1、精選文檔信息系統(tǒng)風(fēng)險評估方法研究 摘要：該文從標(biāo)準(zhǔn)、模型、知識、動態(tài)等多個角度對信息系統(tǒng)風(fēng)險評估方法進(jìn)行解析，指出了定量分析方法和定性分析方法各自的優(yōu)缺點，最后對風(fēng)險評估方法的發(fā)展趨勢給出了一點看法。 關(guān)鍵詞：風(fēng)險評估；標(biāo)準(zhǔn)；模型；知識；動態(tài)；定量分析和定性分析 中圖分類號：TP311文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2011)23-5647-02 Risk Assessment of Information System WANG Fu-hua, WANG Li-jun, JIANG Yuan (Chongqing Communication Institute, Chongqin

2、g 400035, China) Abstract: This article from standard, models, knowledge, and dynamic, and many other aspects of information systems risk assessment methods for parsing and pointed out that the method for quantitative and qualitative analysis of their respective advantages and disadvantages, finally

3、 on the development of risk assessment method of trend views are given. Key words: risk assessment; standards; model; knowledge; dynamic; quantitative and qualitative analysis 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問題已成為影響社會經(jīng)濟(jì)發(fā)展和國家發(fā)展戰(zhàn)略的重要因素。然而面對網(wǎng)絡(luò)日趨復(fù)雜的結(jié)構(gòu)和龐大的規(guī)模，特別是利用系統(tǒng)安全弱點的新型攻擊手段的大量被入侵者所應(yīng)用，信息系統(tǒng)所面臨的安全風(fēng)險和威脅日益嚴(yán)重,信息系統(tǒng)風(fēng)險評估更凸顯出其重要

4、性。目前國內(nèi)有很多文章都對風(fēng)險評估進(jìn)行了介紹，但大都介紹得不是很全面，本文從多個角度對風(fēng)險評估方法進(jìn)行介紹，并對其發(fā)展方向給出了一點看法。 1 基于標(biāo)準(zhǔn)的安全評估方法 計算機(jī)系統(tǒng)信息安全評估的第一個正式標(biāo)準(zhǔn)是可信的計算機(jī)系統(tǒng)安全評估標(biāo)準(zhǔn)（TCSEC）由美國國防部于1985 年公布的。它把計算機(jī)系統(tǒng)的安全分為4 類、7 個級別，對用戶登錄、授權(quán)管理、訪問控制、審計跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。信息技術(shù)安全評估標(biāo)準(zhǔn)（ITSEC）是由法、英、荷、德歐洲四國90 年代初聯(lián)合發(fā)布的，它提出了信息安全的機(jī)密性、完整性、可用性的安全屬性。

5、信息技術(shù)安全評價的通用標(biāo)準(zhǔn)（CC）由六個國家（美、加、英、法、德、荷）于1996 年聯(lián)合提出的，并逐漸形成國際標(biāo)準(zhǔn)ISO15408。該標(biāo)準(zhǔn)定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及如何正確有效地實施這些功能的保證要求。BS7799是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個標(biāo)準(zhǔn)，它分兩部分：第一部分為“信息安全管理事務(wù)準(zhǔn)則”，第二部分為“信息安全管理系統(tǒng)的規(guī)范”。目前此標(biāo)準(zhǔn)已經(jīng)被很多國家采用，并已成為國際標(biāo)準(zhǔn)ISO17799。ISO13335標(biāo)準(zhǔn)首次給出了關(guān)于IT 安全的保密性、完整性、可用

6、性、審計性、認(rèn)證性、可靠性6 個方面含義，并提出了以風(fēng)險為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；威脅利用信息系統(tǒng)存在的各種漏洞對信息系統(tǒng)進(jìn)行滲透和攻擊。如果滲透和攻擊成功，將導(dǎo)致企業(yè)資產(chǎn)的暴露；資產(chǎn)的暴露會對資產(chǎn)的價值產(chǎn)生影響（包括直接和間接的影響）；風(fēng)險就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價值所決定；對企業(yè)信息系統(tǒng)安全風(fēng)險的分析，就得出了系統(tǒng)的防護(hù)需求；根據(jù)防護(hù)需求的不同制定系統(tǒng)的安全解決方案，選擇適當(dāng)?shù)姆雷o(hù)措施，進(jìn)而降低安全風(fēng)險，并抗擊威脅。我國于2001 年采用ISO/IEC15408 制定了相應(yīng)國家標(biāo)準(zhǔn)GB/T18

