网络信息安全风险评估

学习《计算机网络安全》

随着网络信息化技术的广泛应用，在提高科研、生产效率和质量的同时，也极大地增加了网络信息安全风险。目前解决网络信息安全问题普遍采用的方法之一是进行风险评估（Risk Assessment）。从风险管理的角度，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生时可能造成的危害程度，并提出有针对性的防护对策和整改措施，将风险控制在可接受的水平，最大限度地保障信息安全。这一篇主要学习书中的网络信息安全风险评估的相关知识。

风险评估概述

风险评估的概念

风险是一个给定的威胁，利用一项资产或多项资产的脆弱性，对组织造成损害的可能。可通过事件的概率及其后果进行度量。风险评估是风险标识、分析和评价的整个过程。

网络信息安全风险评估，则是指依据国家风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析，判断脆弱性被威胁源利用后可能发生的安全事件及其所造成的负面影响程度来识别信息安全的安全风险。

网络信息系统的风险评估是对威胁、脆弱点以及由此带来的风险大小的评估。对系统进行风险分析和评估的目的就是：了解系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据。同时通过第三方权威或者国际机构评估和认证，也给用户提供了信息技术产品和系统可靠性的信心，增强产品、单位的竞争力。信息系统风险分析和评估是一个复杂的过程，一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。

网络信息安全风险评估分为自评估和检查评估两种形式。风险自评估是建立信息安全体系的基础和前提。

风险评估有时候也称为风险分析，是组织使用适当的风险评估工具，对信息和信息处理设施的威胁（Threat）、影响（Impact）和薄弱点（Vulnerability）及其发生的可能性的评估，也就是确认安全风险及其大小的过程。它是风险管理的重要组成部分。

风险评估是信息安全管理的基础，它为安全管理的后续工作提供方向和依据，后续工作的优先等级和关注程度都是由信息安全风险决定的，而且安全控制的效果也必须通过对剩余风险的评估来衡量。

风险评估是在一定范围内识别所存在的信息安全风险，并确定其大小的过程。风险评估保证信息安全管理活动可以有的放矢，将有限的信息安全预算应用到最需要的地方。风险评估是风险管理的前提。

风险评估的意义

长期以来，人们对保障信息安全的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等。厂商在安全技术和产品的研发上不遗余力，新的技术和产品不断涌现；消费者也更加相信安全产品，把仅有的预算投入安全产品的采购上。

但实际情况是，单纯依靠技术和产品保障企业信息安全往往不够。复杂多变的安全威胁和隐患靠产品难以消除。“三分技术，七分管理”，这个在其他领域总结出来的实践经验和原则，在信息安全领域也同样适用。

根据有关部门披露的数字，在所有的计算机安全事件中，约有52%是人为因素造成的，25%是由火灾、水灾等自然灾害引起的。其中技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成的。

不难看出，属于内部人员方面的原因超过70%，而这些安全问题中的95%可以通过科学的信息安全风险评估来避免。

可见，对于一个企业来说，搞清楚网络信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响，是企业实施安全建设必须首先解决的问题，也是制订安全策略的基础与依据。

风险评估的意义在于对风险的认识，而风险的处理过程，可以在考虑了管理成本后，选择适合企业自身的控制方法，对同类的风险因素采用相同的基线控制，这样有助于在保证效果的前提下降低风险评估的成本。

国内外风险评估标准

国外风险评估相关标准

从美国国防部1985年发布著名的可信计算机系统评估准则（TCSEC）起，世界各国根据自己的研究进展和实际情况，相继发布了一系列有关安全评估的准则和标准，如英、法、德、荷等国20世纪90年代初发布的信息技术安全评估准则（ITSEC）；加拿大1993年发布的可信计算机产品评价准则（CTCPEC）；美国1993年制定的信息技术安全联邦标准（FC）；由6国7方（加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA）于20世纪90年代中期提出的信息技术安全性评估通用准则（CC）；由英国标准协会（BSI）制定的信息安全管理标准BS779（ISO17799）以及得到ISO认可的SSE-CMM（ISO/IEC 21827:2002）等。

与风险评估相关的标准还有美国国家标准技术研究所（NIST）的NIST SP800，其中NIST SP800-53/60描述了信息系统与安全目标及风险级别对应指南，NIST SP800-26/30分别描述了自评估指南和风险管理指南。修订版的NIST 800-53还加入了物联网与工控系统的安全评估。下面简单介绍信息技术安全性评估通用准则（CC）和美国的可信计算机系统评估准则（TCSEC）。

