7.4 信息安全风险评估
您可以在百度里搜索“网络安全法和网络安全等级保护2 艾草文学(www.321553.xyz)”查找最新章节!
7.4 信息安全风险评估
7.4.1 法规依据
1.中华人民共和国网络安全法
2017年6月1日实施的《中华人民共和国网络安全法》将开展风险评估作为网络运营者的职责写入到法律。
第二十九条 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
2.关于加强国家电子政务工程建设项目信息安全风险评估工作的通知
国家发改委、公安部、国家保密局联合下发《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号),在文件中明确规定如下内容:
① 国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目,应开展信息安全风险评估工作。
② 电子政务项目信息安全风险评估的主要内容包括:分析信息系统资产的重要程度,评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等。
③ 电子政务项目信息安全风险评估工作按照涉及国家秘密的信息系统(以下简称涉密信息系统)和非涉密信息系统两部分组织开展。
④ 涉密信息系统的信息安全风险评估应按照《涉及国家秘密的信息系统分级保护管理办法》、《涉及国家秘密的信息系统审批管理规定》、《涉及国家秘密的信息系统分级保护测评指南》等国家有关保密规定和标准,进行系统测评并履行审批手续。
⑤ 非涉密信息系统的信息安全风险评估应按照《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求,可委托同一专业测评机构完成等级测评和风险评估工作,并形成等级测评报告和风险评估报告。等级测评报告参照公安部门制订的格式编制,风险评估报告参考《国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式》编制。
⑥ 电子政务项目涉密信息系统的信息安全风险评估,由国家保密局涉密信息系统安全保密测评中心承担。非涉密信息系统的信息安全风险评估,由国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担。
⑦ 项目建设单位应在项目建设任务完成后试运行期间,组织开展该项目的信息安全风险评估工作,并形成相关文档,该文档应作为项目验收的重要内容。
⑧ 项目建设单位向审批部门提出项目竣工验收申请时,应提交该项目信息安全风险评估相关文档。主要包括:《涉及国家秘密的信息系统使用许可证》和《涉及国家秘密的信息系统检测评估报告》,非涉密信息系统安全保护等级备案证明,以及相应的安全等级测评报告和信息安全风险评估报告等。
⑨ 电子政务项目信息安全风险评估经费计入该项目总投资。
⑩ 电子政务项目投入运行后,项目建设单位应定期开展信息安全风险评估,检验信息系统对安全环境变化的适应性及安全措施的有效性,保障信息系统的安全可靠。
⑪ 中央和地方共建电子政务项目中的地方建设部分信息安全风险评估工作参照本通知执行。
3.网络安全等级保护
在网络安全等级保护测评报告第 6 部分系统安全保障评估和安全问题风险评估中都涉及风险评估。安全问题风险评估是指依据信息安全标准规范,采用风险分析的方法进行危害分析和风险等级判定,即:开展等级保护时,要将风险评估作为等级保护测评的一部分。
4.关键信息基础设施安全保护条例(征求意见稿)
在保护条例第四十一条规定:有关部门组织开展关键信息基础设施安全检测评估,应坚持客观公正、高效透明的原则,采取科学的检测评估方法,规范检测评估流程,控制检测评估风险。运营者应当对有关部门依法实施的检测评估予以配合,对检测评估发现的问题及时进行整改。
同时第四十二条要求,有关部门组织开展关键信息基础设施安全检测评估,可采取下列措施:
(一)要求运营者相关人员就检测评估事项作出说明;
(二)查阅、调取、复制与安全保护有关的文档、记录;
(三)查看网络安全管理制度制订、落实情况以及网络安全技术措施规划、建设、运行情况;
(四)利用检测工具或委托网络安全服务机构进行技术检测;
(五)经运营者同意的其他必要方式。
7.4.2 信息安全风险评估基本内容
1.评估原则
(1)标准性原则