7、336-2001。計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則已經(jīng)正式頒布并實施，該準(zhǔn)則將信息系統(tǒng)安全分為五個等級，主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計等，涵蓋了不同級別的安全要求。2004 年9 月完成了信息安全風(fēng)險評估指南和信息安全風(fēng)險管理指南兩個標(biāo)準(zhǔn)草案的制定初稿，前者主要內(nèi)容包括風(fēng)險評估要素關(guān)系模型、風(fēng)險計算模型、風(fēng)險評估實施模型、風(fēng)險評估貫穿于信息系統(tǒng)生命周期以及風(fēng)險評估的形式等后者針對信息安全風(fēng)險管理所涉及的不同過程進(jìn)行了綜合性描述和規(guī)范，對信息安全風(fēng)險管理在信息系統(tǒng)生命周期各階段的應(yīng)用作了系統(tǒng)闡述。 2 定量分析與定性分析 2.1 定量分析 定量分析方法是指根據(jù)一定

8、的數(shù)據(jù)，建立數(shù)學(xué)模型，然后計算分析各項指標(biāo)的一種方法；常見的定量分析方法有時序序列分析法、Markov分析法、因子分析法、聚類分析法、決策樹法、熵權(quán)系數(shù)法等。 定量分析的過程為： 1) 識別資產(chǎn)并為資產(chǎn)賦值； 2) 通過威脅和弱點評估，評價特定威脅作用于特定資產(chǎn)所造成的影響，即損失程度(EF)(取值在0一100之間)； 3) 計算特定威脅發(fā)生率(ARO)； 4) 計算資產(chǎn)的單一損失期望：單一損失期望(SLE)=資值損失程度(EF)； 5) 計算資產(chǎn)的年度損失期望：年度損失期望(ALE)=單一損失期望(SLE)特定威脅發(fā)生率(ARO)。 定量分析的結(jié)果比較客觀和直觀，使研究結(jié)果更科學(xué)，更嚴(yán)密，更

9、規(guī)范，缺點是需要收集的數(shù)據(jù)較多，工作量特別大；收集數(shù)據(jù)也遇到很大困難，有些公司不愿意提供內(nèi)部安全數(shù)據(jù)；另外收集的數(shù)據(jù)也不一定能全面反映實際情況。 2.2定性分析 定性分析方法是主要依賴于分析者的經(jīng)驗、直覺等一些非量化的指標(biāo)來對系統(tǒng)進(jìn)行分析的一種方法；常見的定性分析方法有Delphi方法、歷史比較法、分解綜合比較法等。 定性分析是目前運用最為廣泛的一種風(fēng)險評估方法，定性分析可貫穿整個風(fēng)險評估的過程。首先，在進(jìn)行資產(chǎn)識別時，通過咨詢調(diào)查等方式就信息系統(tǒng)的保密性、完整性和可用性分析來確定資產(chǎn)的價值；同理，在對威脅和脆弱性識別時也是利用一些非量化的指標(biāo)對信息系統(tǒng)進(jìn)行判斷，最后，根據(jù)風(fēng)險評估計算公式得出

10、風(fēng)險值。 定性評估方法的優(yōu)點是簡便易行，具有很好的實用性，有可能挖掘出一些蘊藏很深的思想；缺點是主觀性強(qiáng)，對評估者本身的要求更高，不能真正做出客觀的評估，而且由于定性評估征詢意見的時間較長，對于需要快速判斷的安全風(fēng)險問題(如動態(tài)風(fēng)險評估)就不太適用。 3 基于知識的風(fēng)險評估方法 基于知識的風(fēng)險評估方法考慮關(guān)鍵信息資產(chǎn)、資產(chǎn)所面臨的威脅以及威脅所利用的脆弱點三方面的信息來確定系統(tǒng)的安全性。這類方法的主要代表有COBRA和OCTAVE。COBRA(Consultative Objective and Bi-functional Risk Analysis)是一個基于專家系統(tǒng)的安全評估工具。它是一個

