-
信息安全风险评估技术手段综述
王英梅
1
(北京科技大学信息工程学院
北京
100101
)
< br>摘要:
信息安全成为国家安全的重要组成部分,
因此为保
证信息安全,
建立信息安全管
理体系已成为目前安全建设的首要
任务。
风险评估作为信息安全管理体系建设的基础,
在体
系建设的各个阶段发挥着重要的作用。
风险评估的进行离不开风险评估
工具,
本文在对风险
评估工具进行分类的基础上,探讨了目前主
要的风险评估工具的研究现状及发展方向。
关键词:
风险评估
综合风险评估
信息基础设施
工具
引言
当今时代,
信息是一个国家最重要的资源之一,
信息与网络的运用亦是二十一世纪国力
的象征,
以网络为载体、
信息资源为核心的新经
济改变了传统的资产运营模式,
没有各种信
息的支持,
企业的生存和发展空间就会受到限制。
信息的重要性使得他不但面临着来
自各方
面的层出不穷的挑战,
因此,
需
要对信息资产加以妥善保护。
正如中国工程院院长徐匡迪所
说:
“
没有安全的工程就是豆腐渣工程
”<
/p>
。信息同样需要安全工程。而人们在实践中逐渐认识
到科学的管理
是解决信息安全问题的关键。
信息安全的内涵也在不断的延伸,
从最初的信息
保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为
“攻(攻击)
、
防(防范)
、测(检测
)
、控(控制)
、管(管理)
、评(评
估)
”等多方面的基础理论和实施
技术。
如何保证组织一直保持一个比较安全的状态,
保证企业的信
息安全管理手段和安全技术
发挥最大的作用,是企业最关心的问题。同时企业高层开始意
识到信息安全策略的重要性。
突然间,
IT
专业人员发现自己面临着挑战:设计信息安全政策该从何处着手?如何拟订具
有约束
力的安全政策?如何让公司员工真正接受安全策略并在日常工作中执行?借助于信
息安全
风险评估和风险评估工具,能够回答以上的问题。
一
.
信息安全风险评估与评估工具
风险评
估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。
它是确认
安全风险及其大小的过程,
即利用定性或定量的方法,
借助于风
险评估工具,
确定
信息资产的风险等级和优先风险控制。
风险评估是风险管理的最根本依据,
是对现
有网络的安全性进行分析的第一手资料,
也
1
作者介绍:王英梅
(1974-)
,博士研究生,研究方向为信息安全、风险评估。国家信息中心
《信息安
全风险评估指南》编写小组成员。
1
是网络安全领域内最重要的内容
之一。企业在进行网络安全设备选型、网络安全需求分析、
网络建设、
< br>网络改造、应用系统试运行、
内网与外网互联、与第三方业务伙伴进行网上业务<
/p>
数据传输、
电子政务等业务之前,
进行风
险评估会帮助组织在一个安全的框架下进行组织活
动。
它通过风
险评估来识别风险大小,
通过制定信息安全方针,
采取适当的控
制目标与控制
方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。<
/p>
信息安全风险评估经历了很长一段的发展时期。
风险评估的重点也从操作系统、
网络环
境发展到整个管
理体系。
西方国家在实践中不断发现,
风险评估作为保证信息安
全的重要基
石发挥的关键的作用。
在信息安全、
安全技术的相关标准中,
风险评估均作为关键步骤进行
阐述,
如
ISO13335
、
FIPS-30
、
BS7799-2
等。风险评估模型也从借鉴其他领域的模型发展到
开发出适用于风险评估的
模型。
风险评估方法的定性分析和定量分析不断被学者和安全分析
人员完善与扩充。
最主要的是,
风
险评估的过程逐渐转向自动化和标准化。
应用于风险评估的工具层出不
< br>穷,
越来越多的科研人员发现,
自动化的风险评估工具不
仅可以将分析人员从繁重的手工劳
动中解脱出来,最主要的是它能够将专家知识进行集中
,使专家的经验知识被广泛的应用。
二
.