信息系统的安全风险评估,应按照GB/T20984—2007中规定的评估流程进行实施,包括各阶段性的评估工作。
(2)关键业务原则
信息安全风险评估应以被评估组织的关键业务作为评估工作的核心,把涉及这些业务的相关网络与系统包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。
(3)可控性原则
① 服务可控性。评估方应事先在评估工作沟通会议中向用户介绍评估服务流程,明确需要得到被评估组织协作的工作内容,确保安全评估服务工作的顺利进行。
② 人员与信息可控性。所有参与评估的人员应签署保密协议,以保证项目信息的安全;应对工作过程数据和结果数据严格管理,未经授权不得泄露给任何单位和个人。
③ 过程可控性。应按照项目管理要求,成立项目实施团队,项目组长负责制,达到项目过程的可控。
④ 工具可控性。安全评估人员所使用的评估工具应该事先通告用户,并在项目实施前获得用户的许可,包括产品本身、测试策略等。
(4)最小影响原则
对于在线业务系统的风险评估,应采用最小影响原则,即首要保障业务系统的稳定运行,对于需要进行攻击性测试的工作内容,需与用户沟通并进行应急备份,同时选择避开业务的高峰时间进行。
2.基本流程
GB/T20984—2007规定了风险评估的实施流程,根据流程中的各项工作内容,一般将风险评估实施划分为评估准备、风险要素识别、风险分析与风险处置4个阶段。其中,评估准备阶段工作是对评估实施有效性的保证,是评估工作的开始;风险要素识别阶段工作主要是对评估活动中的各类关键要素资产、威胁、脆弱性、安全措施进行识别与赋值;风险分析阶段工作主要是对识别阶段中获得的各类信息进行关联分析,并计算风险值;风险处置建议工作主要针对评估出的风险,提出相应的处置建议,以及按照处置建议实施安全加固后进行残余风险处置等内容。
3.风险评估的工作形式
GB/T20984—2007明确了风险评估的基本工作形式是自评估与检查评估。
自评估是信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估,可由发起方实施或委托信息安全服务组织支持实施。实施自评估的组织可根据组织自身的实际需求进行评估目标的设立,采用完整或剪裁的评估活动。
检查评估是信息系统上级管理部门或国家有关职能部门依法开展的风险评估,检查评估也可委托信息安全服务组织支持实施。检查评估除可对被检查组织的关键环节或重点内容实施抽样评估外,还可实施完整的风险评估。
信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。
4.信息系统生命周期内的风险评估
信息系统生命周期一般包括信息系统的规划、设计、实施、运维和废弃5个阶段,风险评估活动应贯穿于信息系统生命周期的上述各阶段中。
信息系统生命周期各阶段的风险评估由于各阶段的评估对象、安全需求不同,评估的目的一般也不同。规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等;设计阶段风险评估的目的是评估安全设计方案是否满足信息系统安全功能的需求;实施阶段的评估目的是对系统开发、实施过程进行风险识别,对建成后的系统安全功能进行验证;运行维护阶段的评估目的是了解和控制系统运行过程中的安全风险;废弃阶段的评估目的是对废弃资产对组织的影响进行分析。
此外,当信息系统的业务目标和需求或技术和管理环境发生变化时,需要再次进入上述5个阶段的风险评估,使得信息系统的安全适应自身和环境的变化。
7.4.3 风险评估准备阶段
风险评估准备是整个风险评估过程有效性的保证。由于风险评估受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响,因此,在风险评估实施前,应充分做好评估前的各项准备工作。信息安全风险评估涉及组织内部有关重要信息,被评估组织应慎重选择评估单位、评估人员的资质和资格,并遵从国家或行业相关管理要求。
在准备阶段需要做的工作内容如下:① 确定评估目标;② 确定评估范围;③ 组建评估团队;④ 评估工作启动会议;⑤ 系统调研;⑥ 确定评估依据和评估方法;⑦ 选择相应的评估工具;⑧ 制定评估方案
7.4.4 资产识别阶段
1.资产是风险评估的重要对象
