最近看到群里有人问等保单位是否必须做风险评估?做风险评估是不是要有资质,甚至很多人都不知道风险评估是干什么的。
首先,等保并不要求风险评估,在《网络安全等级保护条例》中,风险评估只出现三次。
第十四条【鼓励创新】国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护,采取主动防御、可信计算、人工智能等技术,创新网络安全技术保护措施,提升网络安全防范能力和水平。
国家对网络新技术、新应用的推广,组织开展网络安全风险评估,防范网络新技术、新应用的安全风险。
第四十条【测评审查和风险评估】涉密网络应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估,并经设区的市级以上保密行政管理部门审查合格,方可投入使用。
涉密网络运营者在涉密网络投入使用后,应定期开展安全保密检查和风险自评估,并接受保密行政管理部门组织的安全保密风险评估。绝密级网络每年至少进行一次,机密级和秘密级网络每两年至少进行一次。公安机关、国家安全机关涉密网络投入使用的管理,依照国家保密行政管理部门会同公安机关、国家安全机关制定的有关规定执行。
其次,在《信息安全技术 网络安全等级保护测评要求》里只对云服务商的三级和四级系统的云平台要求中各提到了两次。
要求应将供应商的重要变更及时传达到云服务客户,并评估变更带来的安全风险,采取 措施对风险进行控制。
b) 测评对象:供应商重要变更记录、安全风险评估报告和风险预案。
c) 测评实施:应核查供应商的重要变更是否及时传达到云服务客户,是否对每次供应商的重要变 更都进行风险评估并采取控制措施
再次,在《信息系统安全等级保护备案表》的表二中的08项系统采用服务情况中要求填写风险评估情况,是选用本行业(单位)、国内其他服务商、还是国外服务商,仅仅是询问是否有无而已。
所以,等保体系里除云服务商外并没有对风险评估提出明确要求,而涉密网络并不属于等保范畴。对于除云服务商外风险评估在等保中不是必须做的,做风险评估在等保中也没有要求必须具备什么资质。一般金融、海关、银行、保险单位要求的多一些,风险评估有各个行业的标准,也有地方的标准,风险评估的资质证书至少有两种。从网络安全等级保护网上昨天公布的数据看,等级测评机构全国一共205家。中国网络安全审查技术与认证中心公布的有风险评估资质的公司有868家,分一、二、三级。当然还有其他机构颁布的风险评估资质。
那么什么是风险评估呢?
依据国家标准《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007,新版还没有正式出台,2007版还在使用)的定义,信息安全风险评估是“对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。”
信息安全风险评估的主要任务是评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合资产价值来判断安全事件一旦发生对组织造成的影响,进而为应如何进一步强化安全控制措施提供依据及建议。
这里有4个概念:资产、威胁、脆弱性和安全控制措施。
1)资产:信息安全风险评估中所说的资产是任何对组织(如公司、政府机构等各类组织机构)有价值的信息资源,可以包括电子文档、纸质文档材料、软件、硬件、人员、服务性资产等。里面还有“人员”?对,人员也是信息安全风险评估的对象。
2)威胁:信息安全风险评估中的威胁概念指可能对资产或组织造成损害的潜在原因及活动,包括黑客入侵和攻击、病毒木马等各类恶意程序、软硬件故障、人为误操作、自然灾害(如地震、火灾、爆炸等)、盗窃、网络监听、供电故障、未授权访问等,如下图所示。
图片
3)脆弱性:可能被威胁利用对资产造成损害的薄弱环节。可以包括系统漏洞、软件Bug、专业人员缺乏、不良操作习惯、不合理的安全配置、不安全的物理环境、缺少审计、缺乏安全意识、软件后门等。
4)安全控制措施:是指组织所采取的降低安全风险的惯例,程序或机制。包括现有的安全控制措施、计划采取的安全控制措施。
风险评估是如何开展的。下面这张图表述了风险评估的基本流程。
图片
其中最关键的4个过程就是资产识别、威胁识别、脆弱性识别和风险分析:
1)资产识别:首先是依据业务流程列出信息资产清单,包括:数据与文档、书面文件、软件、硬件、人员、服务等;然后对资产重要性进行量化,量化时应考虑的角度包括:资产损失可能对业务活动造成的影响、将信息资产恢复到正常状态所付出的代价、在公众形象和名誉上的损失、资产采购价值、对保密性/完整性/可用性的影响等多个方面。具体量化的的数值可以是1~5,也可以是1~100等,具体依赖于后面要讲到的风险计算方法。
2)威胁识别:是指对组织需要保护的每一项信息资产面临的威胁进行分析,应具体考虑每一项特定资产所处的环境条件以及以前遭受威胁损害的情况,应该指出的是,一项资产可能会有多个威胁。
3)脆弱性识别:是指全面评估信息资产由于由于缺乏充分的安全控制,自身存在的可能被威胁所利用的薄弱点。脆弱性识别将针对每一项信息资产,找出每一种威胁所能利用的薄弱点(脆弱性)、分析每一个脆弱性被特定威胁所利用的可能性、并分析每一个脆弱性一旦被特定威胁利用,对该资产造成的损失严重程度。
4)风险计算:即采用一种选定的计算方法对信息资产的风险进行量化计算。风险值的量化计算方法可以由评估者自主选定,国家标准中并没有规定必须采用哪种方法,常见的风险计算方法包括矩阵法和相乘法,简单的讲矩阵法就是根据资产的多个维度的属性在一个2维或多维矩阵中选择对应的风险值,而相乘法就是基于一个特定的函数,以资产的不同属性为变量计算风险值,“相乘”是函数关系的一般化表述,最简单的函数即多个变量的直接代数相乘。
最后,依据风险分析的结果得到各个资产的风险值,根据风险值的高低和种类以及提出合理的安全控制措施,具体包括接受现有风险、基于各种方法转移风险(如商业保险等)、采取措施降低或消除风险(如安全漏洞加固等)。
但应该指出的是:风险控制措施的选择是一种费用与风险的平衡,即风险要降低的越低,需要投入越高的费用(或资源),信息安全风险不可能完全消除,要做的是投入可接受的资源将风险降低到合理的程度。
图片
等保测评:等级保护测评是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。等级保护测评是标准符合性评判活动,即依据网络安全等级保护的国家标准或行业标准,按照特定方法对网络的安全防护能力进行科学公正的综合评判过程。
等保测评要求对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全建设管理、安全运维管理等方面的安全风险进行判定。
等保有一套完整的闭环体系,等保测评机构需要取得测评资质,才能开展测评业务。近些年来对等保测评机构要求也逐渐提高,从2018年开始在测评服务中要求加入了部分渗透性测试,而且每年都有淘汰的、限期整改的测评机构,以及除名的测评师。
等保测评已经上升到法律层面,依照《中华人民共和国网络安全法》,三级系统每年不开展一次测评就已经涉嫌违法,风险评估则没有。等级测评和风险评估二者共性就是查找网络安全风险。但是风险评估并不能代替等保测评。
