《信息安全风险评估方法研究》由会员分享,可在线阅读,更多相关《信息安全风险评估方法研究(7页珍藏版)》请在金锄头文库上搜索。
1、信息安全风险评估方法研究毛捍东1 作者简介:毛捍东(1979),博士研究生,研究方向为网络安全、安全风险评估。陈锋,硕士研究生。张维明,博士 教授。黄金才,副教授。 陈锋 张维明 黄金才(国防科技大学管理科学与工程系 长沙 410073)摘要在信息安全领域,对信息系统进行风险评估十分重要,其最终目的就是要指导决策者在“投资成本”和“安全级别”这两者之间找到平衡,从而为等级化的资产风险制定保护策略和缓和计划。信息安全风险评估方法经历了从手动评估到半自动化评估的阶段,现在正在由技术评估向整体评估发展,由定性评估向定性和定量评估相结合的方法发展,由基于知识的评估向基于模型的评估方法发展。该文阐述了信
2、息安全风险评估所要解决的问题,介绍了目前在信息安全风险评估领域的主要方法以及今后的发展方向。关键词:信息系统;风险评估;资产;威胁;脆弱性A Survey of Information Security Risk Assessment MethodsMao Handong, Chen Feng, Zhang Weiming, Huang Jincai( Department of Management Science and Engineering, National University of Defense Technology Changsha 410073 )Abstract: Inf
3、ormation systems risk assessment has experienced the stage of manual-to-automatic. Its now expanding from technology assessment to holistic, from qualitative to synthetic method of qualitative and quantitative analysis, from knowledge-based to model-based. To make the assessment comprehensive and ac
4、curate, the target of assessment must be considered as a whole system with technological, organizational and personnel factors. Specifying an information system is often a complicated task that demands a method that can provide both the details and the overview of the system. Modeling techniques giv
5、e us the possibility to specify all aspects of the system while keeping a good overview at the same time.Key words: Information System; risk assessment; asset; threat; vulnerability.一、引言信息系统已经成为人们生活中重要组成部分,人们总是希望信息系统能够带来更多的便利。但是信息系统自身以及与信息系统相连的网络环境的特点与局限性决定了信息系统的发展和应用将遭受木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁。由
6、于这个原因,人们在不断的探索和研究防止信息系统威胁的手段和方法,并且迅速在杀毒软件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而,这没有从根本上解决信息系统的安全问题,来自计算机网络的威胁更加多样化和隐蔽化,黑客、病毒等攻击事件也越来越多。据CERT/CC的统计,2003年报告的安全事件(security incident)的数量达到137529件,远远高于2001年的52658件和2002年的82094件。怎样确保组织能够在长时间内处于较高的安全水平,是目前急需解决的问题。安全管理是一个过程,而不是一个产品,不能期望通过一个安全产品就能把所有的安全问题都解决。同时,需要基于安全风险管理来
7、建立信息安全战略,最适宜的信息安全战略实际上就是最优的风险管理对策。信息安全风险管理可以看成是一个不断降低安全风险的过程,其最终目的是使安全风险降低到一个可接受的程度,使用户和决策者可以接受剩余的风险。如何获得信息系统的安全状态,以及如何对信息系统受到的威胁进行有效客观科学的分析和评估是信息安全风险管理的第一步。信息安全风险评估的初期,主要是通过从实际使用中总结经验,然后用这些经验去评估更多的信息系统,研究的重点也就在于如何提取知识和运用知识的过程。目前,研究的出发点是基于组织的资产所处的具体环境来构造组织的风险框架3,使用组织的关键资产考虑评估活动是一种有效的手段,它可以使评估活动中考虑的威
8、胁和风险数量大大减少1。同时,为了使评估结果更加客观和清晰,工具辅助评估、定量评估以及基于模型的评估技术也成为当前研究的热点。二、信息安全风险评估概念信息安全风险评估涉及4个主要因素:资产、威胁、弱点和风险。资产是对企业有价值的东西2。信息技术资产结合了逻辑和物理的资产,文献3将其分为五类:(1)信息资产(数据或者用于完成组织任务的知识产权)。(2)系统资产(处理和存储信息的信息系统)。(3)软件资产(软件应用程序和服务)。(4)硬件资产(信息技术的物理设备)。(5)人员资产(组织中拥有独特技能、知识和经验的他人难以替代的人)。2001年,Alberts等人认为弱点(Vulnerability
