信息安全风险评估指标体系研究.doc

信息安全风险评估指标体系研究栏且编辑:胡欣E-mail:售患安全首都经济贸易大学信息学院郭宁摘要简要介绍了风险评估指标体系,分析了体系中的指标特征,提出了风险评估的指标采集技术与评估方法.关键词信息安全风险评估指标体系Abstract:Inthispaper,basedonthestudyandanalysisoftheinJormationsecurityriskassessmentsconcept,Itexplainedthemethodandtechniqueabouttargetsystem.Keywords:informationsecurity;riskassessment,targetsystem1引言随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源,信息系统的安全是国民经济发展和信息化建设的需要信息安全的目标主要体现在机密性,完整性,可用性等方面.风险评估是安全建设的出发点,它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定,以成本一效益平衡的原则,通过2006年第5期对用户关心的重要信息资产(如数据,软件,硬件,服务,文档,人员等)的分级,安全威胁发生的可能性及严重性分析,对系统物理环境,硬件设备,安全管理等方面的安全脆弱性或薄弱环节进行分析,并通过对已有安全控制措施的确认,借助定曼,定性分析的方法,推断出用户关心的重要资产当酌的安全风险,并根据风险的严重级别制定风险处理计划,从而建立一套完整的,健壮的安全风险防御体系,为进一步制定安全风险投资预算计划,安全风险投资回报分析,人员组织计划和建立安全体系,制定安全政策,引八安全控制措施而提供基础数据;辅助最高管理层对安全风险管理的计划与实践做出正确决策.然而要在一个广泛的范围内对复杂的系统进行全面的风险评估,就需要建立完善的评估指标体系,只有对各项指标有一个清醒的认识,才能够为有效实施风险评估奠定坚实的基础.有了这样的体系才能及时发现问题,利用先进的信息技术有针对性地解决信息系统运作过程中的效率,成本,服务,管理等方面的问题.2信息安全风险评估指标体系概述指标是评估的工具,是反映评估对象属性的指示标志.指标体系则是根据评估目标和评估内容的要求构建的一组相关指标,据以搜集评估对象的有关信息资料,反映评估对象的基本面貌,特征和水平.信息安全风险的评估体系TraCkStOrtanclarcl&lecnnology是一系列指标的构成体,这些指标之间存在有机的联系并相互作用.指标体系通过揭示这种联系和相互作用的规律来反映信息系统的安全状况,考察系统结构的稳定性和抵御风险的能力,辨明安全风险及风险演变的动向和发展趋势,最终达到对风险进行有效控制的目的.在信息安全的标准化进程中,主要的风险评估模型有以下几类:国际标准ISO15408将风险要素定义为:属主,资产,攻击者,威胁,漏洞,风险,措施等7个方面,该标准对于系统中人所带来的风险比较强调,将属主从资产中分离出来,将攻击者从威胁分离出来.国际标准lS013335则将风险要素定义为:资产,资产价值,威胁,脆弱性,风险,防护需求,防护措施等7个方面,该标准是将资产价值从资产中提炼出来,将防护需求从防护措施中提炼出来,这是对于系统中要素属性的强调.我国国务院信息化工作办公室推出的信息安全风险评估指南,将风险要素定义为;使命,资产,资产价值,威胁,脆弱性,事件,风险,残余风险,防护需求,防护措施等10个方面,它Lblso13335扩展了三个要素:使命,残余风险和事件.引入使命要素是将工作本身之外的原因纳入到模型中,强调了整个风险管理工作是被机构的高层推动的.残余风险是风险的一个部分,主要是强调安全不可能做到百分之盟f1jjl,威呐?=丫业务战略l依赖苎塑,木被满越增)J【/t赢壁.风险LLI戏眦,L,JfII成本,安全需求满足.!盟/L一图1各个要素之间的关系图在对这些要素的评估过程中需要充分考虑业务战略,资产价值,安全需求,安全事件,残余风险等与这些基本要素相关的各类属性从各个模型风险要素的差异中可以看出,由于评估风险的方法,对象,条件等因素的不同,对风险因素的规定有所区别,但其核心要素是一致的.在对风险进行管理的实践中我们认为,资产/业务,保障措施与威胁是三个根本的风险要素.上述标准指明了安全风险评估指标体系的框架,根据这个框架我们可以结合本单位的实际需求和安全状况,建立适合本单位的指标体系.例如,表1是某企业的技术脆亩.各个要素之间的关系如图1所示.弱性的三级指标体系.表1某企业的技术脆弱性的三级指标体系.