1. CC标准 信息技术安全评估公共标准CCITSE（Common Criteria of Information TechnicalSecurity Evaluation），简称CC（ISO/IEC 15408-1），是美国、加拿大及欧洲4国（共6国7个组织）经协商同意，于1993年6月起草的，是国际标准化组织统一现有多种准则的结果，是目前最全面的评估准则。

CC源于TCSEC，但已经完全改进了TCSEC。CC的主要思想和框架都取自ITSEC（欧）和FC（美），它由三部分内容组成：
1、介绍以及一般模型；
2、安全功能需求（技术上的要求）；
3、安全认证需求（非技术要求和对开发过程、工程过程的要求）。

CC与早期的评估准则相比，主要具有四大特征：
1、CC符合PDR模型；
2、CC评估准则是面向整个信息产品生存期的；
3、CC评估准则不仅考虑了保密性，而且还考虑了完整性和可用性多方面的安全特性；
4、CC评估准则有与之配套的安全评估方法CEM（CommonEvaluation Methodology）。

2.TCSEC标准 TCSEC（Trusted Computer System Evaluation Criteria）是计算机信息安全评估的第一个正式标准，具有划时代的意义。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC将安全分为4个方面：安全政策、可说明性、安全保障和文档。该标准将以上4个方面分为7个安全级别，按安全程度从最低到最高依次是D、C1、C2、B1、B2、B3、A1。

（1）D1级：最低保护。
无须任何安全措施。这是计算机安全的最低一级。整个计算机系统是不可信任的，硬件和操作系统很容易被侵袭。D1级计算机系统标准规定对用户没有验证，也就是任何人都可以使用该计算机系统而不会有任何障碍。系统不要求用户进行登录（要求用户提供用户名）或口令保护（要求用户提供唯一字符串来进行访问）。任何人都可以坐在计算机前并开始使用它。

D1级的计算机系统有：

• MS-DOS。
• MS-Windows 3.x及Windows95（不在工作组方式中）。
• Apple的System 7.x。

（2）C1级：自决的安全保护。
系统能够把用户和数据隔开，用户可以根据需要采用系统提供的访问控制措施来保护自己的数据，系统中必有一个防止破坏的区域，其中包含安全功能。用户拥有注册账户和口令，系统通过账户和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权。

C1级系统要求硬件有一定的安全机制（如硬件带锁装置和需要钥匙才能使用计算机等），用户在使用前必须登录到系统。C1级系统还要求具有完全访问控制的能力，即应当允许系统管理员为一些程序或数据设立访问许可权限。C1级防护的不足之处在于用户可以直接访问操作系统的根。C1级不能控制进入系统的用户的访问级别，所以用户可以将系统的数据随意移走。

常见的C1级兼容计算机系统有：

• UNIX系统。
• Xenix。
• Netware3.x或更高版本。
• Windows NT。

（3）C2类：访问控制保护。
控制粒度更细，使得允许或拒绝任何用户访问单个文件成为可能。系统必须对所有的注册，文件的打开、建立和删除进行记录。审计跟踪必须追踪到每个用户对每个目标的访问。

C2级在C1级的某些不足之处加强了几个特性。C2级引进了受控访问环境（用户权限级别）的增强特性。这一特性不仅以用户权限为基础，还进一步限制了用户执行某些系统指令。授权分级使系统管理员能够给用户分组，授予他们访问某些程序或分级目录的权限。另一方面，用户权限以个人为单位授权用户对某一程序所在目录的访问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访问这些信息的权限。C2级系统还采用了系统审计。审计特性跟踪所有的“安全事件”，如登录（成功和失败的），以及系统管理员的工作，如改变用户访问和口令。

（4）B1类：有标签的安全保护。
系统中的每个对象都有一个敏感性标签而每个用户都有个许可级别。许可级别定义了用户可处理的敏感性标签。系统中的每个文件都按内容分类并标有敏感性标签，任何对用户许可级别和成员分类的更改都受到严格控制。

B1级系统支持多级安全。多级是指这一安全保护安装在不同级别的系统中（网络、应用程序、工作站等），它对敏感信息提供更高级的保护。例如安全级别可以分为解密、保密和绝密级别。
较流行的B1级操作系统是OSF/1。

