風(fēng)險(xiǎn)評估評估的工具與基本過程

風(fēng)險(xiǎn)評估評估的工具與基本過程風(fēng)險(xiǎn)評估評估的工具與基本過程風(fēng)險(xiǎn)評估評估的工具與基本過程風(fēng)險(xiǎn)評估工具

風(fēng)險(xiǎn)評估過程中，可以利用一些輔助性的工具和方法來采集數(shù)據(jù)，包括：調(diào)查問卷——風(fēng)險(xiǎn)評估者通過問卷形式對組織信息安全的各個(gè)方面進(jìn)行調(diào)查，問卷解答可以進(jìn)行手工分析，也可以輸入自動化評估工具進(jìn)行分析。從問卷調(diào)查中，評估者能夠了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況。檢查列表——檢查列表通常是基于特定標(biāo)準(zhǔn)或基線建立的，對特定系統(tǒng)進(jìn)行審查的項(xiàng)目條款，通過檢查列表，操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距。人員訪談——風(fēng)險(xiǎn)評估者通過與組織內(nèi)關(guān)鍵人員的訪談，可以了解到組織的安全意識、業(yè)務(wù)操作、管理程序等重要信息。漏洞掃描器——漏洞掃描器（包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計(jì)）可以對信息系統(tǒng)中存在的技術(shù)性漏洞（弱點(diǎn)）進(jìn)行評估。許多掃描器都會列出已發(fā)現(xiàn)漏洞的嚴(yán)重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCopScanner等。滲透測試——這是一種模擬黑客行為的漏洞探測活動，它不但要掃描目標(biāo)系統(tǒng)的漏洞，還會通過漏洞利用來驗(yàn)證此種威脅場景。

除了這些方法和工具外，風(fēng)險(xiǎn)評估過程最常用的還是一些專用的自動化的風(fēng)險(xiǎn)評估工具，無論是商用的還是免費(fèi)的，此類工具都可以有效地通過輸入數(shù)據(jù)來分析風(fēng)險(xiǎn)，最終給出對風(fēng)險(xiǎn)的評價(jià)并推薦相應(yīng)的安全措施。目前常見的自動化風(fēng)險(xiǎn)評估工具包括：COBRA——COBRA（Consultative,ObjectiveandBi-functionalRiskAnalysis）是英國的C&A系統(tǒng)安全公司推出的一套風(fēng)險(xiǎn)分析工具軟件，它通過問卷的方式來采集和分析數(shù)據(jù)，并對組織的風(fēng)險(xiǎn)進(jìn)行定性分析，最終的評估報(bào)告中包含已識別風(fēng)險(xiǎn)的水平和推薦措施。此外，COBRA還支持基于知識的評估方法，可以將組織的安全現(xiàn)狀與ISO17799標(biāo)準(zhǔn)相比較，從中找出差距，提出彌補(bǔ)措施。C&A公司提供了COBRA試用版下載：。(COBRAcanbepurchasedinstantlyviacreditcard.Simplyproceedtothesecureserverasfollows:

*

-

SpecialOffer...Only$US1995

-

$US895

)CRAMM——CRAMM（CCTARiskAnalysisandManagementMethod）是由英國政府的中央計(jì)算機(jī)與電信局（CentralComputerandTelecommunicationsAgency，CCTA）于1985年開發(fā)的一種定量風(fēng)險(xiǎn)分析工具，同時(shí)支持定性分析。經(jīng)過多次版本更新（現(xiàn)在是第四版），目前由Insight咨詢公司負(fù)責(zé)管理和授權(quán)。CRAMM是一種可以評估信息系統(tǒng)風(fēng)險(xiǎn)并確定恰當(dāng)對策的結(jié)構(gòu)化方法，適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò)，也可以在信息系統(tǒng)生命周期的各個(gè)階段使用。CRAMM的安全模型數(shù)據(jù)庫基于著名的“資產(chǎn)/威脅/弱點(diǎn)”模型，評估過程經(jīng)過資產(chǎn)識別與評價(jià)、威脅和弱點(diǎn)評估、選擇合適的推薦對策這三個(gè)階段。CRAMM與BS7799標(biāo)準(zhǔn)保持一致，它提供的可供選擇的安全控制多達(dá)3000個(gè)。除了風(fēng)險(xiǎn)評估，CRAMM還可以對符合ITIL（ITInfrastructureLibrary）指南的業(yè)務(wù)連續(xù)性管理提供支持。ASSET——ASSET（AutomatedSecuritySelf-EvaluationTool）是美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會（NationalInstituteofStandardandTechnology，NIST）發(fā)布的一個(gè)可用來進(jìn)行安全風(fēng)險(xiǎn)自我評估的自動化工具，它采用典型的基于知識的分析方法，利用問卷方式來評估系統(tǒng)安全現(xiàn)狀與NISTSP800-26指南之間的差距。NISTSpecialPublication800-26，即信息技術(shù)系統(tǒng)安全自我評估指南（SecuritySelf-AssessmentGuideforInformationTechnologySystems），為組織進(jìn)行IT系統(tǒng)風(fēng)險(xiǎn)評估提供了眾多控制目標(biāo)和建議技術(shù)。ASSET是一個(gè)免費(fèi)工具，可以在NIST的網(wǎng)站下載：。CORA——CORA（Cost-of-RiskAnalysis）是由國際安全技術(shù)公司（InternationalSecurityTechnology,Inc.）開發(fā)的一種風(fēng)險(xiǎn)管理決策支持系統(tǒng)，它采用典型的定量分析方法，可以方便地采集、組織、分析并存儲風(fēng)險(xiǎn)數(shù)據(jù)，為組織的風(fēng)險(xiǎn)管理決策支持提供準(zhǔn)確的依據(jù)。面對信息安全問題時(shí)，需要從組織的角度去評估他們實(shí)際上需要保護(hù)什么及其需求的原因。大多數(shù)安全問題深深的根植在一個(gè)或者多個(gè)組織和業(yè)務(wù)問題中。在實(shí)施安全方案之前，應(yīng)當(dāng)通過在業(yè)務(wù)環(huán)境中評估安全需求和風(fēng)險(xiǎn)，刻畫出基本問題的真實(shí)本質(zhì)，決定需要保護(hù)哪些對象，為什么要保護(hù)這些對象，需要從哪些方面進(jìn)行保護(hù)，如何在生存期內(nèi)進(jìn)行保護(hù)。下面將從不同的角度比較現(xiàn)有的信息安全風(fēng)險(xiǎn)評估方法。

１）手動評估和工具輔助評估

在各種信息安全風(fēng)險(xiǎn)評估工具出現(xiàn)以前，對信息系統(tǒng)進(jìn)行安全管理，一切工作都只能手工進(jìn)行。對于安全風(fēng)險(xiǎn)分析人員而言，這些工作包括識別重要資產(chǎn)、安全需求分析、當(dāng)前安全實(shí)踐分析、威脅和弱點(diǎn)發(fā)現(xiàn)、基于資產(chǎn)的風(fēng)險(xiǎn)分析和評估等。對于安全決策者而言，這些工作包括資產(chǎn)估價(jià)、安全投資成本以及風(fēng)險(xiǎn)效益之間的平衡決策等。對于系統(tǒng)管理員而言，這些工作包括基于風(fēng)險(xiǎn)評估的風(fēng)險(xiǎn)管理等。總而言之，其勞動量巨大，容易出現(xiàn)疏漏，而且，他們都是依據(jù)各自的經(jīng)驗(yàn)，進(jìn)行與安全風(fēng)險(xiǎn)相關(guān)的工作。

