马朝斌^1,2   杜虹¹

一、前言

　　2003年9月7日，中共中央办公厅、国务院办公厅以中办发[2003]27号文件转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》，其中明确要求要重视信息安全风险评估工作，将信息安全风险评估作为加强信息安全保障工作的一项重要举措。
　　为加强对信息安全风险评估的研究，国务院信息办于2003年7月委托国家信息中心组建成立“信息安全风险评估课题组”，对信息安全风险评估工作的现状进行全面深入了解，提出我国开展信息安全风险评估的对策和办法。2003年底，课题组完成了《信息安全风险评估调查报告》和《信息安全风险评估研究报告》。2004年3月，启动风险评估相关标准的编制工作，2004年9月完成了国家标准《信息安全风险评估指南》和《信息安全风险管理指南》两个标准草稿。2005年2月，国务院信息办启动信息安全风险评估试点工作，成立了风险评估试点工作领导小组、专家组和《关于开展信息安全风险评估工作的意见》文件起草组。当前，信息安全风险评估工作受到了高度重视，有关信息安全风险评估的国家政策、标准规范制定、理论和方法研究、技术与工具开发等引起了普遍关注。
　　本文首先简要介绍了信息安全风险评估的基本概念、形式、工具、流程，以及风险评估在信息系统生命周期中的不同要求，然后重点介绍了涉密信息系统安全风险评估工作的有关情况。

二、信息安全风险评估的基本概念

　　信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。信息安全风险评估是指依据国家有关信息安全标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性，并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度，运用科学的分析方法和手段，系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，以防范和化解风险，或者将残余风险控制在可接受的水平，从而最大限度地保障网络与信息安全。
　　信息安全风险评估各要素之间的关系如图1所示。使命是一个单位通过信息化要实现的工作任务，使命依赖于资产去完成；资产拥有价值，单位的使命越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求；安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留风险，其中，一部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。

三、信息安全风险评估的形式

　　信息安全风险评估主要有自评估和检查评估两种形式。自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。其优点是可方便地进行经常性的评估，及时采取对策降低安全风险，是一种“自查自纠”的方式。这种方式是在一个机构内部进行，因此一般不会引入评估带来的新的风险，缺点是专业性和客观性稍较差。
　　检查评估是指信息系统上级管理部门或有关职能部门组织的信息安全风险评估。其优点是专业性、公证性、客观性较强，一般也不会引入评估带来的新的风险。
　　自评估和检查评估可依托自身技术力量进行，也可委托具有相应资质的第三方机构提供技术支持。但由于信息安全风险评估工作敏感性强，涉及系统的关键资产和核心信息，参与风险评估工作的单位及其有关人员均应遵守国家有关保密法规，对风险评估工作中涉及的保密事项，应采取相应保密措施，签订具有法律约束力的保密协议，并承担相应责任。国内已经出现过由于委托第三方机构进行信息安全风险评估而带来新的风险的情况。

四、信息安全风险评估的工具

　　风险评估的进行离不开风险评估工具，自动化的风险评估工具不仅可以将分析人员从繁重的手工劳动中解脱出来，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛的应用。目前对风险评估工具的分类还没有一个业界普遍认可的标准，有些技术人员把漏洞扫描工具称为风险评估工具，在信息安全风险评估过程中，漏洞扫描工具确实是基础性工具，通过漏洞扫描工具可以发现系统存在的漏洞，根据漏洞扫描结果提供的线索，可以利用渗透性测试来确认系统存在的高风险漏洞，但信息安全风险评估是技术和管理相结合的综合评估，因此，风险评估工具至少应包括安全管理评估工具、脆弱性分析和渗透性测试工具、风险评估辅助工具。

五、信息安全风险评估的实施流程

　　信息安全风险评估的实施流程如图2所示，主要包括风险评估的准备、资产识别、威胁识别、脆弱性识别、已有安全措施的确认和风险计算分析等阶段，在整个过程中，将产生一系列的文档。

六、风险评估在信息系统生命周期中的不同要求

　　信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，应贯穿于信息系统生命周期。在信息系统的设计、验收及运行维护阶段均应当进行风险评估。在信息系统规划设计阶段，应通过风险评估明确系统建设的安全需求和安全目标；在信息系统验收阶段，应通过风险评估验证信息系统安全措施能否实现安全目标；在信息系统运行维护阶段，应定期进行风险评估，检验安全措施的有效性及对安全环境变化的适应性，以保障安全目标的实现。

