实时的安全风险管理体系.doc

实时的安全风险管理体系赵 粮（冠群电脑有限公司）裘晓峰（北京邮电大学）2004-4-291 从风险评估到风险管理网络安全体系的目的是保障关键信息设施的资产和服务，提供适度的安全保护，即根据每种（个）信息资产(Asset)的价值、面临的威胁(Threat)和安全风险（Risk）来确定相应的安全防护措施和力度，做到“重点防护”、“适度安全”。要做到这一点，风险评估是一个重要环节。风险评估作为成型的技术已经有数年的历史了，同时，风险评估也是安全专业服务中最为成熟的一个内容之一。近年来，国内的知名企业、机构几乎都开展、购买了专业的安全风险评估服务。风险评估的目的是帮助识别信息设施中的资产，分析判断其价值、存在的脆弱性和面临的安全威胁，从而获得该资产或资产组的安全风险情况，继而可以采取针对性的安全防护措施，提高安全体系的投资效率。我们知道，风险评估本身不是目的，最终的目的是消除风险、控制风险，在保证投入回报的前提下管理安全风险。一般来说，风险评估是风险管理活动的基础，帮助建立起风险管理的基线。定期的评估活动可以用来审计和考核安全风险管理的效果和效率。本文尝试着讨论建设实时的风险管理体系的可行性，提出一种实用模型。2安全风险安全风险具有非常广泛的含义，本文中使用较为通用的风险模型：安全风险由资产价值、脆弱性和威胁来决定：Risk（t） = SR(A,T,V,t)其中，t代表某个时刻，A代表该资产的价值，T代表该资产面临的威胁，V代表该资产存在的脆弱性（安全漏洞）, S表示对风险管理范围下的资产求和，R代表某种函数关系。通常，在常见的半定量评估过程中，该函数有时采用简单的乘积来计算。资产价值信息资产以多种形式存在，无形的、有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的脆弱性、面临的威胁、需要进行的安全保护和安全控制都各不相同。若干具有很强的内在业务关联和依赖关系的资产可以构成一个资产组。信息资产具有不同的安全属性，包括机密性、完整性、可用性、可控性和不可否认性，分别反映了信息资产在5个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察5种不同的安全属性，可以得出一个能够基本定性地反映资产价值的数值。确定信息资产以及数值的过程称为信息资产的识别和赋值。实时的风险管理体系需要建立起能够实时发现并监视资产变化和状态的机制，并且能够反映该资产的价值变化。安全威胁和漏洞安全威胁是对信息资产引起不期望事件而造成损害的潜在可能性。威胁可能源于对信息资产直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性、可用性、可控性或不可否认性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。通常，收集分析安全事件是获取并计算威胁的主要方式之一。弱点和资产紧密相连，它可能被威胁（威胁的定义参见威胁一章）利用、引起资产损失或伤害。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁方利用而造成资产损失。通常，网络脆弱性扫描、主机和应用的安全审计是获取计算弱点的主要方式。实时的风险管理体系需要具备实时收集威胁信息和脆弱性信息的能力，并且能够与信息资产相关关联，进行有效性分析。安全风险在实时的获取资产、威胁和漏洞的信息基础上，可以计算风险的实时变化：资产的变化可能来源于新资产的出现，也可能是承载的业务发生的变化。威胁的变化可能是新的安全事件的出现和解决。脆弱性的增加则主要体现在新的脆弱性，而脆弱性的降低主要通过相关的补丁，或者配置策略等的改变或优化。可以看到，在信息资产保持相对稳定的情况下，降低安全风险的手段主要有两种：其一是通过强化安全策略，减小出现安全事件的机会，并且在出现安全事件的时候，能够及时的发现、定位和分析，消除事件，震慑威胁方；其二是通过及时有效的补丁和安全配置，减少甚至消除资产存在的脆弱性。3 基于安全总控中心的实时安全风险管理体系安全总控中心（或称为安全管理中心）是近期非常引人关注的话题。其特点是高度的集成性和自动化，大大减小从发现新的安全风险到完成弥补（风险消除）之间的时间窗口，帮助在与威胁方的时间赛跑中获胜。安全总控中心的典型结构如下图所示，其关键组件和技术包括：1 信息资产库及实时资产发现能力1 实时更新的安全漏洞库和补丁库，预警能力1 各种安全事件的收集和相关处理，解决安全信息过载问题1 安全事件与信息资产、安全漏洞的相互关联1 基于安全知识库的工单和流程管理系统1 安全补丁的收集、测试和发布等下图用三个实际场景来介绍基于安全总控中心而构成的实时安全风险管理体系：通过前面的分析，在安全风险管理活动中，有三种重要的风险“异动”：其一是发生新的安全事件，预示着潜在的安全威胁的变动；其二是新的安全脆弱性（安全漏洞）的出现；其三是新的信息资产上线。下面分别来考察安全总控中心如何来实时处理这三种场景。新的安全事件大量的安全事件涌现标志着某种威胁方的活跃。在当前普通的安全体系中，安全管理员很容易被多种安全产品产生的海量安全事件所淹没，没有办法从安全事件中获取背后隐含的安全威胁。而安全总控中心的事件处理模块正是具备了收集、过滤、合并、相关处理海量的、跨产品、跨系统的安全事件的能力。经过安全总控中心的事件处理，具有高优先级的事件会通过声光、控制台、短信邮件等方式进行集中告警。按照可以配置的既定安全策略，在需要时，安全总控中心会查询内置的资产库以及相应的漏洞库和补丁库，获得事件相关的资产信息，以及相关的漏洞、补丁信息。在获得了相应的资产信息和补丁信息后，总控中心会按照策略通知软件自动分发模块完成自动的补丁分发和安装。对于不能简洁立即处理的告警，将发出工单，呼唤专家介入，进入服务台系统和问题管理流程。新的安全漏洞通过实时升级的安全漏洞知识库，获得了最新的安全漏洞信息后，与最新的安全资产库进行相关匹配，如果适用，存在受影响的资产，则查询相关的最新补丁，并且按照策略通知软件自动分发模块完成自动的补丁分发和安装。对于尚没有补丁、却具有高优先级的安全漏洞，发出工单，呼唤专家介入，寻找临时解决方案（Workaround）来处理。新的资产某新信息设备上线投入运行，这时，资产自动发现模块发现了这一新的资产，立刻匹配安全漏洞知识库，查看是否具有尚未处理的安全漏洞。如果存在则激活补丁管理模块，进行补丁分发。或者发出工单，呼唤专家介入，对该新资产进行安全加固。上述三个过程基于策略和规则来自动完成，将发现风险“异动”、产生告警到响应弥补之间的时间窗口减小到最小，将整个过程的人工干预减到最小，大幅节省管理员和主管的精力，使他们可以有时间进行体系规划、策略优化、问题攻关等。4 综述层出不穷的安全漏洞和海量的安全事件是当前安全风险管理活动中最具有挑战性的两个领域。如何提高安全风险管理的实时性，减小关键资产面临的脆弱时间窗口是两个重要的课题。安全总控中心提供了大范围的各种主流的第三方安全产品的覆盖，不但包括事件级的集成，还包括多数国际主流安全产品的策略和配置级集成。同