今日頭條
官方微信
官方抖音
資訊頻道摘要:信息安全風險評估服務是我國信息安全保障工作的重要環節之一,信息安全風險評估技術手段一直為行業內所推崇。目前,因多方面因素影響,信息安全風險評估服務能力的水平在地區、行業間等呈現參差不齊的現象。結合SSE-CMM理論及信息安全風險評估服務的最優實踐,提出風險評估服務能力成熟度模型概念,即RAS-CMM。RAS-CMM圍繞資源配置、技術過程、項目管理等能力因素對風險評估服務能力等級提出理論評價框架。
信息安全風險評估是信息安全保障工作的基礎和重要環節,我國信息安全風險評估工作得到國家一系列政策的支持。《國家信息化領導小組關于加強信息安全保障工作的意見(中辦發[2003]27號)》,《關于開展信息安全風險評估工作的意見(國信辦[2006]5號)》,《關于加強國家電子政務工程建設項目信息安全風險評估工作的通知(發改高技)[2008]2071號》等這些政策都明確提出信息安全風險評估的必要性,及對信息安全風險評估工作的重視。
同時,我國在標準化方面也做了大量工作。2007年6月14日,我國正式發布了國家標準GB/T20984─2007《信息安全技術 信息安全風險評估規范》,標志著我國開展信息安全風險評估工作有了正式的參考標準。該標準提出了風險評估的基本概念、要素關系、分析原理、實施流程和評估方法,以及風險評估在信息系統生命周期不同階段的實施要點和工作形式,適用于規范組織開展風險評估工作。后續的發布的還有GB/Z24364─2009《信息安全風險管理指南》, GB/T31509─2015《信息安全技術 信息安全風險評估實施指南》等標準。
新時期,國家對于風險評估工作空前重視。習主席在網絡安全和信息化工作座談會上的講話上指出“維護網絡安全,首先要知道風險在哪里,是什么樣的風險,什么時候發生風險”,“準確把握網絡安全風險發生的規律、動向、趨勢”。足見國家對網絡安全風險的重視,開展信息安全風險評估工作的重要性。特別是,2016年11月7日發布,2017年6月1日實施的《中華人民共和國網絡安全法》中明確將信息安全安全風險評估服務工作上升為國家法律層面,為信息安全風險評估工作的推動發揮巨大作用。
本文結合一線風險評估測評經驗與國際通用的能力成熟度的理論,提出了風險評估服務能力成熟度模型的概念。本文意在闡述信息安全風險評估服務能力成熟度模型的框架研究,為風險評估服務能力水平的評價提供參考依據。
1、信息安全風險評估服務能力成熟度模型概述
1.1 信息安全風險評估服務過程描述
信息安全風險評估服務能力成熟度模型是依據風險評估服務生命過程, 風險評估服務提供方向風險評估服務需求方提供包括業務識別、資產識別、威脅識別、脆弱性識別、現有安全措施有效性分析和風險分析等為主線,對整個風險評估服務過程及過程中的多個過程域的服務能力等級進行測評的評估模型。信息安全風險評估服務生命周期框架流程圖如圖1所示:
圖1 風險評估實施流程圖
目前風險評估服務的形式因行業和地區的不同呈現多樣化,本文意在闡述基于GB/T20984的完整風險評估服務過程為主線,對能提供單個、多個過程域及整個風險評估服務的提供方從其服務過程中的資源配置、技術服務過程和項目管理過程等服務能力要素對風險評估服務提供方的服務能力成熟度進行等級評估。對于在具體風險評估服務的過程中不是針對整個生命周期進行服務的情況,可以對具體的服務過程域進行風險評估服務的能力等級進行評估。
1.2 信息安全風險評估服務能力要素
信息安全風險評估服務能力包括風險評估服務技術過程能力,信息安全風險評估服務的項目管理過程能力及風險評估服務資源配置能力等方面。這些服務能力也是信息安全風險評估服務的基本活動,這些活動能力的評估需信息系統服務的需求方、提供方和評估方配置相應的人力、設備、環境等資源和服務過程的管理才能構成完整的風險評估服務能力。
