第9章涉密信息系统的安全风险管理

彭飞 湖南大学国家保密学院 eepengf@gmail.com 第9章涉密信息系统的安全风险管理 1

内容提要 信息系统安全风险理论的基本概念信息安全风险管理体系涉密信息系统的安全风险评估涉密信息系统安全保密风险评估的实施涉密信息系统风险评级与处置 2

概述 • 信息系统的安全是一个动态的复杂过程，它贯穿于信息系统的整个生命周期 • 信息安全的本质在于风险管理 • 信息安全风险管理的核心是风险评估 3

9.1 信息系统安全风险理论的基本概念 • 信息安全风险的定义 • NIST SP 800-30：风险就是给定的威胁源攻击一个特定潜在弱点的可能性，以及此风险对事件对机构产生的影响 • ISO Guide 73:2002：风险为某事件发生的可能性及其后果的结合 • OCTAVE method：风险就是遭到破坏或者收到损失的可能性，指一个人作出不受欢迎的事情，或自然发生的、可能导致不良后果的情况 • SSE-CMM：将风险定义为有害事件发生的可能性 4

9.1 信息系统安全风险理论的基本概念 • 信息安全风险辨析 • 信息安全事件发生的可能性是信息安全风险的重要特征 • 信息系统的安全风险是一种潜在的、尚未发生但可能发生的安全事件 • 任何信息系统都有安全风险 • 安全的信息系统是指信息系统在实施了风险评估并作出风险控制后，仍然存在的残余风险可被接收的信息系统 5

9.1 信息系统安全风险理论的基本概念 • 信息系统的安全风险评估关注的要素 • 使命：一个组织机构通过信息化形成的能力来进行的工作任务 • 资产：逻辑资产，非物质化的智力财富；物理资产，实物资产 • 价值：资产的重要程度 • 威胁：指一个威胁源攻击（偶然触发或故意破坏）一个具体弱点潜在的可能性 • 人为威胁：人为故意行为造成的威胁和人为的非故意行为造成的威胁 • 自然威胁：系统故障威胁或自然灾害威胁 6

9.1 信息系统安全风险理论的基本概念 • 信息系统的安全风险评估关注的要素 • 脆弱性：指信息系统及其防护措施在安全流程、涉及、实现、配置或内部控制中的不足或缺陷 • 技术脆弱性：技术方面的因素造成的弱点，如OS的漏洞等。又分为设计弱点/实现弱点/配置弱点 • 结构脆弱性：信息系统网络在拓扑结构的设计、布局等方面存在的缺陷 • 组织脆弱性：系统运行的物理环境、组织制度、业务策略、人事安全、文档管理、安全意识及组织成员培训等组织本身的安全因素存在的缺陷和隐患 7

9.1 信息系统安全风险理论的基本概念 • 信息系统的安全风险评估关注的要素 • 风险：本质上就是威胁源利用信息系统脆弱性的可能性与可能产生影响的综合 • 残余风险：指采取了安全保障措施，提高防护能力后，仍然可能存在的风险 • 安全需求：为保证组织机构的使命正常行使，在信息安全保障措施方面提出的要求 • 安全保障措施：是对付威胁，减少脆弱性，采取预防来保护资产和限制意外事件的影响、检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称 8

9.1 信息系统安全风险理论的基本概念 资产拥有者威胁发起者意识到发现威胁对策利用减少脆弱性增加降低风险滥用与破坏合法与可用系统资产使命风险各要素之间关系信息系统的安全风险评估关注的要素 9

9.1 信息系统安全风险理论的基本概念 • 信息系统的安全风险评估关注的要素 • 何为信息系统安全风险评估？ • 依据国家有关技术标准，对信息系统的完整性、保密性、可靠性等安全保障性能进行科学、公正的综合评估活动 • 信息系统风险可以直观的表示为风险=f (资产, 脆弱性, 威胁 ) • 考虑风险发生的可能性与风险可能产生的影响，风险还可以表示为事件发生的概率及其后果的函数，即风险=f (可能性, 影响 ) 10

9.1 信息系统安全风险理论的基本概念 • 风险控制 • 从风险的构成要素可知，控制风险可以从两个方面考虑 • 消除威胁源 • 修补脆弱点 • 风险控制的主要方法 • 风险假设 • 风险规避 • 风险限制 • 风险计划 • 风险转移 11

9.2 信息系统安全风险管理体系 信息安全评估是信息安全风险管理的起点的基础安全的信息系统是指信息系统在实施了风险评估并做出风险控制后，仍然存在的残余风险可被接收的信息系统风险管理包括风险评估和风险控制风险控制的目标是针对信息网络面临的风险按照风险级别的高低，提出相应的风险控制措施和建议，以降低或减缓网络的风险 12

