邓志龙

【摘 要】本文在对信息系统安全风险的产生原因进行简单介绍的基础上，分别从ISO 15408、ISO13335、SSE-CMM三个方面对信息安全风险要素进行了分析和讨论，以便对构成信息安全风险的要素有一个更加全面的了解和认识。

【关键词】信息系统；安全风险；要素

【中图分类号】E22；G203 【文献标识码】A 【文章编号】1672-5158（2013）03-0093-01

由于信息系统长期处于开放的环境中，所以安全风险的发生往往是不同因素相互叠加、共同作用的结果。目前，国内外有关信息安全风险构成要素及其相互关系描述的标准主要包括ISO 15408、ISO13335、SSE-CMM、GB/T 20984等。

1 ISO 15408描述的信息安全风险要素

ISO/IEC 15408（Information technology-Security techniques-

Evaluation criteria for IT security，信息技术-安全技术-IT安全性评估准则）是ISO（International Standard Organization，国际标准化组织）采纳CC（Common Criteria，通用准则）演化而来的。1993年，英法等国及美国NIST（National Institute of Standard and Technology，国家标准技术协会） 和NSA（National Securiy Agency，美国国家安全局）共同制定了《信息技术安全评估通用准则》CC（简称通用准则），并分别于1996年、1998年先后发布了CC1.0、CC 2.0版。1999年6月，ISO接纳CC2.0版为ISO/IEC 15408草案，并定名为“信息技术-安全技术-IT安全性评估准则”，但仍用CC作为其简称。1999年12月，在广泛征求各方意见并进行相应的修改后，正式颁布国际标准ISO/IEC 15408 CC 2.1版。2001年3月，我国国家质量技术监督局将其作为国家标准GB/T 18336正式颁布，并于2001年正式实施。

CC标准主要包括简介与一般模型，安全功能、安全保证要求三个部分。其中，简介与一般模型主要对信息安全构成要素的风险、威胁、资产、脆弱性、对策等关键概念及其主体进行了定义，并以所有者需要保护的资产为中心点，对不同要素间的关系进行了描述。

①资产

所谓资产，就是指有价值的信息资产。

②对策

所谓对策，就是满足资产所有者减少脆弱性要求的安全策略。

③威胁

所谓威胁，就是指借助拒绝服务、数据修改、揭露、损坏、未经授权访问等方法，对系统形成潜在威胁的各类事件与环境。

④脆弱性

所谓脆弱性，就是在物理设计、管理控制、系统安全程序、信息系统、内部控制或实现中可能被攻击者使用并获得或破坏未授权信息的弱点。

⑤风险

所谓风险，就是指有威胁以及威胁发生的可能性所产生的不良影响，风险程度主要通过不良影响的程度进行评估。

2 ISO13335描述的信息安全风险要素

ISO/IEC 13335是国际标准组织发布的《IT信息安全管理指南》，在信息安全管理方面具有指导性地位。其中ISO/IEC 13335-1：2002《信息安全管理和计划的概念和模型》围绕风险，对包括剩余风险、防护措施、风险、影响、脆弱性、威胁、资产在内的信息安全风险要素进行了确认，并对不同要素间的关系进行了描述。

①资产

资产主要包括人员、服务能力、产品生产、软件、物理硬件以及其它无形资产，是组织成功的关键资源或信息，也是信息安全保护的重要对象。

②威胁

威胁是指那些能够引起安全风险事件并损害组织与资产的各类潜在活动，它通过IT服务或系统，对信息系统进行直接或间接的作用并造成各类损失。资产原有的脆弱性是威胁完成资产损害行为的前提条件，威胁的产生可以是主观也可以是无意，可以是人为也可以是非人为。

③脆弱性

脆弱性指的是资产及其相关软硬件、信息、监控、管理、人员、策略、组织、物理环境所存在的固有弱点，非常容易被威胁所利用，并最终造成业务目标与组织信息系统的损害。

④影响

影响指的是风险事件发生后对资产造成的后果，通常包括信息系统或资产完整性、机密性、可审计性、可用性、可靠性以及真实性等的破坏，一般来说，影响主要分为直接与间接影响两种类型。

⑤风险

风险指的是威胁借助资产脆弱性引起的组织破坏或损失的潜在程度，风险的高低主要由可能产生的影响以及发生的可能性共同决定。任何与资产、安全防护措施、脆弱性、威胁有关的变化都会对风险产生影响，如果能够采取有效措施及时确定或检测信息系统及其环境的变化情况，就可以减少风险。

⑥安全防护措施

安全防护措施是各种安全机制、策略与实践的总称，它通过为资产提供不同层面的防护来实现对各类安全事件的监视、检测、预防、限制、纠正和恢复，而安全防护措施的实施则是保障信息安全的最基本要求。

⑦残余风险

受安全成本等因素的影响，风险并不能被彻底消除，在组织安全需求得到满足的情况下依然存在的风险即为残余风险。

⑧其它要素

除前面已经介绍的各类要素外，组织的文化、法律、时间、人员、金融、业务也属于风险的影响因素，在选择安全防护措施时，还需要对其进行综合考虑。

3 SSE-CMM描述的信息安全风险要素

1996年，美国国家安全局公布了SSE-CMM的第一个版本，1999年4月又公布了新的版本，系统安全工程能力成熟度模型（System Security Engineering-Capability Maturity Model，SSE-CMM）。在SSE-CMM模型框架中，安全工程被应用于信息系统的开发、集成、管理、操作、维护、进化以及产品开发、交付与进化，从而使安全工程能够在一个服务、产品或系统中得到实现。

SSE-CMM将安全工程划分为风险域、工程域、保证域三个基本过程域，虽然可以对不同的过程域进行单独考虑，但也可以通过它们的相互作用来更好的实现安全目标。另外，各过程域还包括一组集成的安全过程区（PA）。

参考文献：

[1]王凤鸣；控制论与项目风险管理[J]；技术经济与管理研究；2008年03期

[2]王大虎，杨维，柳艳红；移动通信信息系统安全风险评估研究[J]；中国安全科学学报；2005年07期