--涉密信息系统安全风险评估的探讨

--涉密信息系统安全风险评估的探讨 涉密信息系统安全风险评估的探讨 国家保密技术研究所 杜虹 引言 2003年9月7日中共中央办公厅、国务院办公厅以中办发[2003]27号文件 转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》。其中强 调了要重视信息安全风险评估工作。2004年1月9日国家召开了全国信息安全保障工作会议，黄菊同志在讲话中指出：要开展信息安全风险评估和检查。根据 风险评估的结果，进行相应等级的安全建设和管理，特别是对涉及国家机密的信 息系统，要按照党和国家有关保密规定进行保护。国家高度重视信息安全风险评 估工作，并进一步明确了信息安全风险评估在国家信息安全保障工作中的地位和 作用。本文将对信息安全风险评估的基本概念和涉及国家秘密的信息系统（以下 简称“涉密信息系统”主要风险评估的作用、形式、步骤、方法等进行讨论。 一、信息系统安全风险评估的基本概念 信息系统的安全是一个动态的复杂过程，它贯穿于信息系统的整个生命周 期。信息系统安全的威胁来自内部破坏、外部攻击、内外勾结进行的破坏以及信 息系统本身所产生的意外事故，必须按照风险管理的思想，对可能的威胁和需要 保护的信息资源进行风险分析，选择适当的安全措施，妥善应对可能发生的安全 风险。因此，对信息系统特别是重要的信息系统进行不断的安全风险评估是十分 必要的。 1．信息系统安全风险评估的定义 所谓信息系统安全风险评估是指依据国家有关技术 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ，对信息系统的完整 性、保密性、可靠性等安全保障性能进行科学、公正的综合评估活动。风险评估 是识别系统安全风险并决定风险出现的概率、结果的影响，补充的安全措施缓和 这一影响的过程，它是风险管理的一部分。 风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能 性的评估。它是确认安全风险及其大小的过程，即利用适当的风险评估工具，包 括定性和定量的方法，确定信息资产的风险等级和优先风险控制顺序。 1 2．信息安全风险评估的基本要素 信息安全风险评估要关注如下基本要素： 使命：一个组织机构通过信息化形成的能力要来进行的工作任务。 依赖度：一个组织机构的使命对信息系统和信息的依靠程度。 资产：通过信息化建设积累起来的信息系统、信息以及业务流程改造实现的应用 服务的成果、人员能力和赢得的信誉。 价值：资产的重要程度。 威胁：对一个组织机构信息资产安全的侵害。 脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为 弱点或漏洞。 风险：某种威胁利用暴露的系统对组织机构的资产造成损失的潜在可能性。风险 由意外事件发生的概率及发生后可能产生的影响两种指标来衡量。 残余风险：采取了安全保障措施，提高了防护能力后，仍然可能存在的风险。 安全需求：为保证组织机构的使命正常行使，在信息安全保障措施方面提出的要 求。 安全保障措施：对付威胁，减少脆弱性，保护资产而采取的预防和限制意外事件 的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、 规程和机制的总称。 这些要素的相互关系如下（图1）所示：使命是资产来支付的。资产都有价 值，信息化的程度越高，组织机构的任务越重要，对资产的依赖度越高，资产的 价值就越大。资产的价值越大风险越大。风险是威胁发起的，威胁越大风险越大。 威胁都要利用脆弱性，脆弱性越大风险越大。脆弱性使资产暴露，威胁利用脆弱 性，危害资产，形成风险。我们对风险的意识，会引出防护需求。防护需求被防 护措施所满足。防护措施抗击威胁，降低风险。 2 图1 风险评估各种要素的相互关系 通过防护措施对资产加以保护，对脆弱性加以弥补，从而降低了风险；此时 威胁只能形成残余风险。