信息系统风险评估方法研究_doc下载

信息系统风险评估方法研究摘要：该文从标准、模型、知识、动态等多个角度对信息系统风险评估方法进行解析，指出了定量分析方法和定性分析方法各自的优缺点，最后对风险评估方法的发展趋势给出了一点看法。关键词：风险评估；标准；模型；知识；动态；定量分析和定性分析中图分类号：TP311文献标识码：A文章编号：1009-3044(2011)23-5647-02RiskAssessmentofInformationSystemWANGFu-hua,WANGLi-jun,JIANGYuan(ChongqingCommunicationInstitute,Chongqing400035,China)Abstract:Thisarticlefromstandard,models,knowledge,anddynamic,andmanyotheraspectsofinformationsystemsriskassessmentmethodsforparsingandpointedoutthatthemethodforquantitativeandqualitativeanalysisoftheirrespectiveadvantagesanddisadvantages,finallyonthedevelopmentofriskassessmentmethodoftrendviewsaregiven.Keywords:riskassessment;standards;model;knowledge;dynamic;quantitativeandqualitativeanalysis随着网络技术的发展，网络安全问题已成为影响社会经济发展和国家发展战略的重要因素。然而面对网络日趋复杂的结构和庞大的规模，特别是利用系统安全弱点的新型攻击手段的大量被入侵者所应用，信息系统所面临的安全风险和威胁日益严重,信息系统风险评估更凸显出其重要性。目前国内有很多文章都对风险评估进行了介绍，但大都介绍得不是很全面，本文从多个角度对风险评估方法进行介绍，并对其发展方向给出了一点看法。1基于标准的安全评估方法计算机系统信息安全评估的第一个正式标准是可信的计算机系统安全评估标准（TCSEC）由美国国防部于1985年公布的。它把计算机系统的安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。信息技术安全评估标准（ITSEC）是由法、英、荷、德欧洲四国90年代初联合发布的，它提出了信息安全的机密性、完整性、可用性的安全属性。信息技术安全评价的通用标准（CC）由六个国家（美、加、英、法、德、荷）于1996年联合提出的，并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及如何正确有效地实施这些功能的保证要求。BS7799是英国的工业、政府和商业共同需求而发展的一个标准，它分两部分：第一部分为“信息安全管理事务准则”，第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用，并已成为国际标准ISO17799。ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义，并提出了以风险为核心的安全模型：企业的资产面临很多威胁（包括来自内部的威胁和来自外部的威胁）；威胁利用信息系统存在的各种漏洞对信息系统进行渗透和攻击。如果渗透和攻击成功，将导致企业资产的暴露；资产的暴露会对资产的价值产生影响（包括直接和间接的影响）；风险就是威胁利用漏洞使资产暴露而产生的影响的大小，这可以为资产的重要性和价值所决定；对企业信息系统安全风险的分析，就得出了系统的防护需求；根据防护需求的不同制定系统的安全解决方案，选择适当的防护措施，进而降低安全风险，并抗击威胁。我国于2001年采用ISO/IEC15408制定了相应国家标准GB/T18336-2001。计算机信息系统安全保护等级划分准则已经正式颁布并实施，该准则将信息系统安全分为五个等级，主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等，涵盖了不同级别的安全要求。2004年9月完成了《信息安全风险评估指南》和《信息安全风险管理指南》两个标准草案的制定初稿，前者主要内容包括风险评估要素关系模型、风险计算模型、风险评估实施模型、风险评估贯穿于信息系统生命周期以及风险评估的形式等后者针对信息安全风险管理所涉及的不同过程进行了综合性描述和规范，对信息安全风险管理在信息系统生命周期各阶段的应用作了系统阐述。2定量分析与定性分析2.1定量分析定量分析方法是指根据一定的数据，建立数学模型，然后计算分析各项指标的一种方法；常见的定量分析方法有时序序列分析法、Markov分析法、因子分析法、聚类分析法、决策树法、熵权系数法等。定量分析的过程为：1)识别资产并为资产赋值；2)通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即损失程度(EF)(取值在0％一100％之间)；3)计算特定威胁发生率(ARO)；4)计算资产的单一损失期望：单一损失期望(SLE)=资值×损失程度(EF)；5)计算资产的年度损失期望：年度损失期望(ALE)=单一损失期望(SLE)×特定威胁发生率(ARO)。定量分析的结果比较客观和直观，使研究结果更科学，更严密，更规范，缺点是需要收集的数据较多，工作量特别大；收集数据也遇到很大困难，有些公司不愿意提供内部安全数据；另外收集的数据也不一定能全面反映实际情况。2.2定性分析定性分析方法是主要依赖于分析者的经验、直觉等一些非量化的指标来对系统进行分析的一种方法；常见的定性分析方法有Delphi方法、历史比较法、分解―综合比较法等。定性分析是目前运用最为广泛的一种风险评估方法，定性分析可贯穿整个风险评估的过程。