因此,信息安全風險評估服務能力應由以下要素構成,如圖2所示:
圖2 風險評估服務能力構成要素
1)風險評估服務資源配置
在資源配置方面包括風險評估服務人員的專業技術能力和知識面、實施風險評估服務所需的工具設備、設施和環境。
2)風險評估服務技術過程
根據風險評估服務技術過程的各個過程域,包括業務識別、資產識別、威脅識別、脆弱性識別、現有安全措施有效性分析和風險分析等。
3)風險評估服務項目管理過程
實施風險評估服務需要進行項目管理過程。項目管理過程應覆蓋到風險評估服務的服務過程活動中。
1.3 風險評估服務能力成熟度模型
信息安全風險評估服務能力成熟度模型(RAS-CMM)是在系統安全工程能力成熟度模型(SSE-CMM)的基礎上,結合信息安全風險評估服務的最佳實踐,所形成的對風險評估服務能力成熟度進行度量的模型。
信息安全風險評估服務能力成熟度由能力維和域維構成(如圖3所示)。
風險評估服務能力級別分為5級:1級是基本執行級;,2級是計劃跟蹤級;3級是充分定義級;4級是量化控制級;5級是持續改進級。風險評估服務能力級別示意圖(如圖4所示)。
能力級別從1~5級逐級提高,標志著風險評估恢復服務能力成熟度的不斷提升。每個級別規定了對應的公共特征和通用實施。在本文中,高級別需要涵蓋低級別成熟度要求的所有內容。但該級別只是規定了增加的內容。
能力維由公共特征構成,公共特征由通用實施(GP)構成。對于某級別的所有通用實施滿足了該級別的公共特征,從而形成了此級別的能力。
圖3 風險評估服務能力成熟度模型
域維由過程域(PA)和資源配置組成。風險評估服務的過程域(PA)包括風險評估服務技術過程域、項目管理過程域。過程域由基本實施(BP)構成,每個過程域的基本實施(BP)是構成該過程域的基本要素,是該完成該過程活動的基本單元。對于不同級別的能力維,風險評估服務過程域的各個基本實施(BP)都是必須的。資源配置是完成風險評估服務活動的基本條件,針對不同能力級別,可能需要特定的資源配置條件。風險評估服務能力等級示意圖如圖4所示:
圖4 風險評估服務能力等級示意圖
1.4 風險評估服務能力要素
1.4.1 風險評估服務資源配置能力
風險評估服務的開展要具備資源配置能力,風險評估項目組要具備足夠支撐風險評估服務的基本資源,例如各類檢查表格、報告模板、漏掃工具、滲透工具、資產識別工具、威脅識別工具、合格的風險評估技術人才等。
1.4.2 風險評估服務技術過程能力
1.4.2.1 PA01-業務識別與分析
在識別組織的業務之前要掌握組織的發展戰略,由戰略推導出各業務發展情況,識別業務內容,可通過訪談、文檔查閱、資料查閱等方式,針對業務屬性進行賦值分析,找到關鍵業務。業務是組織發展的核心,業務具有價值屬性、多樣性、復雜性等特點。
本過程域包括以下3個基本實施:
1) BP.02.01——關鍵資產識別;
2) BP.02.02——資產影響分析;
3) BP.02.03——監視資產影響變化。
1.4.2.2 PA02-資產識別與分析
根據資產與業務的關聯性或相關性進行資產識別,并根據資產的業務相關性、保密性、完整性和可用性等屬性對資產的影響進行優先級排列。風險評估中資產面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產安全屬性的達成程度以及其上承載的業務安全程度產生影響。當承載的業務屬性發生變化時,資產的影響優先級將發生變化。
本過程域包括以下3個基本實施:
1) BP.02.01——關鍵資產識別;
2) BP.02.02——資產影響分析;
