一、引言

信息化技術的廣泛應用，在提高科研、生產(chǎn)效率和質量的同時，也極大地增加了信息安全風險。目前解決信息安全問題普遍采用的方法是風險評估，從風險管理的角度，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生時可能造成的危害程度，并提出有針對性的防護對策和整改措施，將風險控制在可接受的水平，最大程度地保障信息安全。

信息安全風險評估分為自評估和檢查評估兩種形式。風險自評估是建立信息安全體系的基礎和前提，目前風險自評估沒有統(tǒng)一的標準和方法，如何組織風險自評估是困擾評估單位的難題，也是本文的主要討論內容。

二、信息安全風險評估理論和方法

（一）風險管理過程

背景建立、風險評估、風險處理和批準監(jiān)督是信息安全風險管理的4個基本步驟。

背景建立階段：確定風險管理的對象和范圍，進行相關信息的調查分析，準備風險管理的實施。

風險評估階段：根據(jù)風險管理的范圍識別資產(chǎn)，分析信息系統(tǒng)所面臨的威脅以及資產(chǎn)的脆弱性，結合采用的安全控制措施，在技術和管理兩個層面對信息系統(tǒng)所面臨的風險進行綜合判斷，并對風險評估結果進行等級化處理。

風險處理階段：綜合考慮風險控制的成本和風險造成的影響，從技術、組織和管理層面分析信息系統(tǒng)的安全需求，提出實際可行的安全措施。明確信息系統(tǒng)可接受的殘余風險，采取接受、降低、規(guī)避或轉移等控制措施。

批準監(jiān)督階段：包括批準和持續(xù)監(jiān)督兩部分。依據(jù)風險評估的結果和處理措施能否滿足信息系統(tǒng)的安全要求，決策層決定是否認可風險管理活動。監(jiān)控人員對機構、信息系統(tǒng)、信息安全相關環(huán)境的變化進行持續(xù)監(jiān)督，在可能引入新的安全風險并影響到安全保障級別時，啟動新一輪的風險評估和風險處理。

監(jiān)控審查和溝通咨詢貫穿于上述4個基本步驟，跟蹤系統(tǒng)和信息安全需求的變化，對風險管理活動的過程和成本進行有效控制。

（二）風險分析原理

風險值=R（A,T,V）R表示安全風險計算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性。資產(chǎn)、威脅和脆弱性是風險的3個因素，是風險分析的基礎。根據(jù)風險分析原理，首先應進行資產(chǎn)、威脅和脆弱性識別，分析得出資產(chǎn)價值、威脅出現(xiàn)的頻率和脆弱性的嚴重程度，然后分析計算安全事件的可能性和損失程度，得出風險值。

（三）風險因素識別

資產(chǎn)在表現(xiàn)形式上可分為數(shù)據(jù)、軟件、硬件、服務、人員等類型。根據(jù)風險評估的范圍識別出關鍵資產(chǎn)與一般資產(chǎn)，形成需要保護的資產(chǎn)清單。根據(jù)資產(chǎn)在保密性、完整性和可用性3個方面的安全屬性，結合評估單位業(yè)務戰(zhàn)略對資產(chǎn)的依賴程度等因素，對資產(chǎn)價值進行評估。威脅具有多種類型，如：軟硬件故障、物理環(huán)境影響、管理問題、惡意代碼、網(wǎng)絡攻擊、物理攻擊、泄密、篡改等。有多種因素會影響威脅發(fā)生的可能性，如：攻擊者的技術能力、威脅行為動機、資產(chǎn)吸引力、受懲罰風險等。在威脅識別階段，評估者依據(jù)經(jīng)驗和相關統(tǒng)計數(shù)據(jù)對威脅進行識別，并判斷其出現(xiàn)的頻率。

脆弱性的識別可以以資產(chǎn)為核心，針對資產(chǎn)識別可能被威脅利用的弱點進行識別，也可以從物理、網(wǎng)絡、系統(tǒng)、應用、制度等層次進行識別，然后與資產(chǎn)、威脅對應起來。在此過程中應對已采取的安全措施進行評估，確認其是否有效抵御了威脅、降低了系統(tǒng)的脆弱性，以此作為風險處理計劃的依據(jù)和參考。