首先，在进行资产识别时，通过咨询调查等方式就信息系统的保密性、完整性和可用性分析来确定资产的价值；同理，在对威胁和脆弱性识别时也是利用一些非量化的指标对信息系统进行判断，最后，根据风险评估计算公式得出风险值。定性评估方法的优点是简便易行，具有很好的实用性，有可能挖掘出一些蕴藏很深的思想；缺点是主观性强，对评估者本身的要求更高，不能真正做出客观的评估，而且由于定性评估征询意见的时间较长，对于需要快速判断的安全风险问题(如动态风险评估)就不太适用。3基于知识的风险评估方法基于知识的风险评估方法考虑关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点三方面的信息来确定系统的安全性。这类方法的主要代表有COBRA和OCTAVE。COBRA(ConsultativeObjectiveandBi-functionalRiskAnalysis)是一个基于专家系统的安全评估工具。它是一个问卷调查形式的风险分析工具，由问卷建立器、风险测量器和结果产生器三个部分组成。其中，风险测量器由安全知识库、操作风险知识库和高风险知识库来支持工作。利用专家系统建立规则和外部知识库，通过调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估，产生专家推荐的安全控制措施。能够自动形成评估报告，为安全风险的严重程度提供风险指数，同时分析可能存在的问题以及处理办法。OCTAVE（OperationallyCriticalThreat，Asset，andVulnerabilityEvaluation）方法框架由卡内基?梅隆大学在1999年发布。它是一种自主型信息安全风险评估方法。OCTAVE关注关键资产的风险情况。OCTAVE将信息安全风险评估过程分为三个阶段：阶段一，建立基于资产的威胁配置文件；阶段二，标识基础结构的弱点；阶段三，确定安全策略和计划。OCTAVE方法主要提供了一个信息系统的评估框架，虽然对信息系统的风险进行了综合分析评估，但是它主要关注评估流程，没有对评估细节尤其是复杂的网络风险识别没有进行详细描述。4基于模型的风险评估方法基于模型的风险评估方法使用安全模型来表达系统所有可能的行为和状态，然后通过模型分析工具根据模型产生测试用例来达到对系统整体的安全性进行评估的目的。方法的优点在于，模型的建立比规则的抽取简单，能全面地反映系统中存在的安全隐患，因而特别适合于对系统进行全面地评估。缺点在于安全模型缺乏适应性，模型准确性的验证也比较困难。比较成熟的模型有：访问控制模型、信息流模型、基于角色的访问控制、Deswarte的特权图(PrivilegeGraph)模型、故障树模型等。OrtaloR.采用依赖图对系统漏洞建模，模拟系统失效和安全分支之间关系，用马尔可夫模型计算攻击者导致安全失效的平均代价值来量化系统安全，给出系统的安全演化过程。张涛等使用故障树模型通过计算到达顶点事件的概率来分析计算机系统的安全性。故障树分析法是采用树形图的形式，把系统的安全故障与组成系统的部件的故障有机地联系在一起。它通过对可能造成系统故障的硬件、软件、环境、人为因素进行分析，画出故障原因的各种可能组合方式和其发生概率，由总体至部分，按树状结构，逐层细化。5静态风险评估与实时网络风险评估传统的系统安全风险评估方法为静态风险评估方法，只考虑某一状态下系统安全漏洞、威胁与关键资产信息这几个因素。但随着时间的推移和系统长期的使用，关键资产、威胁与系统漏洞信息都将发生变化，这时静态风险评估结果将不再适用。缺乏对当前网络状况（漏洞、威胁等）的分析会导致领导和高层安全管理人员制定和修改安全策略时缺乏来源于实践的依据，将会造成安全措施的失时性和局部性。如果能够根据实时的网络安全事件和安全数据，对网络中正在发生的威胁进行评估，并对主机和网络的当前安全态势给出量化的风险值来刻画系统的风险走势，将能使管理员随时都能掌握实时的系统风险状况。根据实时的风险评估结果，网络操作员能够对安全事件进行快速而准确的响应，有针对性的保护安全资产，并对安全策略进行动态的调整以适应当前风险状况。这种根据鲜活而真实的数据进行实时风险评估的方法，能够大大提高安全风险评估在网络安全工作中的作用和意义。实时的安全风险评估方法也是信息安全风险评估方法的重要发展方向。四川大学的李涛提出了基于免疫的实时风险评估方法。依据人体免疫系统抗体浓度的变化与病原体入侵强度的对应关系，建立了一种基于免疫的网络安全风险检测模型。在人体免疫系统中，当有抗原入侵时，免疫细胞就会克隆增扩，释放出大量的抗体来捕获抗原，这时抗体的浓度就会急剧增加，当抗原被杀死之后抗体的释放就会受到抑制致使抗体的浓度降低，使免疫系统趋于稳定。正常情况下，人体各种抗体的浓度基本不变，因此，可以通过测量各种类型抗体的浓度来判断抗原入侵的情况及严重程度。Wing等提出通过比较系统的AttackSurface来测量攻击的相对安全级别，所谓AttackSurface是所有对外界暴露的系统活动以及其访问的资源。通过对AttackSurface中每一个类型定义一个代价函数，计算其总的代价，然后通过测量系统AttackSurface的变化就可以知道系统安全的变化。6风险评估的趋势目前比较公认的信息安全风险评估研究趋势是：主观评估向客观评估发展、定性评估向定量评估发展，这一发展趋势一方面需要开发评估工具，另一方面需要科学的理论和方法。除了这两个趋势以外，个人认为信息安全风险评估呈现出第三个趋势，就是静态评估向动态评估发展的趋势。7结论本文从多个角度对风险评估方法进行介绍，并详细介绍了定量分析和定性分析的优缺点，最后对风险评估的发展趋势给出了一点看法，为国内外组织开展信息安全评估工作提供了参考依据。参考文献：[1]陈友初.信息安全风险评估的探讨与实践[J].广西科学院学报,2006,22(4):367-369.[2]杜辉,刘霞,汪厚祥.信息安全风险评估方法研究[J].舰船电子工厂,2006,26(4):65-69.[3]李涛.基于免疫的网络安全风险检测[J].中国科学E辑,200