（5）B2类：结构化保护。
系统的设计和实现要经过彻底的测试和审查。系统应结构化为明确而独立的模块，实施最少特权原则。必须对所有目标和实体实施访问控制。政策要由专职人员负责实施，要进行隐蔽信道分析。系统必须维护一个保护域，保护系统的完整性，防止外部干扰。

这一级别称为结构化的保护（Structured Protection）。B2级安全要求计算机系统中所有对象加标签，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。如用户可以访问一台工作站，但可能不允许访问装有人员工资资料的磁盘子系统。

（6）B3类：安全域。
系统的安全功能足够小，利于广泛测试。必须满足参考监视器需求以传递所有的主体到客体的访问。要有安全管理员，审计机制扩展到用信号通知安全相关事件，还要有恢复规程、系统高度抗侵扰、XTS-300防火墙、多级安全平台。

B3级要求用户工作站或终端通过可信任途径连接网络系统，这一级必须采用硬件来保护安全系统的存储区。

（7）A1类：核实保护。
最初设计系统就充分考虑安全性。有“正式安全策略模型”，其中包括由公理组成的数学证明。系统的顶级技术规格必须与模型相对应，系统还包括分发控制和隐蔽信道分析。

这是橙皮书中的最高安全级别，这一级有时也称为验证设计（Verified Design）。与前面提到的各级别一样，这一级包括了它下面各级的所有特性。A级还附加一个安全系统受监视的设计要求，合格的安全个体必须分析并通过这一设计。另外，必须采用严格的形式化方法来证明该系统的安全性。而且在A级，所有构成系统的部件的来源必须保证安全，这些安全措施还必须担保在销售过程中这些部件不受损害。例如，在A级设置中，一个磁盘驱动器从生产厂房直至计算机房都被严密跟踪。

国内信息安全风险评估标准

我国早期的标准体系基本上是采取等同、等效的方式借鉴国外的标准，如GB/T 18336等同于ISO/IEC 15408。我国根据具体情况，也加快了信息安全标准化的步伐和力度，相继颁布了如《计算机信息系统安全保护等级划分准则》（GB 17859）、《信息安全风险评估规范》（GB/T 20984—2007）。

1. 《计算机信息系统安全保护等级划分准则》（GB 17859） 我国国家标准《计算机信息系统安全保护等级划分准则》（GB 17859）于1999年9月正式批准发布，该准则将计算机信息系统安全分为5级，由低至高分别为用户自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级。

第1级：用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。

第2级：系统审核保护级。除具备第1级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己行为的合法性负责。

第3级：安全标记保护级。除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制访问。

第4级：结构化保护级。在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。

第5级：访问验证保护级。这个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。

目前，我国重要的信息系统，都要求先定级再进行建设。信息系统运行期间要严格执行等级保护相关措施。

2. 《信息安全风险评估规范》（GB/T 20984—2007） 《信息安全风险评估规范》（GB/T 20984—2007）于2007年6月14日发布。该标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

该标准已经颁布10多年了，有些技术和方法已经不适应新时代的要求。全国信息安全标准化技术委员会2018年4月开始，对《信息安全风险评估规范》（GB/T 20984—2007）进行修订

风险评估的实施

风险管理过程

信息安全风险管理的内容和过程如图

信息安全风险管理的内容和过程

背景建立、风险评估、风险处理与批准监督是信息安全风险管理4个基本步骤。

（1）背景建立：这一阶段主要是确定风险管理的对象和范围，进行相关信息的调查分析，准备风险管理的实施。

（2）风险评估：这一阶段主要是根据风险管理的范围识别资产，分析信息系统所面临的威胁以及资产的脆弱性，结合采用的安全控制措施，在技术和管理两个层面对信息系统所面临的风险进行综合判断，并对风险评估结果进行等级化处理。

（3）风险处理：这一阶段主要是综合考虑风险控制的成本和风险造成的影响，从技术、组织和管理层面分析信息系统的安全需求，提出实际可行的安全措施。明确信息系统可接受的残余风险，采取接受、降低、规避或转移等控制措施。

（4）批准监督：这一阶段主要包括批准和持续监督两部分。依据风险评估的结果和处理措施能否满足信息系统的安全要求，决策层决定是否认可风险管理活动。监控人员对机构、信息系统、信息安全相关环境的变化进行持续监督，在可能引入新的安全风险并影响到安全保障级别时，启动新一轮风险评估和风险处理。

