◆解佳金 张 颖 张永继



新形势下开展内网安全风险自评估的方法建议

◆解佳金 张 颖 张永继

（61516 部队 北京 100094）

本文介绍了信息安全风险评估的基本内涵和实施方法，特别是在分析近年来的安全事件和安全体系的演变规律的基础上，针对如何在内网开展安全风险自评估工作，总结提出了符合当前形势的方法建议。

信息安全；风险评估；内网

0 引言

今年是《网络安全法》颁布实施的第一年，网络安全等级保护制度也进入了2.0时代。新时代下的信息安全保障工作，需要更加重视信息安全风险评估在整个防护体系和运行流程中的重要作用。信息安全防护工作千头万绪，很容易就会被各种各样的安全设备手段耗费了大量工作精力，这些设备每天产生大量的告警信息、日志信息和安全事件信息，它们的格式多种多样，有些信息晦涩难懂，有时还混杂着大量的虚警信息，这对于只能依靠人工分析的安全运维人员来说，要从中及时发现网络中的异常事件，实时掌握真实的安全状态，无疑是一项艰巨的挑战。如果真的发生安全事件，也只能是“亡羊补牢”。因此，做好信息安全防护工作决不能坐以待毙，必须主动免疫、积极防御，体系化推动信息安全防护工作。

信息安全风险评估是信息安全保障体系的重要环节，为保障体系的建设提供重要的评价与决策依据。2016年4月19日，习主席在网信工作座谈会上也指出“维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险”，以及“感知网络安全态势是最基本最基础的工作”等重要论断。信息安全防护就要从“态势感知”做起，从信息安全风险评估开始。

1 什么是安全风险评估

工作中经常会碰到这样的问题，“现在的信息系统是不是安全？如果不安全，应该增加哪种安全防护手段？”。对于这个问题，就好比打拳击，既不知道自己的弱点在哪里，也不知道对手擅长哪些招数，结果只能是被动挨打。因此，做好信息安全防护首先要通过风险评估，做到知己知彼，才能百战不殆。

所谓信息安全风险评估，就是对信息及信息处理设施所具有的威胁（threat）、脆弱性（vulnerability）、影响（influence）三个特性及三者发生的可能性进行评估。具体来讲就是要评估信息系统即将面临的外部威胁和自身的脆弱性，以及一旦脆弱性被威胁所利用后所产生的实际影响，并根据安全事件发生的可能性及负面影响程度来确定安全风险的等级，从而为制定实施有效的安全策略、及时弥补安全漏洞、进行精准的应急响应提供科学有力的依据。如下图1所示。

图1 风险评估示意图

2 安全风险评估的主要工作

安全风险评估的主要工作是围绕信息资产的价值、威胁、漏洞以及风险控制措施的可控程度等风险评估基本要素展开的。具体可依据《信息安全风险评估规范》和《信息安全风险管理指南》所明确的风险评估流程、内容和方法组织实施。可总结概括为以下图2几个阶段。

图2 风险评估实施流程

第一阶段是对信息资产进行识别。信息资产是对组织有价值的信息或资源，是安全策略保护的对象，是信息安全评估中的关键保护目标，具体包含软件、硬件、数据和人等方面内容。当前，“数据”被公认为最核心的信息资产，因此，对于信息资产的价值衡量，就是要围绕数据的产生、存储、传输和处理这条主线，梳理出关键业务功能、关键业务流程、关键数据和服务，最终确定哪些是关键资产，并采用适当的方法从保密性、完整性、可用性等安全属性对其进行赋值。

第二阶段是对信息资产的脆弱性进行识别。主要从技术和管理两个方面进行评估。技术方面，主要通过文档查阅、问卷调查、人工核查、工具检测和渗透测试等方式方法，对物理环境安全、网络安全、主机系统安全、应用系统安全和数据安全等方面进行合规性检查。管理方面，主要通过文档查阅、抽样调查和询问等方法，对安全管理组织、安全管理策略、安全管理制度、人员安全管理和系统运维管理等进行脆弱性识别。

第三阶段是对信息资产面对的外部威胁大小进行识别。威胁评估是指对资产可能遭到的潜在威胁进行系统性的评估，可以从威胁、威胁的影响以及威胁发生可能性等三方面分别考虑。通过威胁调查和分析，对信息资产所面临威胁的类型以及威胁发生的概率、途径、方式进行识别。

第四阶段是综合分析以上要素，并结合已有的安全措施，评估信息资产的风险等级。根据信息资产脆弱性的严重程度以及信息资产的价值，综合得出安全事件一旦发生所造成的损失；根据外部威胁发生的可能性以及信息资产系统脆弱性的严重程度，综合确定安全事件发生的可能性；考虑已有的安全措施对信息资产的保护程度以及遏制安全事件发生的作用，最终计算得出风险值，为下一步进行风险管理提供决策依据。

3 内网安全风险自评估的方法建议

内网的信息系统是国家、行业或企业的重要信息资产，其价值密度极高，有些甚至关系到国家安全、国计民生和公共利益，很容易成为黑客组织或敌对势力攻击渗透的对象。据权威统计，过去一年平均每天泄露110万条金融数据，约97%的大型企业遭受过业务安全攻击。同时，内网与互联网物理隔绝，思想上容易麻痹大意，管理上往往疏忽防范。在今年6月1日颁布执行的《网络安全法》中，对安全风险评估提出了制度化规范化的要求，特别对关键基础设施进行安全风险评估进行了明确要求。内网作为实施风险评估的特殊对象，往往涉及单位机密，不便于外请安全服务直接介入，因此更需要提高自身的自评估能力和水平。