风险评估工具的分类
目前对风险评估
工具的分类还没有一个统一的理解。文献
[1]
将风险评估工具
被分为三
类:
预防、
相应和检测。
通常情况下技术人员会把漏洞扫描工具称为风险评估工具,
文献
[2]
提到的风险评估工具就是漏洞评估扫描器。
< br>确实在对信息基础设施进行风险评估过程中,
漏
洞扫描工
具发挥着不可替代的作用,
通过漏洞扫描工具发现系统存在的漏洞、
不合理配置等
问题,
根据漏洞扫描结果提供的线索,
利用渗透性测试分析系统存在的风险。
随着人们对信
< br>息资产的深入理解,
发现信息资产不只包括存在于计算机环境中的数据、
文档,
信息在组织
中的各种载体中传播,包括纸
质载体、人员等,因此信息安全包括更广泛的范围。同时,信
息安全管理者发现解决信息
安全的问题在于预防。
在此基础上,
许多国家和组织都建立了针
对于预防安全事件发生的风险评估指南和方法。基于这些方法,开发出了一些工具,如<
/p>
CRAMM
、
RA
等,这些工具统称为风险评估工具。这些工具主要从管理的层面上,考虑包
括信息安全
技术在内的一系列与信息安全有关的问题,如安全规定、人员管理、通信保障、
业务连续
性以及法律法规等各方面的因素,
对信息安全有一个整体宏观的评价。
< br>其实,
一个
完整的风险评估所考虑的问题不只关键资产在
是某个时间状态下的威胁、
脆弱点情况,
以往
< br>一段时间内的攻击情况和安全事故都是风险分析过程中用于确定风险的客观支持。
那么对这
些攻击事件的检测和记录工具也是风险评估过程中不可缺少的工具。因此,文献
[1]
中将入
侵监测系统也作为风险评
估工具的一种。
可见,
对风险评估工具的类型划分是人们在对信
息
安全风险评估不断认识、
以及对评估过程不断完善的过程中逐
渐形成的。
本文根据在风险评
估过程中的主要任务和作用原理的
不同,
将风险评分为三类:
综合风险评估与管理工具、
信
息基础设施风险评估工具、风险评估辅助工具。
2
综合风险评估与管理工具。
这种工具根据信息所面临的威胁的不同分布进行全面考虑,
在风险评估的同时根据面临的
风险提供相应的控制措施和解决办法。
这种风险评估工具通常
建
立在一定的算法之上,
风险由关键信息资产、
资产所面临的威胁
以及威胁所利用的脆弱点
三者来确定,
如
RA
。
也有通过建立专家系统,
利用
专家经验进行风险分析,
给出专家结论,
这种评估工具需要不断
进行知识库的扩充,以适应不同的需要,如
COBRA
。
信息基础设施风险评估工具。
包括脆弱点评
估工具和渗透性测试工具。
脆弱点评估工具
也称为安全扫描、<
/p>
漏洞扫描器,
评估网络或主机系统的安全性并且报告系统脆弱点。
这些工
具能够扫描网络、服务器、防火墙、路由器和应用程序发
现其中的漏洞。通常情况下,这些
工具能够发现软件和硬件中已知的安全漏洞,
以决定系统是否易受已知攻击的影响,
并且寻
找
系统脆弱点,
比如安装方面与建立的安全策略相悖等。
渗透性测
试工具是根据漏洞扫描工
具提供的漏洞,
进行模拟黑客测试,<
/p>
判断是否这些漏洞能够被他人利用。
这种工具通常包括
一些黑客工具,也可以是一些脚本文件。
风险评
估辅助工具。
这种工具在风险评估过程中不可缺少,
它用来收集
评估所需要的数
据和资料,
帮助完成现状分析和趋势分析。
如入侵监测系统,
帮助检测各种攻击试探和误造
作,它可以作为一个警报器,提醒管理员发生的安全状况。同时安全漏洞库、知识库都是风
< br>险评估不可或缺的支持手段。
从风险评估工具的分类来
看,
风险评估辅助工具涉及到信息安全的其他技术体系,
因此<
/p>
这里只分析综合风险评估与管理工具和脆弱点评估工具,
他们构成
了风险评估工具的主体部
分。
三
.