風(fēng)險(xiǎn)評估工具的出現(xiàn)在一定程度上解決了手動評估的局限性。1985年，英國CCTA開發(fā)了CRAMM風(fēng)險(xiǎn)評估工具。CRAMM包括全面的風(fēng)險(xiǎn)評估工具，并且完全遵循BS7799規(guī)范，包括依靠資產(chǎn)的建模、商業(yè)影響評估、識別和評估威脅和弱點(diǎn)、評估風(fēng)險(xiǎn)等級、識別需求和基于風(fēng)險(xiǎn)評估調(diào)整控制等。CRAMM評估風(fēng)險(xiǎn)依靠資產(chǎn)價(jià)值、威脅和脆弱點(diǎn)，這些參數(shù)值是通過CRAMM評估者與資產(chǎn)所有者、系統(tǒng)使用者、技術(shù)支持人員和安全部門人員一起的交互活動得到，最后給出一套安全解決方案。1991年，C&ASystemSecurity公司推出了COBRA工具，用來進(jìn)行信息安全風(fēng)險(xiǎn)評估。COBRA由一系列風(fēng)險(xiǎn)分析、咨詢和安全評價(jià)工具組成，它改變了傳統(tǒng)的風(fēng)險(xiǎn)管理方法，提供了一個(gè)完整的風(fēng)險(xiǎn)分析服務(wù)，并且兼容許多風(fēng)險(xiǎn)評估方法學(xué)（如定性分析和定量分析等）。它可以看作一個(gè)基于專家系統(tǒng)和擴(kuò)展知識庫的問卷系統(tǒng)，對所有的威脅和脆弱點(diǎn)評估其相對重要性，并且給出合適的建議和解決方案。此外，它還對每個(gè)風(fēng)險(xiǎn)類別提供風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)值（或風(fēng)險(xiǎn)等級）。

信息安全風(fēng)險(xiǎn)評估工具的出現(xiàn)，大大縮短了評估所花費(fèi)的時(shí)間。在系統(tǒng)應(yīng)用和配置不斷改變的情況，組織可以通過執(zhí)行另外一次評估重新設(shè)置風(fēng)險(xiǎn)基線。兩次評估的時(shí)間間隔可以預(yù)先確定（例如，以月為單位）或者由主要的事件觸發(fā)（例如，企業(yè)重組、組織的計(jì)算基礎(chǔ)結(jié)構(gòu)重新設(shè)計(jì)等）。

２）技術(shù)評估和整體評估

技術(shù)評估是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進(jìn)行系統(tǒng)的、及時(shí)的檢查，包括對組織內(nèi)部計(jì)算環(huán)境的安全性及其對內(nèi)外攻擊脆弱性的完整性攻擊。這些技術(shù)驅(qū)動的評估通常包括：（1）評估整個(gè)計(jì)算基礎(chǔ)結(jié)構(gòu)。（2）使用擁有的軟件工具分析基礎(chǔ)結(jié)構(gòu)及其全部組件。（3）提供詳細(xì)的分析報(bào)告，說明檢測到的技術(shù)弱點(diǎn)，并且可能為解決這些弱點(diǎn)建議具體的措施。技術(shù)評估是通常意義上所講的技術(shù)脆弱性評估，強(qiáng)調(diào)組織的技術(shù)脆弱性。但是組織的安全性遵循“木桶原則”，僅僅與組織內(nèi)最薄弱的環(huán)節(jié)相當(dāng)，而這一環(huán)節(jié)多半是組織中的某個(gè)人。

整體風(fēng)險(xiǎn)評估擴(kuò)展了上述技術(shù)評估的范圍，著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn)，包括內(nèi)部和外部的風(fēng)險(xiǎn)源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)。這些多角度的評估試圖按照業(yè)務(wù)驅(qū)動程序或者目標(biāo)對安全風(fēng)險(xiǎn)進(jìn)行排列，關(guān)注的焦點(diǎn)主要集中在安全的以下4個(gè)方面：（1）檢查與安全相關(guān)的組織實(shí)踐，標(biāo)識當(dāng)前安全實(shí)踐的優(yōu)點(diǎn)和弱點(diǎn)。這一程序可能包括對信息進(jìn)行比較分析，根據(jù)工業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐對信息進(jìn)行等級評定。（2）包括對系統(tǒng)進(jìn)行技術(shù)分析、對政策進(jìn)行評審，以及對物理安全進(jìn)行審查。（3）檢查IT的基礎(chǔ)結(jié)構(gòu)，以確定技術(shù)上的弱點(diǎn)。包括惡意代碼的入侵、數(shù)據(jù)的破壞或者毀滅、信息丟失、拒絕服務(wù)、訪問權(quán)限和特權(quán)的未授權(quán)變更等。（4）幫助決策制訂者綜合平衡風(fēng)險(xiǎn)以選擇成本效益對策。

1999年，卡內(nèi)基?梅隆大學(xué)的SEI發(fā)布了OCTAVE框架，這是一種自主型信息安全風(fēng)險(xiǎn)評估方法。OCTAVE方法是一種從系統(tǒng)的、組織的角度開發(fā)的新型信息安全保護(hù)方法，主要針對大型組織，中小型組織也可以對其適當(dāng)裁剪，以滿足自身需要。它的實(shí)施分為三個(gè)階段：（1）建立基于資產(chǎn)的威脅配置文件。這是從組織的角度進(jìn)行的評估。組織的全體員工闡述他們的看法，如什么對組織重要（與信息相關(guān)的資產(chǎn)），應(yīng)當(dāng)采取什么樣的措施保護(hù)這些資產(chǎn)等。分析團(tuán)隊(duì)整理這些信息，確定對組織最重要的資產(chǎn)（關(guān)鍵資產(chǎn)）并標(biāo)識對這些資產(chǎn)的威脅。（2）標(biāo)識基礎(chǔ)結(jié)構(gòu)的弱點(diǎn)。對計(jì)算基礎(chǔ)結(jié)構(gòu)進(jìn)行的評估。分析團(tuán)隊(duì)標(biāo)識出與每種關(guān)鍵資產(chǎn)相關(guān)的關(guān)鍵信息技術(shù)系統(tǒng)和組件，然后對這些關(guān)鍵組件進(jìn)行分析，找出導(dǎo)致對關(guān)鍵資產(chǎn)產(chǎn)生未授權(quán)行為的弱點(diǎn)（技術(shù)弱點(diǎn)）。（3）開發(fā)安全策略和計(jì)劃。分析團(tuán)隊(duì)標(biāo)識出組織關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)，并確定要采取的措施。根據(jù)對收集到的信息所做的分析，為組織開發(fā)保護(hù)策略和緩和計(jì)劃，以解決關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)。

３）定性評估和定量評估

定性分析方法是最廣泛使用的風(fēng)險(xiǎn)分析方法。該方法通常只關(guān)注威脅事件所帶來的損失（Loss），而忽略事件發(fā)生的概率（Probability）。多數(shù)定性風(fēng)險(xiǎn)分析方法依據(jù)組織面臨的威脅、脆弱點(diǎn)以及控制措施等元素來決定安全風(fēng)險(xiǎn)等級。在定性評估時(shí)并不使用具體的數(shù)據(jù)，而是指定期望值，如設(shè)定每種風(fēng)險(xiǎn)的影響值和概率值為“高”、“中”、“低”。有時(shí)單純使用期望值，并不能明顯區(qū)別風(fēng)險(xiǎn)值之間的差別?？梢钥紤]為定性數(shù)據(jù)指定數(shù)值。如，設(shè)“高”的值為3，“中”的值為2，“低”的值為1。但是要注意的是，這里考慮的只是風(fēng)險(xiǎn)的相對等級，并不能說明該風(fēng)險(xiǎn)到底有多大。所以，不要賦予相對等級太多的意義，否則，將會導(dǎo)致錯(cuò)誤的決策。