9、)可分为组织弱点和技术弱点。组织弱点是指组织的政策或实践中可能导致未授权行为的弱点3。技术弱点是指系统、设备和直接导致未授权行为的组件中存在的弱点4,文献5将其分为三类:(1)设计弱点(硬件或者软件中设计或者规范中存在的弱点)。(2)实现弱点(由一个良好的设计在实现软件或者硬件时产生的错误而导致的弱点)。(3)配置弱点(由一个系统或者组件在配置时产生错误而导致的错误)。威胁是指潜在的不希望发生事件的指示器4,文献3将其分为四类:基于网络方式访问造成的威胁、基于物理方式访问造成的威胁、系统问题以及其他问题等。威胁的属性包括资产、访问、主角、动机和结果等。当一个威胁利用了资产所包含的弱点后,资产将
10、会面临风险。这种危害将会影响资产的保密性、完整性和可用性,并造成资产价值的损失。资产、威胁、弱点以及影响之间的关系如图1:脆弱点威胁威胁威胁资 产影 响控制措施图1 资产、威胁、弱点以及影响关系图Rowe认为,风险是指遭受损害或者损失的可能性,是实现一个事件不想要的负面结果的潜在因素6。文献7提出了风险提出了风险的数学表达式:风险R = f(p, c),其中p为事件发生的概率,c为事件发生的后果。风险分析是风险评估过程中最复杂的步骤,要求对风险的识别、估计和评价做出全面的、综合的分析。一个全面的风险分析包括对各种层次的风险发生的概率和影响进行评价8。风险评估重点关注风险的评估和量化,由此决定风
11、险的可接受级别9。风险管理过程定义了综合的策略来解决风险分析过程中识别出来的风险。Britton等人在文献10中提出了三种基本的风险解决办法:接受风险、减小风险和转移风险。三、信息安全风险评估面对信息安全问题时,需要从组织的角度去评估他们实际上需要保护什么及其需求的原因。大多数安全问题深深的根植在一个或者多个组织和业务问题中。在实施安全方案之前,应当通过在业务环境中评估安全需求和风险,刻画出基本问题的真实本质,决定需要保护哪些对象,为什么要保护这些对象,需要从哪些方面进行保护,如何在生存期内进行保护。下面将从不同的角度比较现有的信息安全风险评估方法。3.1 手动评估和工具辅助评估在各种信息安全
12、风险评估工具出现以前,对信息系统进行安全管理,一切工作都只能手工进行。对于安全风险分析人员而言,这些工作包括识别重要资产、安全需求分析、当前安全实践分析、威胁和弱点发现、基于资产的风险分析和评估等。对于安全决策者而言,这些工作包括资产估价、安全投资成本以及风险效益之间的平衡决策等。对于系统管理员而言,这些工作包括基于风险评估的风险管理等。总而言之,其劳动量巨大,容易出现疏漏,而且,他们都是依据各自的经验,进行与安全风险相关的工作。风险评估工具的出现在一定程度上解决了手动评估的局限性。1985年,英国CCTA开发了CRAMM风险评估工具。CRAMM包括全面的风险评估工具,并且完全遵循BS 779
13、9规范,包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点,这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到,最后给出一套安全解决方案l。1991年,C&A System Security公司推出了COBRA工具,用来进行信息安全风险评估。COBRA由一系列风险分析、咨询和安全评价工具组成,它改变了传统的风险管理方法,提供了一个完整的风险分析服务,并且兼容许多风险评估方法学(如定性分析和定量分析等)。它可以看作一个基于专家系统和扩展知识库的问卷
14、系统,对所有的威胁和脆弱点评估其相对重要性,并且给出合适的建议和解决方案。此外,它还对每个风险类别提供风险分析报告和风险值(或风险等级)l。信息安全风险评估工具的出现,大大缩短了评估所花费的时间。在系统应用和配置不断改变的情况,组织可以通过执行另外一次评估重新设置风险基线。两次评估的时间间隔可以预先确定(例如,以月为单位)或者由主要的事件触发(例如,企业重组、组织的计算基础结构重新设计等)。3.2 技术评估和整体评估技术评估是指对组织的技术基础结构和程序进行系统的、及时的检查,包括对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击。这些技术驱动的评估通常包括:(1)评估整个计算基础结构
15、。(2)使用拥有的软件工具分析基础结构及其全部组件。(3)提供详细的分析报告,说明检测到的技术弱点,并且可能为解决这些弱点建议具体的措施。技术评估是通常意义上所讲的技术脆弱性评估,强调组织的技术脆弱性。但是组织的安全性遵循“木桶原则”,仅仅与组织内最薄弱的环节相当,而这一环节多半是组织中的某个人。整体风险评估扩展了上述技术评估的范围,着眼于分析组织内部与安全相关的风险,包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。这些多角度的评估试图按照业务驱动程序或者目标对安全风险进行排列,关注的焦点主要集中在安全的以下4个方面:(1)检查与安全相关的组织实践,标识当前安全实践的优
16、点和弱点。这一程序可能包括对信息进行比较分析,根据工业标准和最佳实践对信息进行等级评定。(2)包括对系统进行技术分析、对政策进行评审,以及对物理安全进行审查。(3)检查IT的基础结构,以确定技术上的弱点。包括恶意代码的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更等。(4)帮助决策制订者综合平衡风险以选择成本效益对策。1999年,卡内基梅隆大学的SEI发布了OCTAVE框架,这是一种自主型信息安全风险评估方法3。OCTAVE方法是Alberts和Dorofee共同研究的成果,这是一种从系统的、组织的角度开发的新型信息安全保护方法,主要针对大型组织,中小型组织也可以对其适当裁剪,以满足自身需要。它的实施分为三个阶段:(1)建立基于资产的威胁配置文件(Threat Profile)。这