综合风险评估与管理工具的研究与开发现状
下面从不同角度比较综合风险评估与管理工具的研究现状。
1
、
基于国
家或政府颁布的信息安全管理标准或指南建立风险评估工具。
目前世界上存在多种不同的风险分析指南和方法。如,
NIST(National
Institute
of
standards
and
Technology)
的
FIPS
65
[
3
]<
/p>
;
DoJ
(
De
partment
of
Justice
)
的
SRAG
和
< br>GAO(Government
Accounting Office)
[4]
的信息安全管理的实施指南。针对这些方法,由美国
开发了自动的风险评估工具
[5][6]
。英国推
行基于
BS7799
的认证产业,
BS
7799
是一个信息安
全管理标准与规定
[7]
,在建立信息安全管理体系过程中要进行风险评估,根据
PD3000
中提
供风险评估的方法,建立了的
CRAMM
[8]
、
RA<
/p>
等风险分析工具。许多国家也在使用或发展
国际标准化组织的
ISO/IEC
,
JTC/SC27
信息技术安全管理指南的基础上建立自己的风险评
估工具
[9]
。
2
、
基于专家系统的风险评估工具。
这种
方法经常利用专家系统建立规则和外部知识库,
通过调查问卷的方式收集组织内部
信息安全的状态。
对重要资产的威胁和脆弱点进行评估,
产生专家推荐的安全控制措施。
这
种工具通常会自动
形成风险评估报告,
安全风险的严重程度提供风险指数,
同时分
析可能存
3
在的问题,
以及处理办法。
如
COBRA
(
Consultative,Objective and Bi-
functional Risk Analysis
)
[10
]
是一个基于专家系统的风险评估工具,它是一个问卷调查形式的风险分析工具,有三个
部分组成:
问卷建立器、
风险测量器和
结果产生器。
问卷测量器有四个独立的知识库支持分
析工作,这
四个知识库分别是:
IT
安全知识库、操作风险知识库和高风险
知识库。除此以
外,还有
@RISK
[
11]
、
BDSS(The Bayesian
Decision Support
System)
[12]
等工具。
3
、
基于定性或定量算法的风险分析工具。
风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险分析工具。
风险分析作为重要的信息安全保障原则已经很长时间。
信息安全风险分析算法在很久以前
就
提出来,而且一些算法被作为正式的信息安全标准。这些标准大部分是定性的——也就
是,
他们对风险产生的可能性和风险产生的后果基于“低
/
中
/
高”这种表达方式,而不是准确的
可能性和损失量。
随着人们对信息安全风险了解的不断深入,
获得了更多的经验数据,
因此
人们越来越希望
用定量的风险分析方法反映事故方式的可能性。
定量的信息安全风险管理标
准包括美国联邦标准
FIPS31
和
FIPS191
,
提供定量风险分析技术的手册包括<
/p>
GAO
和新版的
NISTRMG
。好的数据是采用定量风险分析的先决条件。但是“可靠的评估信息安全风险比
< br>其他种类的风险更难,
因为信息安全风险因素的可能数据经常是非常有限的,
因为风险因素
持续改变”
[13]
。但无论如何,目前产生的一些列风险评估工具都在定量和定性方面各有侧
重。如
CONTROL-
IT
、
Definitive Scenario
、
JANBER
都是定性的风险评估工具。而
@RISK
、
The Buddy Syst
em
、
RiskCALC
、
CORA(Cost-of-Risk Analysis)
是半定量(定
性与定量方法相
结合)
的风险评估工具。
目前还没有完全定量的风险评估工具,
因为对于信息安全风险因素
的数据的获得还存在很大问题。
此外,根据风险评估工具
体系结构不同,风险评估工具还包括基于客户机
/
服务器模式<
/p>
以及单机版风险评估工具。
如
COBRA
就是基于
C/S
模式,
而目前大多数的风险评估工具识
基于单机版的。另外基于安全因素调查方式的不
同,风险评估工具还包括文件式或过程式,
如
RA
就是过程式风险评估工具。
根据以上对综合风险评
估与管理工具的分析,笔者对目前比较流行的工具进行了对比:
工具名称
国家
/
组织
COBRA
RA
BSI/Britain
CRAMM
CCTA/Britain
@RISK
Palisade/
America
体系结构
客
户
机
/
服
务器
模式
采用方法
定
性
/
定
量
算法
数
据
采
集
形式
<
/p>
对
使
用
人
员的要求
不
需
要
有
风
险
评
估
依靠评估人员<
/p>
的知识与经验
依靠评估人员的
知识与经验
不
需
要
有
风
险
评
估
< br>不需要有风险评估
的专业知识
4
专家系统
定
性
/
定
量
结合
调查文件
过程
过程
过程式算法
定性
/
定量结合
过程式算法
定性
/
定量结合
专家系统
定
性
/
定
量
结合
调查文件
调查问卷
专家系统
定性
/
定量结合
单机版
单机版
单机版
BDSS
The
Integrated
Risk
Management
Group/American
单机版
-
-
-
-
-
-
-
-
-
上一篇:法国现代园林景观设计理念及其启示
下一篇:英语描写幸福的句子