浅谈基于业务的信息安全等级保护风险评估方法.pdf

《浅谈基于业务的信息安全等级保护风险评估方法.pdf》由会员分享，可在线阅读，更多相关《浅谈基于业务的信息安全等级保护风险评估方法.pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、浅谈基于业务的信息安全等级保护风险评估方法浅谈基于业务的信息安全等级保护风险评估方法 文章文章摘要：摘要：文章通过对组织业务进行分析，根据组织的业务识别出重要的资产，提出一种基于业务的信息资产识别和评估方法，为等级保护的定级、测评和整改等工作提供科学的参考依据。1 引言引言 伴随着信息技术的发展和信息时代的到来，信息系统在国家的政治、军事和经济领域的广泛应用，整个社会对信息系统的依赖性越来越大，信息系统的安全问题己成为关系经济稳定、发展和国家安全的社会问题。信息安全经历了最初以密码技术为主的信息保密阶段和以防火墙、入侵检测技术为主的信息保护阶段，发展到以综合保护、检测、反应技术为主的信息安全保

2、障时代，而对系统实施安全等级保护、进行风险评估是信息安全保障的重要基础。为加快推进信息安全等级保护，规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全，构建和谐社会的需要，2007 年，全国信息安全标准化委员会正式下达了公安部牵头制定的 信息系统安全保护等级定级指南、信息系统安全等级保护实施指南、信息系统安全等级保护基本要求等系列指导标准(审批稿)，拉开了全国信息安全等级保护的序幕。等级保护不仅是对信息安全产品或系统的检测、评估以及定级，更是一项基础性和制度性的工作。我国的信息安全等级保护制度就是要根据信息系统的特点和风险状况，对信息系统的安全需求进行分级，实施不同级别的保护措

3、施。根据 2004 年 9 月四部委联合签发的关于信息安全等级保护工作的实施意见的要求，要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。这类系统主要包括：国家事务处理信息系统；财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的信息系统；教育、国家科研等单位的信息系统；公用通信、广播电视传输等基础信息网络中的信息系统；网络管理中心、重要网站中的重要信息系统和其他领域的重要信息系统。因此，我国的信息安全等级保护制度从一定角度看是信息安全保障工作中国家意志的体现，体现了国家对相应系统建设和使用单位在信息安全建设的基本要求。通过评估单位的特

4、点可以看出，其对象主要是重要的行业和企事业单位。实施等级保护的一个重要前提就是了解系统的风险状况和安全等级，所以风险评估是等级保护的重要基础与依据。信息安全风险评估是一个组织确保信息安全的基础和前提，所以注重信息安全风险评估的质量是保证信息安全的基础性工作。信息安全风险评估是对信息系统风险进行辨识和分析的过程，是对威胁、影响、脆弱性三者发生的可能性的评估。目的就是了解目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，为安全策略的确定、信息系统的建立及安全运行提供依据指引。文章提出的基于业务的信息资产评估方法试图建立一种适应等级保护的信息安全风险评估方法，为信息安全等级保护工作的开

5、展做好前期风险评估和系统定级工作。2 基于业务的信息资产评估流程基于业务的信息资产评估流程 资产是风险评估的第一要素，其他要素的评估都以资产为前提的。信息安全的资产评估目的是为了明晰评估范围内与信息安全相关的资产清单、资产关系和资产价值。先是摸清家底，列出评估范围内关系到信息安全的所有资产。然后整理家底，针对资产的性质进行分类，针对资产的关系进行梳理，针对资产的价值进行分级。这样就为分类分级和适度有效地保护资产打下了良好基础。一个信息系统的安全等级相当于这个信息系统能够承受风险的标签，等级越高，防御力度就越大，控制粒度就越细，安全感就越强，风险就越小，但投入也就越大，反之亦然。所以，如何根据一

6、个组织的真实情况进行定级就显得尤为重要，而所有这些问题的基础都是围绕资产识别展开的。在任何一个组织中，信息安全的目的始终都是用来保障组织业务的正常运行。因此本文在资产的识别过程中试图将组织的业务安全这个潜在的抽象概念映射成资产的安全这个可以定性和定量测量评估的概念上来，从而能够科学地把握组织的业务安全需求及其变化。信息资产评估流程图如图 l 所示。3 基于业务的信息资产识别方法基于业务的信息资产识别方法 对于任何一个组织和机构而言，安全的目的始终都是保障组织业务的正常运行。因此，资产识别过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析。我们将组织的业务安全映射成资产的