3) BP.02.03——監視資產影響變化。
1.4.2.3 PA03-威脅識別與分析
業務及資產面臨的威脅是風險的發起者,如果不存在威脅,風險也就隨之不存在了,威脅構成了風險發生的必要條件。威脅來源、動機、能力和頻率是威脅的屬性,威脅的屬性既是對威脅的描述,也構成了評價威脅影響優先級的必然因素。當環境等因素發生變化時,威脅的影響也會隨之發生變化。
本過程域包括以下3個基本實施:
1) BP.03.01——威脅識別;
2) BP.03.02——威脅影響分析;
3) BP.03.03——監視威脅變化。
1.4.2.4 PA04-脆弱性識別與分析
脆弱性是風險評估服務的重要環節,可從技術和管理兩個方面進行審視。脆弱性識別依據相關國際或國家安全標準、行業規范等,對應用在不同環境中的相同脆弱性,其嚴重程度是不同的。根據脆弱性對業務和資產的暴露程度,已有安全措施和脆弱性關聯識別分析結果等,采用優先級排列的方式對已識別的脆弱性進行賦值。資產所處環境等因素變化,脆弱性的等級也隨之發生變化。
本過程域包括以下3個基本實施:
1) BP.04.01——脆弱性識別;
2) BP.04.02——脆弱性等級分析;
3) BP.04.03——監視脆弱性影響變化分析。
1.4.2.5 PA05-現有安全措施有效性識別與分析
對現有安全措施進行識別并評估其有效性,即是否真正地抵御了威脅,降低了脆弱性。對有效抵御威脅的安全措施繼續保持,對確認為不適當的或無法有效抵御威脅的安全措施應被取消或對其進行修正。
本過程域包括以下2個基本實施:
1) BP.05.01——現有安全措施識別;
2) BP.05.02——現有安全措施有效性分析。
1.4.2.6 PA06-風險分析
在完成了業務識別、資產識別、威脅識別、脆弱性識別,以及對已有安全措施確認后,將采用適當的方法與工具確定風險等級。
本過程域包括以下4個基本實施:
1) BP.04.01——選擇風險分析方法;
2) BP.04.02——對暴露(指威脅、脆弱性和影響的組合)的標識與分析;
3) BP.04.03——排列風險優先級;
4) BP.04.04——監視風險變化。
1.4.2.7 PA07-質量保證
這個過程域的潛在目的是:只有整個服務過程都在持續測量和改進質量的情況下才能產生高質量的風險評估服務。在整個風險評估服務的過程中,為保證高質量的服務,關鍵內容就是測量、分析和修正措施,保證相關內容的保密性等。該過程域的目標就是,實現預期的服務質量。
本過程域包括以下3個基本實施:
1) BP.09.01——測量產品質量;
2) BP.09.02——測量過程質量;
3) BP.09.03——質量分析與修正。
1.4.2.8 PA08-配置管理
“管理配置”的目的是維持已標識的配置單元的數據和狀況,并對風險評估服務及其配置單元的變化進行分析和控制。
本過程域包括以下2個基本實施:
BP.10.01——建立配置單元;
2) BP.10.02——維護工作產品基線。
1.4.2.9 PA09-項目風險管理
“管理風險”的目的是標識、評估、監視和降低風險評估服務項目風險以便于風險評估服務項目取得成功。
本過程域包括以下3個基本實施:
1) BP.11.01——項目風險的識別和評估;
2) BP.11.02——項目風險的控制;
3) BP.11.03——跟蹤風險降低效果。
1.4.2.10 PA10-項目規劃
“項目規劃”的目的是建立項目計劃和規劃項目的技術過程,為在風險評估服務過程中涉及到的技術性工作的進度、費用、控制、跟蹤和商議性質和范圍提供基礎。
本過程域包括以下2個基本實施:
1) BP.12.01——項目計劃;
2) BP.12.02——項目技術規劃。
