涉密信息系统安全风险评估

1涉密信息系统安全风险评估的探讨国家保密技术研究所 杜虹引言2003 年 9 月 7 日中共中央办公厅、国务院办公厅以中办发200327 号文件转发了国家信息化领导小组关于加强国家信息安全保障工作的意见 。其中强调了要重视信息安全风险评估工作。2004 年 1 月 9 日国家召开了全国信息安全保障工作会议，黄菊同志在讲话中指出：要开展信息安全风险评估和检查。根据风险评估的结果，进行相应等级的安全建设和管理，特别是对涉及国家机密的信息系统，要按照党和国家有关保密规定进行保护。国家高度重视信息安全风险评估工作，并进一步明确了信息安全风险评估在国家信息安全保障工作中的地位和作用。本文将对信息安全风险评估的基本概念和涉及国家秘密的信息系统（以下简称“涉密信息系统”主要风险评估的作用、形式、步骤、方法等进行讨论。一、信息系统安全风险评估的基本概念信息系统的安全是一个动态的复杂过程，它贯穿于信息系统的整个生命周期。信息系统安全的威胁来自内部破坏、外部攻击、内外勾结进行的破坏以及信息系统本身所产生的意外事故，必须按照风险管理的思想，对可能的威胁和需要保护的信息资源进行风险分析，选择适当的安全措施，妥善应对可能发生的安全风险。因此，对信息系统特别是重要的信息系统进行不断的安全风险评估是十分必要的。1信息系统安全风险评估的定义所谓信息系统安全风险评估是指依据国家有关技术标准，对信息系统的完整性、保密性、可靠性等安全保障性能进行科学、公正的综合评估活动。风险评估是识别系统安全风险并决定风险出现的概率、结果的影响，补充的安全措施缓和这一影响的过程，它是风险管理的一部分。风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，即利用适当的风险评估工具，2包括定性和定量的方法，确定信息资产的风险等级和优先风险控制顺序。2信息安全风险评估的基本要素信息安全风险评估要关注如下基本要素：使命：一个组织机构通过信息化形成的能力要来进行的工作任务。依赖度：一个组织机构的使命对信息系统和信息的依靠程度。资产：通过信息化建设积累起来的信息系统、信息以及业务流程改造实现的应用服务的成果、人员能力和赢得的信誉。价值：资产的重要程度。威胁：对一个组织机构信息资产安全的侵害。脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为弱点或漏洞。风险：某种威胁利用暴露的系统对组织机构的资产造成损失的潜在可能性。风险由意外事件发生的概率及发生后可能产生的影响两种指标来衡量。残余风险：采取了安全保障措施，提高了防护能力后，仍然可能存在的风险。安全需求：为保证组织机构的使命正常行使，在信息安全保障措施方面提出的要求。安全保障措施：对付威胁，减少脆弱性，保护资产而采取的预防和限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。这些要素的相互关系如下（图 1）所示：使命是资产来支付的。资产都有价值，信息化的程度越高，组织机构的任务越重要，对资产的依赖度越高，资产的价值就越大。资产的价值越大风险越大。风险是威胁发起的，威胁越大风险越大。威胁都要利用脆弱性，脆弱性越大风险越大。脆弱性使资产暴露，威胁利用脆弱性，危害资产，形成风险。我们对风险的意识，会引出防护需求。防护需求被防护措施所满足。防护措施抗击威胁，降低风险。3图 1 风险评估各种要素的相互关系通过防护措施对资产加以保护，对脆弱性加以弥补，从而降低了风险；此时威胁只能形成残余风险。可能有多个防护措施共同起作用，也可能有多个脆弱性被同时利用。有些脆弱性可能客观存在，但是可能没有对应的威胁。这可能是由于这个威胁不在机构考虑的范围内，或者这个威胁的影响极小被忽略不计外部威胁和系统脆弱性可能造成损失的潜在危险。采取了防护措施能够减低风险，使残余风险限制在能够承受的程度上。 （如图 2 所示）图 2 威胁、资产、脆弱性、风险、保护措施、残余风险的关系43信息系统安全风险评估的形式信息系统安全风险评估从信息系统拥有者的角度来看可划分为三种形式，即自我评估、委托评估和检查评估。（1）自我评估自我评估是指信息系统拥有者指定的本机构信息系统安全管理人员在信息系统运行维护中使用相应的安全风险评估工具按照一定的规范进行的评估活动。从信息系统拥有者的角度来看是完全主动的行为，其优点是可方便地进行经常性的评估，及时采取对策降低安全风险，是一种“自查自纠”的方式。这种方式因为是在一个机构内部进行，因此一般不会引入评估带来的新的风险，缺点是专业性和客观性稍较差。（2）委托评估委托评估是信息系统拥有者选择委托具有相应资质的评估单位按照一定的规范对信息系统进行的独立的评估活动。从信息系统拥有者的角度来看是完全自愿的，并具有一定的选择性。其优点是专业性、公证性和客观性较强。需注意的是对于评估可能引入新的风险，要加强控制。（3）检查评估检查评估是信息系统拥有者的上级机关或国家赋予信息安全管理职能的机关授权的评估单位根据一定的管理权限和程序，按照一定的规范对信息系统进行的独立的评估活动。此种评估带有检查的性质，从信息系统拥有者的角度来看具有某种被动性。其优点是专业性、公证性、客观性较强，一般也不会引入评估带来的新的风险。