9.2 信息系统安全风险管理体系 • 信息安全风险评估 • 何为信息安全风险评估？ • 利用适当的风险评估工具，包括定性和定量的方法，对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估，确定信息资产的风险等级和优先风险控制顺序，是风险管理的核心所在 • 风险评估的主要目标 • 结合资产、威胁和弱点、综合定量分析信息网络系统面临的风险 13

9.2 信息系统安全风险管理体系 步骤9：记录结果文档步骤1：系统特征描述步骤2：威胁识别步骤8：控制建议步骤3：脆弱性识别步骤7：风险确定步骤4：控制分析步骤6：影响分析步骤5：可能性确定 • 信息安全风险评估 • 信息安全风险评估的主要流程 14

9.2 信息系统安全风险管理体系 共同特点：持续型、循环往复式的过程、安全性的提高和风险的降低是成螺旋式前进的。 • 信息安全风险评估 • 常见的风险评估标准 • ISMS标准PDCA模型 • ISO/IEC13335:1998模型 • OCTAVE method • SSE-CMM标准 • SP800-30标准 • AP-PDRR模型 15

9.2 信息系统安全风险管理体系 • 信息安全风险控制 • 风险控制的主要目标 • 针对系统面临的风险按照风险级别的高低，提出相应的风险控制措施和建议，以降低或减缓系统的风险 • 风险控制可以从两方面考虑 • 消除威胁源 • 修补脆弱点 16

9.2 信息系统安全风险管理体系 • 信息安全风险控制 • 风险控制包括技术和非技术方法的应用 • 技术类控制是那些融入到系统硬件、软件或固件中的保护措施，主要针对系统的威胁或脆弱性 • 非技术控制包括管理类和操作类控制，如法律法规、安全策略、操作流程、人员、物理和环境安全 17

9.2 信息系统安全风险管理体系 • 信息安全风险控制 • 技术性方法 • 风险排除 • 风险替换 • 风险降低 • 风险隔离 • 程序控制 • 组织纪律 18

9.2 信息系统安全风险管理体系 • 信息安全风险控制 • 减少人为失误的方法 • 人员的保密和安全知识培训 • 管理安全化 19

评估和控制风险的循环过程 评估信息资产的价值实施风险控制制定维护计划按级划分系统脆弱性和风险的大小评估控制效果度量信息资产面临的风险风险可承受吗？控制力度够吗？是制定相应的控制策略和计划是否否

9.3 涉密信息系统的安全风险评估 • 涉密信息系统安全风险评估的作用 • 涉密信息系统安全保密管理的过程 • Step1. 要确立安全目标与策略 • Step2. 要进行风险分析 • Step3. 在方案设计中对风险接受度要进行评估 • Step4. 在安全计划实施中要进行系统评测 • Step5. 在系统运行与维护中，要进行日常检查和定期评估 • 从第五步可循环到第一步至第四步 21

9.3 涉密信息系统的安全风险评估 召开专家评估会，给出专家评估意见综合测评意见和专家意见，写测评报告，给出测评结论，出具测评证书涉密信息系统来函并报资料测评中心进行资料审查检测结果、分析，提出检测意见涉密系统使用单位修改资料测评中心现场检测测评中心将测评结论和测评证书报国家保密局备案是否通过测评中心制定《评测方案》否测评中心进行现场考察是 • 涉密信息系统安全风险评估的作用 • 涉密信息系统风险评测的工作流程 22

9.4 涉密信息系统安全保密风险评估的实施 • 实施涉密信息系统安全风险要注意的几个方面 • 编写并完善信息安全保密策略 • 加强涉密人员的保密教育、宣传和信息安全保密技能的培训 • 构建失泄密的防御、检测、报告、相应、处置体系和处置计划 • 设计信息安全保密的技术解决方案并贯彻实施 23

9.4 涉密信息系统安全保密风险评估的实施 • 保密资产的识别及资产价值的确定 • 涉密资产的主要内容 • 已经被定密的课题、项目、资料等涉密事项 • 接触涉密事项的各类人员 • 存储、处理、分发、传递、使用涉密事项的信息系统 • 受到损害后，可能造成失、泄密的各类设施 24

9.4 涉密信息系统安全保密风险评估的实施 • 保密资产的识别及资产价值的确定 • 涉密资产的价值确定 • 按已经确定的密级计算 • 按失泄密后对国家和军队可能造成的损失计算 • 按其对整个课题、工程、任务或项目的重要程度计算 • 按涉密资产之间的相互安全依赖关系计算 • 注意： • 涉密资产之间以及资产组合后的价值是变化的 • 涉密资产的价值是相对的，会随时空改变 • 资产识别及其价值评定要经常进行，随时保障重要资产和核心秘密 25

9.4 涉密信息系统安全保密风险评估的实施 • 威胁、脆弱性及泄密影响分析确定 • 窃密威胁分析 • 窃密对象的资产价值 • 秘密可能被接触的范围和频率 • 潜在威胁源的窃密动机和窃密能力 • 脆弱性分析 • 制度缺陷/管理缺陷/技术缺陷 • 脆弱性被窃密者利用的难易程度 • 脆弱性之间的相互影响分析 • 已有安保措施下的失泄密影响分析 • 明确在采取安保措施下，失、泄密后可能造成的相对损失 26