定量分析方法利用兩個(gè)基本的元素：威脅事件發(fā)生的概率和可能造成的損失。把這兩個(gè)元素簡單相乘的結(jié)果稱為ALE（AnnualLossExpectancy）或EAC（EstimatedAnnualCost）。理論上可以依據(jù)ALE計(jì)算威脅事件的風(fēng)險(xiǎn)等級，并且做出相應(yīng)的決策。定量風(fēng)險(xiǎn)評估方法首先評估特定資產(chǎn)的價(jià)值V，把信息系統(tǒng)分解成各個(gè)組件可更加有利于整個(gè)系統(tǒng)的定價(jià)，一般按功能單元進(jìn)行分解；然后根據(jù)客觀數(shù)據(jù)計(jì)算威脅的頻率P；最后計(jì)算威脅影響系數(shù)?，因?yàn)閷τ诿恳粋€(gè)風(fēng)險(xiǎn)，并不是所有的資產(chǎn)所遭受的危害程度都是一樣的，程度的范圍可能從無危害到徹底危害（即完全破壞）。根據(jù)上述三個(gè)參數(shù)，計(jì)算ALE：ALE＝V×P×?

定量風(fēng)險(xiǎn)分析方法要求特別關(guān)注資產(chǎn)的價(jià)值和威脅的量化數(shù)據(jù)，但是這種方法存在一個(gè)問題，就是數(shù)據(jù)的不可靠和不精確。對于某些類型的安全威脅，存在可用的信息。例如，可以根據(jù)頻率數(shù)據(jù)估計(jì)人們所處區(qū)域的自然災(zāi)害發(fā)生的可能性（如洪水和地震）。也可以用事件發(fā)生的頻率估計(jì)一些系統(tǒng)問題的概率，例如系統(tǒng)崩潰和感染病毒。但是，對于一些其他類型的威脅來說，不存在頻率數(shù)據(jù)，影響和概率很難是精確的。此外，控制和對策措施可以減小威脅事件發(fā)生的可能性，而這些威脅事件之間又是相互關(guān)聯(lián)的。這將使定量評估過程非常耗時(shí)和困難。

鑒于以上難點(diǎn)，可以轉(zhuǎn)用客觀概率和主觀概率相結(jié)合的方法。應(yīng)用于沒有直接根據(jù)的情形，可能只能考慮一些間接信息、有根據(jù)的猜測、直覺或者其他主觀因素，稱為主觀概率。應(yīng)用主觀概率估計(jì)由人為攻擊產(chǎn)生的威脅需要考慮一些附加的威脅屬性，如動機(jī)、手段和機(jī)會等。

４）基于知識的評估和基于模型的評估

基于知識的風(fēng)險(xiǎn)評估方法主要是依靠經(jīng)驗(yàn)進(jìn)行的，經(jīng)驗(yàn)從安全專家處獲取并憑此來解決相似場景的風(fēng)險(xiǎn)評估問題。這種方法的優(yōu)越性在于能夠直接提供推薦的保護(hù)措施、結(jié)構(gòu)框架和實(shí)施計(jì)劃。

“良好實(shí)踐”的知識評估方法。該方法提出重用具有相似性組織（主要從組織的大小、范圍以及市場來判斷組織是否相似）的“良好實(shí)踐”。為了能夠較好地處理威脅和脆弱性分析，該方法開發(fā)了一個(gè)濫用和誤用報(bào)告數(shù)據(jù)庫，存儲了30年來的上千個(gè)事例。同時(shí)也開發(fā)了一個(gè)擴(kuò)展的信息安全框架，以輔助用戶制定全面的、正確的組織安全策略。基于知識的風(fēng)險(xiǎn)評估方法充分利用多年來開發(fā)的保護(hù)措施和安全實(shí)踐，依照組織的相似性程度進(jìn)行快速的安全實(shí)施和包裝，以減少組織的安全風(fēng)險(xiǎn)。然而，組織相似性的判定、被評估組織的安全需求分析以及關(guān)鍵資產(chǎn)的確定都是該方法的制約點(diǎn)。安全風(fēng)險(xiǎn)評估是一個(gè)非常復(fù)雜的任務(wù)，這要求存在一個(gè)方法既能描述系統(tǒng)的細(xì)節(jié)又能描述系統(tǒng)的整體。

基于模型的評估可以分析出系統(tǒng)自身內(nèi)部機(jī)制中存在的危險(xiǎn)性因素，同時(shí)又可以發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中的不正常并有害的行為，從而完成系統(tǒng)脆弱點(diǎn)和安全威脅的定性分析。如UML建模語言可以用來詳細(xì)說明信息系統(tǒng)的各個(gè)方面：不同組件之間關(guān)系的靜態(tài)圖用classdiagrams來表示；用來詳細(xì)說明系統(tǒng)的行動這和功能的動態(tài)圖用usecasediagrams和sequencediagrams來表示；完整的系統(tǒng)使用UMLdiagrams來說明，它是系統(tǒng)體系結(jié)構(gòu)的描述。

2001年，BITD開始了CORAS工程——安全危急系統(tǒng)的風(fēng)險(xiǎn)分析平臺。該工程旨在開發(fā)一個(gè)基于面向?qū)ο蠼＜夹g(shù)的風(fēng)險(xiǎn)評估框架，特別指出使用UML建模技術(shù)。利用建模技術(shù)在此主要有三個(gè)目的：第一，在合適的抽象層次描述評估目標(biāo)；第二，在風(fēng)險(xiǎn)評估的不同群組中作為通信和交互的媒介；第三：記錄風(fēng)險(xiǎn)評估結(jié)果和這些結(jié)果依賴的假設(shè)。

準(zhǔn)則和CORAS方法都使用了半形式化和形式化規(guī)范。CC準(zhǔn)則是通用的，并不為風(fēng)險(xiǎn)評估提供方法學(xué)。然后，相對于CC準(zhǔn)則而言，CORAS為風(fēng)險(xiǎn)評估提供方法學(xué)，開發(fā)了具體的技術(shù)規(guī)范來進(jìn)行安全風(fēng)險(xiǎn)評估。風(fēng)險(xiǎn)評估的基本過程-識別并評估弱點(diǎn)風(fēng)險(xiǎn)評估的基本過程-識別并評估弱點(diǎn)

光有威脅還構(gòu)不成風(fēng)險(xiǎn)，威脅只有利用了特定的弱點(diǎn)才可能對資產(chǎn)造成影響，所以，組織應(yīng)該針對每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找到可被威脅利用的弱點(diǎn)。常見的弱點(diǎn)有三類：技術(shù)性弱點(diǎn)——系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷，比如結(jié)構(gòu)設(shè)計(jì)問題和編程漏洞。操作性弱點(diǎn)——軟件和系統(tǒng)在配置、操作、使用中的缺陷，包括人員日常工作中的不良習(xí)慣，審計(jì)或備份的缺乏。管理性弱點(diǎn)——策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。識別弱點(diǎn)的途徑有很多，包括各種審計(jì)報(bào)告、事件報(bào)告、安全復(fù)查報(bào)告、系統(tǒng)測試及評估報(bào)告等，還可以利用專業(yè)機(jī)構(gòu)發(fā)布的列表信息，當(dāng)然，許多技術(shù)性和操作性弱點(diǎn)，可以借助自動化的漏洞掃描工具和滲透測試等方法來識別和評估。

評估弱點(diǎn)時(shí)需要考慮兩個(gè)因素，一個(gè)是弱點(diǎn)的嚴(yán)重程度（Severity），另一個(gè)是弱點(diǎn)的暴露程度（Exposure），即被利用的容易程度，當(dāng)然，這兩個(gè)因素也可以用“高”、“中”、“低”三個(gè)等級來衡量。

