一文讲透信息安全风险评估

1.什么是风险评估？

      风险评估就是从管理的角度出发，运用科学的方法和手段，系统的识别出来业务系统的威胁、脆弱性和已有的安全技术措施，通过科学的计算方式计算出威胁和脆弱性发生后对业务系统本身造成的价值损失和危害。

2.风险评估的目的是什么？

       风险评估的目的是系统的识别业务的安全风险，通过识别到的风险合理的确定安全需求，保证业务系统的保密性、完整性和可用性，同时也是为了满足相关法律法规的要求。

3.风险评估的关键要素有有哪些？

        风险评估的关键要素主要是资产、威胁、脆弱性和已有的风险应对措施。

        资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。

        威胁：对系统或组织造成不良后果的不希望事故潜在起因。

        脆弱性：可能被威胁所利用的资产或若干资产的脆弱环节。

        风险应对措施：应对已知风险所采取的安全措施和方法。

3.1资产识别

识别方式：调研、访谈

识别工具：资产调研表、问卷、访谈、资产扫描

图1   资产调研表

识别的内容：对信息系统进行资产收集，通过相关标准合理的对信息系统的C/I/A的属性进行赋值，计算出资产的重要程度和相对应的等级。

注释：Confidentiality（C）保密性   Integrity(I) 完整性   Availability(A) 可用性

3.1.1资产重要性等级

      资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据自身的特点，选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。

等级	标识	描述
5	较高	非常重要，其安全属性破坏后可能对组织造成非常严重的损失
4	高	重要，其安全属性破坏后可能对组织造成比较严重的损失
3	中等	比较重要，其安全属性破坏后可能对组织造成中等程度的损失
2	低	不太重要，其安全属性破坏后可能对组织造成较低的损失
1	很低	不重要，其安全属性破坏后对组织造成很小的损失，甚至忽略不计

图2   资产等级及含义描述

3.1.2 保密性赋值

      根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。

赋值	标识	定义
5	很高	包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害
4	高	包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害
3	中等	组织的一般性秘密，其泄露会使组织的安全和利益受到损害
2	低	仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害
1	很低	可对社会公开的信息，公用的信息处理设备和系统资源等

图3  资产保密性赋值表

3.1.3完整性赋值

        根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响 。

赋值	标识	定义
5	很高	完整性价值非常关键，未经授权的修改或破坏后对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补
4	高	完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补
3	中等	完整性价值中等，未经授权的修改或破坏后会对组织造成影响，对业务冲击明显，但可以弥补
2	低	完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补
1	很低	完整性价值非常很低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略

图4  资产完整性赋值表

3.1.4可用性赋值

        根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。

赋值	标识	定义
5	很高	可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断
4	高	可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10min
3	中等	可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min
2	低	可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min
1	很低	可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%

图5  资产可用性赋值表

3.1.5资产识别结果表

    在充分了解资产的属性后，计算出资产的等级。

资产组	资产编号	资产类型	可用性	机密性	完整性	资产值	资产等级	说明
数据	001	数据库	3	2	1
业务	002	业务系统	3	3	2
业务	003	服务器	4	2	4
业务	004	应用	4	4	3

图6  资产识别的结果图

3.2威胁识别

3.2.1威胁识别的内容及方式

      造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害;也可能是偶发的或蓄意的事件。

识别方式：调研访谈 

识别工具：调研表、设备/工具

识别内容：对目标系统进行调研和访谈，结合系统本身的脆弱性，综合分析系统面临的威胁及其等级。

图7  威胁来源列表

图8  威胁的分类表

3.2.1威胁赋值

判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和(或)有关的统计数据来进行判

断。在评估中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率:

a) 以往安全事件报告中出现过的威胁及其频率的统计;

b) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;

c) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁

预 警 。

可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越

大，威胁出现的频率越高。

图9  威胁赋值表

3.2.2威胁识别的结果表

      分析资产面临的威胁，计算出资产的威胁的等级。

图10   威胁识别的结果图

3.3脆弱性识别

3.3.1脆弱性识别的内容及方式

       脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。即威胁总是要利用资产的脆弱性才可能造成危害。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、 应用流程的完备与否、与其他网络的互联等也应考虑在内。 脆弱性识别时的数据应来 自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。 对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如，对物理环 境的脆弱性识别应按 GB/T9361中的技术指标实施;对操作系统、数据库应按GB17859一1999中的技 术指标实施;对网络、系统、应用等信息技术安全性的脆弱性识别应按 GB/T18336一2001中的技术指 标实施;对管理脆弱性识别方面应按 GB/T19716一2005的要求对安全管理制度及其执行情况进行检 查，发现管理脆弱性和不足。

