等级保护中的风险分析与评估方法及实践

1、    等级保护中的风险分析与评估方法及实践    谢宗晓 甄杰 董坤祥“十二五”国家重点图书出版规划项目信息安全管理体系丛书执行主编。自2003 年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文140 多篇，出版专著20 多本。信息安全管理系列之六十三随着等级保护2.0时代的正式到来，对实施和测评工作都提出了更高的要求。但是，在实践中，经常存在“轻评估重测试”的现象，因此，在网络安全等级保护的实施和测评阶段，加强风险分析和评估是亟待解决的问题之一。下文中，结合常见的信息安全风险评估方法论，讨论了如何在测评中平衡好“有效性”

2、和“符合性”之间的关系。谢宗晓（特约编辑）摘要：本文主要讨论了等级保护测评过程中风险分析与风险评估方法的运用，给出了如何将测评发现与风险评估过程相结合的方法，尤其是如何从测评发现中识别脆弱性。关键词：等级保护 网络安全 风险分析 风险评估risk analysis and assessment methods and practices in classified protection of cybersecurityxie zongxiao （china financial certification authority）zhen jie （school of management scie

3、nce and engineering， chongqing technology and business university）dong kunxiang （school of management science and engineering， shandong university of finance and economics）abstract： this paper focuses on the application of risk analysis and risk assessment methods in testing and evaluation process f

4、or classified protection of cybersecurity， and discusses how to combine assessment discovery with risk assessment process， especially with vulnerability identification.key words： classified protection， cybersecurity， risk analysis， risk assessment;2019年12月1日，gb/ t 222392019信息安全技術 网络安全等级保护基本要求、gb/ t

5、284482019信息安全技术 网络安全等级保护测评要求和gb/t 250702019信息安全技术 网络安全等级保护安全设计技术要求开始实施，这标志着等级保护正式进入2.0时代，即网络安全等级保护。1 测评、评估与评价测评是一个组合词汇，可以理解为测试和评估，例如，gb/t 284492018的英文标题为testing and evaluation process guide for classified protection of cybersecurity，测评对应的英文为test and evaluate。当然，有时候也会将“测评”直接翻译为evaluate，例如，gb/t 284482

6、019的英文标题为information security technologyevaluation requirement for classified protection of cybersecurity。这从另一个角度说明，“评”比“测”更重要。评估与评价虽然在中英文翻译中存在一定的混乱，但是其含义还是比较明确的。iso/iec 15408-1：2005中，2.13将evaluation（评估1）定义为：assessment of a pp， an st or a toe， against defined criteria（依据确定的准则对pp、st或toe进行的评价）。由于版本的延续

7、问题，gb/t 18336.12015 / iso/iec 15408-1：2009对于“评估”和“评价”的翻译与gb/t 18336.12008/iso/iec 15408-1：2005相同，而与风险评估的相关标准中实际是相反的，例如，在gb/t 236942013 / iso guide 73： 2009风险管理 术语中，risk evaluation为风险评价，risk assessment为风险评估。事实上，与cc（common criteria）联系紧密的标准经常将evaluation翻译成“评估”，assessment翻译成“评价”，与风险评估联系紧密的标准，则正好相反，一般是ev

8、aluation翻译成“评价”，assessment翻译成“评估”。例如，gb/t 284482019的3.4中，评估（evaluate）定义为：对测评对象可能存在的威胁及其可能产生的后果进行综合评价和预测的过程。此处的翻译就沿用了gb/t 18336.12015 / iso/iec 15408-1：2009中对evaluation（评估）的翻译。2 关于有效性和符合性一般而言，assessment更偏重“有效性”，需要一个完整的方法论。保证有效性的基本逻辑是依据过程的规范性，或者说，建立在一个完整方法论基础上。但缺点也非常明显，即使过程再规范，判断也是主观的。evaluation更强调“符合

9、性”，关注符合性可以最大化地滤掉主观判断，这导致所依据的标准变得非常关键。该逻辑的代表是司法系统，例如，legality，合乎法律性。这样做可以有效地防止陷入到“恶法非法”的逻辑中。原则上说，无论是assessment还是evaluation，最终都是为了保证“有效性”，在这点上，是没有分歧的。在本文中，由于主要是讨论风险相关的内容，因此assessment统一翻译为“评估”，evaluation则翻译为“评价”。与gb/t 284482019中的定义保持一致，评估一般是指有一个完整的方法论，有严格的过程要求，评价一般是某个比对、判断的过程。3 等级测评中的风险分析与评估在实践中，gb/t 2

10、84482019 所要求的测评结论包含两个部分，即：12.1 风险分析和评价，以及12.2 等级测评结论，见图1。图1中的描述，是典型的风险评估的“经典六因素法”。六因素法起源于航天、核工业和化工等重工业领域1，要求评估过程中，需要识别出资产（asset）、威胁（threat）、脆弱性（vulnerability）、控制（control）、可能性（likelihood）以及影响（impact）这六个主要的因素，基于此，风险经常被描述为：r= f （a， t， v， c， l， i）在重工业领域，保护资产是最重要的目标。例如，在航天工业中，最重要的资产和待保护的资产是一致的，可能是待发射的火箭。

