构建基于等级保护标准的系统风险评估度量指标体系

在当今移动互联网和物联网技术大发展的时代，网络技术发展日新月异。与此同时，层出不穷的网络安全威胁正迅速移植和变异并向物联网和工业互联网领域蔓延，严峻的形势对安全防护思路和技术手段提出更多的挑战。

移动互联时代，数据安全问题由系统层面走向用户应用层，每个人、每一台联网设备都是互联网的入口，同时也有可能成为信息泄露的出口。安全事件的频繁发生造成大范围的损失，社会亟待打造更加牢固的防御体系，加强安全风险管理。随着4G的规模发展和5G时代的到来，智能终端的形态开始逐步泛化，向汽车、安防、家居等其他领域渗透，缔造出更多元化的新型终端产品形态，也意味着可攻击对象更加复杂多样。

另一方面，互联互通下企业的网络边界不断膨胀，开放融合打破了行业专网的自我隔离，数据和信息走向高度共享，引发安全风险管理由内向外转变。加固信息安全系统成为各主要风险评估和信息安全管理中的不可或缺项。

目前的系统风险评估工作存在两方面问题：

一是缺乏系统风险评估的统一、可量化标准，包括风险评估指标体系、评分体系。

二是缺少能使风险评估标准有效落地实施的工具和手段。这些问题导致公司信息安全状态无法全面、客观的展示，对信息安全能力建设无法实施有效评估。

为此，本文介绍了广东某大型公司引入的系统风险评估标准框架，该框架通过量化评分将信息系统各主要组成部分的风险进行精确表示。该风险评估系统采用三层架构，实现安全评估标准全面统一 ，推动信息安全评估管理规范化；通过构建量化评分模型，实现系统风险评估量化落地，促进系统安全工作的可视化管理和智能化管理。

自引入该评估系统近两年来，集团公司除实现客观的经济效益外，还明确了信息安全工作的目标和岗位职责以及考核方式，集团公司自身的信息安全能力实现了自主掌控。

系统风险评估体系包含系统风险度量指标体系和系统风险度量评分体系两部分。体系以“系统-领域-要素-指标”为核心骨架，从上往下抽丝剥茧得到系统风险度量指标体系，从下往上层层递归设计系统风险评分方法，最终实现系统风险评估工作的全面化、标准化、可量化。如下图所示。

系统风险评估体系四层架构

系统风险评估体系的核心内容包括：一个系统包括物理安全、主机安全、网络安全、应用安全、数据库安全、中间件安全、终端安全、人员安全8大领域，每一个领域对应多个要素，每一个要素下包含多个指标。

通过对ISO/IEC 27001:2013《信息技术  安全技术  信息安全管理体系要求》及网络安全等级保护标准的逐条比对、全面融合，同时参考公司安全事例以及行业最佳实践，系统风险指标体系从管理、技术、执行3个维度，遵从完整性、重点关注、防止重复、可赋值四项基本原则，完成了947个指标的精细化设计。每一项指标包含指标名称、指标来源、指标描述、指标分值、等级达标分等基本信息，如下图所示，覆盖了系统风险的方方面面，并实现了所有指标的量化。

系统风险评估指标基本信息示例

本设计原则遵循了“以安全闭环管理”为基本导向，管理指标、技术指标和执行指标相互关联，以管理指导技术和执行，以技术提高管理和执行效率，以执行促进管理和技术能力建设，由此体现安全整体态势，形成安全闭环管理。

本设计原则体现了“四项基本原则”。

1. 完整性原则：指标尽量全面反映当前度量要素（如主机安全）的指标分类（如管理）的安全要求。

2. 重点关注原则：指标能够反映当前度量要素（如主机安全）的指标分类（如管理）的重点安全要求。

3. 防止重复评分原则：指标所反映的安全要求应不存在重叠，即同一个评分点不能在多个指标中同时评分。

4. 可赋值原则：指标可以通过明确的安全检查、安全审计等方法得到足够的基础数据，并通过简单的算法公式实现对指标的赋值。

以全面比对融合的方法，如下图所示，指标的整编设计遵循ISO/IEC 27001:2013中14个领域、113个控制点的具体要求，覆盖网络安全等级保护标准一至五级的安全指引，结合了广东XXX实际网络域、跨网络域及共性问题三大场景，实现对系统风险的全面描述。

系统风险评估指标设计方法

以口令管理要求为例。ISO/IEC 27001:2013《信息技术  安全技术  信息安全管理体系要求》中对口令的要求是“A9.4.3 应使用交互式口令管理系统，确保口令质量”，网络安全等级保护标准对口令的要求是“操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换”。

基于此，公司将ISO/IEC 27001:2013和国家等保要求具体到管理、技术和执行三个指标维度。其中，管理维度要求：需要具体的口令要求管理规范；技术维度要求：需要有账号口令管理系统作为技术支撑；执行维度要求：需要定期抽检口令复杂程度是否达标。每一个维度下，再细分指标细项，图3中所示即管理维度下的一项指标。

最终，公司通过将ISO/IEC 27001:2013《信息技术  安全技术  信息安全管理体系要求》中提到的“口令质量”及网络安全等级保护标准中提到的“复杂度要求”具体化，实现指标的精细化和全面量化。

通过对本案例的分析研究，本文所推荐的信息安全风险评估度量体系在研究领域内首创了系统风险评估三层架构，实现了安全评估标准全面统一，推动了信息安全评估管理规范化。通过量化评分模型的构建，实现系统风险评估度量的实施，促进了系统安全工作的可视化管理和智能化管理。因此，本研究具有行业推广价值，适合在相似场景下构建信息安全风险评估度量指标体系中参考引用。