需要注意的是，弱點(diǎn)是威脅發(fā)生的直接條件，如果資產(chǎn)沒有弱點(diǎn)或者弱點(diǎn)很輕微，威脅源就很難利用其損害資產(chǎn)，哪怕它的能力多高動機(jī)多么強(qiáng)烈。信息安全評估標(biāo)準(zhǔn)的發(fā)展企業(yè)的網(wǎng)絡(luò)環(huán)境和應(yīng)用系統(tǒng)愈來愈復(fù)雜，每個(gè)企業(yè)都有這樣的疑惑：自己的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有哪些安全漏洞？應(yīng)該怎樣解決？如何規(guī)劃企業(yè)的安全建設(shè)？信息安全評估回答了這些問題。

什么是信息安全評估？

關(guān)于這個(gè)問題，由于每個(gè)人的理解不同，可能有不同的答案。但比較流行的一種看法是：信息安全評估是信息安全生命周期中的一個(gè)重要環(huán)節(jié)，是對企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、重要服務(wù)器的位置、帶寬、協(xié)議、硬件、與Internet的接口、防火墻的配置、安全管理措施及應(yīng)用流程等進(jìn)行全面的安全分析，并提出安全風(fēng)險(xiǎn)分析報(bào)告和改進(jìn)建議書。

信息安全評估的作用

信息安全評估具有如下作用：

(1)明確企業(yè)信息系統(tǒng)的安全現(xiàn)狀。進(jìn)行信息安全評估后，可以讓企業(yè)準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。

(2)確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。在對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)進(jìn)行信息安全評估并進(jìn)行風(fēng)險(xiǎn)分級后，可以確定企業(yè)信息系統(tǒng)的主要安全風(fēng)險(xiǎn)，并讓企業(yè)選擇避免、降低、接受等風(fēng)險(xiǎn)處置措施。

(3)指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。對企業(yè)進(jìn)行信息安全評估后，可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機(jī)制等）的建設(shè)。

主要的信息安全評估標(biāo)準(zhǔn)

信息安全評估標(biāo)準(zhǔn)是信息安全評估的行動指南?？尚诺挠?jì)算機(jī)系統(tǒng)安全評估標(biāo)準(zhǔn)（TCSEC，從橘皮書到彩虹系列）由美國國防部于1985年公布的，是計(jì)算機(jī)系統(tǒng)信息安全評估的第一個(gè)正式標(biāo)準(zhǔn)。它把計(jì)算機(jī)系統(tǒng)的安全分為4類、7個(gè)級別，對用戶登錄、授權(quán)管理、訪問控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、安全檢測、生命周期保障、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。

信息技術(shù)安全評估標(biāo)準(zhǔn)（ITSEC，歐洲百皮書）是由法、英、荷、德歐洲四國90年代初聯(lián)合發(fā)布的，它提出了信息安全的機(jī)密性、完整性、可用性的安全屬性。機(jī)密性就是保證沒有經(jīng)過授權(quán)的用戶、實(shí)體或進(jìn)程無法竊取信息；完整性就是保證沒有經(jīng)過授權(quán)的用戶不能改變或者刪除信息，從而信息在傳送的過程中不會被偶然或故意破壞，保持信息的完整、統(tǒng)一；可用性是指合法用戶的正常請求能及時(shí)、正確、安全地得到服務(wù)或回應(yīng)。ITSEC把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來認(rèn)識，對國際信息安全的研究、實(shí)施產(chǎn)生了深刻的影響。

信息技術(shù)安全評價(jià)的通用標(biāo)準(zhǔn)（CC）由六個(gè)國家（美、加、英、法、德、荷）于1996年聯(lián)合提出的，并逐漸形成國際標(biāo)準(zhǔn)ISO15408。該標(biāo)準(zhǔn)定義了評價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實(shí)施這些功能的保證要求。CC標(biāo)準(zhǔn)是第一個(gè)信息技術(shù)安全評價(jià)國際標(biāo)準(zhǔn)，它的發(fā)布對信息安全具有重要意義，是信息技術(shù)安全評價(jià)標(biāo)準(zhǔn)以及信息安全技術(shù)發(fā)展的一個(gè)重要里程碑。

ISO13335標(biāo)準(zhǔn)首次給出了關(guān)于IT安全的保密性、完整性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面含義，并提出了以風(fēng)險(xiǎn)為核心的安全模型：企業(yè)的資產(chǎn)面臨很多威脅（包括來自內(nèi)部的威脅和來自外部的威脅）；威脅利用信息系統(tǒng)存在的各種漏洞（如：物理環(huán)境、網(wǎng)絡(luò)服務(wù)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)、相關(guān)人員、安全策略等），對信息系統(tǒng)進(jìn)行滲透和攻擊。如果滲透和攻擊成功，將導(dǎo)致企業(yè)資產(chǎn)的暴露；資產(chǎn)的暴露（如系統(tǒng)高級管理人員由于不小心而導(dǎo)致重要機(jī)密信息的泄露），會對資產(chǎn)的價(jià)值產(chǎn)生影響（包括直接和間接的影響）；風(fēng)險(xiǎn)就是威脅利用漏洞使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價(jià)值所決定；對企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的分析，就得出了系統(tǒng)的防護(hù)需求；根據(jù)防護(hù)需求的不同制定系統(tǒng)的安全解決方案，選擇適當(dāng)?shù)姆雷o(hù)措施，進(jìn)而降低安全風(fēng)險(xiǎn)，并抗擊威脅。該模型闡述了信息安全評估的思路，對企業(yè)的信息安全評估工作具有指導(dǎo)意義。

BS7799是英國的工業(yè)、政府和商業(yè)共同需求而發(fā)展的一個(gè)標(biāo)準(zhǔn)，它分兩部分：第一部分為“信息安全管理事務(wù)準(zhǔn)則”；第二部分為“信息安全管理系統(tǒng)的規(guī)范”。目前此標(biāo)準(zhǔn)已經(jīng)被很多國家采用，并已成為國際標(biāo)準(zhǔn)ISO17799。BS7799包含10個(gè)控制大項(xiàng)、36個(gè)控制目標(biāo)和127個(gè)控制措施。BS7799/ISO17799主要提供了有效地實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理的建議，并介紹了風(fēng)險(xiǎn)管理的方法和過程。企業(yè)可以參照該標(biāo)準(zhǔn)制定出自己的安全策略和風(fēng)險(xiǎn)評估實(shí)施步驟。

AS/NZS4360：1999是澳大利亞和新西蘭聯(lián)合開發(fā)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，第一版于1995年發(fā)布。在AS/NZS4360:1999中，風(fēng)險(xiǎn)管理分為建立環(huán)境、風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評價(jià)、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)控與回顧、通信和咨詢七個(gè)步驟。AS/NZS4360:1999是風(fēng)險(xiǎn)管理的通用指南，它給出了一整套風(fēng)險(xiǎn)管理的流程，對信息安全風(fēng)險(xiǎn)評估具有指導(dǎo)作用。目前該標(biāo)準(zhǔn)已廣泛應(yīng)用于新南威爾士洲、澳大利亞政府、英聯(lián)邦衛(wèi)生組織等機(jī)構(gòu)。