7、安全，使得我们能够科学地把握组织的业务安全需求及其变化。基于业务的信息资产识别方法，第一步就是要全面掌握受评单位的各项业务，要了解把握组织业务的类别、分布，组织的关键业务和附属业务。我们可以通过以下方法和途径全面了解掌握组织的业务：首先，仔细分析受评单位信息化建设的有关文档，比如信息化发展战略书、信息化建设实施计划、信息化建设实施方案等，通过这些文档，我们可以大体了解该组织的战略规划、建设目标、组织结构等大量翔实的信息，从中可以凝练出被评估单位的业务战略；其次，通过与受评单位分管信息化建设相关领导和工作人员交流，更深层次了解该组织的业务战略，同时可以了解其信息化建设状况；最后，通过到各个业务部

8、门实地考察信息系统的应用情况来考察业务战略的实施情况。通过以上三个途径，我们就能很好的了解组织的相关业务。第二步，我们要把组织的业务战略映射到具体的资产上来。通过分析查阅组织的各种软、硬件资料、网络拓扑结构、网络供应商和软件供应商的相关资料以及组织信息系统有关的各类管理体系文档，我们就能很好地了解该组织的业务是如何体现在各种信息资产上面的。通过将组织的业务合理科学的映射到所对应的信息资产上，我们也就把组织的业务安全映射成组织的信息资产安全。这样伴随着组织业务的变化，相应的组织的业务安全需求也要发生变化，这样我们就要适时对信息安全系统进行评估检查，并根据存在的问题及时制定相关的安全措施，以提高信

9、息安全的整体水平，适应企业业务变化对信息安全的要求。4 信息资产的分类和赋值信息资产的分类和赋值 在明确了组织或机构的业务以后，我们就要对资产进行分类和赋值。信息资产是一个组织业务运行的载体，是企业、机构内付出了一定的成本购置的具有很大价值的、需要保护的东西。它可能以多种形式存在，有无形的、有形的，有硬件、软件，有代码，文档，还有服务、企业形象等。到目前，针对资产的分类还没有一个统一的标准，在 BS7799 及国际草案信息安全风险评估指南中 l6，对资产分类有一个大致的描述，并把资产分为数据、软件、硬件、服务、文档、设备、人员和其他类别，此分类逻辑性强，但实际操作中它把企业中复杂的信息系统按照

10、表现形式进行了简单分类忽略了资产之间的相互关系，也没有注重资产的地理位置和所处环境对其价值的影响，进行这样的划分得到的最终评价结果往往会成为单台设备的漏洞检查和分析，或是单条制度的修改，无法从整体意义或是不同客户群体关心的问题出发，具有极大的片面性。在基于业务的信息安全风险评估中，对资产进行分类时，我们始终坚持以业务为出发点，通过“业务一资产识别一资产分类一资产安全性赋值”的过程，通过业务主线贯穿整个资产的识别过程。本文将资产分为信息、信息载体和信息环境。信息包括业务信息、用户信息和系统管理维护信息；信息载体指信息的承载体，包括硬件载体(计算机设备、网络设备、安全设备、传输介质、存储设备、保障

11、设备和软件载体(应用软件、系统软件、网络通信协议软件)；信息环境包括硬环境(机房、动力供应设备、环境控制设备和环境防护设备)和软环境(规章制度组织机构、人员)。通过这种分类方式，我们能很清晰的分析机构所从事的业务，定位该业务所涉及的相关业务信息、用户信息，同时科学划分和标识承载这些信息的相关硬件和软件载体，最后再锁定相应的环境信息(如图 2 所示)。例如，要对政府税务部门的信息系统进行风险评估，我们通过业务分析，发现其业务主要是进行各种税务的征收和管理，那么所牵涉的信息就有纳税人的基本信息、税务数据信息等，相应的信息载体有处理和储存信息的计算机、存储设备、传输介质和纳税人数据库服务器、大型应用

