《风险评估的工具与基本过程.doc》由会员分享,可在线阅读,更多相关《风险评估的工具与基本过程.doc(14页珍藏版)》请在金锄头文库上搜索。
1、风险评估工具 风险评估过程中,可以利用一些辅助性的工具和方法来采集数据,包括: 调查问卷 风险评估者通过问卷形式对组织信息安全的各个方面进行调查,问卷解答可以进行手工分析,也可以输入自动化评估工具进行分析。从问卷调查中,评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。 检查列表 检查列表通常是基于特定标准或基线建立的,对特定系统进行审查的项目条款,通过检查列表,操作者可以快速定位系统目前的安全状况与基线要求之间的差距。 人员访谈 风险评估者通过与组织内关键人员的访谈,可以了解到组织的安全意识、业务操作、管理程序等重要信息。 漏洞扫描器 漏洞
2、扫描器(包括基于网络探测和基于主机审计)可以对信息系统中存在的技术性漏洞(弱点)进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。 渗透测试 这是一种模拟黑客行为的漏洞探测活动,它不但要扫描目标系统的漏洞,还会通过漏洞利用来验证此种威胁场景。除了这些方法和工具外,风险评估过程最常用的还是一些专用的自动化的风险评估工具,无论是商用的还是免费的,此类工具都可以有效地通过输入数据来分析风险,最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括: COBRA COBRA(Consultative
3、, Objective and Bi-functional Risk Analysis)是英国的C&A 系统安全公司推出的一套风险分析工具软件,它通过问卷的方式来采集和分析数据,并对组织的风险进行定性分析,最终的评估报告中包含已识别风险的水平和推荐措施。此外,COBRA 还支持基于知识的评估方法,可以将组织的安全现状与ISO 17799 标准相比较,从中找出差距,提出弥补措施。C&A 公司提供了COBRA 试用版下载:。(COBRA can be purchased instantly via credit card. Simply proceed to the secure server a
4、s follows: * - Special Offer. Only $US 1995 - $US 895) CRAMM CRAMM(CCTA Risk Analysis and Management Method)是由英国政府的中央计算机与电信局(Central Computer and Telecommunications Agency,CCTA)于1985 年开发的一种定量风险分析工具,同时支持定性分析。经过多次版本更新(现在是第四版),目前由 Insight 咨询公司负责管理和授权。CRAMM 是一种可以评估信息系统风险并确定恰当对策的结构化方法,适用于各种类型的信息系统和网络,也可以
5、在信息系统生命周期的各个阶段使用。CRAMM 的安全模型数据库基于著名的“资产/威胁/弱点”模型,评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM 与BS 7799 标准保持一致,它提供的可供选择的安全控制多达3000 个。除了风险评估,CRAMM 还可以对符合ITIL(IT Infrastructure Library)指南的业务连续性管理提供支持。 ASSET ASSET(Automated Security Self-Evaluation Tool)是美国国家标准技术协会(National Institute of Standard and Techn
6、ology,NIST)发布的一个可用来进行安全风险自我评估的自动化工具,它采用典型的基于知识的分析方法,利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST SpecialPublication 800-26,即信息技术系统安全自我评估指南(Security Self-AssessmentGuide for Information Technology Systems),为组织进行IT 系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具,可以在NIST 的网站下载:http:/icat.nist.gov。 CORA CORA(Cost-of-
7、Risk Analysis)是由国际安全技术公司(InternationalSecurity Technology, Inc. www.ist-)开发的一种风险管理决策支持系统,它采用典型的定量分析方法,可以方便地采集、组织、分析并存储风险数据,为组织的风险管理决策支持提供准确的依据。面对信息安全问题时,需要从组织的角度去评估他们实际上需要保护什么及其需求的原因。大多数安全问题深深的根植在一个或者多个组织和业务问题中。在实施安全方案之前,应当通过在业务环境中评估安全需求和风险,刻画出基本问题的真实本质,决定需要保护哪些对象,为什么要保护这些对象,需要从哪些方面进行保护,如何在生存期内进行保护。
8、下面将从不同的角度比较现有的信息安全风险评估方法。)手动评估和工具辅助评估 在各种信息安全风险评估工具出现以前,对信息系统进行安全管理,一切工作都只能手工进行。对于安全风险分析人员而言,这些工作包括识别重要资产、安全需求分析、当前安全实践分析、威胁和弱点发现、基于资产的风险分析和评估等。对于安全决策者而言,这些工作包括资产估价、安全投资成本以及风险效益之间的平衡决策等。对于系统管理员而言,这些工作包括基于风险评估的风险管理等。总而言之,其劳动量巨大,容易出现疏漏,而且,他们都是依据各自的经验,进行与安全风险相关的工作。风险评估工具的出现在一定程度上解决了手动评估的局限性。1985年,英国CCT