七、涉密信息系统的安全风险评估

1. 涉密信息系统安全风险评估的概况

2. 涉密信息系统安全风险评估的工作流程

　　涉密信息系统安全风险评估的工作流程如图3所示，主要包括资料审查、现场考察、现场检测、形成检测报告、专家评估和给出测评结论等6个阶段。

（1）资料审查

　　测评中心在收到涉密系统使用单位的系统测评申请后，发给申请单位《涉密信息系统安全保密测评申请书》，申请单位应按照申请书的要求提供涉密信息系统的详细情况。测评中心对申请单位提交的资料进行审查，将发现的主要问题（如要求进一步补充资料等）及时反馈给申请单位。

（2）现场考察

　　在资料审查通过后，测评中心要到申请单位对涉密信息系统的实际情况进行现场考察，要求申请单位保密部门负责人、信息系统安全保密管理人员、应用系统开发和系统集成人员等参加双向沟通，确认信息系统的有关情况，并进行现场考察验证。考察完成后，测评中心根据涉密信息系统的实际情况，制定测评方案。

（3）现场检测

　　现场检测采用技术测试和问询核查相结合的方式进行，主要包括网络结构安全分析、网络设备和安全保密设备是否正常工作并符合安全策略、服务器和个人主机安全漏洞分析、安全配置检查、应用系统安全分析、电磁泄漏发射防护现场检查测试，以及物理安全、运行安全、安全保密管理等方面的现场问询和检测。

（4）形成检测报告

　　现场检测完成之后，测评中心分析检测数据，完成检测报告，给出检测意见，指出该系统存在的安全保密问题并提出相应的整改建议。

（5）专家评估

　　如果检测意见认为系统“不合格”，待整改复测后，再召开专家评估会进行评估；如果检测意见认为该系统符合或者基本符合安全保密要求，则召开专家评估会，由专家组根据被检测系统的概况、现场检测的报告和意见，给出专家评估意见。

（6）给出测评结论

　　测评中心综合现场检测意见和专家评估意见，完成《测评报告》，给出测评结论：如果检测意见认为系统“合格”，专家评估意见认为“基本合格”，则测评结论为“基本合格”；如果检测意见认为“基本合格”，专家评估意见认为“不合格”，待整改复测后，再给出测评结论。《测评报告》完成后，测评中心将《测评报告》交给涉密信息系统使用单位并报国家保密工作部门。

3. 涉密信息系统安全风险评估与产品检测的关系

　　信息系统的安全保密措施需要通过信息安全保密产品的安全功能来实现，因此，产品检测是涉密信息系统安全风险评估的基础。目前，在涉密信息系统中使用的安全保密产品都是经由国家保密局指定的测评机构检测的，其安全保密功能是符合相关国家保密标准的，因此，风险评估中主要是检测和分析安全保密产品在系统中是否被正确配置和使用，但对于业务应用系统，由于通常是针对各个单位的特定业务需求开发的，而且是国家秘密信息存储、处理和传输的主要软件，其安全保密功能检测是风险评估中的主要工作之一。

4. 涉密信息系统的安全风险判定

　　信息系统安全风险的准确计算一直是风险评估的难题，信息系统的安全风险可以表示为R= f(A,V,T)=f(Ia,L(Va,T))，其中：R表示风险；A表示资产；V表示脆弱性；T表示威胁；Ia表示资产发生安全事件后对机构业务的影响(也称为资产的重要程度)；Va表示某一资产本身的脆弱性，L表示威胁利用资产的脆弱性造成安全事件发生的可能性
　　在涉密信息系统安全风险评估实践中，依据涉密信息系统各方面所存在的脆弱性、面临的威胁，以及导致国家秘密泄露的可能性，把涉密信息系统应该采取的防护措施分为两类：基本要求项和一般要求项。基本要求项关系到涉密信息系统的高安全风险，一般要求项关系到较低的安全风险。任何一个基本要求项不合格，都会对涉密信息系统带来巨大风险，危及国家秘密的安全，因此，任何一个基本要求项不合格，则整个系统的评估结论为“不合格”；对于其它一般要求项，则采用定性和定量相结合的办法计算其带来的风险，在评估结论中指出所有安全隐患，并给出解决方案建议。

八、结束语

　　风险评估在信息安全保障工作中具有不可替代的地位和重要作用，我国高度重视信息安全风险评估工作，已经启动了相关标准的制定和风险评估试点工作。当前，迫切需要加快制定和完善信息安全风险评估有关标准，加强风险评估理论研究与技术攻关，为开展风险评估工作提供自主可控的技术、方法和工具。只有加强信息安全风险评估工作，才能切实提高信息系统的安全防护能力。