第8章信息安全风险评估解读

5
我国在2004年3月启动了信息安全风险评估指南和风险 管理指南等标准的编制工作，2005年完成了《信息安全评 估指南》和《信息安全管理指南》的征求意见稿，2006年 完成了《信息安全评估指南》送审稿，并分别于2007年和 2009年通过了国家标准化管理委员会的审查批准成为国家 标准，即GB/T 20984—2007《信息安全风险评估规范》和 GB/Z 24364—2009《信息安全风险管理指南》。
6
8.1.1 信息安全风险评估的目标和原则
信息安全风险评估的目标是： (1) 了解信息系统的体系结构和管理水平，以及可能存 在的安全隐患。 (2) 了解信息系统所提供的服务及可能存在的安全问题。 (3) 了解其他应用系统与此信息系统的接口及其相应的 安全问题。 (4) 网络攻击和电子欺骗的模拟检测及预防。
1
第8章 信息安全风险评估
8.1 概述 8.2 信息安全风险评估的基本要素 8.3 信息安全风险评估过程 8.4 信息安全风险要素计算方法 8.5 信息安全风险评估方法 8.6 风险评估工具 本章小结
2
8.1 概 述
一个完整的信息安全体系和安全解决方案是根据信息 系统的体系结构和系统安全形势的具体情况来确定的，没 有一个通用的信息安全解决方案。信息安全关心的是保护 信息资产免受威胁。绝对的安全是不可能的，只能通过一 定的措施把风险降低到一个可接受的程度。
7
(5) 找出目前的安全控制措施与安全需求的差距，并为 其改进提供参考。
信息安全风险评估的原则有： (1) 可控性原则。 包括人员可控(资格审查备案与工作确认)、工具可控 (风险评估工具的选择，以及对相关方的知会)、项目过程 可控(重视项目的管理沟Leabharlann Baidu，运用项目管理科学方法)。 (2) 可靠性原则。 要求风险评估要参考有关的信息安全标准和规定，例 如GB/T 20984—2007《信息安全风险评估规范》等，做到 有据可查。
9
(6) 保密原则。 受委托的评估方要对评估过程进行保密，应与委托的 被评估方签署相关的保密和非侵害性协议，未经允许不得 将数据泄露给任何其他组织和个人。
10
8.1.2 实施信息安全风险评估的好处
(1) 风险评估是建立信息安全风险管理策略的基础。如 果一个管理者不进行风险评估就选择了一种安全防护措施 (设备或方法)，也许或造成浪费或已实施的安全防护无法 直接减少确定存在的风险。
8
(3) 完整性原则。 严格按照委托单位的评估要求和指定的范围进行全面 的信息安全风险评估服务。 (4) 最小影响原则。 风险评估工作不能妨碍组织的正常业务活动，应从系 统相关的管理和技术层面，力求将风险评估过程的影响降 到最小。 (5) 时间与成本有效原则。 风险评估过程花费的时间和成本应该具有合理性。
15
表8-1 信息系统中的资产分类
分类 软件
硬件
服务
流程 数据 文档 人员 其他
说明 系统软件：操作系统、语言包、开发系统、各种库/类等 应用软件：办公软件、数据库软件、工具软件等 源程序：各种共享源代码、可执行程序、开发的各种代码等 系统和外围设备：包括各种计算机设备、网络设备、存储设备、传输及保障设备等 安全设备：防火墙、IDS、指纹识别系统等 其他技术设备：打印机、复印机、扫描仪、供电设备、空调设备等 信息服务：对外依赖该系统开展服务而取得业务收入的服务 网络通信服务：各种网络设备、设施提供的网络连接服务 办公服务：各种 MIS 系统提供的为提高工作效率的服务 其他技术服务：照明、电力、空调、供热等 包括 IT 和业务标准流程、IT 和业务敏感流程，其中敏感流程具有给组织带来攻击或 引入风险的潜在可能，如电信公司在新开通线路时可能会引入特殊风险 在传输、处理和存储状态的各种信息资料，包括源代码、数据库数据、系统文档、运 行管理规程、计划、报告、用户手册、各类纸质上的信息等 纸质的各种文件、传真、财务报告、发展计划、合同等 除了掌握重要信息和核心业务的人员之外，如主机维护主管、网络维护主管、应用项 目经理、网络研发人员等，还包括其他可以访问信息资产的组织外用户 企业形象与声誉、客户关系等
资产能够以多种形式存在，包括有形的或无形的、硬 件或软件、文档或代码，以及服务或形象等诸多表现形式。
在信息安全体系范围内为资产编制清单是一项重要工 作，每项资产都应该清晰地定义、合理地估价，并明确资 产所有权关系，进行安全分类，记录在案。根据资产的表 现形式，可将资产分为软件、硬件、服务、流程、数据、 文档、人员等，如表8-1所示。
12
8.2 信息安全风险评估的基本要素
从信息安全的角度来讲，风险评估是对信息资产所面 临的威胁、存在的弱点、造成的影响，以及三者的综合作 用在当前安全措施控制下所带来与安全需求不符合的风险 可能性评估。作为风险管理的基础，风险评估是组织进一 步确定信息安全需求和改进信息安全策略的重要途径，属 于组织信息安全管理体系策划的过程。
13
信息系统是信息安全风险评估的对象，信息系统中的 资产、信息系统面临的可能威胁、系统中存在的脆弱性、 安全风险、安全风险对业务的影响，以及系统中已有的安 全控制措施和系统的安全需求等构成了信息安全风险评估 的基本要素。
14
8.2.1 风险评估的相关要素 1. 资产
资产(Asset)是指对组织具有价值的信息或资源，是安 全策略保护的对象。
4
随着信息技术的快速发展，关系国计民生关键信息的 基础设施规模和信息系统的复杂程度越来越大。近年来， 各个国家越来越重视以风险评估为核心的信息安全评估工 作，提倡信息安全风险评估的制度与规范化，通过出台一 系列相关的法律、法规和标准等来保障建立完整的信息安 全管理体系。例如美国的SP 800系列、英国的BS 7799《信 息安全管理指南》、德国联邦信息安全办公室(BSI)《IT基 线保护手册》、日本的ISMS《安全管理系统评估制度》等。
(2) 风险评估有利于在员工范围内建立信息安全风险意 识，提高工作人员对安全问题的认识和兴趣，以及他们对 信息安全问题的重视程度。
11
(3) 风险评估能使系统的管理者明确他们的信息系统资 源所存在的弱点，让管理者对系统资源和系统的运行状况 有更进一步的了解。
(4) 风险评估在信息系统的设计阶段最为有用，可以确 认潜在损失，并从一开始就明确安全需求，这远比在信息 系统运行之后更换相关控制节省成本得多。
3
因此，信息系统的安全风险评估是指用于了解信息系 统的安全状况，估计威胁发生的可能性，计算由于系统易 受到攻击的脆弱性而引起的潜在损失。作为风险管理的基 础，风险评估是组织确定信息安全需求的一个重要途径， 其最终目的是帮助选择安全防护措施，将风险降低到可接 受的程度，提高信息安全保障能力。这个过程是信息安全 管理体系的核心环节，是信息安全保障体系建设过程中的 重要评价方法和决策机制。