（四）風險評估方法

風險評估方法概括起來可分為定量、定性、以及定性與定量相結合的評估方法。

定量評估法基于數(shù)量指標對風險進行評估，依據(jù)專業(yè)的數(shù)學算法進行計算、分析，得出定量的結論數(shù)據(jù)。典型的定量分析法有因子分析法、時序模型、等風險圖法、決策樹法等。有些情況下定量法的分析數(shù)據(jù)會存在不可靠和不準確的問題：一些類型的風險因素不存在頻率數(shù)據(jù)，概率很難精確。在這種情況下單憑定量法不能準確反映系統(tǒng)的安全需求。

定性評估法主要依據(jù)評估者的知識、經(jīng)驗、政策走向等非量化資料對系統(tǒng)風險做出判斷，重點關注安全事件所帶來的損失，而忽略其發(fā)生的概率。定性法在評估時使用"高""中""低"等程度值，而非具體的數(shù)值。典型的定性分析法有因素分析法、邏輯分析法、歷史比較法、德爾菲法等。定性分析法可以挖掘出一些蘊藏很深的思想，使評估結論更全面、深刻，但其主觀性很強，對評估者本身的要求較高。

定量與定性的風險評估法各有優(yōu)缺點，在具體評估時可將二者有機結合、取長補短，采用綜合的評估方法以提高適用性。

三、信息系統(tǒng)安全風險管理

（一）信息系統(tǒng)全生命周期風險管理

信息系統(tǒng)的生命周期包括系統(tǒng)規(guī)劃、方案設計、建設實施、運行維護、系統(tǒng)廢止等階段。信息系統(tǒng)生命周期各階段涉及的風險評估原則和方法是一致的，但由于各階段的特點和安全需求不同，風險評估具體實施的側重點也有所不同。

在系統(tǒng)規(guī)劃階段，風險評估主要是識別系統(tǒng)的業(yè)務戰(zhàn)略，在保證業(yè)務需求的前提下，梳理安全隱患，明確系統(tǒng)的安全需求及安全戰(zhàn)略。評估結果應體現(xiàn)在信息系統(tǒng)整體規(guī)劃或項目建議書中。

在方案設計階段，風險評估主要是確定系統(tǒng)建設應達到的安全目標。此階段的風險評估可以以安全建設方案評審的方式進行，判定設計方案所提供的安全功能是否符合相關標準。

在建設實施階段，應將規(guī)劃設計階段的安全風險進一步細化，并評估安全措施的實現(xiàn)程度，另外，應對系統(tǒng)的實施過程進行風險識別。

在運行維護階段，風險評估主要是識別、控制系統(tǒng)運行過程中的安全風險，是一種較為全面的風險評估。通過動態(tài)識別不斷變化的系統(tǒng)所面臨的安全風險，保證安全措施的有效性、確保安全目標的實現(xiàn)。

在系統(tǒng)廢止階段，主要是對報廢資產(chǎn)的影響，以及可能帶來的新威脅進行分析評估。此階段應重點關注報廢資產(chǎn)的處理過程及其去向，確保整個執(zhí)行過程均處于有效的監(jiān)督下，并對相關執(zhí)行人員進行安全教育。

（二）信息系統(tǒng)安全風險評估方法

信息系統(tǒng)運行使用過程中，信息安全風險評估通常重點關注安全事件所帶來的損失以及如何采取風險控制措施，而弱化事件發(fā)生的數(shù)量指標。基于以上特點，本文提出一種基于脆弱性識別的風險評估方法，將對脆弱性的識別、評價作為風險評估工作的重點，有效簡化了風險分析模型。

1.風險評估組織

組建包括決策人員、管理人員、執(zhí)行人員、監(jiān)控人員、使用人員、支持人員等角色的風險管理團隊，明確相關角色人員在風險管理中的任務和職責。決策人員負責風險管理的重大決策、總體規(guī)劃和批準監(jiān)督；管理人員負責風險管理過程中的管理、組織和協(xié)調；執(zhí)行人員負責風險評估的具體規(guī)劃、設計和實施；監(jiān)控人員負責信息安全風險管理過程、成本和結果的監(jiān)視和控制；使用人員反饋信息安全風險管理的效果；支持人員為信息安全風險管理提供專業(yè)技術支持。制定詳細的風險評估計劃，依據(jù)系統(tǒng)的業(yè)務戰(zhàn)略、技術架構、安全防護體系，明確風險評估需求，確定風險評估的對象范圍、風險評估方法、時間節(jié)點等要素，并得到?jīng)Q策層的支持和批準。

