基于等级保护思想的网络安全风险评估关键技术研究

柴志成 贵阳学院

1 等级保护与风险评估关系分析

1.1 等级保护合规性评判等级保护测评是对系统确定的安全等级开展合规性评判，系统的安全等级根据系统安全级别确定。业务信息安全与系统信息资产及其所支持的业务密切相关，资产的保密性、完整性遭受破坏时，会增加系统面临的业务安全风险。系统等级保护测评过程可归纳为：（1）对系统的基本情况进行调查，了解系统的定级要求、资产构成、网络拓扑、主要业务以及曾经发生的安全威胁等情况；（2）根据系统基本情况确定测评对象、测评内容和测评指标；（3）根据选定的测评对象和测评指标，按照等级保护基本要求和测评要求等相关标准，对选定的测评对象和测评指标逐一开展现场测评；（4）对系统进行单元测评、整体测评和总体安全状况分析，在进行总体安全状况分析时，重点考虑在现有安全保障措施情况下，对测试中发现的安全问题进行风险评估。

1.2 风险评估方法按照国标定义，信息安全风险评估是指：依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等属性评价的过程；也就是评估资产面临的威胁和脆弱点，以及威胁利用脆弱点产生安全事件的可能性，并根据安全事件涉及的资产来判断安全风险严重程度。

风险评估过程可归纳为：（1）梳理测评对象的资产及其价值；（2）寻找资产存在的漏洞或弱点；（3）识别测评对象可能面临的安全威胁；（4）根据理论模型评判测评对象存在的安全风险。

1.3 关联分析开展等级保护测评时能评价出系统的资产、重要程度和脆弱性，风险评估对信息系统和资产的安全风险进行分析，二者之间存在如下关系：（1）等级保护测评可以作为风险评估的基础，通过等级测评，明确系统资产的重要性和脆弱源。（2）风险评估结果的准确性和客观性，与等级保护测评过程所选的资产有关，资产选取范围越广，种类越全，评估结果越有价值。（3）在开展等级保护测评、风险评估过程中，均可采用漏洞扫描、渗透测试、配置核查等多种测评方法，发现系统资产不同层面存在的安全隐患和漏洞。（4）在检测对象选择方面，等级保护测评、风险评估所选择的检测对象都应涵盖物理环境、网络、服务器、终端、应用系统、数据、管理制度和人员等。（5）在检测流程方面，等级保护测评、风险评估的工作流程都可以分为4个阶段，分别为准备阶段、方案编制阶段、现场实施阶段和报告编制阶段，但二者在各阶段输出的结果不同。（6）在检测内容方面，等级保护测评、风险评估工作都涵盖技术安全检测和管理安全检查2个部分；其中，技术安全检测主要包含物理环境安全、通信网络安全、计算环境安全、应用安全、数据安全等方面的内容；管理安全检查主要包括安全管理制度、安全管理机构、安全管理人员、系统建设安全管理和系统运维安全管理等方面的内容。

2 资产分类及价值量化分析

2.1 资产分类铁路信息系统中包含大量的软硬件资产。硬件资产有主机设备、网络设备、安全设备等，这些资产可以通过网络拓扑结构、连通关系、安全策略等进行关联；软件资产有应用程序、数据、文件等，这些资产如果保护不当，暴露其脆弱性，遭受攻击者攻击。按等级保护测评时选择的测评对象，可划分为硬件资产、软件资产、数据资产、制度资产、人员资产、物理资产等类型。

2.2 资产价值量化分析资产价值可以从3个维度考虑：（1）系统自身的安全等级以及系统处理业务的重要程度，即系统维度；（2）资产在系统中的重要程度以及资产自身的购买成本和维护成本，即资产维度；（3）资产的机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）受到损害时对业务运营的负面影响程度，即CIA属性维度。

3 资产脆弱性分析

脆弱性是资产中存在的薄弱环节，若被威胁利用将对系统造成损害，是导致安全事件的内因。风险评估中的一个重要环节是脆弱性分析，分析过程划分为发现、分类、验证、赋值4个步骤。有学者采用基于规则、基于模型的脆弱性发现方法；还有Schneier和Moore等人利用树型结构来表示系统面临的攻击；脆弱性分类可以从技术和管理2个方面进行；脆弱性验证可以采用渗透测试、仿真测试等方式；脆弱性赋值可以从脆弱点被利用可能性、漏洞修补情况、已有安全措施对脆弱性的修正程度等方面进行综合考量。

4 网络安全威胁判定

威胁也可称为破坏或攻击。铁路信息系统的安全威胁来自多方面，可能是环境带来的，也可能是人为造成的，或是设备自身损坏原因产生的。威胁一般不能对系统造成直接影响，只有在利用资产存在的脆弱性后才能引发安全事件，对资产具备潜在的破坏作用，是引起安全事件的外因。

5 安全风险评估模型建立

信息系统安全风险由安全事件发生的可能性L及安全事件造成的损失对组织的影响F确定，其中，L取决于威胁发生的频率与脆弱性大小，F取决于资产价值与威胁影响范围及程度。根据上述分析，可以建立如图所示的安全风险评估模型。

6 结束语

主要从两个方面对风险评估关键技术开展研究：（1）完善了GB/T20984标准中对资产、威胁、脆弱性3要素的识别范围和赋值方法，识别粒度更细，赋值所考虑的因素更贴合实际情况；（2）将网络安全的等级保护与风险评估2种方法进行融合，使得在网络安全实际测评工作中，既能判别评估对象是否安全合规，又能研判其面临的安全风险严重程度。从理论角度看，该方法是合理可行的，但其效果还需在实践工作中加以检验。