网络信息安全风险评价理论基础的研究.doc

网络信息安全风险评估理论 ——发展、研究与运用 【内容提要】 正文 “信息”是一个十分广泛地概念。这里所说的“信息安全”中的“信息”是指数字化信息，或者数是指通过网络、计算机进行传、处理的信息。信息安全就应该是指通过网络、计算机进行传输、处理的数据信息的安全。 信息是一种资产，就像其他重要的商业资产一样，它对一个组织来说是有价值的，因此需要妥善进行保护。信息安全保护信息免受多种威胁的攻击，保证业务连续性，将业务损失降至最少，同时最大限度地获得投资回报和利用商业机遇。 信息安全具有保密性、完整性、可用性特征（即CAI）[1]： 保密性：确保只有经过受权的人才能访问信息； 完整性：保护信息和信息的处理方法准确而完整； 可能性：确保受权的用户在需要时可以访问信息并使用相关信息资产。 威胁和脆弱性结合在一起会破坏以上三种CAI属性。 信息安全是通过实施一整套适当的控制措施实现的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一套的控制措施，确保满足组织特定的安全目标。 对信息安全实施等级化保护和等级化管理是一种实现信息安全的方法。信息安全问题的基础和前提就是对信息安全解决方案进行充分有效的风险分析评估，了解系统目前与未来的风险所在，评估这些风险可能带来的安全威胁与影响程度，从而将系统的风险降到一个可以接受的程度，这就是风险评估所要完成的任务。 信息安全评估的基本原理可从三方面说起，即：信息安全风险管理、信息安全评估定义以及信息安全评估的时机和作用。 而本文研究的是基于安全等级的风险评估，所以若不作特别说明，本文将安全等级评估和安全风险评估统称为“安全评估”。 风险管理（Risk Management） 图1 风险管理各要素之间的关系 风险管理要素之间的关系如上图所示。使命依赖于资产去完成。资产拥有价值，信息化的程度越高，单位的使命越重要，对资产的依赖度越高，资产的价值则就越大。资产的价值越大则风险越大。风险是由威胁发起的，威胁越大则风险越大，并可能演变成事件。威胁都要利用脆弱性，脆弱性越大则风险越大。脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险。资产的重要性和对风险的意识会导出安全需求；安全需求要通过安全措施来得以满足，且是有成本的。安全措施可以抗击威胁，降低风险，减弱事件的影响。风险不可能业没有必要降为零，在实施了安全措施后还会有残余风险——一部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全措施的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的。残余风险应到密切监视，因为它可能会在将来诱发新的事件。 通过安全措施来对资产加以保护，对脆弱性加以弥补，可以降低风险。实施了安全措施后，威胁只能形成残余风险。为了对付某种威胁，往往需要多个安全措施共同作用。在某些情况下，也会有多个脆弱性被同时利用。脆弱性与威胁是独立的，威胁要利用脆弱性才能造成安全事件。但有时，某些脆弱性可能没有对应的威胁，这可能是由于其对应的威胁不存在，或者这个威胁的影响极小，以至忽略不计。采取安全措施的目的是处理风险，将残余风险控制在能够接受的程度上。 风险管理的目的和意义： 风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡，并最终通过对支持其使命的信息系统及数据进行保护而提高其使命能力。一套合理的风险管理方法，可以帮助信息系统的主管者和运营者最大程度地提高其信息安全保障能力，以便最有效地实现其使命。 风险评估（Risk Assessment） 图3 信息安全建设过程Ⅰ 应用 层面 业务战略和IT战略；信息资源经济特性和信息级别；业务价值创造和业务系统级别；业务流程及价值创造中的安全风险和需求 业务流程中的安全控制设计； 应用软件的安全性设计 业务流程中的安全控制实现；应用软件代码安全性测试；应用软件分发和操作 业务流程安全性是否符合安全等级要求性； 应用软件安全性是否与设计的一致 业务流程安全性监控； 业务流程评价； 应用软件安全维护 平台 层面 IT基础设施现状分析； IT基础设施安全需求 网络区域级别和安全构架设计；IT基础设施的安全控制设计 网络区域部署和调整；IT基础设施的安全控制实现 网络区域划分是否符合安全等级要求；IT基础设施的安全控制是否与设计一致 IT基础设施的安全检测、评估应急和维护等规范、流程设计 产品 层面 现有安全产品情况 安全产品功能指标设计 安全产品选择、部署、配置 安全产品的类型、配置是否与设计的一致且符合安全等级要求 安全产品检查和评估以及实施指南 安全 服务 安全评估 安全设计咨询 安全性实现和测试 安全评估验证 安全运行