一、何为信息安全风险评估?
通过运用科学方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,防范和化解信息安全风险,将风险控制在可接受的水平,最大程度保障信息系统安全。
二、标准修订背景
近年来我国越来越重视网络安全,颁布了《中华人民共和国网络安全法》、等保2.0标准体系、《关键信息基础设施保护条例》等一系列法律法规和政策标准,这些法律法规、政策标准中均提到了网络运营者要定期进行风险评估工作,以提高业务系统抵御安全风险的能力。
GB/T 20984-2007《信息安全技术 信息安全风险评估规范》(以下简称“原标准”)作为我国开展风险评估工作的主要依据已颁发15年之久,这15年,国际国内网络安全形势不断变化,技术发展日新月异,原标准的应用也越发显得局限。终于,GB/T 20984-2022《信息安全技术 信息安全风险评估方法》(以下简称“新标准”)在2022年4月份正式发布,于2022年11月1日正式实施,全面代替原标准,指导新形势下的信息安全风险评估工作。
三、标准适用范围
本文件主要适用于各类组织(如:国家网络安全主管部门、行业监管机构、各重要行业网络安全保障单位、第三方网络安全检测评估机构、安全服务厂商等、各企业单位)开展信息安全风险评估工作,内容包含信息安全风险评估基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法、风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
四、主要变化内容
01 标准名称变化
内容变化
由原来GB/T 20984-2007《信息安全技术 信息安全风险评估规范》修改为GB/T 20984-2022《信息安全技术 信息安全风险评估方法》。
解读说明
原标准采用“规范”命名,指明的是进行风险评估活动所遵循的标准;新标准采用“方法”命名,说明的是为了达到风险评估的目的而采取的方式方法,有着更为现实的指导意义。
02 相关术语和定义变化
新标准删除了2007原版标准中“业务战略”“资产”“资产价值”“可用性”“保密性”“信息系统”“完整性”“残余风险”“安全事件”“威胁”和“脆弱性”的相关术语和定义。
03 风险基本要素关系图变化
关键内容变化
新标准中简化了风险评估过程中的基本要素关系图,没有在图中体现业务战略、安全事件、残余风险、安全需求、资产价值的相关属性。
图1 原标准(左图)-新标准(右图)风险评估基本要素变化图
解读说明
新标准整体上和原标准一样都是围绕资产、脆弱性、威胁、安全措施进行风险评估工作的开展,但从上图可以看出,原标准的基本要素图更为复杂,不同风险评估执行者势必会有不同的理解,从而在风险评估执行过程中会存在这样那样的差异。
相比而言,新标准的基本要素关系图更为简洁,风险评估者更加容易理解,不会产生不同的解读,具有更明确的指导意义和价值。
04 风险评估实施流程变化
关键内容变化
原标准中实施流程主要包括:风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析六个方面。
新标准中实施流程包括:评估准备、风险识别、风险分析、风险评价四个方面。
图2 原标准(左图)-新标准(右图)风险评估实施流程对比
解读说明
虽然新标准在实施流程上简化了2个环节,但并未真正删除,而是将资产识别、威胁识别、已有安全措施识别和脆弱性识别汇总为风险识别,同时,根据实际风险评估实施逻辑,将资产识别前置,并作为风险评估过程中的核心环节。
组织在开展风险评估工作时,前期风险评估准备、评估过程以及后续的文档记录等工作与原标准大体相仿,但是在资产识别和风险分析过程中有重大变化,分别加入了业务识别和业务风险值计算内容,需在风险评估工作中重点注意,下文也会对具体变化内容进行解读。
05 资产识别变化
关键内容变化
原标准中,通过资产不同的表现形式将资产分类为:数据、软件、硬件、服务、人员、其他(企业形象、客户关系)等。强调由评估者根据具体的评估对象和要求,灵活把握。
新标准中,将资产按照层次分为业务资产、系统资产、系统组件和单元资产,要求评估者进行资产识别时从这三个方面进行。如图3所示:
图3 GB/T 20984-2022《信息安全技术 信息安全风险评估方法》资产层次图
解读说明
资产是业务系统的载体,而业务系统的安全稳定运行是企业组织的重中之重,风险评估的最终目标也是保障业务系统 。因此新标准中完善了风险识别的方法,新增加业务识别要求。强调业务在组织发展过程中的重要性,将业务识别视为风险评估的关键环节,要求在业务内容识别过程中应包括业务的属性、定位、完整性和关联性识别四个方面。
表格1 业务识别内容表
业务识别的另外一个重要环节是对业务的重要性进行赋值,在企业的业务规划中重要性更高的业务系统赋值更高,同时因为业务系统相互之间存在关联关系,若被评估业务与高于其重要性赋值的业务具有紧密关联关系,则被评估业务的重要性赋值在原赋值基础上要进行调整。
表格2 业务重要性赋值表
06 风险分析及风险评价
关键内容变化
原标准中根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
新标准中,将风险值分为了资产风险值和业务风险值两个,资产风险值与原标准保持一致,新增根据业务所涵盖的系统资产风险综合计算得出业务风险值。
解读说明
同样,基于业务系统在企业组织中的重要性,在风险评价方面,新标准中同步新增业务风险评价,要求在进行业务风险评价时,从社会影响和组织影响两个层面进行分析。社会影响方面参照等级保护标准中受侵害客体,涵盖国家安全,社会秩序,公共利益,公民、法人和其他组织的合法权益等方面;组织影响主要考虑业务系统一旦受到攻击对企业组织造成的影响,涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面。表格2所示为基于后果的业务风险等级划分方法。
表格3 业务风险等级划分表
在风险值计算方面,新标准突破了原标准只计算资产风险值的局限,从业务角度出发,业务系统是由多个资产所承载,那业务风险值计算则是由其所涵盖的所有系统资产风险综合计算得出,其计算方式如下:
业务风险值=Rb[系统资产风险值,系统资产风险值,…,系统资产风险值]=Rb(RA_1,RA_2,…,RA_n)。
其中,Rb表示业务风险计算函数;RA_1,RA_2,…,RA_n表示业务所涵盖系统资产的风险值。
07 资料性附录变化
新标准中给出了评估对象生命周期各阶段的风险评估方法,风险评估的工作形式,风险评估的工具,资产识别、威胁识别和风险计算示例。可帮助评估者在风评过程中对信息安全风评把握更加准确和细化。
表格4 原标准和新标准资料性附录差异化对比
五、对企业安全建设的指导意义
原标准风险评估主要关注资产维度,新标准风险评估过程中在资产维度的基础上更为关注业务系统的安全风险,新增了业务识别部分并且要根据业务所涵盖的系统资产风险值综合计算得出业务风险值,更能真实的反应出企业用户面临的安全风险,这对企业用户的业务系统安全风险评估和建设整改更有现实指导意义。
1、资产脆弱性凸显,设备入网安全检测势在必行
资产的脆弱性一定会影响业务系统的安全运行。仅在OT领域,2021年业界共检测发布了20175个新漏洞,创下年度新增漏洞数量新高。比漏洞增长更可怕的是攻击者正加快漏洞利用的速度。2021年发布的168个漏洞在12个月内被迅速利用,这意味着攻击者和恶意软件开发人员在漏洞武器化方面做得越来越好。
提前发现并解决设备漏洞是企业解决业务系统安全风险的根本途径。在设备入网前采用已知漏洞发现和未知漏洞挖掘专用工具进行安全检测,尽可能发现并敦促设备厂家修复设备漏洞,从根本上提升设备自身安全属性,行之有效的解决设备脆弱性带来的安全风险。
2、安全威胁众多,主动防御体系建设迫在眉睫
现今网络安全形势复杂,勒索病毒泛滥且变种繁多,攻击工具容易获取同时不需要太高的技术水平即可使用,导致企业面对的安全威胁与日俱增。国内外众多大型企业发生的安全事件无不在说明单点式、被动的防御措施难以达到应有的防护效果,企业应从主动防御、动态防御、体系化防御等方面着手,形成企业安全综合防护能力,全天候全方位监测业务系统安全状况,构建贴合企业业务系统实际防护需求的一体化主动防御体系。
声明:本文来自威努特工控安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。