摘要:梳理了三代风险管理,并对六因素在信息安全情境中的应用不足进行了分析,分析了开发基于业务的信息安全管理框架以及定量风险评估的迫切性。
关键词:信息安全 业务安全 风险管理
Business Based Information Security Risk Management Framework
Jia Haiyun, Zhang Chao (Inner Mongolia Autonomous Region Public Security Department)
Xie Zongxiao (China Financial Certification Authority)
Abstract: This paper sorts out three generations of risk management, analyzes the deficiency of six factors in information security situation, and analyzes the urgency of developing information security management framework based on business and quantitative risk assessment.
Key words: information security, business security, risk management
1 风险管理及其模型
风险管理是组织管理活动的一部分,其管理的主要对象就是潜在的风险。GB/T 23694—2013 / ISO Guide 73:2009《风险管理 术语》认为,风险管理是由一系列的活动所组成,这些活动包括了标识、评价和处理以及可能影响组织正常运行事件的整个过程。
随着概率论的研究和发展,风险概念不再仅存在于原先的感性认识上。美国学者Haynes最早对风险进行了分类,对风险的本质进行了分析,并且首次定义风险为损失发生的可能性,这些研究为风险管理奠定了理论基础。1955年,美国宾夕法尼亚大学沃顿商学院的Schneider提出了“风险管理”的概念,从此使其逐渐发展成一门学科。20世纪70年代以后逐渐掀起了全球性的风险管理运动,法国、日本相继学习美国开始了风险管理研究。
风险管理的方法和实践最早应用于金融保险行业,在信息安全行业的应用比较晚[1]。由于行业不同,金融领域成功地实现了风险的定量化[2],例如,风险价值模型(Value at Risk,VaR)。但是到目前为止,信息安全风险管理依然是以定性方法为主、定量方法为辅,并没有从根本上解决理论基础或数量化的问题。因此,应用于信息安全的风险管理大多是建立在简单的模型之上。当然,这并不意味着不够有效。Milton Friedman1)在论文The Methodology of Positive Economics中提出,一个模型的成功与否应该从预测功能方面来评价,而不是根据模型是否能有效地抓住所有现实世界中的细节来评价。也就是说,模型可以是简单的,只要能够预测未来和提高做决策过程的效率就是好的。一个简单的事实是,如果模型与客观世界的细节尽量吻合,那么任何条件的微小改变都会使模型失去原来的意义。因此,模型一般要简化复杂的结构,从而突出那些最重要的因素。也就是说,一个“好的”模型是那些可以帮助分析者从纷繁芜杂的背景中分离重要的变量的模型。
2 信息安全风险管理的发展
一般认为,信息安全风险管理实践到目前大致经历了三次飞跃[3]。
第一代实践产生于集中式的大型机领域。假设面临的威胁环境是一定的,风险通过测量为这些设施预先设好的一系列的安全措施的遵守程度来計算或评价。这时候基本是利用检查表和基本的风险评估方法来选择信息系统的安全控制。当网络日益增多,计算环境越来越趋向于分布式时,第一代信息安全风险管理实践显然已经远远不能满足要求。
第二代方法,NIST2)开发出风险的通用框架,在风险评估中形成6个概念:资产(asset)、脆弱性(vulnerability)、威胁(threat)、可能性(likelihood)、影响(impact)和防护措施(safeguard)。第二代实践可以使分析师识别并评估资产,识别并完成威胁和脆弱性的评估等工作从而得到风险的大小。也可以执行简单的定量评估,例如ALE(Annual Loss Expectancy)法。整体而言,这代实践是针对单个的资产或者系统的。
第三代信息风险管理实践应该是对“整个系统”的评估而不是单独的系统或资产。这种框架是在整个组织业务运行风险的前提下构建的。因此,必须要搞明白与组织运行环境相关的所有因素,例如,组织目标、组织结构和文档体系等。在安全处理的问题上必须重视成本效益分析,这种成本效益分析的目的是使组织的收益最大化,而不是仅仅为了信息系统本身更加安全。这种更加注重整体的信息安全风险评估方法与组织业务休戚相关,从而使得安全不但是信息系统设计不可或缺的一部分,也是整个组织业务运营不可或缺的一部分。
信息风险管理方法和实践的发展历程,和技术在业务中的应用过程一样,从零星应用到大型机,到分布式作业环境,最后集成到业务运行各个方面,成为不可分割的一部分。在风险管理已经被公认为良好管理一部分的今天,其方法必然随着业务环境的改变和新技术的不断涌现而继续发展。
3 信息安全风险管理的框架
