第28讲信息安全风险评估技术手段综述

第28讲信息安全风险评估技术手段综述摘要：信息安全成为国家安全的重要组成部分，因此为保证信息安全，建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础，在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具，本文在对风险评估工具进行分类的基础上，探讨了目前主要的风险评估工具的研究现状及发展方向。关键词：风险评估综合风险评估信息基础设施工具引言当今时代，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十一世纪国力的象征，以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式，没有各种信息的支持，企业的生存和发展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战，因此，需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说：“没有安全的工程就是豆腐渣工程”。信息同样需要安全工程。而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。如何保证组织一直保持一个比较安全的状态，保证企业的信息安全管理手段和安全技术发挥最大的作用，是企业最关心的问题。同时企业高层开始意识到信息安全策略的重要性。突然间，IT专业人员发现自己面临着挑战：设计信息安全政策该从何处着手？如何拟订具有约束力的安全政策？如何让公司员工真正接受安全策略并在日常工作中执行？借助于信息安全风险评估和风险评估工具，能够回答以上的问题。信息安全风险评估与评估工具风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，即利用定性或定量的方法，借助于风险评估工具，确定信息资产的风险等级和优先风险控制。风险评估是风险管理的最根本依据，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一。企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前，进行风险评估会帮助组织在一个安全的框架下进行组织活动。它通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。信息安全风险评估经历了很长一段的发展时期。风险评估的重点也从操作系统、网络环境发展到整个管理体系。西方国家在实践中不断发现，风险评估作为保证信息安全的重要基石发挥的关键的作用。在信息安全、安全技术的相关标准中，风险评估均作为关键步骤进行阐述，如ISO13335、FIPS-30、BS7799-2等。风险评估模型也从借鉴其他领域的模型发展到开发出适用于风险评估的模型。风险评估方法的定性分析和定量分析不断被学者和安全分析人员完善与扩充。最主要的是，风险评估的过程逐渐转向自动化和标准化。应用于风险评估的工具层出不穷，越来越多的科研人员发现，自动化的风险评估工具不仅可以将分析人员从繁重的手工劳动中解脱出来，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛的应用。风险评估工具的分类目前对风险评估工具的分类还没有一个统一的理解。文献[]将风险评估工具被分为三类：预防、相应和检测。通常情况下技术人员会把漏洞扫描工具称为风险评估工具，文献[]提到的风险评估工具就是漏洞评估扫描器。确实在对信息基础设施进行风险评估过程中，漏洞扫描工具发挥着不可替代的作用，通过漏洞扫描工具发现系统存在的漏洞、不合理配置等问题，根据漏洞扫描结果提供的线索，利用渗透性测试分析系统存在的风险。随着人们对信息资产的深入理解，发现信息资产不只包括存在于计算机环境中的数据、文档，信息在组织中的各种载体中传播，包括纸质载体、人员等，因此信息安全包括更广泛的范围。同时，信息安全管理者发现解决信息安全的问题在于预防。在此基础上，许多国家和组织都建立了针对于预防安全事件发生的风险评估指南和方法。基于这些方法，开发出了一些工具，如CRAMM、RA等，这些工具统称为风险评估工具。这些工具主要从管理的层面上，考虑包括信息安全技术在内的一系列与信息安全有关的问题，如安全规定、人员管理、通信保障、业务连续性以及法律法规等各方面的因素，对信息安全有一个整体宏观的评价。其实，一个完整的风险评估所考虑的问题不只关键资产在是某个时间状态下的威胁、脆弱点情况，以往一段时间内的攻击情况和安全事故都是风险分析过程中用于确定风险的客观支持。那么对这些攻击事件的检测和记录工具也是风险评估过程中不可缺少的工具。因此，文献[1]中将入侵监测系统也作为风险评估工具的一种。可见，对风险评估工具的类型划分是人们在对信息安全风险评估不断认识、以及对评估过程不断完善的过程中逐渐形成的。本文根据在风险评估过程中的主要任务和作用原理的不同，将风险评分为三类：综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。综合风险评估与管理工具。这种工具根据信息所面临的威胁的不同分布进行全面考虑，在风险评估的同时根据面临的风险提供相应的控制措施和解决办法。这种风险评估工具通常建立在一定的算法之上，风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点三者来确定，如RA。也有通过建立专家系统，利用专家经验进行风险分析，给出专家结论，这种评估工具需要不断进行知识库的扩充，以适应不同的需要，如COBRA。信息基础设施风险评估工具。包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器，评估网络或主机系统的安全性并且报告系统脆弱点。这些工具能够扫描网络、服务器、防火墙、路由器和应用程序发现其中的漏洞。通常情况下，这些工具能够发现软件和硬件中已知的安全漏洞，以决定系统是否易受已知攻击的影响，并且寻找系统脆弱点，比如安装方面与建立的安全策略相悖等。