1.4.2.11 PA11-項目監控
“項目監控”的目的是為項目計劃和技術過程得到有效執行,并通過監督和指導行為使得項目執行過程滿足項目規劃的效果,對執行計劃發生嚴重偏差時可及時進行修正。
本過程域包括以下2個基本實施:
1) BP.13.01——項目監督和指導;
2) BP.13.02——問題分析與修正。
1.4.2.12 提供不斷發展的技能
“技能和知識提升”的目的在于確保項目組成員擁有必要的技能來達到項目的目標。所需的技能可以通過內部培訓和外部來源中獲得。
本過程域包括以下3個基本實施:
1) BP.15.01——識別技能和知識需求;
2) BP.15.02——實施培訓;
BP.15.03——技能和培訓評估。
2. 風險評估服務過程能力級別定義
2.1 風險評估服務過程能力概述
風險評估服務過程能力等級分為5級,由1級到5級遞增。每個級別包含了幾個公共特征,每個公共特征又包含若干個通用實施。通用實施是適用于所有過程的活動,是過程方面的管理,度量和制度化方面陳述。這些通用實施可在過程能力的評定中用于確定任何過程的能力。
能力級別具體定義如下所示:
1) 能力級別1——基本執行;
2) 能力級別2——計劃跟蹤;
3) 能力級別3——充分定義;
4) 能力級別4——量化控制;
5) 能力級別5——持續改進。
2.2 能力級別1 — 基本執行級
2.2.1 基本執行級綜述
在此級別,過程域的基本實施通常被執行。但基本實施的執行可能未經嚴格的計劃和跟蹤,而是基于個人的知識和努力。
該能力級別包含如下公共特征:
1) 公共特征1.1——執行基本實施。此公共特征的通用實施只是保證過程域的基本實施以某種方式執行,工作產品的一致性、性能和質量會因缺乏適當控制而存在極大的差異。
該公共特征包含如下通用實施:
1) GP1.1.1——執行過程。執行一個實現過程域的基本實施的過程,為服務需求方提供服務。
2.3 能力級別2 — 計劃與跟蹤級
2.3.1 計劃與跟蹤級綜述
此級別,過程域基本實施的執行是經計劃并被跟蹤的,并對實施情況進行驗證。工作產品符合指定的標準。通過測量來跟蹤過程域的執行情況,能夠基于實際實施活動進行管理。與基本執行級別間的主要區別是過程實施被計劃和管理。
該能力級別包含如下公共特征:
1) 公共特征2.1 ——規劃執行;
2) 公共特征2.2 ——規范化執行;
3) 公共特征2.3 ——驗證執行;
4) 公共特征2.4 ——跟蹤執行。
2.3.2 公共特征2.1— 規劃執行
該公共特征的基本實施集中在過程域及相關的基本實施執行的規劃方面。涉及到過程文檔的編制,適當執行過程工具的提供,過程實施的計劃,過程執行中的培訓,過程資源的分配以及過程執行的責任分配。這些通用實施為規范化的過程執行提供了最根本的基礎。
該公共特征包含如下通用實施:
1) GP2.1.1 ——分配資源。為執行過程域基本實施提供充份的資源,包括人(特別是關鍵人員)、技術、工具、設備等。
2) GP2.1.2 ——分配責任。為服務過程分配任務和責任,包括內部、外部和過程實施的所有相關方和個人。
3) GP2.1.3 —— 文檔化過程。將過程域執行的方法形成標準化和/或程序化文檔。
4) GP2.1.4——提供工具。為支持過程域的執行提供適當的工具。
5) GP2.1.5 ——保證培訓。保證過程域執行人員獲得適當的過程執行方面的培訓。
6) GP 2.1.6 ——規劃過程。對過程域的實施進行規劃。
2.3.3 公共特征2.2— 規范化執行
該公共特征的通用實施注重于對過程實施的控制程度。列出了過程執行計劃的使用、基于標準和程序的過程執行、配置管理下依照過程產生的工作產品。
該公共特征包含如下通用實施:
1) GP2.2.1 ——使用計劃、標準和程序。在執行過程域中,使用文檔化的計劃、標準和/或程序指導實施。
2) GP2.2.2 —— 進行配置管理。 將過程域的輸出適當的置于配置管理下,進行版本控制和/或變更控制。
2.3.4 公共特征2.3— 驗證執行
該公共特征的通用實施注重于確認過程按預定的方式執行。因此這個通用實施涉及到驗證執行過程與可應用的標準和程序是一致性的,以及對工作產品的審計。
該公共特征包含如下通用實施:
1) GP2.3.1 ——驗證過程一致性。驗證過程與可用標準和/或程序的一致性。
2) GP2.3.2 ——審計工作產品。驗證工作產品與可用標準和/或程序、需求及測量目標的一致性。
2.3.5 公共特征2.4— 跟蹤執行
該公共特征的通用實施注重于控制項目進展的能力。因此,該過程通過計劃跟蹤過程執行,當實施與計劃產生重大偏離時采取修正行動。這些通用實施形成了達到充分定義過程能力的根本基礎。
該公共特征包含如下通用實施:
1) GP2.4.1 ——使用測量跟蹤。 根據計劃通過測量跟蹤過程域狀態。
2) GP 2.4.2 ——采取修正措施。 當與計劃間有重大差別時適當地采取修正措施。
2.4 能力級別3 — 充分定義級
2.4.1 充分定義級綜述
在此級別,基本實施按照充分定義的過程執行。充分定義的過程是依據對文檔化的標準過程進行裁剪并經批準的過程版本。此過程與計劃和跟蹤級的主要區別在于利用組織范圍內的過程標準來管理和規劃。
該能力級別包括以下公共特征:
1) 公共特征3.1 ——定義標準過程;
2) 公共特征3.2 ——執行已定義的過程;
3) 公共特征3.3 ——協調安全實施。
2.4.2 公共特征3.1— 定義標準過程
該公共特征的通用實施注重于標準過程的制度化。1個標準過程需要適合特定環境的使用,所以也應考慮到如何進行裁剪。定義標準化的過程文檔,滿足特定用途對標準過程進行的裁剪。這些通用過程形成了執行已定義過程必要的基礎。
該公共特征包括以下通用實施:
1) GP3.1.1 ——過程標準化。 為組織定義1個文檔化的標準過程或過程族,描述了如何實現過程域的基本實施,建立通用的政策、標準和程序,這稱之為“標準過程定義”。
2) GP3.1.2 ——裁剪標準過程。 裁剪標準過程族以建立1個滿足專門用途特定需要的定義過程。
2.4.3 公共特征3.2— 執行已定義過程
該公共特征注重于充分定義過程的可重復執行。提出了已定義過程的使用,針對有缺陷的過程結果的核查過程執行及其結果數據的使用。
該公共特征包括如下通用實施:
1) GP3.2.1 ——使用充分定義的過程。在過程域的實施中使用充分定義的過程。一個充分定義的過程應包含文檔化的、一致的和完整的政策、標準、輸入、進入條件、活動、程序、特定角色、測量、確認、模板、輸出及退出條件。
2) GP3.2.2 ——執行缺陷復查。對過程域的適當工作產品進行缺陷復查。
3) GP3.2.3 ——使用充分定義的數據。: 通過使用執行已定義過程的數據,來管理此過程, 在2級開始收集的測量數據,在這層得到更積極的應用并且為下級別的定量管理奠定了基礎。
2.4.4 公共特征3.3—協調實施
此公共特征側重于項目活動的協調。許多重大活動都是由項目中的不同工作組和代表項目的甲方共同完成的。缺乏協調將會導致工期延誤和不可比的結果。因此應確定組內、組間、組外活動的協調機制。這些通用實施是獲得定量控制過程能力的必要基礎。
此公共特征包含以下通用實施:
1) GP3.3.1 ——執行組內協調。協調項目組內的溝通,保證了關于技術問題的決定是一致的。
2) GP3.3.2 ——執行組間協調。
3) GP3.3.3 ——執行外部協調。
2.5 能力級別4 — 量化控制級
