[关键词] 信息系统 安全管理 风险评估
    [摘  要] 本文简述了企业信息系统进行安全风险评估的意义和作用，介绍了国际上主要的风险评估标准，分析了安全风险评估的基本要素，信息系统从开发到废弃各个阶段如何开展安全风险评估，对企业信息系统进行安全风险评估有一定的指导作用。

    1 信息安全风险评估概述
    随着企业信息化的建设和发展，企业的网络环境和应用系统愈来愈复杂，每个企业都有这样的疑惑：自己的网络和应用系统有哪些安全漏洞？应该怎样解决？如何规划企业的安全建设？如何才能保证系统的稳定和信息的安全？
    信息系统安全的实现是一个过程而不是目标，信息安全风险是由于资产的重要性，人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致安全事件一旦发生所造成的影响。信息系统的安全性可以通过风险的大小来度量，通过科学地分析系统在保密性、完整性、可用性等方面所面临的威胁，发现系统安全的主要问题和矛盾，就能够在安全风险的预防、减少、转移、补偿和分散等之间做出决策，最大限度地控制和化解安全威胁。
    信息安全风险评估是解决如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大，加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力，确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要方法和基础性工作。
    信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全管理提供依据。风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化，但其直接目的是为了控制安全风险。

    2企业信息安全评估的作用和目的
    明确企业信息系统的安全现状。进行信息安全评估后，可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状，从而明晰企业的安全需求。
    确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后，可以确定企业信息系统的主要安全风险，并让企业选择避免、降低、接受等风险处置措施。
    指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后，可以制定企业网络和系统的安全策略及安全解决方案，从而指导企业信息系统安全技术体系（如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等）与管理体系（安全组织保证、安全管理制度及安全培训机制等）的建设。

    3 主要的信息安全评估标准
    信息安全评估标准是信息安全评估的行动指南。可信的计算机系统安全评估标准（TCSEC，从橘皮书到彩虹系列）由美国国防部于1985年公布的，是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。
    信息技术安全评估标准（ITSEC，欧洲白皮书）是由法、英、荷、德欧洲四国90年代初联合发布的，它提出了信息安全的机密性、完整性、可用性的安全属性。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识，对国际信息安全的研究、实施产生了深刻的影响。
    信息技术安全评价的通用标准（CC）由六个国家（美、加、英、法、德、荷）于1996年联合提出的，并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。CC标准是第一个信息技术安全评价国际标准，它的发布对信息安全具有重要意义，是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。
    ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义，并提出了以风险为核心的安全模型：企业的资产面临很多威胁（包括来自内部的威胁和来自外部的威胁）；威胁利用信息系统存在的各种漏洞（如：物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等），对信息系统进行渗透和攻击。如果渗透和攻击成功，将导致企业资产的暴露；资产的暴露（如系统高级管理人员由于不小心而导致重要机密信息的泄露），会对资产的价值产生影响（包括直接和间接的影响）；风险就是威胁利用漏洞使资产暴露而产生的影响的大小，这可以为资产的重要性和价值所决定；对企业信息系统安全风险的分析，就得出了系统的防护需求；根据防护需求的不同制定系统的安全解决方案，选择适当的防护措施，进而降低安全风险，并抗击威胁。该模型阐述了信息安全评估的思路，对企业的信息安全评估工作具有指导意义。
    BS7799是英国的工业、政府和商业共同需求而发展的一个标准，它分两部分：第一部分为“信息安全管理事务准则”；第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用，并已成为国际标准ISO17799。 BS7799包含10个控制大项、36个控制目标和127个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议，并介绍了风险管理的方法和过程。企业可以参照该标准制定出自己的安全策略和风险评估实施步骤。
国内主要是等同采用国际标准。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为5个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等，这些指标涵盖了不同级别的安全要求。GB18336也是等同采用ISO 15408标准。

    4 信息安全风险评估的基本要素
    ★使命：一个组织机构通过信息化形成的能力要来进行的工作任务。使命是信息化的目的，一个信息系统如果不能实现具体的工作任务是没有意义的。对企业来说，信息系统的使命是业务战略。
    ★依赖度：一个组织机构的使命对信息系统和信息的依靠程度。依赖度越高，风险评估的任务就越重要。
    ★资产：通过信息化建设积累起来的信息系统、信息以及业务流程改造实现的应用服务的成果、人员能力和赢得的信誉。
    ★价值：资产的重要程度。
    ★威胁：对一个组织机构信息资产安全的侵害。 
    ★脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为弱点或漏洞。
威胁是外因，脆弱性是内因，威胁只有通过利用脆弱性才能造成安全事件。
    ★风险：某种威胁利用暴露的系统对组织机构的资产造成损失的潜在可能性。风险由意外事件发生的概率及发生后可能产生的影响两种指标来衡量。
安全事件的后果和它发生的概率同时决定信息安全的投入和安全措施的强度。
    ★残余风险：采取了安全保障措施，提高了防护能力后，仍然可能存在的风险。
    ★安全需求：为保证组织机构的使命正常行使，在信息安全保障措施方面提出的要求。
    ★安全保障措施：对付威胁，减少脆弱性，保护资产而采取的预防和限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。

