随着信息技术的飞速发展及广泛应用,政府部门、金融机构、企事业单位和商业组织对网络信息系统的依赖程度日益加深,由此也带来了信息安全隐患,使得网络信息系统面临着无时不在的信息安全威胁和风险,信息安全风险评估作为信息安全保障工作的基础性工作和有效手段受到了普遍重视。信息安全风险评估从风险管理角度,运用科学的分析方法和手段,系统地分析网络信息系统所面临的威胁及脆弱性,评估安全事件一旦发生对组织所造成的危害程度,有针对性地提出抵御威胁的安全防护对策和整改措施,从而能够最大限度地减少经济损失和负面影响。
多年来,在我国政府的工作部署和相关要求下,政府、教育、医疗、金融、能源和电力等行业的基础信息网络和重要信息系统纷纷开展了信息安全风险评估工作,随之也催生出一批对外提供专业信息安全风险评估服务的安全技术服务组织。但就整个信息安全风险评估服务市场来说,如何科学、规范地开展信息安全风险评估活动,保证信息安全风险评估服务成果的质量,依然是目前普遍存在的问题。
中国网络安全审查技术与认证中心经过不断研究和实践,于2018年6月1日发布了CCRC-ISV-C01:2018《信息安全服务规范》,其中对信息安全服务提供者在提供信息安全风险评估服务时应具备的专业服务能力要求进行了明确规定,旨在规范相关服务提供组织的信息安全风险评估服务过程,提升其信息安全风险评估服务能力,同时也为相关服务需方组织提供了有效选择和评价风险评估服务提供组织的评判依据。本文针对信息安全风险评估服务认证过程中发现的常见问题,结合信息安全风险评估工作实践,对CCRC-ISV-C01:2018《信息安全服务规范》中风险评估三级专业评价要求进行了解读,以期为提供信息安全风险评估服务的安全技术服务组织提供一些帮助和参考。
规范解读
CCRC-ISV-C01:2018《信息安全服务规范》“5.1风险评估服务资质专业评价要求”部分按照三级、二级、一级三个认证级别(从低往高),分别从评估准备、风险识别、风险分析以及风险处置4个过程对信息安全风险评估服务提供者在提供风险评估服务时应具备的专业服务能力要求进行了明确规定。本文主要针对最低认证级别(三级)信息安全风险评估服务专业评价条款内容和要求进行阐释。
评估准备
风险评估准备是整个风险评估过程有效性的保证。因此,在风险评估实施前,应综合考虑组织的战略、业务目标、业务功能、业务流程、安全需求、系统规模和结构等方面的因素,确定风险评估的目标和范围,组建评估管理与实施团队,召开风险评估工作启动会议,做好评估现场所需的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密安全教育,对被评估系统进行前期调研,确定风险评估的对象和内容、评估依据和风险计算方法,制定风险评估实施方案,并在后期的项目实施过程中按照方案和文档模板实施,保留好相关过程记录。其中,风险评估实施方案中应至少包括评估目标、评估范围、评估依据、评估对象和内容、评估方法、评估小组成员角色及职责、评估工作计划、时间进度安排、评估工具描述、风险计算方法、风险评价原则和风险规避措施等内容。风险评估实施方案应得到被评估组织的确认和认可。
在认证审核过程中,常见的问题一般有:未按照风险评估实施方案模板制定具体项目的风险评估实施方案、已完成项目风险评估实施方案中缺少风险评价原则并将风险评估原则等同为风险评价原则、已完成项目风险评估实施方案中对风险评估实施团队成员角色及职责未进行描述、已完成项目风险评估实施方案中关于评估工具的介绍缺少功能描述、实施风险评估前未对风险评估团队开展安全教育培训、实施风险评估前对评估团队进行技术培训时未结合具体项目开展等。
风险识别
资产识别
资产识别是风险评估的基础环节,应参照已发布的国家或国际标准明确资产分类方法,形成资产分类列表,如可参照GB/T 20984-2007《信息安全技术 信息安全风险评估规范》中基于资产表现形式的资产分类方法,将资产分为数据、软件、硬件、服务、人员等类型。根据所确定的资产分类方法进行资产识别,形成资产识别清单,明确资产的责任人或部门。
保密性、完整性和可用性是评价资产的3个基本安全属性。根据资产在保密性、完整性和可用性这3个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度确定保密性、完整性和可用性等级赋值标准,并按照确定的等级赋值标准来确定资产的保密性、完整性和可用性等级化赋值。