11、在信息安全情境中有所不同，最重要的资产是信息系统中存储的“信息”和信息系统能够提供的“服务”，但是绝大部分的控制往往都是针对信息系统的，例如，防火墙、防病毒和入侵检测系统（ids）等。在实践中，最为直观的评估对象也是信息系统。这就导致了信息安全风险评估中引用“六因素法”的效果，并没有原来的应用情境更契合2。即便如此，在相当长的一个阶段，直到现在，六因素法依然是最实用的方法之一。如何降低风险评估过程中的主观性？一般而言，就是细化过程，加强过程控制，这样的话，即使某一个步骤，由于主观因素导致了偏离，整体而言，也不严重。抛开对风险评估方法本身的质疑，在实际执行中，往往12.2执行得比较好，而12.1

12、则比较弱化。一旦风险分析/评估的过程缺乏完整的方法论支持，会严重削弱报告中的“主要安全问题及整改建议”部分的说服力。更重要的是，由于没有完整的风险分析过程，使得发现问题、解决问题的过程没有一个证据链，导致的后果是，风险和建议的控制与评估对象缺乏清晰的对应。4 测评项与风险评估过程的融合目前可见的绝大部分的信息安全风险评估相关标准，在整体逻辑上都遵循了六因素法3，例如，gb/t 317222015 / iso/iec 27005：20084等，其过程大致如图2所示。gb/t 284492018 中附录d：测评对象确定准则和样例，与风险评估过程不仅是统一的，就该段描述而言，对风险评估的“资产识别”

13、具有很好的指导作用，此处涉及到第二代评估的先天缺陷。因为即使使用“评估对象”代替了最初使用的词汇“资产”，该方法的出发点事实上并没有本质的区别。资产识别的粒度依然难以抉择，如果太过细致，则会导致风险评估工作量太大，而且后续的控制难以部署。如果划分过粗，优点是更容易识别出与主营业务相关的问题，但缺点是会遗漏掉诸多专门针对于某些部件的风险，有时候，这些风险恰恰是最严重的。gb/t 284492018 中附录d主要是按照系统组件划分对象，例如在某个单一业务系统的基础上细化为客户端、服务器和安全设备等。当然，也可以按照业务导向，细化系统所提供的子业务，类似于iso/iec 29134：2017信息技术

14、 安全技术 隐私影响评估指南等该类专项评估一般遵循这种思路。如果要形成风险，威胁和脆弱性一般要成对出现，如图3所示。由于威胁来源于外部，相对于脆弱性而言，威胁更是客观存在。脆弱性更多地描述自身的问题。等级保护中测评发现的问题，主要集中于脆弱性。或者说，测评中发现的不符合项，都可以用脆弱性的方式进行描述。gb/t 284492018附录f：等级保护测评报告模板示例，如图4所示，其中描述是从脆弱性角度出发，关联到资产和威胁，在这个步骤中，既然描述为问题，就说明已经考虑了控制措施的因素。风险评估只是等级保护的一个手段，因此在相关标准中并没有规定如何计算风险等级。因为资产（或者说评估对象）本身就有重要

15、性等级，威胁本身存在危险程度、能力和动机等区别，脆弱性本身也有易被利用性和严重性等不同等级，这导致计算风险的方法在目前的相关标准中各有不同。原则上，只有可能性与影响作为风险的直接因素是最可行的。事件發生的可能性或概率可以被认为服从泊松分布，npoisson（）如公式（1）：事件发生的影响或损失则一般会被刻画成各种拼接函数5，例如，左侧服从对数正态分布，xln（，），如公式（2）：右侧服从xgpd（，），如公式（3）：上述两者的期望值的乘积，就认为是风险的期望值，这样的计算方法也符合巴塞尔协议的框架，国内也有诸多文献在最近开始信息安全风险建模的研究。抛开定性和定量的考虑，在目前gb/t 3172

16、22015和gb/t 209842007等标准的框架下，将风险描述为可能性和影响等级的乘积，也更合理一些。r= f（a， t， v， c， l， i）5 不止于“测”，更要“评”总而言之，符合性的最终目的依然是为了保证有效性，因此，测评，不仅仅是“测（test）”，更要加强“评（evaluate）”，等级保护中的“评”，应该基于现有的完整的方法论。在等级保护测评中，问题描述（已经考虑了控制）可以列入脆弱性识别的范畴中，以此为基础，结合gb/t 317222015和gb/t 209842007等，找到与问题相关联的资产，以及相应的脆弱性，在以上要素的基础上，估算出风险发生的可能性和发生后的影响，最后给出风险的值。在网络安全等级保护时代，不仅要“测”，更要“评”，是发展咨询式审核的基础，在这个过程中，可以让信息系统运营者不仅明白问题所在，也明白问题的严重性，从而能够更准确判断问题的优先级，提出最优化的解决途径。（注：本文仅做学术探讨，与作者所在单位观点无关）参考文献1 谢宗晓.信息安全风险管理相关词汇定义与解析j.中国标准导报，2016（4）：26-29.2 贾海云，张超，谢宗晓.信息安全风险管理现状及发展趋势j.中国质量与标准导报， 2019（10）：26-28，34.3 谢宗晓，刘立科.信息安全风险评估/管理相关国家标准介绍j.