粤哺鬃一l目标曩室一层指标曩一;j00机房场地防火,防静电,接地与防雷,交接区域的隔离物理环境机房供电强电,通信线路保护,电磁防护等访问控制操作系统用户级别设置,认证,授权服务器(含操作系统)系统管理注册表加固,版本升级,补丁安装技事件审计日志记录,事件跟踪,安全隐患术网络结构设计内,外网安全部署,安全设施配备,网络设备安全配置网络结构外部访问控制应用划分,访问策略脆内部访问控制VLAN划分,应用授权,系统监控弱性补丁安装小版本升级,补丁安装数据库备份恢复机制备份恢复策略,备份介质存放审计机制日志记录,事件跟踪,评审数据完整性数据验证,完整性检验应用系统通信鉴别机制数据监控,身份识别密码保护数据加密信息技术与标准化2006年第5期TracksforStandard&Technology信息安全风险评估的工作过程是:(1)资产识别资产是对组织具有价值的信息资源,是安全策略保护的对象.可将资产分为数据,软件,硬件,文档,服务,人员等类.对资产的重要性可以赋予不同的等级,并对资产的机密/性,完整性,可用性进行赋值.资产赋值的过程也就是对资产在机密性,完整性和可用性上的达成程度进行分析,并在此基础上得出一个综合结臬的过程.(2)戚胁识别威胁是一种对组织及其资产构成潜在破坏的可能性因素.造成威胁的因素可分为人为因素和环境因素.识别威胁需要考虑的因素包括;资产的吸引力,资产转化成报酬的容易程度,威胁的技术力墨,脆弱性被利用的难易程度,通过过去的安全事件报告或记录统计各种发生过的威胁及其发生频率,在评估体实际环境中通过入侵检测系统获取的威胁发生数据的统计和分析,各种日志中威胁发生的数据的统计和分析,过去一年或两年来国际机构发布的对于整个社会或特定行业安全威胁发生频率的统计数据均值.另外,已有控制措施的情况也是影响威胁可能性的重要因素.(3)脆弱性识别脆弱性是对一个或多个资产弱点的总称.脆弱性的识别可以以资产为核心,即根据每个资产分别识别其存在的弱点,然后综合评价该资产的脆弱性;也可以分物理,网络,系统,应用等层次进行识别,然后与资产,威胁结合起来.脆弱性的识别对象包括物理环境,服务器,网络结构,数据库,应用系统,技术管理,组织管理等(4)已:-安全措施的确认对已经采取的安全措施的效果进行评估安全措施可以分为预防性安全措施和保护性安全措施两种.预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因发生安全事件对信息系统造成的影响,如业务持续/性计划.已有安全措施的确认与脆弱性识别存在一定的联系.一般来说,安全措施的使用将减少脆弱性,但安全措施的确认并不需要像脆弱性识别过程那样具体到每个资产,组件的弱点,而是一类具体措施的集合.比较明显的例子是防火墙的访问控制策略,不必要描述具体的端口控制策略,用户控制策略,只需要表明采用的访问控2006年第5期制措施.(5)风险识别对风险的可能/性和后果进行评估.在做威胁,脆弱性评估时先不考虑已有控制措施,根据通常状况进行威胁和脆弱性赋值,然后在最后的风险评估日寸再考虑,那/厶以此推理出来的风险计算公式是:风险值=资产值X威胁值X脆弱性值一已有控制措施值.3指标类型特征分析信息安全风险评估是一个复杂的过程,涉及的评估指标至少有几十种,精确的量化不等于评估的准确,对不同特征的指标进3iJ3类分析整理,正确地认识各类指标,有利于正确地进行信息安全评估.(1)主观指标与窖观指标主观指标俗称软指标或定性指标,反映人们对评估对象的意见,看法,期望值和满意度,是心理量值的反映.由于对同样的事买现象,人们的心理需求,价值尺度,满意程度会有很大差异,因此,完全使用主观指标构建指标体系是不适宜的.客观指标又称硬指标或定量指标,反映客观事买,有确定的数量属性,只要事实清楚,原始数据真实完整,指标统计结果就具有客观上的确定性,不同对象之间就具有明确的可比性.但是,信息安全风险评估不可能完全使用客观指标,因为信息系统的服务对象是人,他们的需求,愿望和满意Tracksfo厂Standard&Technology度都是非常重要的主观指标.由于主观指标具有模糊性,不确定性和缺乏可比性,因此在评估指标体系设计中,应当尽量使用窖观指标,加大窖观指标在总分结构中的权重,对主观指标可以相对硬化,即划分若干等级如满意,比较满意,不满意,并换算成相应分数,也可以按照信息安全风险评估指南进行打分量化.(2)总体指标与分类指标总体性评估与安全风险评估的理论范式和基础框架相结合,可以为分类性评估打下良好的基础.但由于它所体现的是安全风险的一般特性,所以很难不经改造而直接应用于对各类系统的评估.分类性评估可以针对各种不同的系统进行深入研究,充分揭示不同类型系统之间的差异性.