资产是对组织具有价值的信息或资源,是安全策略保护的对象。在风险评估工作中,风险的重要因素都以资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身脆弱性,使得安全事件的发生成为可能,从而形成了安全风险。这些安全事件一旦发生,对具体资产甚至整个信息系统都将造成一定影响,从而对组织的利益造成影响。因此,资产是风险评估的重要对象。
不同价值的资产受到同等程度破坏时对组织造成的影响程度不同。资产价值是资产重要程度或敏感程度的表征。识别资产并评估资产价值是风险评估的一项重要内容。
在一个组织中,资产的存在形式多种多样,不同类别资产具有的资产价值、面临的威胁、拥有的脆弱性、可采取的安全措施都不同。对资产进行分类既有助于提高资产识别的效率,又有利于整体的风险评估。
在风险评估实施中,可按照《信息安全技术 信息安全风险评估规范》(GB/T20984—2007)中资产分类方法,把资产分为硬件、软件、数据、服务、人员以及其他六大类。
2.资产识别的一般步骤
为保证风险评估工作的进度要求和质量要求,有时不可能对所有资产做全面分析,应选取其中关键资产进行分析。
资产识别的一般步骤如下:① 根据评估目标和范围,确定风险评估对象中包含的信息系统;② 识别信息系统处理的业务功能,以及处理业务所需的业务流程,特别应识别出关键业务功能和关键业务流程;③ 根据业务特点和业务流程识别业务需要处理的数据和提供的服务,特别应识别出关键数据和关键服务;④ 识别处理数据和提供服务所需的系统单元和系统组件,特别应识别出关键系统单元和关键系统组件。
3.资产调查
资产调查是识别组织和信息系统中资产的重要途径。资产调查一方面应识别出有哪些资产,另一方面要识别出每项资产自身的关键属性。
业务是组织存在的必要前提,信息系统承载业务。信息系统的正常运行,保证业务的正常开展,关乎组织的利益。通过资产调查,应确定评估对象中包含哪些信息系统,每个信息系统处理哪些种类业务,每种业务包括哪些具体业务功能,以及相关业务处理的流程。分析并清楚理解各种业务功能和流程,有利于分析系统中的数据流向及其安全保证要求。
在信息系统中,业务处理表现为数据处理和服务提供,数据和服务都是组织的信息资产。在识别各种业务后应进行数据处理和服务的识别,确定各种数据和服务对组织的重要性,以及数据和服务的保密性、完整性、可用性、抗抵赖性等安全属性,从而确定哪些是关键资产。
信息系统依赖于数据和服务等信息资产。信息资产又依赖于支撑和保障信息系统运行的硬件和软件资源,即系统平台,包括物理环境、网络、主机和应用系统等,其基础设施如服务器、交换机、防火墙等被称为系统单元,在系统单元上运行的操作系统、数据库、应用软件等被称为系统组件。在数据和服务等信息资产识别的基础上,根据业务处理流程,可识别出支撑业务系统运行所需的系统平台,并且识别出这些软硬件资源在重要性、保密性、完整性、可用性、抗抵赖性等安全属性。
资产调查的方法包括阅读文档、访谈相关人员、查看相关资产等。一般情况下,可通过查阅信息系统需求说明书、可行性研究报告、设计方案、实施方案、安装手册、用户使用手册、测试报告、运行报告、安全策略文件、安全管理制度文件、操作流程文件、制度落实的记录文件、资产清单、网络拓扑图等,识别组织和信息系统的资产。
如文档记录信息之间存在互相矛盾,或存在不清楚的地方,以及文档记录信息与实际情况有出入,资产识别必须就关键资产和关键问题与被评估组织相关人员进行核实,并选择在组织和信息系统管理中担任不同角色的人员进行访谈,包括主管领导、业务人员、开发人员、实施人员、运维人员、监督管理人员等。通常情况下,经过阅读文档和现场访谈相关人员,基本可清晰识别组织和信息系统资产,对关键资产应进行现场实际查看。
4.资产赋值
在资产调查基础上,需分析资产的保密性、完整性和可用性等安全属性的等级,安全属性等级包括:很高、高、中等、低、很低五种级别,某种安全属性级别越高表示资产该安全属性越重要。保密性、完整性、可用性的五个赋值的含义可参考《信息安全技术 信息安全风险评估规范》(GB/T20984—2007)。
因资产保密性、完整性和可用性等安全属性的量化过程易带有主观性,可以参考如下因素,利用加权等方法综合得出资产保密性、完整性和可用性等安全属性的赋值等级:① 资产所承载信息系统的重要性;② 资产所承载信息系统的安全等级;③ 资产对所承载信息安全正常运行的重要程度;④ 资产保密性、完整性、可用性等安全属性对信息系统,以及相关业务的重要程度。
