孙明亮 位 华 王 琰

1(中国信息安全测评中心 北京 100085)

2(北京邮电大学网络空间安全学院 北京 100876)(sunml@itsec.gov.cn)

信息安全风险评估是信息安全保障工作的基础和重要环节，我国信息安全风险评估工作得到国家一系列政策的支持.《国家信息化领导小组关于加强信息安全保障工作的意见(中办发［2003］27号)》《关于开展信息安全风险评估工作的意见(国信办［2006］5号)》《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技)［2008］2071号》等这些政策都明确提出信息安全风险评估的必要性，及国家对信息安全风险评估工作的重视［1］.

同时，我国在标准化方面也做了大量工作.2007年6月14日，我国正式发布了国家标准GB T20984—2007《信息安全技术 信息安全风险评估规范》，标志着我国开展信息安全风险评估工作有了正式的参考标准.该标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式，适用于规范组织开展风险评估工作.后续发布的还有GB Z24364—2009《信息安全风险管理指南》、GB T31509—2015《信息安全技术信息安全风险评估实施指南》等标准.

新时期，国家对于风险评估工作空前重视.习主席在网络安全和信息化工作座谈会上的讲话上指出:“维护网络安全，首先要知道风险在哪里，是什么样的风险，什么时候发生风险”，“准确把握网络安全风险发生的规律、动向、趋势”.足见国家对网络安全风险的重视以及开展信息安全风险评估工作的重要性.特别是2016年11月7日发布、2017年6月1日实施的《中华人民共和国网络安全法》中明确将信息安全安全风险评估服务工作上升为国家法律层面，为信息安全风险评估工作的推动发挥了巨大作用.

本文结合一线风险评估测评经验与国际通用的能力成熟度的理论，提出了风险评估服务能力成熟度模型的概念，旨在阐述信息安全风险评估服务能力成熟度模型的框架研究，为风险评估服务能力水平的评价提供参考依据.

1 信息安全风险评估服务能力成熟度模型概述

1.1 信息安全风险评估服务过程描述

信息安全风险评估服务能力成熟度模型是依据风险评估服务生命过程，风险评估服务提供方向风险评估服务需求方提供包括业务识别、资产识别、威胁识别、脆弱性识别、现有安全措施有效性分析和风险分析等为主线［2-3］，对整个风险评估服务过程及过程中多个过程域的服务能力等级进行测评的评估模型.信息安全风险评估服务生命周期框架流程图如图1所示［3］:

图1 风险评估实施流程图

目前风险评估服务的形式因行业和地区的不同呈现多样化，本文意在阐述基于GB T20984的完整风险评估服务过程为主线，对能提供单个、多个过程域及整个风险评估服务的提供方从其服务过程中的资源配置、技术服务过程和项目管理过程等服务能力要素对风险评估服务提供方的服务能力成熟度进行等级评估.对于在具体风险评估服务的过程中不是针对整个生命周期进行服务的情况，可以对具体的服务过程域进行风险评估服务的能力等级进行评估.

1.2 信息安全风险评估服务能力要素

信息安全风险评估服务能力包括风险评估服务技术过程能力、信息安全风险评估服务的项目管理过程能力及风险评估服务资源配置能力等方面.这些服务能力也是信息安全风险评估服务的基本活动，这些活动能力的评估需信息系统服务的需求方、提供方和评估方，配置相应的人力、设备、环境等资源和服务过程的管理，才能构成完整的风险评估服务能力.

因此，信息安全风险评估服务能力应由以下要素构成，如图2所示.

1)风险评估服务资源配置

在资源配置方面包括风险评估服务人员的专业技术能力和知识面、实施风险评估服务所需的工具设备、设施和环境.

2)风险评估服务技术过程

根据风险评估服务技术过程的各个过程域，包括业务识别、资产识别、威胁识别、脆弱性识别、现有安全措施有效性分析和风险分析等.

3)风险评估服务项目管理过程

实施风险评估服务需要进行项目管理过程.项目管理过程应覆盖到风险评估服务的服务过程活动中.

图2 风险评估服务能力构成要素

1.3 风险评估服务能力成熟度模型

信息安全风险评估服务能力成熟度模型(RAS-CMM)，是在系统安全工程能力成熟度模型(SSE-CMM)的基础上，结合信息安全风险评估服务的最佳实践，所形成的对风险评估服务能力成熟度进行度量的模型.

图3 风险评估服务能力成熟度模型

信息安全风险评估服务能力成熟度由能力维和域维［4］构成，如图3所示.

