1.3 信息系统安全检测与风险评估简述

为了有效地保证信息系统可以正常运行，在信息系统部署与上线之前，需要系统地对其进行安全“体检”：信息安全检测与风险评估；在信息系统正式运维过程中，也需要定期或不定期地实施安全检测与评估，以确保对信息系统安全威胁、弱点、措施和风险的持续跟踪管理。安全检测与风险评估贯穿于信息系统生命周期的不同阶段，与信息系统安全紧密相关。

1.3.1 信息系统安全检测

信息系统安全检测主要指依托相关的安全标准与指南，对信息系统通过系统性地检查和测试来识别其安全弱点的过程。

如前所述，信息系统的各类资产在设计或实现环节不可避免地存在安全弱点。这些弱点可能存在于信息系统的软件、硬件、物理环境、通信协议层和管理层面等。给定具体的信息系统，需要结合其系统架构、网络拓扑和管理架构，对其内在的安全弱点进行识别，为安全加固和风险应对提供决策依据。

不同类型的安全弱点需要不同方式的识别方法，主流的方法如下。

1）访谈：对于信息系统运维过程中与人相关的安全弱点，可以通过对相关人员进行访谈的方式来识别。测评人员通过与被测系统的有关人员（个人/群体）进行交流、讨论等活动，获取相关证据。

2）检查：对于信息系统在运维过程中生成的文档记录、系统配置以及与物理环境相关的安全弱点，可以通过检查的方式来识别。例如，通过文档审查的方式来检查安全管理体系的落实情况；通过基线检查的方式来识别操作系统、软硬件配置方面的安全弱点；通过实地考察的方式来检查物理环境方面存在的安全隐患。

3）测试：测试是一种自动化程度最高的安全弱点识别手段。测试主要指利用技术工具对系统进行测试，包括针对网络系统、操作系统、数据库等信息资产展开的漏洞扫描、对信息系统实施的整体性渗透性测试，以及对重要通信协议进行的安全测试分析等。例如，通过Nessus等扫描工具，对目标主机系统进行安全漏洞扫描测试。

1.3.2 信息系统风险评估

信息系统风险评估主要指依托相关的安全标准与指南，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率及可能造成的损失，提出风险管理措施的过程。信息系统风险评估是风险管理的基础，也是风险控制的前提。

相对于信息系统安全检测而言，风险评估是一个更系统和全面的安全风险识别与计算过程。通常，风险评估的流程包括资产识别、威胁分析、弱点识别、既有安全措施识别和风险度量等环节。

1）资产识别实际上就是一种确定评估对象范围的过程。测评人员首先确定风险评估对象的物理边界和信息系统边界，然后识别评估范围内的信息资产集合。这些信息系统资产包括软硬件系统、数据、物理环境、人员等。资产识别过程的输出为信息系统资产清单。在资产清单中，信息资产可以被赋予重要性评级，或者被估算出定量的资产价值，为后期风险评估结果的生成做准备。

2）威胁分析是一种结合给定被测评对象系统，调研并分析其可能面临的安全威胁类型和概率的过程。不同地理环境和社会环境的信息系统，所面临的安全威胁类型与概率也不同。例如，处于地震带的信息系统，面临的地震威胁要高于非地震带的系统。威胁分析的输出为信息系统的威胁清单。

3）弱点识别基本与信息系统安全检测过程相对应。测评人员通过访谈、检查和测试等多种手段，识别形成并输出系统的安全弱点清单。在安全弱点清单中，安全弱点可以被赋予不同危险级别，比如“高”“中”“低”等，借此来表示安全弱点的危险程度。

4）既有安全措施识别是一种发现已经部署和落实的措施的过程。常见的安全措施包括部署防恶意代码软件、防火墙、入侵检测系统（IDS）、入侵防御系统（IP S）和安全补丁服务器等。这些安全措施可以在一定程度上对系统可能存在的安全弱点起到保护作用，并针对安全风险形成对冲。既有安全措施识别过程的输出是既有安全措施清单。

5）风险度量是结合上述各个过程的输出，通过一定的计算方法，来生成系统最终安全风险的过程。风险度量可分为定性和定量两类方法。定性的方法主要指凭借分析者的经验和直觉，以及业界的标准和惯例，为风险管理诸要素（资产价值、威胁的可能性、薄弱点被利用的容易度以及现有控制措施的效力等）的大小或高低程度定性分级，例如“高”“中”“低”三级，最终通过不同的风险计算矩阵进行风险的评估。定量的方法主要指以数值的度量形式，对构成风险的各个要素（资产价值、威胁发生的频率、薄弱点被利用的程度、安全措施的效率和成本等）和潜在损失的水平进行估算，赋予风险以数值或货币金额。

1.3.3 常见信息安全评估标准与指南

信息安全评估标准是实施信息安全检测与评估的参考依据。自1985年首项信息安全评估标准诞生以来，人们对于安全评估所涉及的评估对象、评估内容的认识日趋清楚，评估模型和方法论逐渐发展成熟，形成了一系列的相关信息安全评估标准与指南。目前，比较典型的信息安全评估标准有TCSEC、ITSEC、CC、ISO/IEC 27000系列和等级保护系列。