业务识别是资产识别的关键环节。业务是组织发展的核心,具有价值属性。组织的业务重要程度越高,对资产的依赖程度就越高,资产价值就越大。业务识别的内容一般包括业务功能、业务对象、业务流程、业务关联性等。根据业务在组织发展战略及目标中的重要程度确定业务重要性等级赋值标准并对其进行等级化赋值。
最后,综合考虑资产保密性、完整性、可用性以及业务重要性等4个因素确定资产价值的综合评定方法。综合评定方法可根据组织的业务特点确定,如可采用最大值法或加权计算法,根据确定的综合评定方法得出资产价值的最终赋值结果。根据资产识别和赋值的结果,形成重要资产列表,包括重要资产名称、功能描述、资产类型、重要程度、责任人/部门、保密性赋值、完整性赋值、可用性赋值、业务重要性赋值、资产价值最终赋值等。
在认证审核过程中,常见的问题一般有:未参照已发布的国家或国际标准形成资产分类列表、资产识别清单中未按照确定的资产分类进行全面的资产识别、已完成项目重要资产列表中具体资产的识别信息不完善、已完成项目重要资产列表中未明确资产最终赋值的综合评定方法、资产最终赋值的综合评定方法中未考虑业务的重要性和关联性等。
脆弱性识别
脆弱性识别是风险评估的核心环节,脆弱性识别主要从技术和管理两个方面进行,因此包含了技术脆弱性和管理脆弱性。技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题或隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透测试等。
脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从物理层、网络层、系统层、应用层等层面进行识别。在脆弱性识别过程中,应结合被评估组织的重要资产,确定物理层、网络层、系统层、应用层或管理层等各个层面的脆弱性检查列表以供现场人工核查发现安全问题或隐患。同时应通过可靠的信息安全专业检测工具、渗透测试等工具手段重点挖掘被评估系统网络层、系统层、应用层的安全问题或隐患。针对不同的资产对象,其脆弱性识别的具体要求应参照国内发布的相应技术或管理标准实施。
根据脆弱性对资产和业务的暴露程度、技术实现的难易程度、流行程度、已有安全措施和脆弱性关联性等,确定脆弱性等级赋值标准,并按照确定的等级赋值标准对已识别脆弱性的严重程度进行赋值。根据脆弱性识别和赋值的结果,形成脆弱性列表,包括具体脆弱性的名称、内容描述、类型、对应资产、脆弱性赋值等。
对某个资产,其技术脆弱性的严重程度还受到组织管理脆弱性的影响,因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。
在认证审核过程中,常见的问题一般有:脆弱性列表中脆弱性识别范围未覆盖所有重要资产、脆弱性识别方法仅使用了单一的人工核查或工具检测方法、脆弱性列表中关于脆弱性的内容描述不准确或不详细、脆弱性列表中所识别出的脆弱性未对应到具体资产、脆弱性赋值未和已有安全措施有效性评价结果相关联等。
威胁识别
在威胁识别过程中,应参考已发布的国家或国际标准对威胁进行分类,形成威胁分类清单。如可参照GB/T 20984-2007《信息安全技术 信息安全风险评估规范》中的威胁分类方法,考虑环境因素和人为因素两大威胁来源,根据威胁表现形式将威胁主要分为软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵赖等11类。
考虑威胁出现的来源、动机和频率等因素确定威胁等级赋值标准。根据经验和(或)相关统计数据判断威胁出现的来源、动机和频率,按照确定的等级赋值标准对威胁进行赋值,形成威胁识别清单,包括威胁名称、种类、来源、动机、出现的频率、影响层面、威胁赋值等。
在认证审核过程中,常见的问题一般有:威胁分类未参考国家或国际标准因而导致分类类别不全、已完成项目威胁识别清单中列出的威胁类别与威胁分类清单中的威胁类别不一致等。
已有安全措施确认
以威胁为核心识别组织已有安全措施,在威胁识别的同时,一般从物理、网络、主机、应用、数据、管理等层面对已采取的安全措施进行识别。在识别脆弱性的同时,应对已有安全措施的有效性进行评估和确认,即是否真正地抵御了威胁,降低了系统的脆弱性。根据对已采取的安全措施进行确认后的结果,形成已有安全措施确认表,包括已有安全措施名称、所属层面、功能描述及实施效果评价等。