9.4 涉密信息系统安全保密风险评估的实施 安全保密系统安全保密管理物理安全网络运行安全信息安全保密环境安全管理机构备份与恢复身份鉴别设备安全管理制度计算机病毒防治访问控制管理技术介质安全电磁兼容信息加密人员管理操作系统安全电磁泄露发射防护数据库安全信息完整性校验入侵检测信息安全保密性能检测评测内容安全审计 27 抗抵赖

9.4 涉密信息系统安全保密风险评估的实施 物理安全网络安全主机系统安全技术层面应用安全数据安全信息安全保密安全管理机构安全管理制度管理层面人员安全管理系统建设管理评估要点 28 系统运维管理

9.4 涉密信息系统安全保密风险评估的实施 • 涉密信息系统的评估要点 • 涉密信息系统的硬件情况 • 涉密信息系统哦功能的网络结构及功能 • 使用涉密信息系统的用户 • 涉密信息系统的规章制度 • 采用的保密措施 29

9.5 涉密信息系统风险评级与处置 • 评测依据 • 中华人民共和国保密指南，BMZ3《涉及国家秘密的计算机信息系统安全保密测评指南》 • 涉密信息系统安全风险的计算公式： R1=f (G(Tfren, P(vi)), L(Avalue, Vserious)) R2=f(R1, P)=R1P+R2old R1表示涉密资产的直接风险值；Avalue为资产价值；Tfren为威胁发生频率；Vserious为脆弱性的严重程度；P(Vi)为脆弱性被利用的难易程度;G为风险发生可能性的计算函数；L为风险事件所造成的损失的计算函数；f为资产风险值的计算函数；R2表示被关联资产的风险值。 30

9.5 涉密信息系统风险评级与处置 • 评测结果判据 • 评测项目分为基本要求项和一般要求项 • 基本要求项高风险 • 一般要求项低风险 • 检测项目结果判据 • 如果一个大项中所有小项均为“合格”，则该大项为“合格” • 如果一个大项中“不合格”的小项超过40%，则该大项为“不合格” • 除上述以外的其他情况，均为“基本合格” 31

9.5 涉密信息系统风险评级与处置 • 评测结果判据 • 检测结论判据 • 基本要求项中有一个大项“不合格”，检测结论“不合格” • 基本要求项中60%（含）“合格”，其他基本要求项为“基本合格”，且一般要求项中60%以上（含）“合格”，检测结论即为“合格” • 除上述两种情况以外的其他情况，检测结论即为“基本合格” 32

9.5 涉密信息系统风险评级与处置 • 评测结果判据 • 检测意见、专家评估意见与评测结论的关系 • 检测意见认为“不合格”，待整改复测后，再召开专家评估会进行评估 • 检测意见认为“合格”，专家评估意见为“基本合格”，则评测结论为“基本合格” • 检测意见认为“基本合格”，专家评估意见认为“不合格”，待整改复测后，再给出评测结论 33

9.5 涉密信息系统风险评级与处置 • 风险处置 • 检测意见为“不合格”，即表示存在风险 • 需要针对评测项目，采取相应的技术或非技术措施进行专项整治，切实降低风险。风险处置后，需要重新评估，直至达标为止 • 风险处置需要注意 • 目的是降低风险，使残余风险在可接受的范围之内即可 • 要严防采取风险控制措施本身而带来新的风险 34

9.6 涉密信息系统安全保密风险评估的方法 • 风险评估的三种形式 • 自我评估 • 本机构信息系统安全管理人员进行评估 • 自查自纠 • 专业性和客观性差 • 委托评估 • 委托具有相应资质的评估单位进行评估 • 专业性、公证性和客观性较强 • 对于评估可能引入的新风险，要加强控制 35

9.6 涉密信息系统安全保密风险评估的方法 • 风险评估的三种形式 • 检查评估 • 信息系统拥有者的上级机关进行评估 • 专业性、公证性和客观性较强 • 一般不会引入评估带来的新的风险 36

9.6 涉密信息系统安全保密风险评估的方法 • 涉密信息系统的风险评估 • 自我评估 • 涉密信息系统的拥有者进行评估 • 是安全风险评估的主要方式 • 检查评估 • 国家保密局涉密信息系统安全保密测评中心进行评估 • 可在已建涉密信息系统安全改进方案之前进行，作为方案涉及的依据 • 可在已建涉密信息系统审批运行之前进行，作为保密局审批的依据 • 可在已建涉密信息系统开通运行一段时间之后进行，作为控制新的安全风险的依据 37

彭飞 湖南大学国家保密学院 eepengf@gmail.com Q & A 38

第9章 涉密信息系统的安全风险管理