12、软件(譬如税务信息采集系统、税务信息申报系统等)，还有支撑相关信息和载体的信息环境，像机房、电力设施、规章制度、人员等。通过业务对信息资产“提纲挈领”进行分类和分解以后，我们就要对其资产进行赋值，确定资产的重要性，提炼资产的安全需求。信息资产的重要性体现在保密性、完整性和可用性这三个信息安全最基本的三个属性上。我们对分类后的每一个资产分别进行保密性赋值、完整性赋值和可用性赋值，然后在此基础上综合分析得到资产的重要性等级。根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不同程度或者保密 生缺失时对整个组织的影响；根据资产在完整性上的不同要求，将其分为五个不同的

13、等级，分别对应资产在完整性上缺失时对整个组织的影响；根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不同程度。资产的最终价值应根据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得到。综合评定方法可以根据组织自身的业务特点，选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以由组织具体特点，根据资产在保密生、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。我们采用第一种方法得到最终该资产的等级=max保密性等级、完整性等级、可用性等级。5 信息资产的脆弱性和威胁分析信息资产的脆弱性和威胁分析 在

14、信息安全风险评估中，威胁和脆弱性是两个很重要的要素，威胁是产生风险的外因，脆弱性是产生风险的内因。组织内每项信息资产本身都存在着脆弱性，威胁总是要利用资产的脆弱性才可能对组织系统造成危害。资产的脆弱性识别是风险评估中最重要的一个环节，脆弱性识别以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估。通过对资产在组织业务中的重要程度分析，我们可以对资产进行分类并对每项资产进行重要性等级的划分，在此基础上根据资产的重要性等级及其安全需求从级别最高的资产进行脆弱性分析，逐个资产都进行脆弱性评估，重要资产重点评估，避免个别信息资产风险评估被遗漏，并且根据脆弱性对

15、资产的暴露程度、技术实现的难易程度、流行程度等，采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性严重程度同样可以进行等级化处理，和资产等级对应共分为 5 个等级，从 15分别代表 5 个级别的脆弱程度。等级越大，脆弱程度越高。威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可以分为人为因素和环境因素。根据威胁的动机，人为因素又可以分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其他物理因素。威胁的作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害。在对威胁进行赋值时，判断威胁出现的频率是威胁赋值的重要内容，应根据经验或相关的统计数

16、据来进行判断。与资产和脆弱性相类似，在对威胁进行赋值的时候，也是采用分级的方式(如表 l 所示)。把威胁等级分为 5 个等级，从表中可以看出，等级越大，威胁发生可能性越大。威胁的其他因素，如威胁的严重程度、威胁发生成功的可能性等因素都在受威胁资产的相对价值上体现出来，也就是说在影响的程度上反映出来。6 信息资产风险的计算和风险信息资产风险的计算和风险等级的确定等级的确定 在完成资产识别、威胁识别、脆弱性识别后，将采用适当的计算方法来计算信息资产的风险值。目前通用的风险评估中风险值计算主要根据以下的风险分析原则执行(如图3所示)，由威胁和脆弱性来确定安全事件发生的可能性，由资产和脆弱性确定安全事

17、件的损失，最后由安全事件发生的可能性和安全事件的损失确定风险值。在 GBT209842007 中，提到了矩阵法和相乘法。文中，对资产、威胁和脆弱性进行评估时都进行了五级划分的形式，资产的相对估值为：O A5；威胁的相对估值为：O T 5；脆弱性的相对估值为：OGVG5；风险值的计算公式为：RA TXV，资产的风险值为：0一 R 125。和资产、威胁和脆弱性的等级对应，对威胁也进行五级划分，等级划分如表 2 所示。根据资产所面临的风险等级，参照信息安全等级的基本要求对其进行等级保护。7 结语结语 在对受评单位业务进行分析调研的基础上，本文提出了基于业务的信息资产识别方法。在该方法中，不论是在信息资产赋值方面，还是脆弱性分析和威胁分析以及最终的风险计算方面处处体现了等级保护的思想。该方法能够很好的了解信息系统的风险状况和安全等级，为开展等级保护提供依据，在实际的等级保护中取得了令人满意的结果。