電信網和互聯網的安全風險評估,是我國電信網和互聯網安全防護體系中的三項重要工作之一。為此,我國通信行業標準YD/T 1730《電信網和互聯網安全風險評估實施指南》規定了電信網和互聯網的安全進行風險評估的要素和要素之間的關系、實施流程、工作形式遵循的原則,在電信網和互聯網生命周期不同階段的不同要求和實施要點。以下概要介紹安全風險評估實施指南的主要內容,若詳細了解的請查閱附件。
附件:YD/T 1730-2008《電信網和互聯網安全風險評估實施指南》
電信網和互聯網安全風險(Security Risk of Telecom Network and Internet)是指人為或自然的威脅可能利用電信網和互聯網及相關系統存在的脆弱性導致安全事件的發生及其對組織造成的影響。電信網和互聯網安全風險評估(Security Risk Assessment of Telecom Network and Internet)是指運用科學的方法和手段,系統地分析電信網和互聯網及相關系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,并提出有針對性的抵御威脅的防護對策和安全措施,防范和化解電信網和互聯網及相關系統安全風險,將風險控制在可接受的水平,為最大限度地保障電信網和互聯網及相關系統的安全提供科學依據。所謂組織(Organization)是由電信網和互聯網及相關系統中不同作用的個體為實施共同的業務目標而建立的結構,組織的特性在于為完成目標而分工、合作。一個單位是一個組織,某個業務部門也可以是一個組織。
一、風險評估的準備
風險評估的準備是整個風險評估過程有效性的保證。實施風險評估是一種戰略性的考慮,其結果將受到組織的業務戰略、業務流程、安全需求、系統規模和結構等方面的影響,因此,在風險評估實施前,應做以下準備:獲得支持和配合;確定風險評估的目標;確定風險評估的內容;組建風險評估團隊;對被評估對象進行調研;確定評估依據和方法。
二、資產識別、威脅識別與脆弱性識別
電信網和互聯網安全風險評估中的資產識別、威脅識別和脆弱性識別是風險評估中的重要內容。其識別包括其分類和賦值,具體詳見附錄2。
三、風險分析
1、風險計算原理:在完成了資產識別、威脅識別、脆弱性識別后,將采用適當的方法確定威脅利用脆弱性導致安全事件發生的可能性,綜合資產價值及脆弱性的嚴重程度判斷安全事件一旦發生造成的損失,最終得到風險值。風險計算原理如圖3-1所示。對風險計算原理可以采用下面的范式形式化加以說明,其中式中各符號的含義詳見下表3-1-1。計算分為三個關鍵環節,具體說明可見下表3-1-2。
風險值=R (A,T,V) =R [ L (Ta,Vb),F (Ia,Va) ]
圖3-1:風險計算原理示意
表3-1-1:風險計算式中各符號的含義
表3-1-2:風險計算三個環節的說明
2、風險結果判定:為實現對風險的控制與管理,對風險值進行等級化處理,將風險劃分為一定的級別。表3-2提供了一種風險等級劃分方法,即將風險等級劃分為5級,每個等級代表了相應風險的嚴重程度,等級越高,風險越高。在得到資產的風險值之后,需要結合資產已經采取的安全措施判斷其風險是否在可以接受的范圍內,如果風險結果在可接受的范圍內,則該風險是可接受的風險,應保持己有的安全措施;如果風險結果在可接受的范圍外,是不可接受的風險,需要制定風險處理計劃并采取新的安全措施降低、控制風險。應綜合考慮風險控制成本與風險造成的影響,并結合資產所在網絡或系統的安全等級,提出一個可接受的風險閾值。
表3-2:風險等級劃分方法
3、風險處理計劃:對于不可接受的風險,應根據導致該風險的脆弱性和威脅制定風險處理計劃。風險處理計劃中明確應采取的彌補其脆弱性、降低安全事件造成的損失或減少安全事件發生可能性的新的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇應充分考慮到組織、資金、環境、人員、時間、法律、技術和社會文化等多方面的可能限制因素,從管理與技術兩個方面考慮,管理措施可以作為技術措施的補充。安全措施的選擇與實施應參照國家和行業的相關標準。在對不可接受風險選擇新的安全措施后,為確保安全措施的有效性,應進行再評估,以判斷實施新的安全措施后的殘余風險是否己經降低到可接受的水平。殘余風險的評估可以依據風險評估流程實施,也可做適當裁減。某些風險可能在選擇了新的安全措施后,殘余風險的風險評估結果仍處于不可接受范圍內,應考慮是否接受此風險或進一步增加相應的安全措施。