风险评估服务能力级别分为5级:1级是基本执行级;，2级是计划跟踪级;3级是充分定义级;4级是量化控制级;5级是持续改进级.风险评估服务能力级别示意图，如图4所示:

图4 风险评估服务能力等级示意图［7］

能力级别从1～5级逐级提高，标志着风险评估恢复服务能力成熟度的不断提升.每个级别规定了对应的公共特征和通用实施.在本文中，高级别需要涵盖低级别成熟度要求的所有内容.但该级别只是规定了增加的内容.

能力维由公共特征［4-6］构成，公共特征由通用实施(GP)构成［4-6］.对于某级别的所有通用实施满足了该级别的公共特征，从而形成了该级别的能力.

域维由过程域(PA)和资源配置组成［4-6］.风险评估服务的过程域(PA)包括风险评估服务技术过程域、项目管理过程域.过程域由基本实施［4］(BP)构成，每个过程域的基本实施(BP)是构成该过程域的基本要素，是完成该过程活动的基本单元.对于不同级别的能力维，风险评估服务过程域的各个基本实施(BP)都是必须的.资源配置是完成风险评估服务活动的基本条件，针对不同能力级别，可能需要特定的资源配置条件.

1.4 风险评估服务能力要素

1.4.1 风险评估服务资源配置能力

风险评估服务的开展要具备资源配置能力，风险评估项目组要具备足够支撑风险评估服务的基本资源，例如各类检查表格、报告模板、漏扫工具、渗透工具、资产识别工具、威胁识别工具、合格的风险评估技术人才等.

1.4.2 风险评估服务技术过程能力

1.4.2.1 PA01——业务识别与分析

在识别组织的业务之前要掌握组织的发展战略，由战略推导出各业务发展情况［4］，识别业务内容，可通过访谈、文档查阅、资料查阅等方式，针对业务属性进行赋值分析，找到关键业务.业务是组织发展的核心，业务具有价值属性、多样性、复杂性等特点［2］.

本过程域包括以下2个基本实施:

1)BP.01.01——识别关键业务;

2)BP.01.02——业务影响分析.

1.4.2.2 PA02——资产识别与分析

根据资产与业务的关联性或相关性进行资产识别，并根据资产的业务相关性、保密性、完整性和可用性等属性对资产的影响进行优先级排列.风险评估中资产面临的威胁、存在的脆弱性以及已采用的安全措施都将对资产安全属性的达成程度以及其上承载的业务安全程度产生影响［3］.当承载的业务属性发生变化时，资产的影响优先级将发生变化.

本过程域包括以下3个基本实施:

1)BP.02.01——关键资产识别;

2)BP.02.02——资产影响分析;

3)BP.02.03——监视资产影响变化.

1.4.2.3 PA03——威胁识别与分析

业务及资产面临的威胁是风险的发起者，如果不存在威胁，风险也就随之不存在了，威胁构成了风险发生的必要条件.威胁来源、动机、能力和频率是威胁的属性，威胁的属性既是对威胁的描述，也构成了评价威胁影响优先级的必然因素.当环境等因素发生变化时，威胁的影响也会随之发生变化.

本过程域包括以下3个基本实施［8］:

1)BP.03.01——威胁识别;

2)BP.03.02——威胁影响分析;

3)BP.03.03——监视威胁变化.

1.4.2.4 PA04——脆弱性识别与分析

脆弱性是风险评估服务的重要环节，可从技术和管理2个方面进行审视.脆弱性识别依据相关国际或国家安全标准、行业规范等，对应用在不同环境中的相同脆弱性，其严重程度是不同的.根据脆弱性对业务和资产的暴露程度，已有安全措施和脆弱性关联识别分析结果等，采用优先级排列的方式对已识别的脆弱性进行赋值.资产所处环境等因素变化，脆弱性的等级也随之发生变化.

本过程域包括以下3个基本实施［8］:

1)BP.04.01——脆弱性识别;

2)BP.04.02——脆弱性等级分析;

3)BP.04.03——监视脆弱性影响变化分析.

1.4.2.5 PA05——现有安全措施有效性识别与分析

对现有安全措施进行识别并评估其有效性，即是否真正地抵御了威胁，降低了脆弱性.对有效抵御威胁的安全措施继续保持，对确认为不适当的或无法有效抵御威胁的安全措施应被取消或对其进行修正.

本过程域包括以下2个基本实施［3］:

1)BP.05.01——现有安全措施识别;

2)BP.05.02——现有安全措施有效性分析.

