电信网和互联网的安全风险评估,是我国电信网和互联网安全防护体系中的三项重要工作之一。为此,我国通信行业标准YD/T 1730《电信网和互联网安全风险评估实施指南》规定了电信网和互联网的安全进行风险评估的要素和要素之间的关系、实施流程、工作形式遵循的原则,在电信网和互联网生命周期不同阶段的不同要求和实施要点。以下概要介绍安全风险评估实施指南的主要内容,若详细了解的请查阅附件。
附件:YD/T 1730-2008《电信网和互联网安全风险评估实施指南》
电信网和互联网安全风险(Security Risk of Telecom Network and Internet)是指人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。电信网和互联网安全风险评估(Security Risk Assessment of Telecom Network and Internet)是指运用科学的方法和手段,系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和安全措施,防范和化解电信网和互联网及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。所谓组织(Organization)是由电信网和互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构,组织的特性在于为完成目标而分工、合作。一个单位是一个组织,某个业务部门也可以是一个组织。
一、风险评估的准备
风险评估的准备是整个风险评估过程有效性的保证。实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响,因此,在风险评估实施前,应做以下准备:获得支持和配合;确定风险评估的目标;确定风险评估的内容;组建风险评估团队;对被评估对象进行调研;确定评估依据和方法。
二、资产识别、威胁识别与脆弱性识别
电信网和互联网安全风险评估中的资产识别、威胁识别和脆弱性识别是风险评估中的重要内容。其识别包括其分类和赋值,具体详见附录2。
三、风险分析
1、风险计算原理:在完成了资产识别、威胁识别、脆弱性识别后,将采用适当的方法确定威胁利用脆弱性导致安全事件发生的可能性,综合资产价值及脆弱性的严重程度判断安全事件一旦发生造成的损失,最终得到风险值。风险计算原理如图3-1所示。对风险计算原理可以采用下面的范式形式化加以说明,其中式中各符号的含义详见下表3-1-1。计算分为三个关键环节,具体说明可见下表3-1-2。
风险值=R (A,T,V) =R [ L (Ta,Vb),F (Ia,Va) ]
图3-1:风险计算原理示意
表3-1-1:风险计算式中各符号的含义
表3-1-2:风险计算三个环节的说明
2、风险结果判定:为实现对风险的控制与管理,对风险值进行等级化处理,将风险划分为一定的级别。表3-2提供了一种风险等级划分方法,即将风险等级划分为5级,每个等级代表了相应风险的严重程度,等级越高,风险越高。在得到资产的风险值之后,需要结合资产已经采取的安全措施判断其风险是否在可以接受的范围内,如果风险结果在可接受的范围内,则该风险是可接受的风险,应保持己有的安全措施;如果风险结果在可接受的范围外,是不可接受的风险,需要制定风险处理计划并采取新的安全措施降低、控制风险。应综合考虑风险控制成本与风险造成的影响,并结合资产所在网络或系统的安全等级,提出一个可接受的风险阈值。
表3-2:风险等级划分方法
3、风险处理计划:对于不可接受的风险,应根据导致该风险的脆弱性和威胁制定风险处理计划。风险处理计划中明确应采取的弥补其脆弱性、降低安全事件造成的损失或减少安全事件发生可能性的新的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应充分考虑到组织、资金、环境、人员、时间、法律、技术和社会文化等多方面的可能限制因素,从管理与技术两个方面考虑,管理措施可以作为技术措施的补充。安全措施的选择与实施应参照国家和行业的相关标准。在对不可接受风险选择新的安全措施后,为确保安全措施的有效性,应进行再评估,以判断实施新的安全措施后的残余风险是否己经降低到可接受的水平。残余风险的评估可以依据风险评估流程实施,也可做适当裁减。某些风险可能在选择了新的安全措施后,残余风险的风险评估结果仍处于不可接受范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
四、风险评估文件
1、风险评估文件记录的要求:在对电信网和互联网及相关系统进行风险分析过程中,应记录风险评估过程,作为评估文档保存下来。应该符合(但不仅限于)下表4-1的要求。对于风险评估过程中形成的相关文件,还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。
表4-1:风险评估文件记录的要求
2、风险评估文件:风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档,风险评估文件包括(但不仅限于)下表4-2的内容。相关文件是否需要以及详略程度可参见具体网络的安全防护检测要求。
表4-2:风险评估文件及内容
五、相关计算方法
1、资产价值的计算方法:在YD/T 1730-2008的附录A(规范性附录)中介绍了两种资产价值的计算方法--对数法和矩阵法,评估者可根据实际情况灵活选择相应的计算方法,也可以采用其他计算方法。
1)对数法。通常根据电信网和互联网及相关系统的实际经验,3个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着3个属性值的增加而线性增加,较高的属性值具有较大的权重,因此可以使用下面的公式计算资产价值,其中各符号的含义详见下表5-1-1。对计算所得的资产价值采用向上进位的方法确定资产价值的等级。
Asset Value = Roundl {[ Log2 [α×2I + β×2V + γ×2A ]}
表5-1-1:对数法计算法中符号的含义
2)矩阵法。矩阵法的特点是建立资产的社会影响力、业务价值和可用性的对应矩阵,并且预先根据一定的方法确定了资产价值。使用本方法需要首先确定资产的社会影响力、业务价值和可用性的赋值,再查矩阵获得资产价值。例如,采用对数法提前确定矩阵中的资产价值,并设α+β+γ=1/3,则可得下表5-1-2所示的资产价值判别矩阵。
表5-1-2:资产价值判别矩阵
2、风险值的计算方法:在YD/T 1730-2008的附录B(规范性附录)中介绍了两种资产风险值的计算方法--相乘法和矩阵法。评估者可以根据具体情况选择合适的风险值计算方法,也可以采用其他计算方法。当一个资产是由若干个子资产构成时,可以先分别计算各子资产的风险值,然后通过一定的计算方法(如相加法)计算总的风险值。
1)相乘法。考虑到影响电信网和互联网及相关系统的资产风险值的因素有资产价值、威胁值以及脆弱性值等,这些因素与风险值都是正相关的,因此,可将这些因素值相乘得到资产对应某项脆弱性的风险值。计算公式如下。根据影响风险值的各个因素的取值范围可以知道,采用相乘法计算风险值的取值范围为1~125。为实现对风险的控制与管理,对风险值进行等级化处理,将风险等级划分为5级,如表3-2所示,每个等级代表了相应风险的严重程度,等级越高,风险越高。表5-2-1提供了一种风险等级划分方法,根据该表可确定风险值对应的风险等级。
风险值=资产价值×威胁值×脆弱性值
表5-2-1:风险等级的判定
2)矩阵法。矩阵法的特点是建立资产价值等级、威胁等级和脆弱性等级的对应矩阵,并且预先根据一定的方法确定了风险等级。使用本方法对于每一资产的风险,都需要首先确定资产价值等级、威胁等级和脆弱性等级的赋值,再查矩阵获得风险等级。例如,采用相乘法提前确定矩阵中的风险等级,则可得下表5-2-2所示的资产风险判别矩阵。
表5-2-2:资产风险判别矩阵
温馨提示:YD/T 1730标准目前在2024年进行了第一次修订,YD/T 1730-2024版本与:YD/T 1730-2008相比,其修订的内容主要是增加了风险评估过程中业务识别;以及更新了相关的内容。具体变化的内容待YD/T 1730-2024标准出版发行后将再做介绍。 欲进一步了解电信网和互联网安全防护要求相关内容的请进入:电信网和互联网安全防护体系;电信网和互联网安全防护体系的标准系列