资产价值应依据资产保密性、完整性和可用性的赋值等级,经综合评定确定。资产价值等级包括:很高、高、中等、低、很低五种等级,每种等级含义可以参考《信息安全技术 信息安全风险评估规范》(GB/T20984—2007)。
综合评定的方法可根据信息系统所承载的业务对不同安全属性的依赖程度,选择资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级,对其赋值和加权,计算得到资产的最终赋值结果,加权方法可根据组织的业务特点确定。评估小组可根据资产赋值结果,确定关键资产范围,并围绕关键资产进行后续的风险评估工作。
7.4.5 威胁识别阶段
威胁是指可能导致危害系统或组织的不希望事故的潜在起因。威胁是一个客观存在的,无论对于多么安全的信息系统,它都存在。威胁的存在,组织和信息系统才会存在风险。因此,风险评估工作中需全面、准确地了解组织和信息系统所面临的各种威胁。
1.威胁分类
按照《信息安全技术 信息安全风险评估规范》(GB/T20984—2007)威胁分类方法,可威胁分为软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖11类。
2.威胁调查
威胁是客观存在的,任何一个组织和信息系统都面临威胁。但在不同组织和信息系统中,威胁发生的可能性和造成的影响可能不同。不仅如此,同一个组织或信息系统中不同资产所面临的威胁发生的可能性和造成的影响也可能不同。威胁调查就是要识别组织和信息系统中可能发生并造成影响的威胁,进而分析哪些发生可能性较大、可能造成重大影响的威胁。
威胁调查工作包括:威胁源动机及其能力、威胁途径、威胁可能性及其影响。
(1)威胁源动机及其能力
威胁源是产生威胁主体。在进行威胁调查时,首要应识别存在哪些威胁源,同时分析这些威胁源的动机和能力。根据威胁源的不同,可以将威胁分为非人为的和人为的。
从威胁动机来看,人为的安全威胁又可细分为非恶意行为和恶意攻击行为。
不同的危险源具有不同的攻击能力,攻击者的能力越强,攻击成功的可能性就越大。衡量攻击能力主要包括:施展攻击的知识、技能、经验和必要的资金、人力和技术资源等。表7-2分析了典型的攻击者类型、动机和特点。
在识别威胁源时,一方面要调查存在哪些威胁源,特别要了解组织的客户、伙伴或竞争对手以及系统用户等情况;另一方面要调查不同威胁源的动机、特点、发动威胁的能力等。通过威胁源的分析,识别出威胁源名称、类型(包括自然环境、系统缺陷、政府、组织、职业个人等)、动机(非人为、人为非故意、人为故意等)。
(2)威胁途径
威胁途径是指威胁源对组织或信息系统造成破坏的手段和路径。非人为的威胁途径表现为发生自然灾难、出现恶劣的物理环境、出现软硬件故障或性能降低等;人为的威胁手段包括:主动攻击、被动攻击、邻近攻击、分发攻击、误操作等。
表7-2 典型的攻击者类型、动机和能力
(3)威胁可能性及其影响
威胁是客观存在的,但对于不同的组织和信息系统,威胁发生的可能性不尽相同。威胁产生的影响与脆弱性是密切相关的。脆弱性越多、越严重,威胁产生影响的可能性越大。例如,在雨水较多的地区,出现洪灾的可能性较大,因此对于存在严重漏洞的系统,被威胁攻击的成功性可能较大。
威胁客体是威胁发生时受到影响的对象,威胁影响与威胁客体密切相关。当一个威胁发生时,会影响到多个对象。这些威胁客体有层次之分,通常威胁直接影响的对象是资产,间接影响到信息系统和组织。在识别威胁客体时,先识别那些直接受影响的客体,再逐层分析间接受影响的客体。
威胁客体的价值越重要,威胁发生的影响越大;威胁破坏的客体范围越广泛,威胁发生的影响越大。分析并确认威胁发生时受影响客体的范围和客体的价值,有利于分析组织和信息系统存在风险的大小。
遭到威胁破坏的客体,有的可以补救且补救代价可以接受,有的不能补救或补救代价难以接受。受影响客体的可补救性也是威胁影响的一个重要方面。
(4)威胁调查方法
不同组织和信息系统由于所处自然环境、业务类型等不尽相同,面临的威胁也具有不同的特点。例如,处于自然环境恶劣的信息系统,发生自然灾难的可能性较大,业务价值高或敏感的系统遭遇攻击的可能性较大。威胁调查的方法多种多样,可以根据组织和信息系统自身的特点,发生的历史安全事件记录,面临威胁分析等方法进行调查。
3.威胁分析