OCTAVE（OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation）是可操作的關(guān)鍵威脅、資產(chǎn)和弱點(diǎn)評估方法和流程。OCTAVE首先強(qiáng)調(diào)的是O—可操作性，其次是C—關(guān)鍵系統(tǒng)，也就是說，它最注重可操作性，其次對關(guān)鍵性很關(guān)注。OCTAVE將信息安全風(fēng)險(xiǎn)評估過程分為三個(gè)階段：階段一，建立基于資產(chǎn)的威脅配置文件；階段二，標(biāo)識基礎(chǔ)結(jié)構(gòu)的弱點(diǎn)；階段三，確定安全策略和計(jì)劃。

國內(nèi)主要是等同采用國際標(biāo)準(zhǔn)。公安部主持制定、國家質(zhì)量技術(shù)監(jiān)督局發(fā)布的中華人民共和國國家標(biāo)準(zhǔn)GB17895-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》已正式頒布并實(shí)施。該準(zhǔn)則將信息系統(tǒng)安全分為5個(gè)等級：自主保護(hù)級、系統(tǒng)審計(jì)保護(hù)級、安全標(biāo)記保護(hù)級、結(jié)構(gòu)化保護(hù)級和訪問驗(yàn)證保護(hù)級。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計(jì)等，這些指標(biāo)涵蓋了不同級別的安全要求。GB18336也是等同采用ISO15408標(biāo)準(zhǔn)。

現(xiàn)有信息安全評估標(biāo)準(zhǔn)的局限性

風(fēng)險(xiǎn)分析的方法有定性分析、半定量分析和定量分析?，F(xiàn)有的信息安全評估標(biāo)準(zhǔn)主要采用定性分析法對風(fēng)險(xiǎn)進(jìn)行分析，即通常采取安全事件發(fā)生的概率來計(jì)算風(fēng)險(xiǎn)。然而，在安全評估過程中，評估人員常常面臨的問題是：信息資產(chǎn)的重要性如何度量？資產(chǎn)如何分級？什么樣的系統(tǒng)損失可能構(gòu)成什么樣的經(jīng)濟(jì)損失？如何構(gòu)建技術(shù)體系和管理體系達(dá)到預(yù)定的安全等級？一個(gè)由病毒中斷了的郵件系統(tǒng)，企業(yè)因此造成的經(jīng)濟(jì)損失和社會影響如何計(jì)算？如果黑客入侵，盡管沒有造成較大的經(jīng)濟(jì)損失，但企業(yè)的名譽(yù)損失又該如何衡量？另外，對企業(yè)的管理人員而言：哪些風(fēng)險(xiǎn)在企業(yè)可承受的范圍內(nèi)？這些問題從不同角度決定了一個(gè)信息系統(tǒng)安全評估的結(jié)果。目前的信息安全評估標(biāo)準(zhǔn)都不能對這些問題進(jìn)行定量分析，在沒有一個(gè)統(tǒng)一的信息安全評估標(biāo)準(zhǔn)的情況下，各家專業(yè)評估公司大多數(shù)是憑借各自積累的經(jīng)驗(yàn)來解決。因此，這就需要統(tǒng)一的信息安全評估標(biāo)準(zhǔn)的出臺。

信息安全評估的市場前景

隨著業(yè)界對于信息安全問題認(rèn)識的不斷深入，隨著信息安全體系的不斷實(shí)踐，越來越多的人發(fā)現(xiàn)信息安全問題最終都?xì)w結(jié)為一個(gè)風(fēng)險(xiǎn)管理問題。據(jù)統(tǒng)計(jì)，國外發(fā)達(dá)國家用在信息安全評估上的投資能占企業(yè)總投資的1%～5%，電信和金融行業(yè)能達(dá)到3%～5%。照此計(jì)算，每年僅銀行的安全評估費(fèi)用就超過幾個(gè)億。而且，企業(yè)的安全風(fēng)險(xiǎn)信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險(xiǎn)。所以企業(yè)的信息安全評估是一個(gè)長期持續(xù)的工作，通常應(yīng)該每隔1-3年就進(jìn)行一次安全風(fēng)險(xiǎn)評估。因此，信息安全評估有著廣闊的市場前景。FRAP方法與風(fēng)險(xiǎn)管理文章作者：董永樂

文章來源：啟明星辰信息技術(shù)有限公司1引言

網(wǎng)絡(luò)使原本獨(dú)立的計(jì)算機(jī)系統(tǒng)相互連接構(gòu)成了全球網(wǎng)絡(luò)空間(Cyber

Space)。這一方面整合了計(jì)算機(jī)資源與數(shù)據(jù)資源，另一方面也引入了新的風(fēng)險(xiǎn)--信息安全風(fēng)險(xiǎn)。

信息資產(chǎn)的所有者關(guān)心的是如何以合理的投入獲得足夠的安全，或者，如何把信息安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。信息安全風(fēng)險(xiǎn)管理針對信息安全風(fēng)險(xiǎn)的三個(gè)關(guān)鍵元素：資產(chǎn)、脆弱性與威脅，從信息安全風(fēng)險(xiǎn)的角度來衡量并保障連接在網(wǎng)絡(luò)上的信息系統(tǒng)的安全性。信息安全風(fēng)險(xiǎn)評估（以下簡稱風(fēng)險(xiǎn)評估）正是從這三個(gè)關(guān)鍵元素分別入手來分析信息資產(chǎn)面臨的風(fēng)險(xiǎn)?？梢哉J(rèn)為風(fēng)險(xiǎn)評估在風(fēng)險(xiǎn)管理過程的起點(diǎn)。

信息安全風(fēng)險(xiǎn)分析方法可以分為兩大類：定性分析方法與定量分析方法。FRAP方法是一種基于信息資產(chǎn)的半定量風(fēng)險(xiǎn)分析方法。在本文提到的案例中采用了經(jīng)過剪裁并改進(jìn)的FRAP方法(Tailored

FRAP，簡稱T-FRAP)。

本文分為5個(gè)部分。除了引言之外，第2小節(jié)簡單介紹了用到的案例項(xiàng)目的背景信息；第3小節(jié)簡要介紹FRAP和OCTAVE，并引入T-FRAP方法；第4小節(jié)闡述T-FRAP方法相對于FRAP方法所做的改進(jìn)以及如何利用T-FRAP將信息系統(tǒng)生命周期與風(fēng)險(xiǎn)管理過程結(jié)合在一起；最后給出了本文的結(jié)論。

2案例分析

本文所用的案例來自一個(gè)實(shí)際項(xiàng)目P。項(xiàng)目的甲方是客戶C，風(fēng)險(xiǎn)評估的對象是客戶的應(yīng)用系統(tǒng)A，分布在全國各地。項(xiàng)目P的范圍是從系統(tǒng)A中抽取了5個(gè)節(jié)點(diǎn)，共計(jì)1,500臺主機(jī)與網(wǎng)絡(luò)設(shè)備進(jìn)行信息采集和分析，利用T-FRAP方法進(jìn)行風(fēng)險(xiǎn)評估，最后給出綜合風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)控制建議。

2.1目標(biāo)系統(tǒng)簡介

在項(xiàng)目P中，應(yīng)用系統(tǒng)A包括16個(gè)子系統(tǒng)，主機(jī)操作系統(tǒng)類型主要有Windows系列、UNIX類操作系統(tǒng)（RedHat

Linux，Turbo

Linux，SCO

Unixware），數(shù)據(jù)庫管理系統(tǒng)包括Oracle、SQL

Server，HTTP服務(wù)主要由MS

IIS提供。系統(tǒng)A中的16個(gè)子系統(tǒng)由不同的軟件開發(fā)商開發(fā)，最后由一個(gè)總集成商集成在一起。網(wǎng)絡(luò)方面，同樣采用了多種網(wǎng)絡(luò)設(shè)備；安全方面則利用防火墻、IDS、VPN、反病毒軟件等產(chǎn)品構(gòu)成網(wǎng)絡(luò)安全保障子系統(tǒng)。這是一個(gè)典型的企業(yè)網(wǎng)絡(luò)。

