陈 颂， 王光伟， 刘欣宇， 杜 娟

(①北京市装甲兵工程学院信息系计算机教研室，北京 100072；②北京市96610部队，北京 102208)

0 引言

随着全球信息化步伐的加快和网络信息系统基础性作用的日益增强，以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式，中国的社会经济和快速发展对信息网络和系统等基础设施的依赖性越来越大。然而，由于信息网络和信息系统本身的已有缺陷以及与之密切相连的网络环境的复杂性，信息系统容易遭受病毒、木马、恶意代码、网络攻击、物理故障等多个方面的威胁，导致这些信息系统的整体瘫痪或信息泄露，从而给人类财产造成重大甚至是灾难性的损失。

针对信息系统安全性带来的巨大挑战，近年来人们加大了信息系统安全性研究的力度，并设计了众多安全性保障措施，以提高信息系统的安全性。然而，由于安全性是一个复杂的综合概念，信息系统的安全性度量和评估一直都未得到有效的解决。通过长时间社会实践探索，逐渐意识将基于安全风险（Security Risk）的系统评估方法引入到信息系统的重要性。通过采用安全风险评估方法，可以采用风险大小来分析信息系统在机密性、完整性、可用性等方面所面临的威胁，发现信息系统安全的主要问题和矛盾，从而为安全风险的预防、减少、转移、补偿和分散等决策提供依据，以最大限度地控制和化解安全威胁。

本文系统地介绍信息系统安全风险分析的概念，分析风险评估的基本要素和常见的安全风险评测方法。系统性考虑信息网络和信息系统面临的安全威胁、存在的脆弱性以及已经确知的安全控制策略等因素，提出一种信息系统安全风险评估的流程，从而提高风险评估的准确性。

1 信息安全风险评测的概念

所谓信息安全风险评测评估，是从安全风险管理层面出发，运用科学的手段和方法，系统性地研究网络与信息系统所面临的威胁及其存在的脆弱性，评估信息系统与网络中一旦发生安全事件将会对信息系统所造成的危害程度，有针对性提出抵御信息系统所面临威胁的防护措施和策略，同时为防范信息安全风险、化解信息安全风险，或将风险控制在可接受范围，从而最大程度地为网络和信息系统的安全保障提供可信赖科学依据［1］。

1.1 信息系统安全风险评估要素：

信息系统安全风险评估主要包括以下 3个要素［2-3］:

1）价值资产（Importance Asset）:所有对单位或组织具有价值的东西，包括计算机、基础通信设施、建筑物、数据库系统、档案信息、信息系统、软硬件、和单位职工等，所有这些价值资产都需要妥善保护。

2）信息威胁(Information Threat):是可能对价值资产或单位造成严重损害的事件的潜在原因，即威胁源（Threat Source）或威胁组织（Threat Agent）成功利用信息系统存在的弱点对价值资产造成负面的、潜在的影响的一种可能性。

3）潜在攻击点（Potential Vulnerability）：称为漏洞或脆弱性，即价值资产中存在的可能被攻击者用于威胁信息系统的缺点。

除此之外信息系统的风险评估要素还包括隐形风险、潜在可能性、系统影响、抗风险措施、存留风险等。图1给出了风险评估各要素及相互关系［4］。

1.2 风险评估分析方法

信息系统的常用的风险评估方法一般分为定性、定量和基于评估模型分析法3种，具体方法介绍如下［5-6］：

1）定性法：即是以被评估对象的描述性信息作为基本数据，依据信息系统的评估理论、历史经验数据和研究者对被研究者的感性认识进行系统性分析、逻辑推导、全面总结，最后做出研究结论。定性法一般只用于对安全风险进行识别，对导致风险的原因进行分析，对威胁所造成影响进行分析等几个方面。

2）定量法：即是研究者通过试验或实践方法，采取一定方法量化试验或实践所收集的数据，并以此作为研究被研究对象基础材料，依据相应数学方法进行计算、分析，最后得出定量的结论数据。定量法主要应用于计算信息系统安全威胁发生概率，预测信息系统安全风险发生概率和确立系统总体风险评价等几个方面。

3）基于评估模型分析法：在风险评估理论的指导下，结合定量、定性分析方法，重点针对被评估信息系统的实际要素（包括价值资产、安全风险、安全措施防范性等）建立有科学的、合理的、有效性的安全风险评估模型，其目的是引导信息系统更好进行自主评估，发挥安全风险评估的指导作用。

2 信息安全风险评估的实施流程

为了确定未来有害事件发生的可能性，必须要对信息系统面临的威胁、可能的脆弱性及信息系统中已经确认的安全控制一起进行分析。为此，结合风险评估的一般过程，并综合考虑信息系统面临的威胁、潜在的脆弱性以及安全控制确知等因素，提出了风险评估过程如图2所示。

