一、引言

信息化技術的廣泛應用，在提高科研、生產效率和質量的同時，也極大地增加了信息安全風險。目前解決信息安全問題普遍采用的方法是風險評估，從風險管理的角度，系統地分析信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生時可能造成的危害程度，并提出有針對性的防護對策和整改措施，將風險控制在可接受的水平，最大程度地保障信息安全。

信息安全風險評估分為自評估和檢查評估兩種形式。風險自評估是建立信息安全體系的基礎和前提，目前風險自評估沒有統一的標準和方法，如何組織風險自評估是困擾評估單位的難題，也是本文的主要討論內容。

二、信息安全風險評估理論和方法

（一）風險管理過程

背景建立、風險評估、風險處理和批準監督是信息安全風險管理的4個基本步驟。

背景建立階段：確定風險管理的對象和范圍，進行相關信息的調查分析，準備風險管理的實施。

風險評估階段：根據風險管理的范圍識別資產，分析信息系統所面臨的威脅以及資產的脆弱性，結合采用的安全控制措施，在技術和管理兩個層面對信息系統所面臨的風險進行綜合判斷，并對風險評估結果進行等級化處理。

風險處理階段：綜合考慮風險控制的成本和風險造成的影響，從技術、組織和管理層面分析信息系統的安全需求，提出實際可行的安全措施。明確信息系統可接受的殘余風險，采取接受、降低、規避或轉移等控制措施。

批準監督階段：包括批準和持續監督兩部分。依據風險評估的結果和處理措施能否滿足信息系統的安全要求，決策層決定是否認可風險管理活動。監控人員對機構、信息系統、信息安全相關環境的變化進行持續監督，在可能引入新的安全風險并影響到安全保障級別時，啟動新一輪的風險評估和風險處理。

監控審查和溝通咨詢貫穿于上述4個基本步驟，跟蹤系統和信息安全需求的變化，對風險管理活動的過程和成本進行有效控制。

（二）風險分析原理

風險值=R（A,T,V）R表示安全風險計算函數，A表示資產，T表示威脅，V表示脆弱性。資產、威脅和脆弱性是風險的3個因素，是風險分析的基礎。根據風險分析原理，首先應進行資產、威脅和脆弱性識別，分析得出資產價值、威脅出現的頻率和脆弱性的嚴重程度，然后分析計算安全事件的可能性和損失程度，得出風險值。

（三）風險因素識別

資產在表現形式上可分為數據、軟件、硬件、服務、人員等類型。根據風險評估的范圍識別出關鍵資產與一般資產，形成需要保護的資產清單。根據資產在保密性、完整性和可用性3個方面的安全屬性，結合評估單位業務戰略對資產的依賴程度等因素，對資產價值進行評估。威脅具有多種類型，如：軟硬件故障、物理環境影響、管理問題、惡意代碼、網絡攻擊、物理攻擊、泄密、篡改等。有多種因素會影響威脅發生的可能性，如：攻擊者的技術能力、威脅行為動機、資產吸引力、受懲罰風險等。在威脅識別階段，評估者依據經驗和相關統計數據對威脅進行識別，并判斷其出現的頻率。

脆弱性的識別可以以資產為核心，針對資產識別可能被威脅利用的弱點進行識別，也可以從物理、網絡、系統、應用、制度等層次進行識別，然后與資產、威脅對應起來。在此過程中應對已采取的安全措施進行評估，確認其是否有效抵御了威脅、降低了系統的脆弱性，以此作為風險處理計劃的依據和參考。

（四）風險評估方法

風險評估方法概括起來可分為定量、定性、以及定性與定量相結合的評估方法。

定量評估法基于數量指標對風險進行評估，依據專業的數學算法進行計算、分析，得出定量的結論數據。典型的定量分析法有因子分析法、時序模型、等風險圖法、決策樹法等。有些情況下定量法的分析數據會存在不可靠和不準確的問題：一些類型的風險因素不存在頻率數據，概率很難精確。在這種情況下單憑定量法不能準確反映系統的安全需求。

定性評估法主要依據評估者的知識、經驗、政策走向等非量化資料對系統風險做出判斷，重點關注安全事件所帶來的損失，而忽略其發生的概率。定性法在評估時使用"高""中""低"等程度值，而非具體的數值。典型的定性分析法有因素分析法、邏輯分析法、歷史比較法、德爾菲法等。定性分析法可以挖掘出一些蘊藏很深的思想，使評估結論更全面、深刻，但其主觀性很強，對評估者本身的要求較高。

定量與定性的風險評估法各有優缺點，在具體評估時可將二者有機結合、取長補短，采用綜合的評估方法以提高適用性。

三、信息系統安全風險管理

（一）信息系統全生命周期風險管理

信息系統的生命周期包括系統規劃、方案設計、建設實施、運行維護、系統廢止等階段。信息系統生命周期各階段涉及的風險評估原則和方法是一致的，但由于各階段的特點和安全需求不同，風險評估具體實施的側重點也有所不同。

在系統規劃階段，風險評估主要是識別系統的業務戰略，在保證業務需求的前提下，梳理安全隱患，明確系統的安全需求及安全戰略。評估結果應體現在信息系統整體規劃或項目建議書中。