2.2用戶需求分析

客戶C對本項(xiàng)目提出了如下要求：

僅從技術(shù)上進(jìn)行風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析時(shí)不涉及具體業(yè)務(wù)系統(tǒng)

對于信息安全風(fēng)險(xiǎn)評估項(xiàng)目來說，不結(jié)合資產(chǎn)，不結(jié)合具體業(yè)務(wù)系統(tǒng)進(jìn)行分析而得出的結(jié)論與實(shí)際情況的偏差很可能會比較大。

為了保證在這種約束條件下，評估結(jié)果能盡可能真實(shí)地反映目標(biāo)系統(tǒng)所面臨的風(fēng)險(xiǎn)，需要改進(jìn)現(xiàn)有的方法。其中有兩個(gè)關(guān)鍵問題：

威脅分析的結(jié)果偏差大，而且難以預(yù)測

根據(jù)風(fēng)險(xiǎn)分析的結(jié)果采取技術(shù)保障措施來控制風(fēng)險(xiǎn)的原則

3評估方法：T-FRAP

3.1方法對比與選擇

考慮到P項(xiàng)目的特點(diǎn)，我們需要選擇一種恰當(dāng)?shù)姆椒?。信息安全風(fēng)險(xiǎn)評估方法的基本理論與模型是從業(yè)務(wù)風(fēng)險(xiǎn)評估的理論與模型衍生而來?，F(xiàn)在較為流行的是FRAP與OCTAVE。下面簡要介紹兩種方法。

3.1.1OCTAVE簡介

典型的OCTAVE過程包括3大步驟，8個(gè)階段：

步驟1:

提取基于資產(chǎn)的威脅概況

P1:

確定高級管理層的認(rèn)識

P2:

確定運(yùn)作管理層的認(rèn)識

P3:

確定全體職員的認(rèn)識

P4:

建立威脅輪廓

步驟

2:

確定基礎(chǔ)設(shè)施漏洞

P5:

確定關(guān)鍵組件

P6:

評估選擇的組件

步驟

3:

制訂安全策略和計(jì)劃

P7:

實(shí)施風(fēng)險(xiǎn)分析

P8:

制訂保護(hù)策略

3.1.2FRAP簡介

FRAP是"便利的風(fēng)險(xiǎn)分析過程（Facilitated

Risk

Analysis

Process）"的縮寫。這是一種高效的，嚴(yán)格的過程方法，主要為了保證業(yè)務(wù)運(yùn)營的信息安全相關(guān)風(fēng)險(xiǎn)能得到考慮并歸檔。

FRAP的主要過程包括：信息收集（會談，自動化工具，交互操作等方式），信息整理，信息分析，風(fēng)險(xiǎn)計(jì)算。整個(gè)過程涵蓋技術(shù)、管理、運(yùn)行三個(gè)方面的內(nèi)容。

3.2T-FRAP

從上面的簡介可以看出，OCTAVE并不適合這個(gè)項(xiàng)目的要求。相對而言，F(xiàn)RAP方法更接近項(xiàng)目的要求。

為了解決風(fēng)險(xiǎn)評估中較難克服的兩個(gè)關(guān)鍵問題（威脅評估的偏差與控制措施缺乏針對性），我們在選用FRAP方法的同時(shí)考慮對它進(jìn)行適當(dāng)?shù)募舨门c改進(jìn)。

3.2.1技術(shù)層面的風(fēng)險(xiǎn)分析

由于本項(xiàng)目要求僅從技術(shù)層面分析信息安全風(fēng)險(xiǎn)，因此T-FRAP略去了管理評估。

在技術(shù)層面的風(fēng)險(xiǎn)評估中，項(xiàng)目也明確要求不對已經(jīng)非常完整的物理安全措施做任何評估，因此T-FRAP主要集中在評估網(wǎng)絡(luò)結(jié)構(gòu)和主機(jī)系統(tǒng)方面存在的脆弱性和面臨的威脅。

3.2.2簡化的風(fēng)險(xiǎn)計(jì)算方法

由于本項(xiàng)目沒有定義信息資產(chǎn)價(jià)值，因此所有的信息資產(chǎn)被認(rèn)為是同等重要，這大大簡化了風(fēng)險(xiǎn)計(jì)算方法。另外，在網(wǎng)絡(luò)結(jié)構(gòu)與主機(jī)系統(tǒng)的風(fēng)險(xiǎn)分析中用事件分析代替威脅分析，這樣就避免了威脅分析造成的難以預(yù)測的偏差，同時(shí)也使風(fēng)險(xiǎn)控制措施有很強(qiáng)的針對性。

4方法的改進(jìn)

在簡要介紹了FRAP方法與OCTAVE過程后，我們結(jié)合風(fēng)險(xiǎn)管理的過程簡單地分析一下T-FRAP對FRAP的主要改進(jìn)。

4.1引入事件分析

在FRAP方法中，大致的流程如下圖所示：

圖1.FRAP風(fēng)險(xiǎn)分析方法簡要流程

如圖1所示，威脅分析直接影響風(fēng)險(xiǎn)分析的最終結(jié)果。因此，威脅分析是否準(zhǔn)確直接影響到風(fēng)險(xiǎn)評估結(jié)果是否準(zhǔn)確。

4.1.1威脅分析的不足

FRAP方法面臨的最大問題就是難以控制威脅分析的結(jié)果與實(shí)際情況之間的偏差，顯然，這削減了基于資產(chǎn)、脆弱性、威脅三個(gè)關(guān)鍵元素進(jìn)行風(fēng)險(xiǎn)綜合分析的結(jié)果的參考價(jià)值。通常在風(fēng)險(xiǎn)評估的相關(guān)文獻(xiàn)中都會給出幾大類一百多項(xiàng)可能的威脅。如何從大量的威脅中選出真正能對目標(biāo)系統(tǒng)產(chǎn)生影響的威脅非常困難。

4.1.2事件分析的作用

與威脅密切相關(guān)的是事件。事件的參考定義如下：

event

::=

<

Action,

Target

>

表示"事件是針對目標(biāo)的行為，意在導(dǎo)致目標(biāo)的狀態(tài)變化。"[]

attack

:=

<

Tool,

Vulnerability,

event,

Unauthorized

Result

>

表示"攻擊是借助于工具，利用系統(tǒng)弱點(diǎn)，得到未授權(quán)結(jié)果的一起事件。"

incident

:=

<

attackers,

attacks,

objectives

>

表示"事故是攻擊者執(zhí)行攻擊行為達(dá)到目的。"

圖2.icident,

attack,

and

event

在T-FRAP中，事件分析的作用主要在于可視化并量化威脅，以及加強(qiáng)風(fēng)險(xiǎn)控制措施的針對性。

威脅可視化

從圖2中可知，事件分析的作用之一是把原本具有潛在性的威脅用可以觀察、可以比較的事件來表現(xiàn)。目前，觀察、比較與統(tǒng)計(jì)事件都有成熟易用的工具。

威脅量化

同樣，從圖2中可知，事件分析的作用之二是把原本不可量化的威脅用可以統(tǒng)計(jì)的事件來表現(xiàn)。事件的數(shù)量，危害級別正好也是針對威脅的模糊性提出來的。

加強(qiáng)風(fēng)險(xiǎn)控制措施的針對性

同樣，從圖2中可知，事件分析的作用之三是使風(fēng)險(xiǎn)控制措施不再針對潛在的、難以量化的威脅，而是針對可以觀察、可以比較、可以量化的事件。

4.2風(fēng)險(xiǎn)控制措施的選擇原則

在風(fēng)險(xiǎn)評估的結(jié)果中，綜合風(fēng)險(xiǎn)決定了選擇風(fēng)險(xiǎn)控制措施的總原則。此外，事件的級別與數(shù)量，弱點(diǎn)的嚴(yán)重程度與可達(dá)性都是影響風(fēng)險(xiǎn)控制措施的關(guān)鍵因素。