11、問卷調(diào)查形式的風(fēng)險分析工具，由問卷建立器、風(fēng)險測量器和結(jié)果產(chǎn)生器三個部分組成。其中，風(fēng)險測量器由安全知識庫、操作風(fēng)險知識庫和高風(fēng)險知識庫來支持工作。利用專家系統(tǒng)建立規(guī)則和外部知識庫，通過調(diào)查問卷的方式收集組織內(nèi)部信息安全的狀態(tài)。對重要資產(chǎn)的威脅和脆弱點進(jìn)行評估，產(chǎn)生專家推薦的安全控制措施。能夠自動形成評估報告，為安全風(fēng)險的嚴(yán)重程度提供風(fēng)險指數(shù)，同時分析可能存在的問題以及處理辦法。OCTAVE（Operationally Critical Threat， Asset， and Vulnerability Evaluation）方法框架由卡內(nèi)基?梅隆大學(xué)在1999 年發(fā)布。它是一種自主型信息安全風(fēng)

12、險評估方法。OCTAVE 關(guān)注關(guān)鍵資產(chǎn)的風(fēng)險情況。OCTAVE 將信息安全風(fēng)險評估過程分為三個階段：階段一，建立基于資產(chǎn)的威脅配置文件；階段二，標(biāo)識基礎(chǔ)結(jié)構(gòu)的弱點；階段三，確定安全策略和計劃。OCTAVE 方法主要提供了一個信息系統(tǒng)的評估框架，雖然對信息系統(tǒng)的風(fēng)險進(jìn)行了綜合分析評估，但是它主要關(guān)注評估流程，沒有對評估細(xì)節(jié)尤其是復(fù)雜的網(wǎng)絡(luò)風(fēng)險識別沒有進(jìn)行詳細(xì)描述。 4 基于模型的風(fēng)險評估方法 基于模型的風(fēng)險評估方法使用安全模型來表達(dá)系統(tǒng)所有可能的行為和狀態(tài)，然后通過模型分析工具根據(jù)模型產(chǎn)生測試用例來達(dá)到對系統(tǒng)整體的安全性進(jìn)行評估的目的。方法的優(yōu)點在于，模型的建立比規(guī)則的抽取簡單，能全面地反映系統(tǒng)

13、中存在的安全隱患，因而特別適合于對系統(tǒng)進(jìn)行全面地評估。缺點在于安全模型缺乏適應(yīng)性，模型準(zhǔn)確性的驗證也比較困難。 比較成熟的模型有：訪問控制模型、信息流模型、基于角色的訪問控制、Deswarte的特權(quán)圖(PrivilegeGraph)模型、故障樹模型等。 Ortalo R.采用依賴圖對系統(tǒng)漏洞建模，模擬系統(tǒng)失效和安全分支之間關(guān)系，用馬爾可夫模型計算攻擊者導(dǎo)致安全失效的平均代價值來量化系統(tǒng)安全，給出系統(tǒng)的安全演化過程。 張濤等使用故障樹模型通過計算到達(dá)頂點事件的概率來分析計算機(jī)系統(tǒng)的安全性。故障樹分析法是采用樹形圖的形式，把系統(tǒng)的安全故障與組成系統(tǒng)的部件的故障有機(jī)地聯(lián)系在一起。它通過對可能造成系統(tǒng)

14、故障的硬件、軟件、環(huán)境、人為因素進(jìn)行分析，畫出故障原因的各種可能組合方式和其發(fā)生概率，由總體至部分，按樹狀結(jié)構(gòu)，逐層細(xì)化。 5 靜態(tài)風(fēng)險評估與實時網(wǎng)絡(luò)風(fēng)險評估 傳統(tǒng)的系統(tǒng)安全風(fēng)險評估方法為靜態(tài)風(fēng)險評估方法，只考慮某一狀態(tài)下系統(tǒng)安全漏洞、威脅與關(guān)鍵資產(chǎn)信息這幾個因素。但隨著時間的推移和系統(tǒng)長期的使用，關(guān)鍵資產(chǎn)、威脅與系統(tǒng)漏洞信息都將發(fā)生變化，這時靜態(tài)風(fēng)險評估結(jié)果將不再適用。缺乏對當(dāng)前網(wǎng)絡(luò)狀況（漏洞、威脅等）的分析會導(dǎo)致領(lǐng)導(dǎo)和高層安全管理人員制定和修改安全策略時缺乏來源于實踐的依據(jù)，將會造成安全措施的失時性和局部性。如果能夠根據(jù)實時的網(wǎng)絡(luò)安全事件和安全數(shù)據(jù)，對網(wǎng)絡(luò)中正在發(fā)生的威脅進(jìn)行評估，并對主機(jī)