四、風險評估文件
1、風險評估文件記錄的要求:在對電信網和互聯網及相關系統進行風險分析過程中,應記錄風險評估過程,作為評估文檔保存下來。應該符合(但不僅限于)下表4-1的要求。對于風險評估過程中形成的相關文件,還應規定其標識、儲存、保護、檢索、保存期限以及處置所需的控制。
表4-1:風險評估文件記錄的要求
2、風險評估文件:風險評估文件包括在整個風險評估過程中產生的評估過程文檔和評估結果文檔,風險評估文件包括(但不僅限于)下表4-2的內容。相關文件是否需要以及詳略程度可參見具體網絡的安全防護檢測要求。
表4-2:風險評估文件及內容
五、相關計算方法
1、資產價值的計算方法:在YD/T 1730-2008的附錄A(規范性附錄)中介紹了兩種資產價值的計算方法--對數法和矩陣法,評估者可根據實際情況靈活選擇相應的計算方法,也可以采用其他計算方法。
1)對數法。通常根據電信網和互聯網及相關系統的實際經驗,3個安全屬性中最高的一個對最終的資產價值影響最大。換而言之,整體安全屬性的賦值并不隨著3個屬性值的增加而線性增加,較高的屬性值具有較大的權重,因此可以使用下面的公式計算資產價值,其中各符號的含義詳見下表5-1-1。對計算所得的資產價值采用向上進位的方法確定資產價值的等級。
Asset Value = Roundl {[ Log2 [α×2I + β×2V + γ×2A ]}
表5-1-1:對數法計算法中符號的含義
2)矩陣法。矩陣法的特點是建立資產的社會影響力、業務價值和可用性的對應矩陣,并且預先根據一定的方法確定了資產價值。使用本方法需要首先確定資產的社會影響力、業務價值和可用性的賦值,再查矩陣獲得資產價值。例如,采用對數法提前確定矩陣中的資產價值,并設α+β+γ=1/3,則可得下表5-1-2所示的資產價值判別矩陣。
表5-1-2:資產價值判別矩陣
2、風險值的計算方法:在YD/T 1730-2008的附錄B(規范性附錄)中介紹了兩種資產風險值的計算方法--相乘法和矩陣法。評估者可以根據具體情況選擇合適的風險值計算方法,也可以采用其他計算方法。當一個資產是由若干個子資產構成時,可以先分別計算各子資產的風險值,然后通過一定的計算方法(如相加法)計算總的風險值。
1)相乘法。考慮到影響電信網和互聯網及相關系統的資產風險值的因素有資產價值、威脅值以及脆弱性值等,這些因素與風險值都是正相關的,因此,可將這些因素值相乘得到資產對應某項脆弱性的風險值。計算公式如下。根據影響風險值的各個因素的取值范圍可以知道,采用相乘法計算風險值的取值范圍為1~125。為實現對風險的控制與管理,對風險值進行等級化處理,將風險等級劃分為5級,如表3-2所示,每個等級代表了相應風險的嚴重程度,等級越高,風險越高。表5-2-1提供了一種風險等級劃分方法,根據該表可確定風險值對應的風險等級。
風險值=資產價值×威脅值×脆弱性值
表5-2-1:風險等級的判定
2)矩陣法。矩陣法的特點是建立資產價值等級、威脅等級和脆弱性等級的對應矩陣,并且預先根據一定的方法確定了風險等級。使用本方法對于每一資產的風險,都需要首先確定資產價值等級、威脅等級和脆弱性等級的賦值,再查矩陣獲得風險等級。例如,采用相乘法提前確定矩陣中的風險等級,則可得下表5-2-2所示的資產風險判別矩陣。
表5-2-2:資產風險判別矩陣
溫馨提示:YD/T 1730標準目前在2024年進行了第一次修訂,YD/T 1730-2024版本與:YD/T 1730-2008相比,其修訂的內容主要是增加了風險評估過程中業務識別;以及更新了相關的內容。具體變化的內容待YD/T 1730-2024標準出版發行后將再做介紹。 欲進一步了解電信網和互聯網安全防護要求相關內容的請進入:電信網和互聯網安全防護體系;電信網和互聯網安全防護體系的標準系列
