定义见表5。

3.4 风险计算在进行资产评估、威胁
评估和脆弱性评
估后，将采用适当的方法和工具确定威胁利
用脆弱性发生安全事件的可能性，并结合安
全事件所作用的资产重要性判断安全事件发
生后的影响，即安全风险。

计算风险值就是
要综合考虑资产赋值、威胁赋值和脆弱性赋
值等因素，进行定性和定量的分析后得到最
后的风险值。

R=F(A，T，V)=F(I ，G(T，V )) (1)
a a
公式1 中R表示风险，A 表示资产，T 表
示威胁，V 表示脆弱性。

进一步引申为I 表
a
示资产在信息系统中的重要程度，V 表示资
a 产自身
的脆弱性，G 表示威胁利用脆弱性导致安
全事件发生的可能性大小。

在计算安全事件发生的可能性时要考虑
以下因素：资产的吸引力、资产转化为直接
利益的难易程度、攻击者的技术能力、脆弱
性(包括已有的安全措施)被利用的难易程度
等。

具体表示为：安全事件发生的可能性=G
(威胁出现的频率，脆弱性严重程度)=G(T，
V )。

计算最后的风险值表示为：风险值=F
a
图 1 风险评估流程
本 栏 目 协 办
等级设定风险值范围，并对所有风险计算结果进行等级处理， 从以上几个步骤来看，风险评估的实
每个等级代表了相应风险的严重程度。

的分析阶段是信息安全风险评估流程中两个
风险量化分析的目的是为风险管理过程中对不同风险的
几项关键技术都包含于这两个阶段中，其实
直观比较，以确
定安全策略。

应当综合考虑风险控制成本与 和可操作性将直接影响风险评估的结果。

准
风险造成的影响，提出一个可接受的风险范围。

对某些资产 规程能够真实地反映出信息系统的风险值，的风险，如果风险计算值在可接受的范围内，则该风险是可
实际的风险控制策略。

接受的风险，应保持已有的安全措施；如果风险评估值在可
5 结束语
接受的范围外，即风险计算值高于可接受范围的上限值，是
不可接受的风险，需要采取安全措施以降低、控制风险。

目前在国内，信息安全风险评估的理论
善，没有一个统一的执行标准。

评估者大多
4 风险评估的流程
文章第三部分详细描述了风险评估中所涉及的几项关键
和范例开展风险评估工作，因此迫切需要提
准和切实可行的操作规程。

在信息安全风险技术及实现方法，是决定风险评估结果的直接因素，将对风 阶段走向理论化和规范化的过程中，其具体
险管理产生重要影响。

下面重点讲述如何利用这几项关键技
不断完善。

本文从实践的角度出发，在深入研究
术来完成一个信息安全风险评估的流程。

从图1可以看到，信
息安全风险评估分为以下几个阶段： 理和风险评估理论的基础上，完善了风险评
并发展了风险评估的操作规程，形成了一套评估技术和方法。

参考文献
[1] ISO/ICE 17799-2000(E)，Infor
ogy Code of practice for information s ec [S ].
[2] B S7799-2：2002，信息安全管理体
[3] 科飞管理咨询公司. 信息安全风险中国标准出版社，2005.1.
[4] 范红，等. 信息安全风险评估方法 清华大学出版社，2006.5.
单。