2.5.1 量化控制級綜述
這個級別收集、分析執行的詳細測量。這將獲得對過程能力和改進能力的量化理解以預測執行情況。這個級別執行的管理是客觀的,工作產品的質量是量化的。此級別與充分定義級的主要區別在于定義的過程是定量的理解和控制。
該能力級別包括如下公共特征:
1) 公共特征4.1 —— 建立可測的質量目標;
2) 公共特征4.2 —— 客觀地管理執行。
2.5.2 公共特征4.1— 建立可測的質量目標
該公共特征的通用實施側重于為項目過程的工作產品建立可測量目標。因此這個公共特征提出了質量目標的建立,這些通用實施為客觀地執行管理提供了必要的基礎。
該公共特征包括如下通用實施:
1) GP4.1.1 —— 建立質量目標。為標準過程族的工作產品建立可測量的質量目標,與服務需求方的特定要求和優先級或項目策略的要求緊密聯系。測量的意義是對所使用過程得到充分理解,這樣便能夠設置并使用工作產品測量中間目標。
2.5.3 公共特征4.2— 客觀地管理執行
該公共特征的通用實施側重于確定過程能力的量化測量并使用量化測量來管理這個過程,該公共特征提出量化地確定過程能力和以量化測量作為修正行動的基礎。
該公共特征包括如下通用實施:
1) GP4.2.1 —— 確定過程能力。 量化地確定已定義過程的過程能力。
2) GP4.2.2 ——使用過程能力。當過程未按定義過程能力執行時,適當地采取修正行動。
2.6 能力級別5 — 持續改進級
2.6.1 持續改進級綜述
在這個級別上,基于項目的商務目標并針對過程的有效性和執行效率建立量化執行目標。通過執行已定義過程和有創建的新概念、新技術的量化反饋來保證對這些目標進行持續過程改進。這級別與定量控制級的主要區別在于已定義的過程和標準過程基于對這些過程變化效果的量化理解,進行連續調整和改進。
該能力級別包括如下公共特征:
1) 公共特征5.1 ——改進組織能力;
2) 公共特征5.2 ——改進過程有效性。
2.6.2 公共特征5.1— 改進組織能力
該公共特征的通用實施注重于在標準過程的使用進行比較和在這些不同使用之間進行比較。當這些過程被使用時,尋找改進標準過程的機會,分析產生的缺陷以標識對標準過程的其它可能改進。因此,這個公共特征對過程的有效性建立了目標、標識對標準過程的改進以及分析對標準過程的可能變更。
該公共特征包括如下通用實施:
1) GP5.1.1 ——建立過程有效性目標。 為改進過程有效性,根據組織的業務目標和當前過程能力建立量化目標。
2) GP5.1.2 ——持續改進標準過程。 通過改變標準過程族連續地改進過程,從而提高過程有效性。
2.6.3 公共特征5.2— 改進過程有效性
該公共特征的通用實施注重于制定連續受控改進狀態下的標準過程。因此這個公共特征提出消除標準過程產生缺陷的原因和持續改進的標準過程。
該公共特征包括如下通用實施:
1) GP5.2.1——執行因果分析。 執行缺陷的因果分析。
2) GP5.2.2 ——消除缺陷原因。有選擇的消除已定義過程中缺陷產生的。;
3) GP5.2.3—— 持續改進已定義過程。通過改變已定義過程來連續地改進過程實施,以提高其。有效性。
3、總結
目前,我國各行業、地區在依據國家法律、法規、標準等要求,結合行業和地區特點分析建立各行業、地區的行業與地區風險評估標準,開展風險評估工作。但是各行業、地區在開展信息安全風險評估工作的同時,因為行業發展的不同步、地區經濟發展的不平衡,信息安全風險評估服務的水平參差不齊。無統一的對風險評估服務水平進行評價的可參考的依據,本文意在提出一個對風險評估服務能力水平進行評價的參考方法。
來源:《信息安全研究》
北京市公安局海淀分局備案號:11010802023656號