2.風險要素識別

在進行資產(chǎn)識別時，由于資產(chǎn)的價值由保密性、完整性和可用性3個方面的安全屬性決定，賦值很難準確，建議資產(chǎn)識別主要以對資產(chǎn)對象的識別為主，不對資產(chǎn)價值做精確計算。

脆弱性不會產(chǎn)生安全事件，只有威脅作用于脆弱性時才會導致安全事件的產(chǎn)生。國家明確規(guī)定了信息系統(tǒng)安全防護的標準和要求，以應對安全事件，對標準的符合性核查即為風險識別的過程。在進行風險分析評估時，以脆弱性檢查作為安全風險評估的主要依據(jù)，以威脅出現(xiàn)的頻率作為參考，將信息系統(tǒng)面臨的威脅整體考慮，不對脆弱性對應的具體威脅進行識別。

3.風險分析判斷

將資產(chǎn)、威脅的等級分為高、低兩個級別，脆弱性等級分為高、中、低3個級別。對資產(chǎn)、威脅、脆弱性的分析判斷采用德爾菲法：通過背對背群體決策咨詢的方式征詢專家小組成員的意見，經(jīng)過幾輪征詢使決策意見趨于集中。專家小組由管理人員、執(zhí)行人員、監(jiān)控人員、使用人員、支持人員等不同層級組成，以提高決策意見的準確性。德爾菲法在分析安全風險時需經(jīng)過幾輪群體決策咨詢，才能使結論趨于集中。在實際操作中，可結合綜合討論的形式，加快分析速度，以快速做出決策。基于風險因素的分析結果，再采用新一輪的德爾菲法，或以構建風險分析矩陣的方式，最終確定安全風險等級。

在風險評估時，可以使用信息安全風險評估與控制類工具軟件，完成對資產(chǎn)的管理、風險的分析與評估。

（三）持續(xù)改進建議

為了改進評估單位的安全狀態(tài)、實現(xiàn)信息安全目標，根據(jù)風險評估的結果，必須提出實際可行的改進建議。綜合考慮風險控制成本和風險造成的影響，依據(jù)安全需求，明確信息系統(tǒng)可接受的殘留風險，對風險采取接受、降低、規(guī)避或轉移等控制措施。在進行持續(xù)改進時，建議結合以下幾點進行考慮。

1.通過信息安全風險評估推動信息安全架構的建立和完善，建立架構能力框架和核心業(yè)務流程。通過規(guī)范的策略、制度、操作規(guī)程實現(xiàn)IT服務和安全管理，同時保證業(yè)務的連續(xù)性。建立基于信息安全架構的風險管理方法，持續(xù)有效地發(fā)現(xiàn)、控制信息安全風險，實現(xiàn)對信息安全的長效監(jiān)控、管理。

2.根據(jù)發(fā)現(xiàn)的信息安全風險，編寫或修訂安全保密策略，完善管理制度。通過策略描述實現(xiàn)安全目標的高層計劃。通過制度規(guī)定詳細、具體的執(zhí)行程序，明確責任部門和責任人，將風險防控措施固化，以提供持續(xù)的信息安全保障。

3.通過內部控制機制強化日常監(jiān)督，結合保密檢查、獎懲機制、績效考核等手段，對風險控制措施進行強化落實。對保密檢查中重復發(fā)現(xiàn)的問題，核實策略和制度的合理性和有效性，并進行完善和修訂，實現(xiàn)預防式管理。

四、結語

由于信息系統(tǒng)及其所在環(huán)境不斷變化，信息安全風險和安全需求也會不斷變化，信息安全風險評估是一個復雜、動態(tài)、循環(huán)的過程，通過動態(tài)的風險評估體系、動態(tài)的安全策略制定、動態(tài)的安全防護、實時的監(jiān)控系統(tǒng)以及健全的安全管理體系，實現(xiàn)完整、動態(tài)的安全循環(huán)。

風險評估主要是為信息安全提供一個方向，不管采取的評估方法多詳細、多專業(yè)，也只是描述信息安全風險狀態(tài)，而不會改進評估單位的安全狀態(tài)。只有切實利用風險評估結果強力推進改進活動，實現(xiàn)有效的風險管理，并保持其持續(xù)性，才能改善安全狀態(tài)，進而保障系統(tǒng)安全。

 

（原載于《保密科學技術》雜志2017年10月刊）