1.4.2.6 PA06——风险分析

在完成了业务识别、资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定风险等级.

本过程域包括以下4个基本实施［8］:

1)BP.04.01——选择风险分析方法;

2)BP.04.02——对暴露(指威胁、脆弱性和影响的组合)的标识与分析;

3)BP.04.03——排列风险优先级;

4)BP.04.04——监视风险变化.

1.4.2.7 PA07——质量保证

这个过程域的潜在目的是:只有整个服务过程都在持续测量和改进质量的情况下才能产生高质量的风险评估服务.在整个风险评估服务的过程中，为保证高质量的服务，关键内容就是测量、分析和修正措施，保证相关内容的保密性等.该过程域的目标就是实现预期的服务质量.

本过程域包括以下3个基本实施［9］:

1)BP.09.01——测量产品质量;

2)BP.09.02——测量过程质量;

3)BP.09.03——质量分析与修正.

1.4.2.8 PA08——配置管理

配置管理的目的是维持已标识的配置单元的数据和状况，并对风险评估服务及其配置单元的变化进行分析和控制.

本过程域包括以下2个基本实施［9］:

1)BP.10.01——建立配置单元;

2)BP.10.02——维护工作产品基线.

1.4.2.9 PA09——项目风险管理

风险管理的目的是标识、评估、监视和降低风险评估服务项目的风险，以便于风险评估服务项目取得成功.

本过程域包括以下3个基本实施［9-10］:

1)BP.11.01——项目风险的识别和评估;

2)BP.11.02——项目风险的控制;

3)BP.11.03——跟踪风险降低效果.

1.4.2.10 PA10——项目规划

规划项目的目的是建立项目计划和规划项目的技术过程，为在风险评估服务过程中涉及到的技术性工作的进度、费用、控制、跟踪和商议性质和范围提供基础.

本过程域包括以下2个基本实施［9］:1)BP.12.01——项目计划;

2)BP.12.02——项目技术规划.1.4.2.11 PA11——项目监控

项目监控的目的是为项目计划和技术过程得到有效执行，并通过监督和指导行为使得项目执行过程满足项目规划的效果，对执行计划发生严重偏差时可及时进行修正.

本过程域包括以下2个基本实施［9］:

1)BP.13.01——项目监督和指导;

2)BP.13.02——问题分析与修正.

1.4.2.12 提供不断发展的技能

“技能和知识提升”的目的在于确保项目组成员拥有必要的技能来达到项目的目标.所需的技能可以通过内部培训和外部来源中获得.

本过程域包括以下3个基本实施［9］:

1)BP.15.01——识别技能和知识需求;

2)BP.15.02——实施培训;

2)BP.15.03——技能和培训评估.

2 风险评估服务过程能力级别定义［2，4］

风险评估服务过程能力等级分为5级，由1级到5级递增.每个级别包含了几个公共特征，每个公共特征又包含若干个通用实施.通用实施是适用于所有过程的活动，是过程方面的管理、度量和制度化方面陈述.这些通用实施可在过程能力的评定中用于确定任何过程的能力.

能力级别具体定义如下［8］:

1)能力级别1——基本执行;

2)能力级别2——计划跟踪;

3)能力级别3——充分定义;

4)能力级别4——量化控制;

5)能力级别5——持续改进.

2.1 能力级别1——基本执行级

在此级别，过程域的基本实施通常被执行.但基本实施的执行可能未经严格的计划和跟踪，而是基于个人的知识和努力.

该能力级别包含如下公共特征［8］:

公共特征1.1——执行基本实施.此公共特征的通用实施只是保证过程域的基本实施以某种方式执行，工作产品的一致性、性能和质量会因缺乏适当控制而存在极大的差异.

该公共特征包含如下通用实施:

GP 1.1.1——执行过程.执行一个实现过程域的基本实施的过程，为服务需求方提供服务.

2.2 能力级别2——计划与跟踪级

此级别，过程域基本实施的执行是经计划并被跟踪的，并对实施情况进行验证.工作产品符合指定的标准.通过测量来跟踪过程域的执行情况，能够基于实际实施活动进行管理.与基本执行级别间的主要区别是过程实施被计划和管理.

该能力级别包含如下公共特征［8］:

1)公共特征2.1——规划执行;

2)公共特征2.2——规范化执行;

3)公共特征2.3——验证执行;

4)公共特征2.4——跟踪执行.