9、A开发了CRAMM风险评估工具。CRAMM包括全面的风险评估工具,并且完全遵循BS 7799规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点,这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到,最后给出一套安全解决方案 。1991年,C&A System Security公司推出了COBRA工具,用来进行信息安全风险评估。COBRA由一系列风险分析、咨询和安全评价工具组成,它改变了传统的风险管理方法,提供了一个完整的风险分析服务,并且兼容
10、许多风险评估方法学(如定性分析和定量分析等)。它可以看作一个基于专家系统和扩展知识库的问卷系统,对所有的威胁和脆弱点评估其相对重要性,并且给出合适的建议和解决方案。此外,它还对每个风险类别提供风险分析报告和风险值(或风险等级)。信息安全风险评估工具的出现,大大缩短了评估所花费的时间。在系统应用和配置不断改变的情况,组织可以通过执行另外一次评估重新设置风险基线。两次评估的时间间隔可以预先确定(例如,以月为单位)或者由主要的事件触发(例如,企业重组、组织的计算基础结构重新设计等)。 )技术评估和整体评估 技术评估是指对组织的技术基础结构和程序进行系统的、及时的检查,包括对组织内部计算环境的安全性及
11、其对内外攻击脆弱性的完整性攻击。这些技术驱动的评估通常包括:(1)评估整个计算基础结构。(2)使用拥有的软件工具分析基础结构及其全部组件。(3)提供详细的分析报告,说明检测到的技术弱点,并且可能为解决这些弱点建议具体的措施。技术评估是通常意义上所讲的技术脆弱性评估,强调组织的技术脆弱性。但是组织的安全性遵循“木桶原则”,仅仅与组织内最薄弱的环节相当,而这一环节多半是组织中的某个人。 整体风险评估扩展了上述技术评估的范围,着眼于分析组织内部与安全相关的风险,包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。这些多角度的评估试图按照业务驱动程序或者目标对安全风险进行排列,关注
12、的焦点主要集中在安全的以下4个方面:(1)检查与安全相关的组织实践,标识当前安全实践的优点和弱点。这一程序可能包括对信息进行比较分析,根据工业标准和最佳实践对信息进行等级评定。(2)包括对系统进行技术分析、对政策进行评审,以及对物理安全进行审查。(3)检查IT的基础结构,以确定技术上的弱点。包括恶意代码的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更等。(4)帮助决策制订者综合平衡风险以选择成本效益对策。1999年,卡内基梅隆大学的SEI发布了OCTAVE框架,这是一种自主型信息安全风险评估方法。OCTAVE方法是一种从系统的、组织的角度开发的新型信息安全保护方法,主
13、要针对大型组织,中小型组织也可以对其适当裁剪,以满足自身需要。它的实施分为三个阶段:(1)建立基于资产的威胁配置文件。这是从组织的角度进行的评估。组织的全体员工阐述他们的看法,如什么对组织重要(与信息相关的资产),应当采取什么样的措施保护这些资产等。分析团队整理这些信息,确定对组织最重要的资产(关键资产)并标识对这些资产的威胁。(2)标识基础结构的弱点。对计算基础结构进行的评估。分析团队标识出与每种关键资产相关的关键信息技术系统和组件,然后对这些关键组件进行分析,找出导致对关键资产产生未授权行为的弱点(技术弱点)。(3)开发安全策略和计划。分析团队标识出组织关键资产的风险,并确定要采取的措施。
14、根据对收集到的信息所做的分析,为组织开发保护策略和缓和计划,以解决关键资产的风险。 )定性评估和定量评估 定性分析方法是最广泛使用的风险分析方法。该方法通常只关注威胁事件所带来的损失(Loss),而忽略事件发生的概率(Probability)。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据,而是指定期望值,如设定每种风险的影响值和概率值为“高”、“中”、“低”。有时单纯使用期望值,并不能明显区别风险值之间的差别。可以考虑为定性数据指定数值。如,设“高”的值为3,“中”的值为2,“低”的值为1。但是要注意的是,这里考虑的只是风险
15、的相对等级,并不能说明该风险到底有多大。所以,不要赋予相对等级太多的意义,否则,将会导致错误的决策。 定量分析方法利用两个基本的元素:威胁事件发生的概率和可能造成的损失。把这两个元素简单相乘的结果称为ALE(Annual Loss Expectancy)或EAC(Estimated Annual Cost)。理论上可以依据ALE计算威胁事件的风险等级,并且做出相应的决策。定量风险评估方法首先评估特定资产的价值V,把信息系统分解成各个组件可更加有利于整个系统的定价,一般按功能单元进行分解;然后根据客观数据计算威胁的频率P;最后计算威胁影响系数?,因为对于每一个风险,并不是所有的资产所遭受的危害程
16、度都是一样的,程度的范围可能从无危害到彻底危害(即完全破坏)。根据上述三个参数,计算ALE:ALE V P ? 定量风险分析方法要求特别关注资产的价值和威胁的量化数据,但是这种方法存在一个问题,就是数据的不可靠和不精确。对于某些类型的安全威胁,存在可用的信息。例如,可以根据频率数据估计人们所处区域的自然灾害发生的可能性(如洪水和地震)。也可以用事件发生的频率估计一些系统问题的概率,例如系统崩溃和感染病毒。但是,对于一些其他类型的威胁来说,不存在频率数据,影响和概率很难是精确的。此外,控制和对策措施可以减小威胁事件发生的可能性,而这些威胁事件之间又是相互关联的。这将使定量评估过程非常耗时和困难。 鉴于以上难点,可以转用客观概率和