渗透性测试工具是根据漏洞扫描工具提供的漏洞，进行模拟黑客测试，判断是否这些漏洞能够被他人利用。这种工具通常包括一些黑客工具，也可以是一些脚本文件。风险评估辅助工具。这种工具在风险评估过程中不可缺少，它用来收集评估所需要的数据和资料，帮助完成现状分析和趋势分析。如入侵监测系统，帮助检测各种攻击试探和误造作，它可以作为一个警报器，提醒管理员发生的安全状况。同时安全漏洞库、知识库都是风险评估不可或缺的支持手段。从风险评估工具的分类来看，风险评估辅助工具涉及到信息安全的其他技术体系，因此这里只分析综合风险评估与管理工具和脆弱点评估工具，他们构成了风险评估工具的主体部分。综合风险评估与管理工具的研究与开发现状下面从不同角度比较综合风险评估与管理工具的研究现状。1、基于国家或政府颁布的信息安全管理标2、准或指3、南建立风险评估工具。目前世界上存在多种不同的风险分析指南和方法。如，NIST(NationalInstituteofstandardsandTechnology)的FIPS65[]；DoJ（DepartmentofJustice）的SRAG和GAO(GovernmentAccountingOffice)[]的信息安全管理的实施指南。针对这些方法，由美国开发了自动的风险评估工具[][]。英国推行基于BS7799的认证产业，BS7799是一个信息安全管理标准与规定[]，在建立信息安全管理体系过程中要进行风险评估，根据PD3000中提供风险评估的方法，建立了的CRAMM[]、RA等风险分析工具。许多国家也在使用或发展国际标准化组织的ISO/IEC，JTC/SC27信息技术安全管理指南的基础上建立自己的风险评估工具[]。4、基于专家系统的风险评估工具。这种方法经常利用专家系统建立规则和外部知识库，通过调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估，产生专家推荐的安全控制措施。这种工具通常会自动形成风险评估报告，安全风险的严重程度提供风险指数，同时分析可能存在的问题，以及处理办法。如COBRA（Consultative,ObjectiveandBi-functionalRiskAnalysis）[]是一个基于专家系统的风险评估工具，它是一个问卷调查形式的风险分析工具，有三个部分组成：问卷建立器、风险测量器和结果产生器。问卷测量器有四个独立的知识库支持分析工作，这四个知识库分别是：IT安全知识库、操作风险知识库和高风险知识库。除此以外，还有@RISK[]、BDSS(TheBayesianDecisionSupportSystem)[]等工具。5、基于定性或定量算法的风险分析工具。风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险分析工具。风险分析作为重要的信息安全保障原则已经很长时间。信息安全风险分析算法在很久以前就提出来，而且一些算法被作为正式的信息安全标准。这些标准大部分是定性的——也就是，他们对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式，而不是准确的可能性和损失量。随着人们对信息安全风险了解的不断深入，获得了更多的经验数据，因此人们越来越希望用定量的风险分析方法反映事故方式的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191，提供定量风险分析技术的手册包括GAO和新版的NISTRMG。好的数据是采用定量风险分析的先决条件。但是“可靠的评估信息安全风险比其他种类的风险更难，因为信息安全风险因素的可能数据经常是非常有限的，因为风险因素持续改变”[]。但无论如何，目前产生的一些列风险评估工具都在定量和定性方面各有侧重。如CONTROL-IT、DefinitiveScenario、JANBER都是定性的风险评估工具。而@RISK、TheBuddySystem、RiskCALC、CORA(Cost-of-RiskAnalysis)是半定量（定性与定量方法相结合）的风险评估工具。目前还没有完全定量的风险评估工具，因为对于信息安全风险因素的数据的获得还存在很大问题。此外，根据风险评估工具体系结构不同，风险评估工具还包括基于客户机/服务器模式以及单机版风险评估工具。如COBRA就是基于C/S模式，而目前大多数的风险评估工具识基于单机版的。另外基于安全因素调查方式的不同，风险评估工具还包括文件式或过程式，如RA就是过程式风险评估工具。根据以上对综合风险评估与管理工具的分析，笔者对目前比较流行的工具进行了对比：工具名称COBRARACRAMM@RISKBDSS国家/组织BSI/BritainCCTA/BritainPalisade/AmericaTheIntegratedRiskManagementGroup/American体系结构客户机/服务器模式单机版单机版单机版单机版采用方法专家系统过程式算法过程式算法专家系统专家系统定性/定量算法定性/定量结合定性/定量结合定性/定量结合定性/定量结合定性/定量结合数据采集形式调查文件过程过程调查文件调查问卷对使用人员的要求不需要有风险评估的专业知识依靠评估人员的知识与经验依靠评估人员的知识与经验不需要有风险评估的专业知识不需要有风险评估的专业知识结果输出形式结果报告：风险等基于控制措施风险等级与控制措施（基于BS7799提供的控制措施）风险等级与控制措施（基于BS7799提供的控制措施）决策支持信息安全防护措施列表信息基础设施风险评估工具的研究与开发现状目前，每年有数以百计的新的安全漏洞被发现，每月都会发布一打新的补丁。对于系统和网络管理原来说评估和管理网络系统潜在的安全风险变得越来越重要。主动的漏洞扫描能够在证明危险发生前帮助识别不需要的服务或安全漏洞。信息基础设施风险评估工具的研发现状主要分析漏洞扫描工具。漏洞扫描工具是提供网络或主机系统安全漏洞监测和分析的软件。漏洞扫描器扫描网络或主机的安全漏洞，并发布扫描结果使用户对关键漏洞迅速响应。目前对漏洞扫描工具的研发主要分为以下几种类型。1、基于