15、和網(wǎng)絡(luò)的當(dāng)前安全態(tài)勢給出量化的風(fēng)險值來刻畫系統(tǒng)的風(fēng)險走勢，將能使管理員隨時都能掌握實時的系統(tǒng)風(fēng)險狀況。根據(jù)實時的風(fēng)險評估結(jié)果，網(wǎng)絡(luò)操作員能夠?qū)Π踩录M(jìn)行快速而準(zhǔn)確的響應(yīng)，有針對性的保護(hù)安全資產(chǎn)，并對安全策略進(jìn)行動態(tài)的調(diào)整以適應(yīng)當(dāng)前風(fēng)險狀況。這種根據(jù)鮮活而真實的數(shù)據(jù)進(jìn)行實時風(fēng)險評估的方法，能夠大大提高安全風(fēng)險評估在網(wǎng)絡(luò)安全工作中的作用和意義。實時的安全風(fēng)險評估方法也是信息安全風(fēng)險評估方法的重要發(fā)展方向。 四川大學(xué)的李濤提出了基于免疫的實時風(fēng)險評估方法。依據(jù)人體免疫系統(tǒng)抗體濃度的變化與病原體入侵強(qiáng)度的對應(yīng)關(guān)系，建立了一種基于免疫的網(wǎng)絡(luò)安全風(fēng)險檢測模型。在人體免疫系統(tǒng)中，當(dāng)有抗原入侵時，免疫細(xì)胞就

16、會克隆增擴(kuò)，釋放出大量的抗體來捕獲抗原， 這時抗體的濃度就會急劇增加，當(dāng)抗原被殺死之后抗體的釋放就會受到抑制致使抗體的濃度降低，使免疫系統(tǒng)趨于穩(wěn)定。正常情況下，人體各種抗體的濃度基本不變，因此，可以通過測量各種類型抗體的濃度來判斷抗原入侵的情況及嚴(yán)重程度。 Wing 等提出通過比較系統(tǒng)的Attack Surface 來測量攻擊的相對安全級別，所謂Attack Surface 是所有對外界暴露的系統(tǒng)活動以及其訪問的資源。通過對AttackSurface 中每一個類型定義一個代價函數(shù)，計算其總的代價，然后通過測量系統(tǒng)AttackSurface 的變化就可以知道系統(tǒng)安全的變化。 6 風(fēng)險評估的趨勢

17、目前比較公認(rèn)的信息安全風(fēng)險評估研究趨勢是：主觀評估向客觀評估發(fā)展、定性評估向定量評估發(fā)展，這一發(fā)展趨勢一方面需要開發(fā)評估工具，另一方面需要科學(xué)的理論和方法。除了這兩個趨勢以外，個人認(rèn)為信息安全風(fēng)險評估呈現(xiàn)出第三個趨勢，就是靜態(tài)評估向動態(tài)評估發(fā)展的趨勢。 7 結(jié)論 本文從多個角度對風(fēng)險評估方法進(jìn)行介紹，并詳細(xì)介紹了定量分析和定性分析的優(yōu)缺點，最后對風(fēng)險評估的發(fā)展趨勢給出了一點看法，為國內(nèi)外組織開展信息安全評估工作提供了參考依據(jù)。 參考文獻(xiàn)： 1 陳友初.信息安全風(fēng)險評估的探討與實踐J.廣西科學(xué)院學(xué)報,2006,22(4):367-369. 2 杜輝,劉霞,汪厚祥.信息安全風(fēng)險評估方法研究J.艦船電子工廠,2006,26(4):65-69. 3 李濤.基于免疫的網(wǎng)絡(luò)安全風(fēng)險檢測J.中國科學(xué)E輯,2005,35(8):7