在方案設計階段，風險評估主要是確定系統建設應達到的安全目標。此階段的風險評估可以以安全建設方案評審的方式進行，判定設計方案所提供的安全功能是否符合相關標準。

在建設實施階段，應將規劃設計階段的安全風險進一步細化，并評估安全措施的實現程度，另外，應對系統的實施過程進行風險識別。

在運行維護階段，風險評估主要是識別、控制系統運行過程中的安全風險，是一種較為全面的風險評估。通過動態識別不斷變化的系統所面臨的安全風險，保證安全措施的有效性、確保安全目標的實現。

在系統廢止階段，主要是對報廢資產的影響，以及可能帶來的新威脅進行分析評估。此階段應重點關注報廢資產的處理過程及其去向，確保整個執行過程均處于有效的監督下，并對相關執行人員進行安全教育。

（二）信息系統安全風險評估方法

信息系統運行使用過程中，信息安全風險評估通常重點關注安全事件所帶來的損失以及如何采取風險控制措施，而弱化事件發生的數量指標�；�于以上特點，本文提出一種基于脆弱性識別的風險評估方法，將對脆弱性的識別、評價作為風險評估工作的重點，有效簡化了風險分析模型。

1.風險評估組織

組建包括決策人員、管理人員、執行人員、監控人員、使用人員、支持人員等角色的風險管理團隊，明確相關角色人員在風險管理中的任務和職責。決策人員負責風險管理的重大決策、總體規劃和批準監督；管理人員負責風險管理過程中的管理、組織和協調；執行人員負責風險評估的具體規劃、設計和實施；監控人員負責信息安全風險管理過程、成本和結果的監視和控制；使用人員反饋信息安全風險管理的效果；支持人員為信息安全風險管理提供專業技術支持。制定詳細的風險評估計劃，依據系統的業務戰略、技術架構、安全防護體系，明確風險評估需求，確定風險評估的對象范圍、風險評估方法、時間節點等要素，并得到決策層的支持和批準。

2.風險要素識別

在進行資產識別時，由于資產的價值由保密性、完整性和可用性3個方面的安全屬性決定，賦值很難準確，建議資產識別主要以對資產對象的識別為主，不對資產價值做精確計算。

脆弱性不會產生安全事件，只有威脅作用于脆弱性時才會導致安全事件的產生。國家明確規定了信息系統安全防護的標準和要求，以應對安全事件，對標準的符合性核查即為風險識別的過程。在進行風險分析評估時，以脆弱性檢查作為安全風險評估的主要依據，以威脅出現的頻率作為參考，將信息系統面臨的威脅整體考慮，不對脆弱性對應的具體威脅進行識別。

3.風險分析判斷

將資產、威脅的等級分為高、低兩個級別，脆弱性等級分為高、中、低3個級別。對資產、威脅、脆弱性的分析判斷采用德爾菲法：通過背對背群體決策咨詢的方式征詢專家小組成員的意見，經過幾輪征詢使決策意見趨于集中。專家小組由管理人員、執行人員、監控人員、使用人員、支持人員等不同層級組成，以提高決策意見的準確性。德爾菲法在分析安全風險時需經過幾輪群體決策咨詢，才能使結論趨于集中。在實際操作中，可結合綜合討論的形式，加快分析速度，以快速做出決策。基于風險因素的分析結果，再采用新一輪的德爾菲法，或以構建風險分析矩陣的方式，最終確定安全風險等級。

在風險評估時，可以使用信息安全風險評估與控制類工具軟件，完成對資產的管理、風險的分析與評估。

（三）持續改進建議

為了改進評估單位的安全狀態、實現信息安全目標，根據風險評估的結果，必須提出實際可行的改進建議。綜合考慮風險控制成本和風險造成的影響，依據安全需求，明確信息系統可接受的殘留風險，對風險采取接受、降低、規避或轉移等控制措施。在進行持續改進時，建議結合以下幾點進行考慮。

1.通過信息安全風險評估推動信息安全架構的建立和完善，建立架構能力框架和核心業務流程。通過規范的策略、制度、操作規程實現IT服務和安全管理，同時保證業務的連續性。建立基于信息安全架構的風險管理方法，持續有效地發現、控制信息安全風險，實現對信息安全的長效監控、管理。

2.根據發現的信息安全風險，編寫或修訂安全保密策略，完善管理制度。通過策略描述實現安全目標的高層計劃。通過制度規定詳細、具體的執行程序，明確責任部門和責任人，將風險防控措施固化，以提供持續的信息安全保障。

3.通過內部控制機制強化日常監督，結合保密檢查、獎懲機制、績效考核等手段，對風險控制措施進行強化落實。對保密檢查中重復發現的問題，核實策略和制度的合理性和有效性，并進行完善和修訂，實現預防式管理。

四、結語

由于信息系統及其所在環境不斷變化，信息安全風險和安全需求也會不斷變化，信息安全風險評估是一個復雜、動態、循環的過程，通過動態的風險評估體系、動態的安全策略制定、動態的安全防護、實時的監控系統以及健全的安全管理體系，實現完整、動態的安全循環。

風險評估主要是為信息安全提供一個方向，不管采取的評估方法多詳細、多專業，也只是描述信息安全風險狀態，而不會改進評估單位的安全狀態。只有切實利用風險評估結果強力推進改進活動，實現有效的風險管理，并保持其持續性，才能改善安全狀態，進而保障系統安全。

 

（原載于《保密科學技術》雜志2017年10月刊）