监控审查与沟通咨询贯穿于上述4个基本步骤之中，跟踪系统和信息安全需求的变化，对风险管理活动的过程和成本进行有效控制。

风险评估过程

Gartner(第一家信息技术研究和分析的公司)的风险评估报告指出，未来企业信息化的发展关键在：关键资产数字化，高速无线网络、网络空间获取、生物访问控制、复杂应用系统，分布系统网络互联，全球化生产等方面。为此，Gartner建议企业的网络信息安全风险评估重点在于如何评估复杂的分布式系统和如何保障复杂应用系统的安全两个方面。

复杂应用系统已经初步呈现，许多企业的核心业务系统安全性较弱，且网络建设与安全建设不协调，已经给企业用户带来了极大的挑战。

信息安全风险评估的基本过程主要分为：风险评估准备过程、资产识别过程、威胁识别过程、脆弱性识别过程、风险分析过程。信息安全风险评估主要涉及资产、威胁和脆弱性3个因素。信息安全风险评估流程如图

信息安全风险评估流程

为保障评估的规范性、一致性，降低人工成本，目前国内外普遍应用一系列的评估工具。其中，网络评估工具主要有Nessus、Retina、天镜、ISS、XScan等漏洞扫描工具，依托这些网络扫描工具，可以对网络设备、主机进行漏洞扫描，给出技术层面存在的安全漏洞、等级和解决方案建议。

网络信息安全管理评估工具主要有以BS7799-1（ISO/IEC17799）为基础的COBRA、天清等，借助管理评估工具，结合问卷式调查访谈，可以给出不同安全管理域在安全管理方面存在的脆弱性和各领域的安全等级，给出基于标准的策略建议。

风险分析原理

信息安全风险评估的要素如图 风险值定义如下：
风险值=$R(A,T,V)$
R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性。

资产、威胁和脆弱性是风险的3个因素，是风险分析的基础。根据风险分析原理，首先应进行资产、威胁和脆弱性识别，分析得出资产价值、威胁出现的频率和脆弱性的严重程度，然后分析计算安全事件的可能性和损失程度，得出风险值。

风险要素之间的关系

风险因素识别

资产在其表现形式上可以划分为软件、硬件、数据、服务、人员等相关类型。根据风险评估的范围识别出关键资产与一般资产，形成需要保护的资产清单。根据资产在保密性、完整性和可用性3个方面的安全属性，结合评估单位业务战略对资产的依赖程度等因素，对资产价值进行评估。

威胁具有多种类型，如：软硬件故障、物理环境影响、管理问题、恶意代码、网络攻击、物理攻击、泄密、篡改等。有多种因素会影响威胁发生的可能性，如：攻击者的技术能力、威胁行为动机、资产吸引力、受惩罚风险等。在威胁识别阶段，评估者依据经验和相关统计数据对威胁进行识别，并判断其出现的频率。

脆弱性的识别可以以资产为核心，针对资产识别可能被威胁利用的弱点进行识别，也可以从物理、网络、系统、应用、制度等层次进行识别，然后与资产、威胁对应起来。在此过程中应对已采取的安全措施进行评估，确认其是否有效抵御了威胁、降低了系统的脆弱性，以此作为风险处理计划的依据和参考。

风险评估方法

风险评估方法概括起来可分为定量、定性，以及定性与定量相结合的评估方法。

定量评估法基于数量指标对风险进行评估，依据专业的数学算法进行计算、分析，得出定量的结论数据。典型的定量分析法有因子分析法、时序模型、等风险图法、决策树法等。有些情况下定量法的分析数据会存在不可靠和不准确的问题：一些类型的风险因素不存在频率数据，概率很难计算。在这种情况下单凭定量法不能准确反映系统的安全需求。

定性评估法主要依据评估者的知识、经验、政策走向等非量化资料对系统风险做出判断，重点关注安全事件所带来的损失，而忽略其发生的概率。定性法在评估时使用“高”“中”“低”等程度值，而非具体的数值。典型的定性分析法有因素分析法、逻辑分析法、历史比较法、德尔菲法等。定性分析法可以挖掘出一些蕴藏很深的思想，使评估结论更全面、深刻，但其主观性很强，对评估者本身的要求较高。

定量与定性的风险评估法各有优缺点，在具体评估时可将二者有机结合、取长补短，采用综合的评估方法以提高适用性。