当然从不同的角度来看，对信息系统安全风险评估可以有不同的划分形式。二、涉密信息系统的安全风险评估1安全风险评估在涉密信息系统安全保障中的作用信息系统安全风险评估在信息系统安全保障中具有重要的作用。同样，涉密信息系统风险评估在涉密信息系统安全保障中具有重要的作用。涉密信息系统安全保密管理的全过程如下（图 3）所示：56图 3 涉密信息系统安全保密管理的全过程日常检查安全计划实施防护措施实施系统运行与维护保密管理符合性 监 督维持程序变更管理 事故处理安全目标、安全策略确定安全目标制定安全战略制定安全策略涉密资产方案设计防护措施的选择保密性 完整性 可用性可核查性 真实性 可靠性安全产品的选择风险接受度安全防护计划安全意识安全培训风险分析脆弱性 威胁风险基线方法 非正式方法 详细方法 结合方法方案评审资质管理技术要求设计指南工程监理系统测评审批管理产品检测定期评估7第一步要确立安全目标与策略；第二步在风险分析中要进行风险评估；第三步在方案设计中对风险接受度要进行评估；第四步在安全计划实施中要进行系统测评；第五步在系统运行与维护中要进行日常检查和定期评估，然后从第五步可循环到第一至四步。可以看出，安全风险评估贯穿于涉密信息系统安全保密管理的全过程，具有极为重要的作用。2涉密信息系统安全风险评估的形式涉密信息系统安全风险评估主要有两种形式，即自我评估和检查评估。一般意义上的委托评估从保密管理的要求来看不适用于涉密信息系统。自我评估是涉密信息系统拥有者主要进行的日常的评估，是保障涉密信息系统日常安全的重要手段。因此在国家保密局指导和相关保密标准的指引下，各部门各单位对所拥有的涉密信息系统进行自我评估应成为安全风险评估的主要方式。检查评估是国家保密局授权的，经中央批准成立的专门评估机构国家保密局涉密信息系统安全保密测评中心实施的。可以在已建涉密信息系统安全改进方案设计之前进行，作为方案设计的依据；可以在已建涉密信息系统审批运行之前进行，作为保密局审批的依据；也可以在已建涉密信息系统开通运行一段时间之后进行，做为控制新的安全风险的依据。83涉密信息系统安全保密测评的工作流程涉密信息系统安全保密测评的工作流程如下（图 4）所示。 图 4 涉密信息系统安全保密测评的工作流程涉密系统使用单位修改资料是否通过否 是测评中心进行现场考察测评中心制定测评方案测评中心进行资料审查测评中心将测评结论和测评证书（复印件）报国家保密局备案涉密系统使用单位来函并报资料测评中心现场检测测评中心进行检测结果分析、提出检测意见测评中心召开专家评估会，给出专家评估意见测评中心综合检测意见和专家评估意见，写出测评报告，给出测评结论，出具测评证书94涉密信息系统安全保密测评的实施（1） 测评的依据和方法测评的依据是中华人民共和国保密指南，及国家秘密的计算机信息系统安全保密测评指南 ；测评的方法是按照 评指南所规定的方法，采用规范的工具，按照涉密信息系统处理信息密级的不同，分为秘密级、机密级、绝密级三个等级，按相应等级安全保密防护要求进行测评。（2） 测评的内容测评的内容包括安全保密系统的四个方面，如下（图 5）所示：图 5 测评安全保密系统的四个方面（3）测评结果的判据1检测项目结果判据测评项目分为基本要求项和一般要求项，基本要求项关系到涉密信息系统的高安全风险，一般要求项关系到较低的安全风险。它们中的每一大项分为若干小项，每一小项的测评结果分为“合格” 、 “基本合格”和“不合格”三种情环境安全设备安全介质安全备份与恢复计算机病毒防治电磁兼容安全审计网络安全保密性能检测入侵监控身份鉴别访问控制信息加密电磁泄漏发射防护信息完整性校验抗抵赖管理机构管理制度安全保密系统物理安全 网络运行安全 信息安全保密 安全保密管理管理技术人员管理操作系统安全数据库安全10况。大项的结果判据如下：a. 如果一个大项中所有小项均为“合格” ，则该大项为“合格” ；b. 如果一个大项中“不合格”的小项超过 40%，则该大项“不合格” ；c. 除上述 a,b 以外的其它情况，为 “基本合格” 。2检测结论判据a. 基本要求项中有一个大项“不合格” ，检测结论即为“不合格” ；b. 基本要求项中 60%（含 60%） “合格” ，其它基本要求项为“基本合格” ，且一般要求项中 60%以上（含 60%） “合格” ，检测结论即为“合格” ；c. 除上述 a,b 以外的其它情况，检测结论即为 “基本合格 ”。3检测意见、专家评估意见与测评结论的关系a. 检测意见认为“不合格” ，待整改复测后，再召开专家评估会进行评估；b. 检测意见认为“合格” ，专家评估意见认为“基本合格” ，则测评结论为“基本合格” ；c. 检测意见认为“基本合格” ，专家评估意见认为“不合格” ，待整改复测后，再给出测评结论。结语重视信息系统安全风险评估是信息化比较发达的国家的基本经验。我国当前高度重视信息系统安全风险评估的工作。涉密信息系统的安全风险评估已经进行了一些有益的实践，奠定了良好的工作基础。但是，还存在着一些问题需要加以解决。如建立完善的工作机制、提高评估能力和技术水平等。只要我们认识明确、措施得力，实实在在地推进涉密信息系统安全风险评估这项工作，我国涉密信息系统的安全保障能力将会提高到一个新的水平。