4.2.1事件級別與數(shù)量

事件級別與數(shù)量在一定程度上反映了威脅成功的可能性與影響的大小。從這個(gè)角度來看，風(fēng)險(xiǎn)控制措施的力度應(yīng)該和事件的級別與數(shù)量成正比。

4.2.2弱點(diǎn)的嚴(yán)重程度與可達(dá)性

弱點(diǎn)的嚴(yán)重程度與可達(dá)性主要考慮信息系統(tǒng)的環(huán)境因素。它同樣在一定程度上反映了風(fēng)險(xiǎn)的可能性與大小。從這個(gè)角度來看，風(fēng)險(xiǎn)控制措施的力度應(yīng)該和弱點(diǎn)的嚴(yán)重程度與可達(dá)性成正比。

4.3信息系統(tǒng)建設(shè)過程中的風(fēng)險(xiǎn)管理

引入事件分析的另一個(gè)好處是很容易把風(fēng)險(xiǎn)管理拓展到信息系統(tǒng)建設(shè)過程中，而非僅僅對已經(jīng)建好的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估與控制。

4.3.1信息系統(tǒng)生命周期

信息系統(tǒng)的生命周期包括需求分析，系統(tǒng)設(shè)計(jì)，系統(tǒng)運(yùn)行與維護(hù)3大階段。這3個(gè)階段之外還有系統(tǒng)的檢查與改進(jìn)。

4.3.2需求分析vs.風(fēng)險(xiǎn)分析

通常，信息系統(tǒng)從可行性論證開始就已經(jīng)著手進(jìn)行風(fēng)險(xiǎn)分析。然而，在可靠性論證階段的風(fēng)險(xiǎn)分析并不是信息系統(tǒng)本身要面臨的風(fēng)險(xiǎn)。

因此，在信息系統(tǒng)建設(shè)的生命周期中，需求分析是一個(gè)適于引入風(fēng)險(xiǎn)分析的階段。在需求分析階段需要考慮如下幾方面：

信息系統(tǒng)可能存在的缺陷或瑕疵引起的安全問題；

信息系統(tǒng)的應(yīng)用環(huán)境中可能存在的威脅；

信息系統(tǒng)的使用者在安全意識方面可能存在不足；

可能出現(xiàn)與信息系統(tǒng)相關(guān)的緊急事故。

這樣，需求分析不僅要輸出信息系統(tǒng)本身的功能需求，而且要給出信息系統(tǒng)的安全需求。包括但不限于如下幾方面：

安全功能需求

安全管理需求

安全服務(wù)需求

4.3.3系統(tǒng)設(shè)計(jì)vs.風(fēng)險(xiǎn)控制

根據(jù)在需求分析階段得出的安全需求，在系統(tǒng)設(shè)計(jì)階段除了設(shè)計(jì)信息系統(tǒng)本身的結(jié)構(gòu)、系統(tǒng)硬件平臺架構(gòu)、協(xié)議體系、操作系統(tǒng)平臺、應(yīng)用軟件框架、業(yè)務(wù)模型之外，還要設(shè)計(jì)風(fēng)險(xiǎn)控制措施。也就是用具體的控制措施搭建信息安全保障系統(tǒng)。

4.3.4系統(tǒng)實(shí)現(xiàn)vs.風(fēng)險(xiǎn)控制措施實(shí)現(xiàn)

在系統(tǒng)實(shí)現(xiàn)階段需要并行完成信息系統(tǒng)本身的實(shí)現(xiàn)和信息安全保障系統(tǒng)的實(shí)現(xiàn)。由于兩者相互影響，關(guān)系密切，所以需要同步開發(fā)、調(diào)試、測試與發(fā)布。

4.3.5運(yùn)行與維護(hù)vs.修補(bǔ)加固

運(yùn)行與維護(hù)階段開始之前必須檢查信息系統(tǒng)采用的軟、硬件系統(tǒng)的脆弱性并及時(shí)修補(bǔ)加固。以確保信息系統(tǒng)的脆弱性在實(shí)際投入運(yùn)行之前已經(jīng)充分暴露并盡可能補(bǔ)救。

在遇到?jīng)]有相應(yīng)的成熟加固方案或者因?yàn)槠渌蛟斐尚畔⑾到y(tǒng)仍然存在脆弱性時(shí)，需要采取其它風(fēng)險(xiǎn)防范措施。例如：

分析脆弱性的相關(guān)事件，針對事件進(jìn)行防范；

分析脆弱性的相關(guān)資產(chǎn)，在風(fēng)險(xiǎn)可接受時(shí)考慮隔離存在脆弱性的部分；

5結(jié)論

信息系統(tǒng)的風(fēng)險(xiǎn)管理是信息安全的靈魂。風(fēng)險(xiǎn)評估則是風(fēng)險(xiǎn)管理的起點(diǎn)和基礎(chǔ)。

FRAP是一種簡便的風(fēng)險(xiǎn)評估方法，T-FRAP在FRAP的基礎(chǔ)上作了適當(dāng)剪裁與改進(jìn)，使之更加適合偏向技術(shù)層面的信息安全風(fēng)險(xiǎn)評估。具體來說，T-FRAP相對于FRAP的主要改進(jìn)體現(xiàn)在：

1、減小威脅評估的偏差；

2、根據(jù)風(fēng)險(xiǎn)評估的結(jié)果引入風(fēng)險(xiǎn)控制措施的決策原則；

3、將風(fēng)險(xiǎn)管理過程映射到信息系統(tǒng)生命周期的不同階段。天闐入侵風(fēng)險(xiǎn)評估系統(tǒng)發(fā)布時(shí)間：2005-5-22

22:09:45

文章來源：啟明星辰天闐入侵風(fēng)險(xiǎn)評估系統(tǒng)通過分布式的網(wǎng)絡(luò)掃描引擎定期對網(wǎng)絡(luò)和主機(jī)進(jìn)行掃描，建立資產(chǎn)脆弱性分析數(shù)據(jù)庫，采用協(xié)同關(guān)聯(lián)分析技術(shù)，對入侵檢測系統(tǒng)實(shí)時(shí)報(bào)警事件進(jìn)行對應(yīng)性校驗(yàn)，顯示入侵事件的風(fēng)險(xiǎn)分析和評估結(jié)果。

評估過程：

天闐入侵風(fēng)險(xiǎn)評估系統(tǒng)是獨(dú)立的軟件系統(tǒng)，其作用發(fā)揮依賴如下系統(tǒng)的前期部署：

※

網(wǎng)絡(luò)入侵檢測系統(tǒng)：報(bào)告入侵事件和攻擊目標(biāo)，反映資產(chǎn)面臨的威脅

※

網(wǎng)絡(luò)漏洞掃描系統(tǒng)：報(bào)告主機(jī)狀態(tài)和漏洞分布，反映資產(chǎn)的脆弱性

天闐入侵風(fēng)險(xiǎn)評估系統(tǒng)采用如下的分析過程：

※

判斷入侵事件中的攻擊對象是否落入所關(guān)心的資產(chǎn)范圍之內(nèi)。

※

判斷該入侵事件影響的系統(tǒng)和目標(biāo)資產(chǎn)的實(shí)際系統(tǒng)是否有對應(yīng)性。

※

判斷入侵事件針對的端口在目標(biāo)資產(chǎn)上是否已經(jīng)打開。

※

判斷目標(biāo)資產(chǎn)上是否具有入侵事件所針對的漏洞。

根據(jù)以上的分析，給出入侵事件的風(fēng)險(xiǎn)分析和評估結(jié)果。

功能特點(diǎn)：

關(guān)聯(lián)分析條件設(shè)置：關(guān)聯(lián)分析條件包括指定關(guān)聯(lián)分析對象、關(guān)聯(lián)分析掃描策略、資產(chǎn)對象管理。通過設(shè)置，預(yù)先建立對資產(chǎn)主機(jī)、服務(wù)、系統(tǒng)信息和漏洞分布狀況的資料庫，為進(jìn)行入侵事件的校驗(yàn)做好準(zhǔn)備。