可能有多个防护措施共同起作用，也可能有多个脆弱性 被同时利用。有些脆弱性可能客观存在，但是可能没有对应的威胁。这可能是由 于这个威胁不在机构考虑的范围内，或者这个威胁的影响极小被忽略不计外部威 胁和系统脆弱性可能造成损失的潜在危险。采取了防护措施能够减低风险，使残 余风险限制在能够承受的程度上。（如图2所示） 图2 威胁、资产、脆弱性、风险、保护措施、残余风险的关系 3 3．信息系统安全风险评估的形式 信息系统安全风险评估从信息系统拥有者的角度来看可划分为三种形式，即 自我评估、委托评估和检查评估。 （1）自我评估 自我评估是指信息系统拥有者指定的本机构信息系统 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 人员在信息 系统运行维护中使用相应的安全风险评估工具按照一定的规范进行的评估活动。 从信息系统拥有者的角度来看是完全主动的行为，其优点是可方便地进行经常性 的评估，及时采取对策降低安全风险，是一种“自查自纠”的方式。这种方式因 为是在一个机构内部进行，因此一般不会引入评估带来的新的风险，缺点是专业 性和客观性稍较差。 （2）委托评估 委托评估是信息系统拥有者选择委托具有相应资质的评估单位按照一定的 规范对信息系统进行的独立的评估活动。从信息系统拥有者的角度来看是完全自 愿的，并具有一定的选择性。其优点是专业性、公证性和客观性较强。需注意的 是对于评估可能引入新的风险，要加强控制。 （3）检查评估 检查评估是信息系统拥有者的上级机关或国家赋予信息安全管理职能的机 关授权的评估单位根据一定的管理权限和程序，按照一定的规范对信息系统进行 的独立的评估活动。此种评估带有检查的性质，从信息系统拥有者的角度来看具 有某种被动性。其优点是专业性、公证性、客观性较强，一般也不会引入评估带 来的新的风险。 当然从不同的角度来看，对信息系统安全风险评估可以有不同的划分形式。 二、涉密信息系统的安全风险评估 1．安全风险评估在涉密信息系统安全保障中的作用 信息系统安全风险评估在信息系统安全保障中具有重要的作用。同样，涉密 信息系统风险评估在涉密信息系统安全保障中具有重要的作用。涉密信息系统安 全保密管理的全过程如下（图3）所示： 4 安全目标、安全策略 确定安全目标 涉密资产 制定安全战略 制定安全策略 风 险 分 析 脆 弱 性 威 胁 风 险 基线方法 非正式方法 详细方法 结合方法 资质管理 方 案 设 计 技术要求 防护措施的选择 保密性 完整性 可用性 设计指南 可核查性 真实性 可靠性 安全产品的选择 产品检测 风险接受度 安全防护计划 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 评审 安 全 计 划 实 施 安安工程监理 全全防护 系统测评 意培措施 识 训 审批管理 实施 系 统 运 行 与 维 护 保 日常检查 符合性 监 督 密 维持程序 管 定期评估 变更管理 事故处理 理 图3 涉密信息系统安全保密管理的全过程 5 第一步要确立安全目标与策略；第二步在风险分析中要进行风险评估；第三 步在方案设计中对风险接受度要进行评估；第四步在安全计划实施中要进行系统 测评；第五步在系统运行与维护中要进行日常检查和定期评估，然后从第五步可 循环到第一至四步。可以看出，安全风险评估贯穿于涉密信息系统安全保密管理 的全过程，具有极为重要的作用。 2．涉密信息系统安全风险评估的形式 涉密信息系统安全风险评估主要有两种形式，即自我评估和检查评估。一般 意义上的委托评估从保密管理的要求来看不适用于涉密信息系统。 自我评估是涉密信息系统拥有者主要进行的日常的评估，是保障涉密信息系 统日常安全的重要手段。因此在国家保密局指导和相关保密标准的指引下，各部 门各单位对所拥有的涉密信息系统进行自我评估应成为安全风险评估的主要方 式。 