在认证审核过程中,常见的问题一般有:未识别已有安全措施或识别层面覆盖范围不全、未对已有安全措施的有效性进行评估和确认等。
风险分析
风险分析模型建立
在完成了资产识别、威胁识别、脆弱性识别以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性,同时综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。通常,参照GB/T 20984-2007《信息安全技术 信息安全风险评估规范》中给出的风险计算原理,将资产、威胁、脆弱性3个基本要素及每个要素各自的属性进行关联后构建风险分析模型并在项目风险评估报告中进行描述:
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))
其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。
在认证审核过程中,常见的问题一般有:已完成项目风险评估报告中缺少风险分析模型的描述、已完成项目风险评估报告中给出的风险分析模型缺少科学性和可行性、已建立风险分析模型中未考虑威胁利用脆弱性导致安全事件发生的可能性、已建立风险分析模型中未考虑威胁利用脆弱性导致安全事件发生对组织造成的损失等。
风险计算方法确定
根据风险分析模型选择和确定相应的风险计算方法计算风险值,如矩阵法或相乘法。矩阵法通过构造一个二维矩阵,形成安全事件的可能性与安全事件造成的损失之间的二维关系;相乘法通过构造经验函数,将安全事件的可能性与安全事件造成的损失进行运算得到风险值。具体风险计算方法可参照GB/T 20984-2007《信息安全技术 信息安全风险评估规范》附录A(资料性附录)风险的计算方法部分。
在认证审核过程中,常见的问题一般有:未根据风险分析模型选择和确定相应的风险计算方法、已完成项目风险评估报告中未描述确定的风险计算方法并将风险计算原理等同为风险计算方法、已完成项目风险评估报告中未体现计算得出风险值的过程等。
风险评价
为实现对风险的控制与管理,宜对风险评估的结果进行等级化处理。根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,形成风险评价准则,并按照确定的风险评价准则对所有风险计算结果进行等级处理。
综合考虑风险控制成本与风险造成的影响,提出一个可接受的风险范围。对某些资产的风险,如果风险计算值在可接受的范围内,则该风险是可接受的,应保持已有的安全措施;如果风险评估值在可接受的范围外,即风险计算值高于可接受范围的上限值,则该风险是不可接受的,需要采取安全措施以降低、控制风险。
在认证审核过程中,常见的问题一般有:已完成项目风险评估报告中缺少风险评价原则的描述、已完成项目风险评估报告中给出的风险评价原则明显不合理、在理解风险评价原则时直接将其等同于风险评估准则等。
风险评估报告
按照风险评估报告模板编制风险评估报告,对整个风险评估过程和结果进行总结,说明被评估对象、风险评估方法、资产识别分析结果、威胁识别分析结果、脆弱性识别分析结果、已有安全措施确认分析结果、风险分析原理、风险计算方法、风险评价原则、风险统计和结论、风险处置建议等内容。
在认证审核过程中,常见的问题一般有:未按照风险评估报告模板编制具体项目的风险评估报告、已完成项目风险评估报告中评估过程和结果不完整、已完成项目风险评估报告中关于脆弱性或风险内容描述不详细、已完成项目风险评估报告中缺少风险处置建议、已完成项目风险评估报告中评估过程和内容与项目风险评估方案中的不一致等。
认证实施建议
信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用,它是实施安全集成、安全运维、软件安全开发、等级保护等多项服务或工作的基本前提,又是组织检查、衡量网络信息系统安全状况的基础工作。信息安全风险评估服务的终极目标是保护组织的业务安全,建议相关组织能够熟练掌握风险评估的科学涵义和方法论,严格、规范地按照风险评估的实施流程和评估方法开展风险评估服务,不断提升组织的信息安全风险评估服务能力和技术水平,最终为客户提供有价值、能落地的风险评估结果和风险处置建议,为国内的信息安全事业发展发挥积极的作用。