2.2.1 公共特征 2.1——规划执行

该公共特征的基本实施集中在过程域及相关的基本实施执行的规划方面.涉及到过程文档的编制、适当执行过程工具的提供、过程实施的计划、过程执行中的培训、过程资源的分配以及过程执行的责任分配.这些通用实施为规范化的过程执行提供了最根本的基础.

该公共特征包含如下通用实施:

1)GP 2.1.1——分配资源.为执行过程域基本实施提供充分的资源，包括人(特别是关键人员)、技术、工具、设备等.

2)GP 2.1.2——分配责任.为服务过程分配任务和责任，包括内部、外部和过程实施的所有相关方和个人.

3)GP 2.1.3——文档化过程.将过程域执行的方法形成标准化和 或程序化文档.

4)GP 2.1.4——提供工具.为支持过程域的执行提供适当的工具.

5)GP 2.1.5——保证培训.保证过程域执行人员获得适当的过程执行方面的培训.

6)GP 2.1.6——规划过程.对过程域的实施进行规划.

2.2.2 公共特征 2.2——规范化执行

该公共特征的通用实施注重于对过程实施的控制程度.列出了过程执行计划的使用、基于标准和程序的过程执行、配置管理下依照过程产生的工作产品.

该公共特征包含如下通用实施:

1)GP 2.2.1——使用计划、标准和程序.在执行过程域中，使用文档化的计划、标准和 或程序指导实施.

2)GP 2.2.2——进行配置管理.将过程域的输出适当地置于配置管理下，进行版本控制和 或变更控制.

2.2.3 公共特征 2.3——验证执行

该公共特征的通用实施注重于确认过程按预定的方式执行.因此这个通用实施涉及到验证执行过程与可应用的标准和程序是一致性的，以及对工作产品的审计.

该公共特征包含如下通用实施:

1)GP 2.3.1——验证过程一致性.验证过程与可用标准和 或程序的一致性.

2)GP2.3.2——审计工作产品.验证工作产品与可用标准和 或程序、需求及测量目标的一致性.

2.2.4 公共特征 2.4——跟踪执行

该公共特征的通用实施注重于控制项目进展的能力.因此，该过程通过计划跟踪过程执行，当实施与计划产生重大偏离时采取修正行动.这些通用实施形成了达到充分定义过程能力的根本基础.

该公共特征包含如下通用实施:

1)GP 2.4.1——使用测量跟踪.根据计划通过测量跟踪过程域状态.

2)GP 2.4.2——采取修正措施.当与计划间有重大差别时适当地采取修正措施.

2.3 能力级别3——充分定义级

在此级别，基本实施按照充分定义的过程执行.充分定义的过程是依据对文档化的标准过程进行裁剪并经批准的过程版本.此过程与计划和跟踪级的主要区别在于利用组织范围内的过程标准来管理和规划.

该能力级别包括以下公共特征［8］:

1)公共特征3.1——定义标准过程;

2)公共特征3.2——执行已定义的过程;

3)公共特征3.3——协调安全实施.

2.3.1 公共特征 3.1——定义标准过程

该公共特征的通用实施注重于标准过程的制度化.1个标准过程需要适合特定环境的使用，所以也应考虑到如何进行裁剪.定义标准化的过程文档，满足特定用途对标准过程进行的裁剪.这些通用过程形成了执行已定义过程必要的基础.

该公共特征包括以下通用实施:

1)GP 3.1.1——过程标准化.为组织定义 1个文档化的标准过程或过程族，描述了如何实现过程域的基本实施，建立通用的政策、标准和程序，这称之为“标准过程定义”.

2)GP 3.1.2——裁剪标准过程.裁剪标准过程族以建立1个满足专门用途特定需要的定义过程.

2.3.2 公共特征3.2——执行已定义过程

该公共特征注重于充分定义过程的可重复执行，提出了已定义过程的使用.针对有缺陷过程，执行其结果的核查过程，及其结果数据的使用.

该公共特征包括如下通用实施［8］:

1)GP 3.2.1——使用充分定义的过程.在过程域的实施中使用充分定义的过程.一个充分定义的过程应包含文档化的、一致的和完整的政策、标准、输入、进入条件、活动、程序、特定角色、测量、确认、模板、输出及退出条件.

2)GP 3.2.2——执行缺陷复查.对过程域的适当工作产品进行缺陷复查.

3)GP 3.2.3——使用充分定义的数据.通过使用执行已定义过程的数据，来管理此过程，在2级开始收集的测量数据，在这层得到更积极的应用并且为下级别的定量管理奠定了基础.