通过威胁调查,可识别存在的威胁源名称、类型、攻击能力和攻击动机,威胁路径,威胁发生可能性,威胁影响的客体的价值、覆盖范围、破坏严重程度和可补救性。在威胁调查基础上,可作如下威胁分析:① 通过分析威胁路径,结合威胁自身属性、资产存在的脆弱性以及所采取的安全措施,识别出威胁发生的可能性,也就是威胁发生的概率;② 通过分析威胁客体的价值和威胁覆盖范围、破坏严重程度和可补救性等,识别威胁影响;③ 分析并确定由威胁源攻击能力、攻击动机,威胁发生概率、影响程度计算威胁值的方法;④ 威胁赋值。综合分析上述因素,对威胁的可能性进行赋值,威胁赋值分为很高、高、中等、低、很低5个级别,级别越高表示威胁发生的可能性越高。
7.4.6 脆弱性识别阶段
脆弱性是资产自身存在的,如没有被威胁利用,脆弱性本身不会对资产造成损害。如信息系统足够健壮,威胁难以导致安全事件的发生。也就是说,威胁是通过利用资产的脆弱性才可能造成危害。因此,组织一般通过尽可能消减资产的脆弱性,来阻止或消减威胁造成的影响,所以脆弱性识别是风险评估中最重要的一个环节。
脆弱性可从技术和管理两方面进行识别。技术方面,可从物理环境、网络、主机系统、应用系统、数据等方面识别资产的脆弱性;管理方面,可从技术管理脆弱性和组织管理脆弱性两方面识别资产的脆弱性,技术管理脆弱性与具体技术活动相关,组织管理脆弱性与管理环境相关。
脆弱性识别包括:脆弱性的基本特征,时间特征和环境特征的识别。脆弱性识别所采用的方法主要有:文档查阅、问卷调查、人工核查、工具检测、渗透性测试等。
脆弱性检查包括安全技术脆弱性检查和安全管理脆弱性检查,具体检查指标和方法可参考网络安全等级保护技术要求。
7.4.7 风险分析阶段
风险评估是以围绕被评估组织核心业务开展为原则的,评估业务所面临的安全风险。风险分析的主要方法是对业务相关的资产、威胁、脆弱性及其各项属性的关联分析,综合进行风险分析和计算。
1.风险分析模型
依据《信息安全技术 信息安全风险评估规范》(GB/T20984—2007)所确定的风险分析方法,如图7-3所示,一般构建风险分析模型是将资产、威胁、脆弱性三个基本要素及每个要素相关属性,进行关联,并建立各要素之间的相互作用机制关系。
图7-3 信息安全风险分析原理
建立风险评估分析模型,首先通过威胁与脆弱性进行关联,哪些威胁可以利用哪些脆弱性,可引发安全事件,并分析安全事件发生的可能性;其次,通过资产与脆弱性进行关联,哪些资产存在脆弱性,一旦安全事件发生,造成的损失有多大。
信息安全风险各识别要素的关系,R=F(A,T,V)。其中,R表示安全风险计算函数,A表示资产,T表示威胁,V表示脆弱性。
2.风险计算方法
组织或信息系统安全风险需要通过具体的计算方法实现风险值的计算。风险计算方法一般分为定性计算方法和定量计算方法两大类。
定性计算方法是将风险的各要素资产、威胁、脆弱性等的相关属性进行量化(或等级化)赋值,然后选用具体的计算方法(如相乘法或矩阵法)进行风险计算;
定量计算方法是通过将资产价值和风险等量化为财务价值的方式来进行计算的一种方法。由于定量计算法需要等量化财务价值,在实际操作中往往难以实现。
由于定量计算方法在实际工作中可操作性较差,一般风险计算多采用定性计算方法。风险的定性计算方法实质反应的是组织或信息系统面临风险大小的准确排序,确定风险的性质(无关紧要、可接受、待观察、不可接受等),而不是风险计算值本身的准确性。
3.风险分析与评价
通过风险计算,应对风险情况进行综合分析与评价。风险分析是基于计算出的风险值确定风险等级。风险评价则是对组织或信息系统总体信息安全风险的评价。
风险分析首先对风险计算值进行等级化处理。风险等级化处理目的是对风险的识别直观化,便于对风险进行评价。等级化处理的方法是按照风险值的高低进行等级划分,风险值越高,风险等级越高。风险等级一般可划分为五级:很高、高、中等、低、很低,也可根据项目实际情况确定风险的等级数,如划分为高、中、低三级。
风险评价方法是根据组织或信息系统面临的各种风险等级,通过对不同等级的安全风险进行统计、分析,并依据各等级风险所占全部风险的百分比,确定总体风险状况,见表7-3。
表7-3 安全风险评价表
7.4.8 风险评估所需资料
风险评估包括评估准备、资产识别与分析、威胁分析与识别、脆弱性识别与分析、风险分析和验收阶段,每个阶段需要的文档资料如表7-4所示。这些资料是风险评估所需的技术资料,需要在开展评估过程中涉及。
表7-4 风险评估所需资料表 网络安全法和网络安全等级保护2