信息系统安全评估评测过程与方法研究

肖新祥 施游

摘要：本文以信息系统安全评估过程为研究对象，围绕风险分析方法、风险计算方法、网络安全风险处置、安全风险评估方法进行了深入的研究和探讨。

关键词：安全评估;风险分析;评估过程;风险计算;风险处置

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2021）11-0003-03

由于信息系统与网络也会存在各类的风险，不了解风险、不控制风险就无法保证信息系统的安全。对于各类信息系统，尤其是即将上线的信息系统，需要有一套安全评估体系和方法评估和分析风险，然后再寻找对应的方法防范风险或者减小风险带来的损失。

风险评估就是依据标准，利用评估技术、方法、工具，对系统中资产、威胁、脆弱点所带来风险的大小，以及可能的控制措施的全面评估。

1 安全评估概述

系统外部可能造成的损害，称为威胁;系统内部可能造成的损害，称为脆弱性。系统风险则是威胁利用脆弱性造成损坏的可能性。网络风险评估就是评估攻击网络、系统的脆弱性而造成的损失程度。

网络安全风险评估要素包含资产、威胁、脆弱性、风险、安全措施等。具体关系如图1所示。

网络安全风险评估方式有自评估、检查评估、委托评估等。

实际应用中，常使用期望货币值、系统风险量化值等工具量化评价系统的风险。

（1）期望货币值

期望货币值（Expected Monetary Value，EMV）用于计算在将来某种情况下发生或不发生的情况下的平均结果。期望货币价值是每个可能的值与其发生概率相乘之后的总和。EMV可用于表示网络安全风险值。

期望货币值公式如下：

[EMV=i=1mPiXi]

其中，Pi是情况i发生的概率，Xi为i情况下风险的期望货币价值。

图2给出了一个具体的EMV应用实例。该实例为某游戏公司选择防火墙1和防火墙2的防范DDoS攻击，根据给出不同情况下的有效概率及对应的获利或损失情况，求选择防火墙1的EMV和选择防火墙2的EMV。

选择防火墙1的EMV=60%×A+40%×B（A、B值盈利为正，损失为负）。

选择防火墙2的EMV=50%×C+50%×D（C、D值盈利为正，损失为负）。

（2）系统风险量化值

系统风险量化值是依据系统受到攻击的概率、影响价值两个指标综合评价风险。具体公式如下：

系统风险量化值=系统受到攻击的概率×影响价值

假定某电子商务网站群系统受到攻击概率为0.6，如果攻击成功影响价值为1000万人民币。则该网站群系统的系统风险量化值=0.6×1000=600万人民币。

2 风险评估过程

风险评估过程包括评估准备、现状识别（包含资产识别、威胁识别、脆弱性识别）、已实施的安全措施分析、风险分析、风险处置与管理等。具体评估过程见图3。

（1）评估准备

网络安全评估准备就是要了解全网的物理环境、拓扑结构、网络协议、网络设备、网络服务、IP地址分配、操作系统、已采用的安全措施、人员部署等。

（2）资产识别

资产识别包含资产鉴定、资产价值估算两个部分。

1）资产鉴定：清点并记录网络中的设备、应用、数据、文档等资产的种类和数量。

2）资产价值估算：量化并评估资产保密性、完整性、可用性，并进行等级划分。

（3）威胁识别

威胁识别用于分析资产的危害，可以从威胁的来源、途径、意图、效果等多个方面进行展开分析。

（4）脆弱性识别

脆弱性识别是找出网络资产的缺陷，并分析并评估缺陷的危害。脆弱性识别的核心是资产。常见的资产漏洞评估工具有CVE、CWE、CNNVD、CNVD等。

（5）已实施的安全措施分析

分析并确定已实施的安全措施，评估其有效性，分析实施之后是否还存在脆弱性。

（6）风险分析

用定性和定量的方法分析风险的大小和等级。

风险分析的步骤如下。

[第一步（资产识别）：识别资产并量化资产价值。

第二步（威胁识别）：识别威胁，分析威胁属性，量化威胁的频率。

第三步（脆弱性识别）：识别脆弱性并量化脆弱性的严重程度。

第四步（可能性概率分析）：分析利用威胁的难易程度，分析攻击发生的可能性。

第五步（脆弱性损失分析）：根据资产重要性，脆弱性严重性计算安全事件出现而带来的损失。

第六步（确定安全风险值）：依据风险发生的概率和安全事件出现所带来的损失，求安全风险值，即安全事件发生的影响程度。 ]