分类	识别对象	识别内容	识别方式
技术脆弱性	物理	从场地、防火、防静电、防雷、电磁防护、供配电、通信线路的保护、机房区域的防护、机房设备管理等方面进行识别。	1）漏洞扫描 2）配置核查 3）渗透测试 4）代码审计 5）APP测试 6）现场勘察 7）资料查阅 8）人员访谈 9）专家分析
	网络	从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。
	系统	从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、系统配置、系统管理等方面进行识别。
	中间件	从协议安全、交易完整性、数据完整性等方面进行识别。
	应用系统	从审计机制、审计存储、访问控制策略、数据完整性、通信鉴别机制、密码保护等方面进行识别。
管理脆弱性	组织管理	从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别。	1）人员访谈 2）资料查阅 3）专家分析
	技术管理	从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别。

图11 脆弱性识别内容及方式表

3.3.2脆弱性赋值表

       可以根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等，采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方面的问题，或可能造成相似的后果，赋值时应综合考虑这些脆弱性，以确定这一方面脆弱性的严重程度。对某个资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此，资产的脆弱性赋值还 应参考技术管理和组织管理脆弱性的严重程度。脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。

图12  脆弱性严重程度赋值表

3.3.3脆弱性识别结果表

分类	识别对象	识别内容	赋值	说明
技术脆弱性	物理	从场地、防火、防静电、防雷、电磁防护、供配电、通信线路的保护、机房区域的防护、机房设备管理等方面进行识别。
	网络	从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。
	系统	从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、系统配置、系统管理等方面进行识别。
	中间件	从协议安全、交易完整性、数据完整性等方面进行识别。
	应用系统	从审计机制、审计存储、访问控制策略、数据完整性、通信鉴别机制、密码保护等方面进行识别。
管理脆弱性	组织管理	从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别。
	技术管理	从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别。

图13   脆弱性识别结果表

3.4已有安全措施的确认

      在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正，或用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如人侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。已有安全措施确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少系统技术或管理上的脆弱性，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是一类具体措施的集合，为风险处理计划的制定提供依据和参考。

4.风险评估的计算公式怎么理解？

4.1风险计算

      在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。本标准给出了风险计算原理，以下面的范式形式化加以说明:

风险值=R(A，T，V)=R(L(T，V)，F(Ia，Va))。

其中，R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。有以下三个关键计算环节:

a) 计算安全事件发生的可能性

根据威胁出现频率及脆弱性的状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：

安全事件的可能性=L(威胁出现频率，脆弱性)=L(T，V)。

在具体评估中，应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性 。

b) 计算安全事件发生后造成的损失

根据资产价值及脆弱性严重程度，计算安全事件一旦发生后造成的损失，即:

安全事件造成的损失=F(资产价值，脆弱性严重程度)=F(Ia，Va)。

部分安全事件的发生造成的损失不仅仅是针对该资产本身，还可能影响业务的连续性;不同安全事件的发生对组织的影响也是不一样的。在计算某个安全事件的损失时，应将对组织的影响也考虑在内。

部分安全事件造成的损失的判断还应参照安全事件发生可能性的结果，对发生可能性极小的 安全事件(如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等)可以不计算其损失。

c) 计算风险值

根据计算出的安全事件的可能性以及安全事件造成的损失，计算风险值，即:

风险值=R(安全事件的可能性，安全事件造成的损失)=R(F(T，V)，F(Ia，Va))。

4.2风险的等级判定

      为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理 可将风险划分为五级，等级越高，风险越高。

       评估者应根据所采用的风险计算方法，计算每种资产面临的风险值，根据风险值的分布状况，为每个等级设定风险值范围，并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。

图14风险等级划分表

4.3风险分析的原理图

风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。

风险分析的主要内容为:

a) 对资产进行识别，并对资产的价值进行赋值;

b) 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值;

c) 对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值;

d) 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;

e) 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;

f) 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影

响，即风险值。

图15  风险分析原理示意图

5.风险评估的实施流程是什么？

图16  风险评估流程图

6.资产的风险计算？

      在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，根据风险计算公式计算出资产的安全风险，输出相应资产的风险分布图。

风险值=R(A、V、T)

资产风险分布图
安全层面	系统1	系统2	系统3	系统4	系统5	系统6	系统7	系统8
物理安全
网络安全
安全管理
系统维护
漏洞管理
应用管理
中间件管理
数据库管理
风险合计

图17  资产风险分布示意图

7.风险处置计划

     对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑。安全措施的选择与实施应参照信息安全的相关标准进行，同时也要做好残余风险的评估与处理。

图18   风险处置计划示意图