2.3.3 公共特征 3.3——协调实施

此公共特征侧重于项目活动的协调.许多重大活动都是由项目中的不同工作组和代表项目的甲方共同完成的.缺乏协调将会导致工期延误和不可比的结果.因此应确定组内、组间、组外活动的协调机制.这些通用实施是获得定量控制过程能力的必要基础.

此公共特征包含以下通用实施［8］:

1)GP 3.3.1——执行组内协调.协调项目组内的沟通，保证了关于技术问题的决定是一致的.

2)GP 3.3.2——执行组间协调.

3)GP 3.3.3——执行外部协调.

2.4 能力级别4——量化控制级

该级别收集、分析执行的详细测量.这将获得对过程能力和改进能力的量化理解以预测执行情况.该级别执行的管理是客观的，工作产品的质量是量化的.该级别与充分定义级的主要区别在于定义的过程是定量的理解和控制.

该能力级别包括如下公共特征［8］:

1)公共特征4.1——建立可测的质量目标;

2)公共特征4.2——客观地管理执行.

2.4.1 公共特征4.1——建立可测的质量目标

该公共特征的通用实施侧重于为项目过程的工作产品建立可测量目标.因此该公共特征提出了质量目标的建立，这些通用实施为客观地执行管理提供了必要的基础.

该公共特征包括如下通用实施［8］:

GP 4.1.1——建立质量目标.为标准过程族的工作产品建立可测量的质量目标，与服务需求方的特定要求和优先级或项目策略的要求紧密联系.测量的意义是对所使用过程得到充分理解，这样便能够设置并使用工作产品测量中间目标.

2.4.2 公共特征4.2——客观地管理执行

该公共特征的通用实施侧重于确定过程能力的量化测量并使用量化测量来管理这个过程，该公共特征提出量化地确定过程能力和以量化测量作为修正行动的基础.

该公共特征包括如下通用实施［8］:

1)GP 4.2.1——确定过程能力.量化地确定已定义过程的过程能力.

2)GP 4.2.2——使用过程能力.当过程未按定义过程能力执行时，适当地采取修正行动.

2.5 能力级别5——持续改进级

在该级别上，基于项目的商务目标并针对过程的有效性和执行效率建立量化执行目标.通过执行已定义过程和有创建的新概念、新技术的量化反馈来保证对这些目标进行持续过程改进.此级别与定量控制级的主要区别在于已定义的过程和标准过程基于对这些过程变化效果的量化理解，进行连续调整和改进.

该能力级别包括如下公共特征［8］:

1)公共特征5.1——改进组织能力;

2)公共特征5.2——改进过程有效性.

2.5.1 公共特征 5.1——改进组织能力

该公共特征的通用实施注重于在标准过程的使用进行比较和在这些不同使用之间进行比较.当这些过程被使用时，寻找改进标准过程的机会，分析产生的缺陷以标识对标准过程的其他可能改进.因此，该公共特征对过程的有效性建立了目标、标识对标准过程的改进以及分析对标准过程的可能变更.

该公共特征包括如下通用实施［8］:

1)GP 5.1.1——建立过程有效性目标.为改进过程有效性，根据组织的业务目标和当前过程能力建立量化目标.

2)GP 5.1.2——持续改进标准过程.通过改变标准过程族连续地改进过程，从而提高过程有效性.

2.5.2 公共特征5.2——改进过程有效性

该公共特征的通用实施注重于制定连续受控改进状态下的标准过程.因此这个公共特征提出消除标准过程产生缺陷的原因和持续改进的标准过程.

该公共特征包括如下通用实施［8］:

1)GP 5.2.1——执行因果分析.执行缺陷的因果分析.

2)GP 5.2.2——消除缺陷原因.有选择地消除已定义过程中缺陷产生的原因.

3)GP 5.2.3——持续改进已定义过程.通过改变已定义过程来连续地改进过程实施，以提高其有效性.

3 总 结

目前，我国各行业、各地区在依据国家法律、法规、标准等要求，结合行业和地区特点分析建立各行业、各地区的行业与地区风险评估标准，开展风险评估工作.但是各行业、各地区在开展信息安全风险评估工作的同时，因为行业发展的不同步、地区经济发展的不平衡，信息安全风险评估服务的水平参差不齐.无统一的对风险评估服务水平进行评价的可参考的依据，本文旨在提出一个对风险评估服务能力水平进行评价的参考方法.