3 风险分析方法

常见的风险分析方法有：

（1）定性风险分析：主观评估风险相关的资产、威胁、脆弱性等因素，并按高、中、低等方式进行粗略的排序。

（2）定量风险分析：量化评估风险相关的资产、威胁、脆弱性等因素。

（3）综合计算法：结合了定量、定性风险分析方法，将资产、威胁、脆弱性等因素，按“很高、高、中、低、很低”或者“（5）、（4）、（3）、（2）、（1）”方式進行风险分析。

4 风险计算方法

常见的信息系统的风险计算方法有相乘法、矩阵法。

（1）相乘法

相乘法属于一种定量计算法，该方法将两个要素值相乘，得到另一要素值。

所使用的公式为计算公式如下：

[z=fx，y=x×y]

其中，x和y分别相乘的两要素值，而z代表另一要素值。

【例1】某单位做安全评估时，识别出一项重要资产，设定为A1。经过风险分析，确定的条件如下：

1）资产价值A1=9;

2）资产A1所面临的主要威胁是T1，威胁发生频率为1，用T1=1表示。

3）T1可以利用的资产A1的脆弱性V1，脆弱性严重程度为4，用V1=4表示。

用相乘法求安全事件风险值。

风险值计算过程如下：

[第一步：计算事件发生的可能性

计算过程：

[z=fx，y=威胁发生频率×脆弱性严重程度=T1×V1=4] 第二步：计算安全事件造成的损失

[z=fx，y=資产价值×脆弱性严重程度=A1×V1=36] 第三步：计算安全风险值

安全风险值=事件发生的可能性×安全事件造成的损失=[4×36]=12 ]

（2）矩阵法

矩阵法就是构建一个事件发生可行性与安全事件造成的损失两个维度的二维表，这里表也可以看成矩阵的形式。

矩阵法计算的实质就是，“根据已知条件查表”。

【例2】假定某单位资产A1的相关情况与条件如下：

资产价值：A1=3;威胁发生概率T1=3;脆弱性严重程度V1=3。

第一步：计算事件发生的可能性，划分安全事件发生可能性等级

本步骤就是查“安全事件发生可能性表”和“安全事件发生可能性等级划分表”。

查表1，可得到安全事件发生的可能性=12。

查表2，可得到安全事件发生可能性等级=3。

第二步：计算安全事件损失，划分安全事件损失等级

本步骤就是查“安全事件损失表”和“安全事件损失等级划分表”。

查表3，可得到安全事件损失=11。

查表4，可得到安全事件损失等级=3。

第三步：计算风险值，确定风险等级

本步骤就是查“安全事件风险值表”和“安全事件风险等级划分表”。

查表5，可得到安全事件风险值=15。

查表6，可得到安全事件风险等级=3。

5 网络安全风险处置

网络安全风险处置作用是分析已发现的安全风险，制定风险处理计划，给出具体的处置建议，控制风险。

可行的网络安全风险处置主要方法和措施可以分为下几个方面。

（1）管理方面：具体控制措施有：制定安全策略;建立安全组织;加强人员管理;确保符合法律法规要求，确保满足安全目标。

（2）技术方面：具体控制措施有：实施资产分控;确保物理和环境安全;确保通信安全;构建合理的访问控制机制。

（3）业务和系统保障方面：具体控制措施有：业务持续运行;安全的系统开发和维护。

6 安全风险评估方法

常见的风险评估方法分类和具体工具，参见表7。

参考文献：

[1] 蒋建春.文伟平，焦健副.信息安全工程师教程[M].2版.北京：清华大学出版社，2020.

[2] 朱小平，施游.网络工程师5天修炼[M].2版.北京：中国水利水电出版社，2015.

[3] 汪京培.分布式场景中信任管理和模型评估的关键技术研究[D].北京：北京邮电大学，2013

[4] 谢宗晓，李宽.通用准则（CC）与信息安全管理体系（ISMS）的比较分析[J].中国质量与标准导报，2018（7）：28-32.

【通联编辑：唐一东】