1）风险评估准备过程是开展风险评估的基础，是整个系统风险评估过程是否有效的保证。开展风险评估对于信息系统而言是信一种战略性的考虑，其评估结果将会受到业务安全需求及单位战略目标、组织文化、信息流程、组织规模和组织结构的影响。不同单位对于风险评估的实施存在不同的要求，因此风险评估实施前必须做好工作有：a.明确风险评估的范围；b.确立风险评估的目标；c.成立有效的组织结构；d.选用可行的风险评估方法；e.取得最高管理者的同意和经济支持。

2）资产估价与识别。按照信息系统的业务操作流程进行价值资产识别，确定要保护的价值资产及其物理位置，并依据估价原则评价价值资产的重要程度。在对价值资产进行有效估价时，不但要考虑价值资产的市场价格，同时要考虑价值资产对于信息系统重要性，即根据价值资产损失所导致的潜在风险性来决定。为确定价值资产估价准确性，信息系统应建立一个统一的风险评价标准，以明确如何对价值资产进行权重赋值。除此之外，还应注重特定资产价值的动态性和时效性。

3）系统信息的管理者、操作员、安全风险专家应对信息系统进行全面的安全风险分析。对信息系统采取的安全性分析方法包括现场调研、会议座谈、理论建模、数学计算、仿真攻击等方法，可应用的分析技术手段有贝叶斯网络法、事件树分析法、故障树分析法、危险性和可操作性分析法、、寄生电路分析法、Petri网以及系统影响和危险度分析法。其分析目的主要是识别价值资产所在环境中的存在的威胁，确定与安全威胁相对应的资产或信息系统脆弱程度，评估可能威胁对信息系统造成的危害程度，从而为风险估计收集数据。

4）安全风险评估。在开展风险评估时，可采取定性分析方法或定量分析方法。定性评估分析师不使用具体的数据表示，只采用逻辑语言描述方式描述相对程度；定量分析方法是要求关注价值资产的损失以及所受威胁的量化数据，主要采用概率统计的方法进行描述。由于特定环境下安全风险发生的概率可表示为安全威胁发生的概率和信息系统脆弱点被利用的概率的数学函数，因此可利用联合概率分布计算方法计算出安全事件的发生概率。

5）明确安全防护等级。开展风险评估的最终目标是确立信息系统所能达到安全保护等级。根据确定的安全防护措施及其安全性评估模型，对照安全风险评估标准中设立的安全保护等级所规定的安全要求，即可计算出信息系统达到的安全保护等级，从而可完成安全等级保护风险评估的主要工作。

6）对于信息系统不可接受范围内的安全风险，应重点选择适当的安全防护措施并对无法防护的残余风险进行系统评价，判定风险是否已经降低到对系统影响最小的水平，为风险管理提供可行输入。系统残余风险的评价可参照组织风险评估的准则开展，综合考虑选定的和已有的安全防护措施对威胁发生可能性的降低程度。

7）系统风险评估结果是信息系统风险评估的终极目标。它将风险评估的结果数据以文档的形式提供呈现给用户，为信息系统的建设提供重要的参考数据和指导凭证。同时，在实施安全防护等级保护体系时，系统风险评估结果文档不仅要作为信息安全文档加以保存，还要上报相关部门进行备案，以加强系统安全保护的监督和监管。

3 结语

信息系统安全风险评估主要是对不同范畴、性质、层次的风险因子，通过综合归纳、系统比较形成一致性评价的过程。随着各种系统风险评估工具的出现，信息系统的安全风险评估将从单纯的技术评估发展为一体化风险评估，并向基于知识的评估和基于模型的评估方向发展。风险评估将导出信息系统的安全需求，因此所有信息系统的安全建设都应该以风险评估为起点，以服务于信息化建设和拓展。本文提出的安全风险评估流程，综合考虑了信息系统所面临安全威胁、潜在脆弱性以及安全防护确知等因素，可以在一定程度上提高安全风险评估的有效性和准确性。在此基础上，可以进一步地确定关键信息资产及其估价，并对资产、安全事件、威胁、脆弱点之间的关系分析，研究并提出更加有效的信息系统安全风险评估模型。

[1] 蔡昱,张玉清,冯登国.基于GB17859-1999标准体系的风险评估方法[J]. 计算机工程与应用,2005(12): 134-137.

[2] THOMAS R P. Information Security Risk Analysis[M].[s.l.]: CRC Press LLC,2001.

[3] LUONG T N,ZHAO Liping, BILL Applebee. A Set Approach to RoleModelingTechnology of Object-Oriented Languages and Systems[C].USA:IEEE, 2000:158-169.

[4] 李娟,梁军,李永杰.信息安全风险评估研究[J].计算机与数字工程,2006(11):64-66,71.

[5] The Basle Commitlee. Operational Risk Management Technology[S].[s.l.]: Risk Monitor, 2002.

[6] WRIGHT M. Third Generation Risk Management Practices[J]. Computer Fraud & Security,1999(02):9-11.

[7] NIST.Risk Management Guide for Information Technology Systems[EB/OL].(2001-09-01)[2011-09-08].http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.