    5 信息系统的全过程的安全评估

    5.1启动阶段
    阶段特征：确定信息系统的需求，信息系统的目的和范围并形成文档。
    风险评估的作用：通过风险评估对系统需求的开发提供支持，包括安全需求和安全战略。
    主要工作：挖掘并评估需求，进行可行性分析和项目预算，对数据敏感性进行评估
    可形成的文档：《系统安全需求分析》、《数据分类安全》
    5.2设计阶段
    阶段特征：确定信息系统项目计划，系统分析设计和详细设计。
    风险评估的作用：通过风险评估对信息系统的安全分析和设计提供支持，这些安全分析可作为信息系统的结构和设计的参考。
    主要工作：进行系统功能评估、技术特性需求评估，设计特定的安全控制，对人员背景的调查，编制测试计划和测试环境。
    可形成的文档：《系统设计阶段安全风险分析报告》、《系统安全体系设计方案》、《系统安全域划分方案》、《系统安全功能分配方案》、《系统信息流程安全性设计方案》、《系统等级保障建设方案》等。
    5.3开发阶段
    阶段特征：信息系统通过购买、开发或其它形式建设完成。
    风险评估的作用：通过风险评估对系统开发过程提供支持，保证系统开发进度、质量和安全控制。
    主要工作：进行开发平台风险评估、编程风险评估、配置变更风险评估、项目进度风险评估、人员权限评估
    可形成的文档：《系统开发阶段安全风险分析报告》、《系统开发平台安全建议书》、《系统安全编程指南》、《系统程序分发和管理建议书》、《系统安全功能测试方案》 
    5.4实施阶段
    阶段特征：信息系统的安全特性在此阶段被配置、使能、测试并核实。
    风险评估的作用：风险评估可以为针对安全需求进行的信息系统实施的评估提供支持，该阶段发现的安全风险应该如何处理，必须在系统运行之前作出决定。
    主要工作：物理环境设施安全，实施人员岗位、职责和工作接口，实施操作程序，外部或内部资源协调，业务连续性计划，灾难恢复计划，文件与程序的设置与权限设定，测试与鉴定（包括测试数据、单元测试、系统测试），备份、恢复与重启程序和手册，备份实施
    可形成的文档：《系统实施阶段安全风险分析报告》、《系统安全集成方案》、《系统安全集成质量保证大纲》、《系统实施安全监理报告》、《系统业务连续性计划》
    5.5运维阶段
    阶段特征：信息系统开始执行其功能，在此阶段信息系统往往不断得到修改，例如添加新的硬件和软件，改变组织的策略和程序等。
    风险评估的支持能力：在本阶段风险评估应定期进行，对信息系统的安全风险进行的评估可以帮助信息安全负责人跟踪系统安全状况，决定采用何种控制措施处理安全风险，将安全风险维持在一个可以接受的水平。当信息系统的运行环境做重大调整后，也必须重新执行安全评估。
    主要工作：备份与恢复参数，执行备份计划，安全培训内容，加密秘钥管理，用户管理与访问权限，日志审计，安全事件处理，物理安全保护，离线存储保护，输出分发控制，注册与销户，软硬件维保，运维安全控制措施（包括检查工作时间运行、检查技术控制、验证访问权限文档、检查系统互操作性、确认文档及时更新、确认正确的销户、确认文档控制）
    可形成的文档：《运维阶段安全风险分析报告》、《系统安全运维规范评估》、《系统安全控制措施评估》、《系统安全事故处理流程》、《系统安全监控流程》
    5.6废弃阶段
    阶段特征：该阶段包括信息、硬件和软件的销毁。也包括信息的移动、备份和丢弃以及硬件和软件的清除等活动。
    风险评估的支持能力：该阶段对将被丢弃和替换的系统组件（硬件、软件）的风险评估可以确保这些组件被合理地丢弃和替换，它们所包含的残余数据经过了正确的处理，不会增加信息系统的安全风险。风险评估还可以保证信息系统的移植在可控的安全情况下执行。
    主要工作：加密密钥存储，记录保存时间（法律法规要求)，信息归档，介质处理
    可形成的文档：《信息记录处理规范》、《介质安全处理规范》
    5.7 信息系统主要阶段评估要点

    6信息系统安全风险评估的形式
    6.1 自我评估
    自我评估是指信息系统拥有者指定的本机构信息系统安全管理人员在信息系统运行维护中使用相应的安全风险评估工具按照一定的规范进行的评估活动。从信息系统拥有者的角度来看是完全主动的行为，其优点是可方便地进行经常性的评估，及时采取对策降低安全风险，是一种“自查自纠”的方式。这种方式因为是在一个机构内部进行，因此一般不会引入评估带来的新的风险，缺点是专业性和客观性稍较差。
    6.2 委托评估
    委托评估是信息系统拥有者选择委托具有相应资质的评估单位按照一定的规范对信息系统进行的独立的评估活动。从信息系统拥有者的角度来看是完全自愿的，并具有一定的选择性。其优点是专业性、公证性和客观性较强。需注意的是对于评估可能引入新的风险，要加强控制。
    6.3 检查评估
    检查评估是信息系统拥有者的上级机关或国家赋予信息安全管理职能的机关授权的评估单位根据一定的管理权限和程序，按照一定的规范对信息系统进行的独立的评估活动。此种评估带有检查的性质，从信息系统拥有者的角度来看具有某种被动性。其优点是专业性、公证性、客观性较强，一般也不会引入评估带来的新的风险。

    参考文献
    1、吴亚非、李新友、禄凯 信息安全风险评估 2007年 清华大学出版社
    2、中国计算机学会信息保密专业委员会  中国计算机学会信息保密专业委员会论文集：第十六卷 2006年 中国科学技术大学出版社 
    3、范红、冯登国 信息安全风险评估实施教程 2007年 清华大学出版社
    4、赵战生 信息安全保密教程  2006年 中国科学技术大学出版社
 

(责任编辑：)