风险管理一般包括风险评估和风险处置的过程[4],这在ISO 31000:2018《风险管理 指南》等标准中都有详细的描述,风险评估是风险管理中最为复杂和审慎的过程,在讨论框架时,包括上述三代风险管理框架的划分,实际都是以风险评估所应用的不同模型/方法来区分的,并没有可以强调风险评估和风险管理的不同,这可能主要是因为风险处置的过程一般都比较流程化,不需要复杂的模型。同理,在很多文献中,会用更细的风险分析过程来表征整体风险管理的框架。这是因为风险分析又是风险评估中最重要的步骤。
虽然原则上说,信息安全风险管理已经发展到第三代,但实际情况是,目前实践中,占主流的评估方法还是经典“六因素法”,即风险是资产、威胁、脆弱性、控制措施、可能性和影响的函数,其中的6个因素也可以简化为4个因素,因为“可能性”和“影响”是由前面的因素计算或推导而来。
普遍认为,风险存在两个最重要的维度,即可能性和影响。在目前常见的标准中,例如,ISO/IEC 27005:2018《信息安全风险管理》[5],NIST SP800-30 Rev.1《风险评估实施指南》 以及GB/T 20984—2007《信息安全技术 信息安全风险评估规范》[6]等,应该如何计算风险,对这6个因素的处理,不尽相同,各有组合或者算法,但万变不离其宗,整体而言,还是应该通过资产、威胁、脆弱性和控制措施来获得风险发生的可能性和发生后的影响。
基于这样的共识,目前信息安全事件的风险建模,就是建立在安全事件发生的可能性和影响上,例如,文献[7]提出了一个真正定量的模型,用泊松分布:N~Poisson(λ)来刻画事件发生的可能性,用对数正态分布(logarithmic normal distribution)为基础的一个拼接分布来刻画事件发生后的影响。
以损失建模作为理论依据的定量风险评估,可能是以后信息安全风险评估最重要的发展方向。因为唯有定量的度量风险,如同VaR法那样,才能为决策者提供有力的依据。目前定性评估的结果体现为风险等级(rank),实际只是给出组织内部风险相对的大小,这样的列表很难作为投资依据。
4 由基于资产转向基于业务的评估
经典“六因素法”在信息安全情境中的不足还是较为明显的。
首先,也是最重要的一点,“六因素法”起源于航天、核工业和化工等这样的重工业领域,在这些领域中,保护资产是最重要的目标,在“六因素法”中表现得也很明确,其中从识别资产开始,后续的威胁和脆弱性实际都是围绕资产展开的。这是因为,例如,在航天工业中,最重要的资产和待保护的资产是一致的,可能是待发射的火箭。在信息安全情境中有所不同,最重要的资产是信息系统中存储的“信息”和信息系统能够提供的“服务”[8],但是绝大部分的控制往往都是针对信息系统的,例如,防火墙、防病毒和入侵检测系统(IDS)等。在实践中,最为直观的评估对象也是信息系统。这就导致了信息安全风险评估中引用“六因素法”的效果,并没有原来的应用情境更契合。
其次,由于威胁脆弱性对作用的对象,在信息安全情境中,与具体的控制往往对应不起来,所以容易导致风险评估和结果以及最后的风险控制,实际上并没有很完整的逻辑链条,而是取决于评估者的直觉,或者定性的判断。这种情况在重工业中并不存在,仍然以航天为例,因为其中评估和控制的对象都是要保护的最重要的资产。
如果评估对象改为“信息”,那么信息纷繁芜杂,以每条信息都要识别威胁脆弱性对来实施,根本不现实。因此,应该将评估对象定位在与“服务”类似的概念,即“业务”。虽然业务或者服务是一个虚拟概念,并没有直观的物理实体与之对应,但是并不难梳理,由于以业务为主线可以分为诸多子业务,信息系统正是为了保障这些业务或子业务的正常运行而存在的。至此,信息安全风险评估分为基于保护业务的评估和基于保护数据的评估两种,基于业务的评估更偏重于“可用性”,基于数据的评估则偏重于“机密性”和“完整性”。当然,从更广义角度来看,数据也是为了保障其业务。这都可以列入基于业务的风险管理之列。
5 結论与讨论
综上所述,基于资产的经典“六因素法”在应用中还是存在一定的实际问题,在本文中分析了问题产生的原因,以及后续可能的发展方向,首先,基于损失建模的定量风险评估应该是之后的主流方向之一;其次,如果依然延续目前的定量分析框架,评估对象也尽量不能以识别资产开始,而是应该从识别业务作为起点。
参考文献
[1] 赵战生,谢宗晓. 信息安全风险评估 概念、方法和实践:第2版[M]. 北京:中国标准出版社,2016.
[2] 谢宗晓,刘振华,张文卿.VaR法在信息安全风险评估中的应用探讨[J].微计算机信息, 2006(18):76-77+131.
[3] WRIGHT M . Third Generation Risk ManagementPractices [J]. Computer Fraud & Security, 1999(2):9-12.
[4] 谢宗晓.信息安全风险管理相关词汇定义与解析[J].中国标准导报,2016(4):26-29.
[5] 谢宗晓,许定航.ISO/IEC 27005:2018解读及其三次版本演化[J].中国质量与标准导报, 2018(9):16-18.
[6] 谢宗晓,刘立科.信息安全风险评估/管理相关国家标准介绍[J].中国标准导报, 2016(5):30-33.
[7] BOUVERET A. Cyber Risk for the Financial Sector: AFramework for Quantitative Assessment [DB/OL].IMF Working Papers. https://www.elibrary.imf.org/.
[8] 公安部信息系统安全标准化技术委员会. 信息安全技术网络安全等级保护定级指南:GA/T 1389—2017[S]. 北京:中国标准出版社, 2017.