试谈关键基础设施安全风险评估服务

一、为什么要做关键基础设施网络安全风险评估？

从合规来看：

根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》（征求意见稿）、《关键信息基础设施安全保护体系》等，关键信息基础设施的运营者需要每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。

此外，还应建立健全网络安全管理、评价考核制度，组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估等。

从实际作用和利益来看：

网络安全风险评估的目的是为了发现信息系统存在的消极风险，并通过一定的措施，将其控制在运营者可承受的范围内。运营者在关键信息基础设施保护工作中背负着各种法律责任，倘若一旦触发重大安全事件，运营者不仅会蒙受重大经济损失，还可能会承担行政和民事责任。

二、参考的国家标准或行业规范

关键基础设施的安全风险评估服务在进行时，通常会参考一些国家标准或行业规范来确保评估的准确性和全面性。

以下是一些可以参考的标准：

1. 国家标准《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）

这是中国首部专门针对关键信息基础设施安全保护的国家标准，提出了整体防控、风险管理、信息共享等基本原则。提出了关键信息基础设施安全的三项保护原则，并从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求，为运营商提供了全面的安全保护指导。

2.《关键信息基础设施安全检查评估指南》

其目的在于落实《网络安全法》的相关要求，确保关键信息基础设施的安全。该指南通过规范关键信息基础设施的检测评估方法和流程，明确了检测评估的主要内容，旨在提升关键信息基础设施的整体安全保护水平。

3.《关键信息基础设施安全保护条例》

该条例明确了关键信息基础设施的范围、职责分工以及技术与管理要求，为关键信息基础设施安全保障体系的建设提供了法律依据。

3.全国信息安全标准化技术委员会（TC260）推动的多项关键信息基础设施安全标准

这些标准覆盖了识别认定、安全防护、检测评估、监测预警和事件处置等方面，为关键信息基础设施的全生命周期安全提供了标准化支撑。

4.、《GB/T 20984-2022信息安全技术 信息安全风险评估规范》

它是一项推荐性国家标准，旨在为信息安全风险评估提供方法和指导，以帮助组织识别、评估和处理信息安全风险。

5、《ISO/IEC TR 13335 信息安全管理指南》

ISO/IEC TR 13335是一系列国际标准，提供了信息技术安全管理的指导和建议。这个系列标准分为多个部分，每个部分针对不同的安全管理方面提供详细的指南和最佳实践。

• ISO/IEC TR 13335-1：这部分提供了基本的管理概念和模型，这些是引入IT安全管理的基础，对理解整个标准系列至关重要。

• ISO/IEC TR 13335-2：这部分专注于信息安全风险管理，描述了信息安全风险管理的一般过程，包括风险分析、风险评价、风险处理、监视和评审风险、保持和改进风险等内容。

• ISO/IEC TR 13335-3：第三部分提供了有关IT安全的管理技术指导，帮助组织选择合适的安全措施，同时考虑业务需求和安全问题。

• ISO/IEC TR 13335-4：第四部分提供了有关选择防护措施的指导，描述了根据安全策略选择和实施安全措施的过程。

6、《ISO/IEC 27001 的信息安全管理体系》

《ISO/IEC 27001》是一项国际标准，正式称为"Information security, cybersecurity and privacy protection — Information security management systems — Requirements"，它规定了信息安全管理体系（ISMS）的要求。该标准旨在帮助各种规模和行业的组织确保其信息资产的保密性、完整性和可用性

7、《GB∕T 36466-2018 信息安全技术 工业控制系统风险评估实施指南》

该标准旨在帮助相关机构和企业更好地识别和评估工业控制系统可能面临的安全风险，制定相应的安全措施，以提高工业控制系统的安全性和可靠性。通过实施该指南，可以增强工业控制系统的防护能力，预防和减少潜在的安全威胁和损失。