检查评估是国家保密局授权的，经中央批准成立的专门评估机构——国家保 密局涉密信息系统安全保密测评中心实施的。可以在已建涉密信息系统安全改进 方案设计之前进行，作为方案设计的依据；可以在已建涉密信息系统审批运行之 前进行，作为保密局审批的依据；也可以在已建涉密信息系统开通运行一段时间 之后进行，做为控制新的安全风险的依据。 6 3．涉密信息系统安全保密测评的工作流程 涉密信息系统安全保密测评的工作流程如下（图4）所示。 涉密系统使用单位来函并报资料 测评中心进行资料审查 涉密系统使用单位修改资料 是否通过 否 是 测评中心进行现场考察 测评中心制定《测评方案》 测评中心现场检测 测评中心进行检测结果分析、提出检测意见 测评中心召开专家评估会，给出专家评估意见 测评中心综合检测意见和专家评估意见， 写出测评报告，给出测评结论，出具测评证书 测评中心将测评结论和测评证书（复印件） 报国家保密局备案 图4 涉密信息系统安全保密测评的工作流程 7 4．涉密信息系统安全保密测评的实施 （1） 测评的依据和方法 测评的依据是中华人民共和国保密指南，BMZ3《涉及国家秘密的计算机信 息系统安全保密测评指南》；测评的方法是按照BMZ3测评指南所规定的方法，采用规范的工具，按照涉密信息系统处理信息密级的不同，分为秘密级、机密级、 绝密级三个等级，按相应等级安全保密防护要求进行测评。 （2） 测评的内容 测评的内容包括安全保密系统的四个方面，如下（图5）所示： 安全保密系统 物理安全 网络运行安全 信息安全保密 安全保密管理 环境安全 备份与恢复 身份鉴别 管理机构 计算机病毒防治 设备安全 访问控制 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 介质安全 电磁兼容 信息加密 管理技术 人员管理 操作系统安全 电磁泄漏发射 防护 数据库安全 信息完整性校验 入侵监控 网络安全保密性能检测 安全审计 抗抵赖 图5 测评安全保密系统的四个方面 （3）测评结果的判据 〈1〉检测项目结果判据 测评项目分为基本要求项和一般要求项，基本要求项关系到涉密信息系统的 高安全风险，一般要求项关系到较低的安全风险。它们中的每一大项分为若干小 项，每一小项的测评结果分为“合格”、“基本合格”和“不合格”三种情况。大 8 项的结果判据如下： a. 如果一个大项中所有小项均为“合格”，则该大项为“合格”； b. 如果一个大项中“不合格”的小项超过40%，则该大项“不合格”； c. 除上述a,b以外的其它情况，为“基本合格”。 〈2〉检测结论判据 a. 基本要求项中有一个大项“不合格”，检测结论即为“不合格”； b. 基本要求项中60%（含60%）“合格”，其它基本要求项为“基本合格”，且一 般要求项中60%以上（含60%）“合格”，检测结论即为“合格”； c. 除上述a,b以外的其它情况，检测结论即为“基本合格”。 〈3〉检测意见、专家评估意见与测评结论的关系 a. 检测意见认为“不合格”，待整改复测后，再召开专家评估会进行评估； b. 检测意见认为“合格”，专家评估意见认为“基本合格”，则测评结论为“基 本合格”； c. 检测意见认为“基本合格”，专家评估意见认为“不合格”，待整改复测后， 再给出测评结论。 结语 重视信息系统安全风险评估是信息化比较发达的国家的基本经验。我国当前 高度重视信息系统安全风险评估的工作。涉密信息系统的安全风险评估已经进行 了一些有益的实践，奠定了良好的工作基础。但是，还存在着一些问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 需要加以 解决。如建立完善的工作机制、提高评估能力和技术水平等。只要我们认识明确、 措施得力，实实在在地推进涉密信息系统安全风险评估这项工作，我国涉密信息 系统的安全保障能力将会提高到一个新的水平。 9