新版《信息安全风险评估方法》的几大变化

作者 | 宇宸

编 | Yanni

今年4月，国家市场监督管理总局（国家标准化管理委员会）批准245项推荐性国家标准和2项国家标准修改单，与信息安全相关标准共10项，均在2022年11月1日开始实施，其中包括《信息安全技术 信息安全风险评估方法》（GB/T 20984-2022），代替《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）版标准，并于2022年11月1日正式实施。

经过15年时间，和2007版相比，新版《信息安全风险评估方法》（以下简称“风评”）有了较大的变化。本人旨在说明新版风评中的一些主要变化，并根据标准梳理出一套新版风险值的方法，供大家参考。

 | 风险要素关系 |

新版风评简化了要素关系，只保留了资产、脆弱性、威胁、安全措施和风险要素，本以为这将一定程度减少风评整体工作量，但实际上并没有，反而增加了很多需要计算的过程，后文将会进行分析。

 | 风险分析原理 |

 | 风险评估流程 |

新版风评增加了业务识别和业务风险值计算两个过程，这是本次标准中的一个变化。该过程包括评估准备（确定目标、范围、调研、评价准则、方案等）、风险识别（资产、威胁、脆弱性、已有安全措施识别）、风险分析（计算风险值）、风险评价（确定风险等级）等阶段。

| 业务识别 |

 | 业务赋值 |

 | 系统资产识别 |

在确定系统资产后，还应确定该业务所承载的类别，这里可能是由于近年来监管对数据安全的重视日渐趋严，因此将数据安全生命周期纳入评估过程，最后，还应梳理系统资产与业务和资产的关联关系，以最终得出其受到损害时所影响的业务环节以及连带影响。（但和最终风险值计算的关联，标准中没有明确说明）

| 系统资产赋值 |

系统资产识别后，需依据其保密性、完整性和可用性进行赋值，结合业务承载性、业务重要性，进行综合计算。赋值依据可参考新版风评附录D。

 | 系统组件和单元资产识别 |

 | 系统组件和单元资产赋值 |

 | 威胁识别 |

 | 威胁赋值 |

新版风评威胁赋值有所变化，老版风评威胁赋值应考虑三个方面：

a) 以往安全事件报告中出现过的威胁及其频率的统计；

b) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；

c) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。

而新版风评赋值要考虑四个方面：

a) 以往安全事件报告中出现过的威胁及其频率统计；

b) 实际环境中通过检测工具以及各种日志发现的威胁及其频率统计；

c) 实际环境中监测发现的威胁及其频率统计；

d) 近期公开发布的社会或特定行业威胁及其频率统计,以及发布的威胁预警。

新版风评这个威胁赋值表其实参考意义不大，即使结合附件E的赋值表也无法直接确定等级，不如老版表（给出具体评判依据），更多需要主观判断来确定威胁等级。个人认为，可以结合07版表8和22版赋值方法，总结适合自身的赋值标准。

 | 已有安全措施识别 |

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，保护性安全措施可以减少安全事件发生后对组织或系统造成的影响。在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。

此处安全措施的作用是，当为脆弱性赋值时作为修正，如本身脆弱性A等级为4级，但因为采取安全措施A和安全措施B，可以提高脆弱性被利用的难度，并且降低影响范围，那么可以将脆弱性A等级降为3级。

 | 脆弱性识别 |

个人认为，脆弱性应该与系统组件和单元资产关联，从而可以确定其与系统资产和业务的关联。

 | 脆弱性赋值 |

 | 风险分析 |

风险分析就是根据资产、威胁、脆弱性赋值计算风险值的过程，新版和老版风评计算原理没有太多变化，只不过新版风评新增了多个风险要素，因此计算步骤增加。

应在风险识别基础上开展风险分析，风险分析应：

a) 根据威胁的能力和频率，以及脆弱性被利用难易程度，计算安全事件发生的可能性；

b) 根据安全事件造成的影响程度和资产价值，计算安全事件发生后对评估对象造成的损失；

c) 根据安全事件发生的可能性以及安全事件发生后造成的损失，计算系统资产面临的风险值；

d) 根据业务所涵盖的系统资产风险值综合计算得出业务风险值。

具体风险计算过程见附录F。

具体计算方法依旧沿用老版风评，分为矩阵法和相乘法，目前国内用的较多的是相乘法，可以使用以下计算方式之一：

以上是07版风评相乘法计算风险值的过程。

接下来说一下新版风险评估风险值计算，根据国标给出的流程来推测，仅代表个人观点，供各位参考。

根据新风评标准附录F的解释，风险值计算复杂度增加，总结一下过程就是：

（1）识别业务B1，并根据其重要性赋值，设B1=2，B2=3，确定B1和B2业务存在紧密关联，经调整后，B1=B2=3；

（2）识别系统资产A以及其对应的系统组件和单元资产C1、C2，…，并对组件和单元资产赋值Vc1,Vc2，赋值依据是资产的保密性、完整性、可用性取平均值；

（3）A’的价值等级=f（Vc1,Vc2，业务承载性等级），取平均值；根据业务重要性，调整系统资产A的最终等级；

PS：这里标准中没有给出明确的计算方式，个人认为也可以这样，=f（Vc1,Vc2，业务承载性等级，业务重要性），取平均值，也是一种方式，但相对上述计算方法来说，可能就没那么规范了，大家可自由发挥，只要有科学性和依据就可以。

（4）识别威胁T，确定威胁等级，设T=3；

（5）已有安全措施识别，这里需要大量主观判断，较难量化，用于降低脆弱性被利用的可能以及影响程度的等级；

（6）识别脆弱性A，需要与威胁和资产（组件和单元）进行关联，确定脆弱性利用难易程度（Av）和影响程度（Di）赋值，设Av=3，Di=4；

（7）计算安全事件发生的可能性L=（T，Av），利用相乘法得L=3；

PS：如果这里采取了安全措施S1，可以一定程度降Av，则Av降为2级，L=2.45。

（8）计算安全事件发生后的损失F=（Vc1，Di），设Vc1=2，利用相乘法得F=2.83；

（9）计算系统资产风险值R1=（L，F），得R1=2.63；

PS：此处计算标准中依旧没有明确说明，因为以上计算的都是系统组件和单元资产的风险值，并未对系统资产进行计算，而这里突然要计算系统资产风险，其中少了一个步骤。个人认为，需要补充一个计算过程，就是在计算全部基于系统组件和单元资产的风险值R后，要对系统关联的全部组件和单元资产取平均值，作为系统资产A的风险值，这样才能继续计算业务风险值。

（10）计算业务风险值Rb=（R1，R2,…,Rn），取平均值。

看完文字可能还是有点难理解，用图片再梳理一下这个过程，可能会更清晰一些。

至此，整个风险评估计算过程结束。可以看出，相较老版风评的风险值计算要复杂一些，不过这是标准建议的方法，不是绝对的，大家也可以提出自己的计算原理去验证是否科学。毕竟，真正实施要以实用、快速、有效作为目标，太过繁琐可能并不利于实践。

 | 风险评价 |

最后是风险评价，07版风评在风险分析计算出风险值后，即风险评估计算过程结束，而新版风评新增了风险评价这一环节，要根据给定的准则对系统资产风险和业务风险计算结果进行等级处理（即划分等级），并给出了划分依据的参考示例（见新版风评表11和表12）。

至于其他部分，如沟通与协商、风评文档记录、风评文档部分可自行参考新版风评标准，这里不再赘述。