8、《ENISA Cloud Computing Risk Assessment》（欧洲网络与信息安全局 云计算风险评估）

欧洲网络与信息安全局（ENISA）针对云计算风险评估提供了一系列的指导和建议。根据ENISA的报告，云计算服务的主要安全风险可以归纳为基础平台风险、数据安全风险、供应链安全风险、专业人才匮乏风险以及其他风险。ENISA还发布了《云计算合同安全服务水平监测指南》，旨在提供一套持续监测云计算服务提供商服务级别协议运行情况的操作体系。

ENISA的云计算信息安全保障框架（Cloud Information Assurance Framework, IAF）包含了一系列标准，组织可以使用这些标准来评估云服务提供商（CSP）为其客户数据提供的安全措施。此外，ENISA在2009年发布的报告中将云计算面临的主要风险划分为政策与组织风险、技术风险、法律风险等几大类别。

ENISA还发布了一个合理的风险评估框架，可用于确定涉及云的风险，包括两个文档——一个是一般的云信息保证框架，另一个是针对政府使用云服务的特别框架。这些框架和标准旨在帮助组织评估与采用云服务相关的风险，并采取相应的安全措施。

三、如何开展网络安全风险自评估工作？

基于关键信息基础设施的业务场景，确定评估方法论和风险评估计划，不同的业务场景可能会采用不同的评估方法和评价指标，如通用IT系统和工业控制系统，二者在协议使用方面，就存在一些不同，因此所使用的评估方法和指标有也会有所不同。

风险评估的基本流程如下图所示，主要包括风险评估准备、保护对象分析、威胁分析、脆弱性分析、现有控制措施分析、风险分析、风险处置和审核批准。

（一）实施风险评估

一切安全风险的源头都是资产。在风险评估实施阶段，我们首要的任务就是识别资产。

（1）物理环境安全

（2）资产安全（IT资产发现和梳理、资产拓扑绘制、网络边界识别、网络安全设备识别等）

Ø全网IT资产发现

Ø资产漏洞检测

（3）业务安全

Ø业务流程识别

Ø个人信息识别

（4）风险评估

Ø安全风险自评估

Ø历史风险评估报告

（5）安全事件

历史安全事件

（6）安全管理（运维管理制度、运维管理流程、应急响应预案、事件分类分级、事件处置流程等）

Ø网络安全方针

Ø安全组织机构

Ø安全管理制度和流程

Ø运维及应急制度

Ø事件处置流程

（7）人员能力评估

Ø培训与认证

Ø岗位评估与考核

（二）制定风险应对措施

风险的处置与成本及资源投入密切相关。识别到的风险，一定要进行可用性验证，尽量避免自动化工具误报产生的修复成本。

识别残余风险，并对其进行监控，尽量防止残余风险诱发其他的高等级风险。比如，低等级漏洞被利用，引发横向移动，从而导致其他设备发生重大安全事故。在一般情况下，可及时处置高、中级别安全风险，低级别安全风险采用监控的方式。

四、关键基础设施提供安全风险评估和报告服务方案执行的重点、难点、合理化建议

保护关键信息基础设施的正常运转，关系国家安全、经济发展、社会稳定，也是政府、企业和全社会的共同责任。关键信息基础设施运营者规模不同，对网络安全工作的重视程度不一，技术强弱各异。

有的信息系统的运行和数据存储的方式、调用方式，存在多个主管单位，使用单位。风险评测的时候需要纳入不同使用场景和管理场景。同时，执行关键信息基础设施风险评估，需要围绕数据场景、业务场景，在数据分类、分级标准定义，再开展基于关键信息基础设施的定义、风险评估，同时安全考虑网络安全产品的供应链，服务链等风险点。与等保相比，关键信息基础设施的风险评估范围更大，纳入的维度更广。

从考虑到关键基础设施是一个比较关键、敏感的业务系统，场景中，对应法规要求比较高，针对关键信息基础设施的风险评估，出具报告可在每年的等保评测基础上，由专门的安全评测机构来实施、执行。引入关键信息基础设施信息系统数据资产的分类、分级等评测点。实现全面、专业、合规的评测目标和风险识别目标。

参考文章：安全能力成熟度模型（CMM-S）中的网络资产攻击面管理（CAASM）

THE END

原文始发于微信公众号（透明魔方）：试谈关键基础设施安全风险评估服务