但仅仅靠分类性评估,又很难全面反映存在于所有系统之中的本质规律.只有将这两类评估有机结合起来,才能真正解决好安全风险评估中的同一性与差异性问题.(3)描述性指标与分析性指标依据指标体系的内在逻辑关系,又可将其分为描述性指标和分析性指标.描述性指标主要反映系统的实际状况或条件,如资源,环境条件等描述性指标具有以下几个基本功能:汇集描述风险状况和趋势的基本数据,力图全面,翔实地反映安全风险的基本状态;它是搜集系统安全数据的框架;它也是协调,统一各项统计的基础.分析性指标主要是分析评估对象各因子之间的内在联系和各因子的发展趋势,如有关资源效信息技术与标准化可以达到综合评估的目的,有利于洞察和把握安全风险存在及发展的状态和趋势.但是,分析性指标体系在设置和应用中会碰到指标权重难以确定的问题.对于安全风险的评估,应选取尽量少的指标,反映最主要和最全面的信息,每项指标应具有独立性,可量化和通用性.4指标数据的采集方法根据风险评估的目的和信息资产的特性,常用的指标数据收集方法有:(1)问卷调童寰问卷调查表是通过问题表的形式,事先将需要了解的问题列举出来,通过让相关人员回答有关问题而获取信息的一种有效方式.这种方式具有实施方便,操作尚单,所需费用少,分析蔺捷等特点,所以得到了广泛的应用.但是它的灵活性较小,得到的信息有时不太清楚,具有一定的模糊性,信息深度不够等,还需要其他的方法作为配合和补充(2)实地收童实地收集是获得信息系统的真实可靠信息的最重要手段.通过深入现场,亲自参与系统的运行维护活动,并运用观察,操作等方法直接从信息系统中收集资料和数据.通过这种方法调查收集到的信息能够反映实际情况,因而比较真实,可靠.但是此方法的耗费较高,周期长,而且有些信息因涉及技术机密或是由于其他安全的需要,操作起来有一定的困难和复杂度.(3)使用辅助工|_I在信息系统中,网络安全状况,主机运行情况等难以用眼睛观察出来,需要借助网络和系统检测,扫描,监控工具来辅助.辅助工具能够发现系统某些内在的弓弓点,以及在配置上可能存在的威胁系统安全的错误,并能帮助发现系统中的安全隐患,但是工具不能完全代替人做所有的工作,而且扫描的结果往往不是全面的.对扫描出来的结果,需要分析和判断.利用辅助工具能够容易,自动地发现一些安全隐患,但不能报告未被扫描工具包含的安全隐患和一些新的安全隐患,过分依赖扫描工具无法全面保证系统的安全信息的全面性.(4)文档审查文献和档案记录了关于信息系统的许多重要的参数和特性.例如,一个单位的安全和管理策略,制度,能在很大的程度上反映该单位的人员安全意识和管2006年第5期TracksforStandard&Technology理机制.同时,设备的说明和操作文档描述了系统硬件的安全参数,系统运行日志则记录了系统的运行状况等.通过文档和资料的查阅,可以获取较完整的系统信息和历史经验,在风险评估过程中这也是一种十分重要的信息获取方式.5评估方法(1)基于知识的评估方法这类方法主要是依靠经验进行的.经验从安全专家处获取并凭此来解决相似场景的风险评估问题.它涉及到对来自类似组织(包括规模,目标等)的最佳惯例的重用通过采集相关信息,识别组织的风险所在和当前的安全措施(包括识别重要资产,安全需求分析,当前安全实践分析,威胁和弱点发现,基于资产的风险分析和评估等),与特定的标准和惯例进行比较,找出不适合的地方,并按照标准或最佳惯例的推荐,选择安全措施,最终达到消减和控制风险的目的.这类方法多集中在管理方面,对技术层面涉及较少,组织相似性的判定,被,平估组织的安全需求分析以及关键资产的确定都是该方法的制约点(2)基于技术的评估方法技术评估是指对组织的技术基础结构和程序进行系统,及时的检查,对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性估计.通常包括:评估整个计算基础结构;使用软件工具分析基础结构及其全部组件;提供详细的分析报告,说明检测到的技术弱点,并且可能为解决这些弱点建议具体的措施.技术评估强调组织的技术脆弱性.这类方法在技术上分析得比较多,技术弱点把握精确,但在管理上较弱,管理评估存在不足.(3)定量分析方法这类方法有模糊综合评价法,层次分析法等层次分析法是一种整理和综合主观判断的客观方法,适用于多目标,多准则的复杂评价问题.它将目标层次分类展开,将目标按逻辑分类向下展开为若干目标,再把各个目标分别向下展开成分目标或准则,依此类推,直到可定量或可进行定性分析(指标层)为止,然后在比原问题尚单得多的层次上逐步分析.可以将人的主观判断用数量形式处理,同时处理定墨和不定量因素.也可以提示人们对问题的主观判断是否存在一数性.定量评估方法的结2006年第5期量化数据,但是资产价值