入侵風(fēng)險(xiǎn)評估結(jié)果顯示：通過一系列實(shí)時(shí)關(guān)聯(lián)分析判斷，可以得出全面的風(fēng)險(xiǎn)評估結(jié)果，對于入侵事件和漏洞信息相對應(yīng)的高風(fēng)險(xiǎn)隱患給出明確的警示，作為管理人員處理的有效依據(jù)。

支持掃描策略靈活調(diào)整和擴(kuò)展：提供強(qiáng)大的掃描策略編輯功能，對關(guān)聯(lián)分析掃描策略進(jìn)行適應(yīng)性調(diào)整。

支持資產(chǎn)脆弱性資料庫的定期更新：由于實(shí)際環(huán)境的動態(tài)變化，為了保證風(fēng)險(xiǎn)分析的準(zhǔn)確性，可以制定定時(shí)的掃描計(jì)劃任務(wù)，更新資產(chǎn)脆弱性分析資料庫。

入侵風(fēng)險(xiǎn)評估報(bào)告：通過報(bào)告明確給出具體的入侵檢測事件信息、漏洞信息以及相應(yīng)的關(guān)聯(lián)分析結(jié)果，報(bào)告可以輸出多種格式，如：WORD、PDF、HTML等。

通過7+7屬性中的7個(gè)信息安全管理屬性分析等級保護(hù)工作在中辦發(fā)【2003】27號文和公通字【2004】66號文中，都明確將信息安全等級保護(hù)制度確定為我國開展信息安全保障工作的一項(xiàng)基本制度。在有關(guān)等級保護(hù)的相關(guān)文件、標(biāo)準(zhǔn)、規(guī)范和指南中，指出了實(shí)施等級保護(hù)的一些基本原則和關(guān)鍵要素。本文提出了信息安全保障工作的7+7安全屬性，并通過對于其中的7個(gè)信息安全管理屬性來分析等級保護(hù)工作的實(shí)現(xiàn)思路。

本文認(rèn)為信息安全的屬性實(shí)際上是信息安全目標(biāo)的抽象體現(xiàn)，而相關(guān)的信息安全措施的抽象體現(xiàn)就是信息安全機(jī)制。比如，加密技術(shù)（算法）是一個(gè)信息安全機(jī)制，這個(gè)機(jī)制的不同實(shí)現(xiàn)方式，可以滿足不同的信息安全屬性；加密技術(shù)用在數(shù)據(jù)的存儲和傳輸上，可以滿足數(shù)據(jù)的保密性和完整性的要求；加密技術(shù)用在數(shù)字簽名的機(jī)制上，可以滿足對于一個(gè)過程和操作的不可否認(rèn)性要求。抽象的屬性附著在具體的系統(tǒng)或者實(shí)體上的時(shí)候，就成為一個(gè)具體系統(tǒng)的安全目標(biāo)；而抽象的機(jī)制以某種方式具體實(shí)現(xiàn)，那么就是一個(gè)信息安全產(chǎn)品或者措施了。

7+7安全屬性是對于CIA（保密性、完整性、可用性）三性的擴(kuò)展。將CIA三性擴(kuò)展為：保密性、完整性、可用性、真實(shí)性、不可否認(rèn)性、可追究性、可控性等7個(gè)信息安全技術(shù)屬性（目標(biāo)）。其中所增加的真實(shí)性、不可否認(rèn)性、可追究性、可控性可以認(rèn)為是完整性的擴(kuò)展和細(xì)化。

同時(shí)，從管理的角度看，還應(yīng)當(dāng)存在一些純管理的屬性，可以作為實(shí)施信息安全管理工作，實(shí)現(xiàn)“技術(shù)與管理并重”要求的參考目標(biāo)。我們把信息安全管理屬性歸納為：目標(biāo)性、執(zhí)行性、效益性、時(shí)效性、適應(yīng)性、整體性和符合性等7個(gè)屬性。同樣，各種各樣的管理措施或者技術(shù)措施也會對于達(dá)成信息安全管理的屬性（目標(biāo)）有幫助。比如：一個(gè)應(yīng)急響應(yīng)體系，作為一個(gè)機(jī)制（措施），可以滿足管理上的時(shí)效性和適應(yīng)性的要求；再比如構(gòu)建一個(gè)符合等級保護(hù)指南要求的信息安全管理體系，作為一些機(jī)制的組合，可以滿足管理上的符合性等要求。

下面結(jié)合等級保護(hù)工作，來分析闡述這些與信息安全管理屬性密切相關(guān)的原則、方法和建議。

一、目標(biāo)性原則

信息安全要達(dá)到一個(gè)機(jī)構(gòu)、一個(gè)單位、一個(gè)地區(qū)、一個(gè)行業(yè)乃至我國整體的信息安全保障目標(biāo)，各項(xiàng)安全工作要有很好的針對性和目標(biāo)性。由于信息安全工作非常復(fù)雜，通過等級保護(hù)的思路，可以幫助機(jī)構(gòu)明確保護(hù)的重點(diǎn)和適當(dāng)?shù)膹?qiáng)度。因此，在實(shí)施等級保護(hù)中，并不是為了等級而等級，而是能夠促進(jìn)將自身業(yè)務(wù)工作的、真正的安全要求明確出來。為了明確恰當(dāng)?shù)陌踩繕?biāo)，運(yùn)用風(fēng)險(xiǎn)評估的方法是一個(gè)比較可行的途徑。風(fēng)險(xiǎn)評估方法的根本要義，實(shí)際上就是將安全問題和實(shí)際業(yè)務(wù)相結(jié)合，將業(yè)務(wù)及承載它的系統(tǒng)的風(fēng)險(xiǎn)識別出來，進(jìn)而制定出等級。

二、執(zhí)行性原則

也可稱為實(shí)效性原則。等級保護(hù)工作的實(shí)施中，要能夠切實(shí)幫助達(dá)成信息安全目標(biāo)。因此，等級保護(hù)工作并不是要將信息安全保障工作變得復(fù)雜，而是力圖將整個(gè)工作變得簡單明確，提高可操作性。要想提高整體的可操作性，就要遵循工作的執(zhí)行規(guī)律。用三觀論（宏觀、中觀、微觀）的思路分析整個(gè)工作的可執(zhí)行性是非常好的思路之一，也就是等級保護(hù)工作要貫穿宏觀的業(yè)務(wù)/價(jià)值層面、微觀的技術(shù)/實(shí)現(xiàn)（產(chǎn)品和服務(wù)）層面，以及中觀的管理/運(yùn)營層面。使得等級保護(hù)工作不是一個(gè)形象工程或者單純的政策，而是能夠自上而下推進(jìn)和自下而上貫徹的實(shí)效工作。

三、效益性原則

信息安全工作是做不到100%的。如果要過度地追求接近100%的絕對安全，會導(dǎo)致信息安全工作的成本急劇地升高。如果能夠合適地把握這個(gè)度，就需要等級保護(hù)工作中的“級