3.1信息资产评估

内网环境的信息资产自评估必须由管理、业务和技术人员共同实施，以实现对本单位业务流程和信息系统的全面梳理。评估应突出业务的视角，梳理出信息系统影响业务主流程和子流程的关键节点，特别是依据信息系统对业务主流程的贡献率进行重要性赋值。再分别从传统的机密性、完整性、可用性等不同属性的角度进行评估赋值。

3.2脆弱性评估

脆弱性评估主要从“系统”和“人”两个方面进行。“系统”脆弱性评估又可分为硬件环境和软件应用两个方面，主要表现为系统漏洞。一般可利用漏洞扫描工具或采取人工渗透测试的办法进行漏洞的发现和挖掘，从而得到较准确的评估结果；之所以把“人”作为脆弱性评估的另一个重要方面，主要是近年来越来越多的攻击事件的发端，都是从与重要目标紧密联系的个人开始的，如美国大选邮件门事件等。对于人的脆弱性评估，可从落实《网络安全法》、等级保护相关要求及各类规章制度等方面进行评估。需要注意的是，这其中的制度规定有些看似很严格，但其实并不具备可操作性，有些甚至是违反人性的，而一切违背人性的管理措施必然会走向失效。

3.3威胁评估

当前内网面临的威胁早已从个人威胁、黑客团体威胁的初级阶段，上升到经济犯罪威胁，甚至是恐怖主义及国家威胁等高级阶段。威胁的动机、范围、手段、源头、方式和风险均发生了较大变化。今年5月份爆发的WannaCry勒索蠕虫全球攻击事件，就是一个典型的案例，攻击来自互联网，但仍有大量政府、企业、事业的内网受害极广，从而直接影响到了社会稳定和部分行业系统的正常运行。WannaCry的攻击者所使用的核心技术是美国NSA泄露的网络武器，仅仅是一次误伤就制造了不小的麻烦，如果是有组织有预谋的网络战，后果将不堪设想。由此可见，内网的威胁的主要来自黑客组织和敌对势力的APT攻击，而这些攻击一旦带有政治企图，往往会是不计代价和成本。换句话说，一旦成为攻击目标，系统被攻破就只是时间问题了。应对这样的威胁，就需要对各类状态、告警、日志的统一收集与关联分析，及时遏制潜在攻击；先于对手找到并弥补0day漏洞；利用大数据技术优势，深挖威胁情报，掌握对手动态等等。

3.4综合评估

有了以上三个方面评估基础，在接下来的分析中，就要充分考虑自身的安全措施，有没有及时根据外部威胁进行策略调整，有没有针对高危漏洞及时进行修复，或者有没有对核心资产进行有效的分割保护等等，从而最终确定安全风险等级。所谓的安全措施，一定不能是简单的安全产品的堆砌，而要从体系的角度看待安全。过去十年我们完成了从“架构安全”到“被动防御”的迭代式演进，未来将向“积极防御”和“威胁情报”过度。那么，与之相符合的有效的安全措施，是将“人和数据”放在核心位置，实现由“面向安全设备的运维”向“安全数据采集分析”的转变。

图3 安全体系演变示意图

4 结束语

风险评估要常怀忧患意识。美国首任网军司令亚历山大将军曾说过：世界上只有两种系统，一种是已知被攻破的系统，另一种是已被攻破但自己还不知道的系统。美国国家安全局（NSA）的数据泄露和Mandiant被渗透等事件，更加充分验证了没有攻不破的网络。等保2.0倡导风险感知、防护建设、测评整改、监督检查、应急恢复的全程防护理念，将风险评估作为等保建设的起点和终点。通过不断开展信息安全风险评估，可以使我们拨开迷雾看清威胁，争分夺秒先于对手发现和掌握自身漏洞，为夯实安全堤防走好先手棋。

风险评估要充分发挥人的主观能动性。2017年第五届中国互联网安全大会（ISC）的主题是“万物皆变，人是安全的尺度”，网络安全本质是人与人的智力对抗，不是购买并部署一批网络安全设备，堆砌一些产品和技术就能防的住的，还需要大量专业的安全人员持续地对各种信息、数据、态势进行分析研判。定期开展信息安全风险评估，充分发挥人在信息安全保障中的核心驱动作用，从而驱动整个P2DR体系能够持续的形成闭环，最终逐渐形成更加严密的信息安全立体保护层。

[1]文伟平，郭荣华，孟正等.信息安全风险评估关键技术研究与实现[J].信息网络安全，2015.

[2]GB/T20984-2007.信息安全风险管理规范[S].

[3]GB/Z 24364-2009.信息安全风险管理指南[S].

[4]陈俊高.对信息系统管理中信息安全风险评估研究[J]. 电子技术，2015.

[5]刘曙生.浅谈信息安全风险评估与风险分析方法的应用[J].网络空间安全，2017.

[6]甘清云.浅析涉密信息系统安全风险自评估[J].网络空间安全，2017.