（1）TCSEC

《可信计算机系统安全评估准则》（Trusted Computer System Evaluation Criteria，TCSEC）是美国国防部1985年起开始制定的安全评估标准，该标准是计算机系统安全评估领域的第一个正式标准。它以七层不同安全等级的形式度量系统的安全风险，安全等级越高，风险越低。TCSEC从用户身份鉴别授权、访问控制、安全审计等多个维度考虑安全评估问题。

（2）ITSEC

1990年英国、法国、德国和荷兰制定了《信息技术安全评估准则》（Information Technology Security Evaluation Criteria，ITSEC）。该标准提出了机密性、完整性和可用性安全属性的定义，并在理论层面提出了评估对象（TOE）的概念。ITSEC将被测对象的功能和质量保证分开，可应用于产品和信息系统两类对象的评估。

（3）CC标准

1993年6月，美国、欧洲和加拿大共同起草《信息技术安全评价通用准则》（Common Criteria of Information Technical Security Evaluation，简称CC标准）并将其推广成为国际标准。制定CC标准的目的是建立一个共识性的通用信息安全产品和系统的安全性评估框架。CC标准借助保护轮廓和安全目标提出安全需求，并分别基于功能要求和保证要求进行安全评估，最终实现分级评估目标。

（4）ISO/IEC 27000系列标准

1995年，英国标准协会（BSI）制定了信息安全管理体系标准BS-7799。该标准分为指南和规范两部分。其目的是为各种机构、企业进行信息安全管理提供一个完整的管理框架。后来该标准成为国际标准ISO/IEC 17799，在此基础上修改并完善形成现在的ISO 27001（管理体系要求）和27002（安全技术规范）等系列标准。ISO/IEC 27000系列是信息安全领域的管理体系标准，该标准明确了组织应如何确定其信息安全风险评估和处置过程可靠性的要求。各类组织可以按照ISO/IEC 27001的要求建立自己的信息安全管理体系（ISMS），并通过认证。该标准在安全措施层面，从安全策略、组织安全、资产管理、人力资源安全、物理环境安全、通信运维管理、访问控制、信息系统研发运维、安全事件管理、业务连续性安全和合规性等方面，对安全问题进行了全面考虑。

（5）等级保护系列标准

我国的信息安全等级保护系列标准，是一套主要采用对信息和信息载体按照重要性等级分级别进行保护的信息安全标准。该系列标准覆盖了定级、备案、安全建设和整改、信息安全等级测评以及信息安全检查等五个安全保护阶段。其中根据信息系统的重要性和影响，将其分为用户自主保护级、系统审计保护级、全标记保护级、结构化保护级和访问验证保护级共5个等级。对应安全要求依次由低到高。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。

1.3.4 信息系统安全风险评估方法

信息系统内部的资产具有丰富的层次，信息系统的组织运维架构也复杂多样。风险评估方法研究如何从单个资产节点的威胁与风险出发，通过合理的模型和算法，形成信息系统的整体风险结果。目前常用的安全评估方法主要如下。

（1）专家调查法（德尔菲法）

专家调查法是一种定性的安全评估方法。该方法由美国兰德公司在1946年提出，其本质上属于一种匿名性群体决策咨询方法。该方法主要采用：匿名征求专家意见-归纳、统计-匿名反馈-归纳、统计的循环递进过程，可以排除各种外部干扰和分析障碍，减少调查中的信息误差，力求获取评审专家的真实观点。

（2）故障树分析法

故障树分析法通过描述事故因果关系，形成一种带方向的“树”型结构，用于系统安全分析与评估。该方法根据风险发生的因果关系，在识别各种潜在风险因素的基础上，沿着风险传播的路径，运用逻辑推理的方法来求出风险发生的概率。该方法既适用于定性分析，又能进行定量分析，具有简明、直观、形象化的特点。

（3）层次分析法（AHP）

层次分析法在20世纪70年代由美国的萨蒂教授提出，是一种用于决策分析的方法，原本应用于运筹学范畴。在安全评估领域，层次分析法可以根据问题的性质和要达到的总目标，将整体安全风险分解为不同的组成因素，并按照因素间的相互关联影响以及隶属关系，将因素按不同层次聚集组合，形成一个多层次的风险分析结构模型。从而最终使风险定量计算问题归结为最底层的叶子节点的安全威胁、弱点和风险、相对于最高层（总目标）的相对重要权值的确定或相对优劣次序的排定。该方法是一种简洁而实用的定量风险评估方法。

（4）模糊综合评判法

模糊综合评判是将系统安全性的度量借助模糊数学中的模糊概念和理论来表达，进而实现安全风险的计算方法。模糊综合评判通常会与AHP方法相结合，在对安全要素进行分析时，模糊概念和隶属度被用于AHP方法层内与层间的安全要素计算过程，这使得该方法兼具了定性评估和定量评估的优点。模糊综合评判属于一种定性和定量相结合的安全评估方法。

1.3.5 安全检测与风险评估的区别

信息系统安全检测的主要目标是识别信息系统中存在的安全弱点，为风险评估提供决策支持，可以视为风险评估过程中的一项重要环节。

信息系统风险评估的主要目标是识别并度量信息系统所面临的安全风险。与安全检测相比，风险评估不仅涉及弱点识别，还包括资产识别、威胁识别、既有安全措施识别和风险度量等，操作流程更全面。

在具体实施时，安全检测与风险评估均需遵循一定的安全标准与指南，结合被测对象系统的情况，设计对应的检测与风险评估的方案。