信息安全风险评估实践与思考-张建军.doc

论文集安全保密信息安全风险评估实践与思考张建军【摘 要】 本文对作者的风险评估实践情况进行了总结和分析。文中描述了风险分析程序和基于“威胁树”和“威胁路径”的评估方法，并对它们的适用性和特点进行了分析，最后对风险评估结论的可比性和风险分析方法的要求两个方面进行了分析。 【关键词】 信息安全 风险分析 威胁树 威胁路径1 引言信息安全的重要性已经成为人们的共识，但如何实施信息安全工作却一直是一个极富挑战性的工作，尤其是在如何回答“投资与回报”以及“系统是否安全”这两个问题上。如果从用户投资的角度来看，投资信息安全，就是投资在避免一个永远不希望发生的事件。从直观上来说，如果不希望发生的信息安全事件发生了，会对信息安全设施的投资发生怀疑，怀疑信息安全设施是否在发挥作用；如果一直没有发生所期望的信息安全事件，则又会怀疑投资是否值得，是否过度。风险评估是回答信息安全“投资与回报”问题的一个好方法，投资信息安全就是降低信息系统安全风险，投资的回报就是信息安全风险的降低程度。对于“信息系统是否安全”这样的问题，常见的回答就是“没有绝对”的安全，那么“相对”的安全就是相对“信息安全风险”而言的，即：信息系统的潜在损失信息安全风险处在信息系统拥有者可以承受的范围之内。通过风险评估确定信息系统可能给拥有者造成的“损失”，还可以明确信息系统拥有者可以承受的损失，这是判断信息系统是否安全的基础。正是基于这样一个出发点，我们从2000年开始，对风险评估相关的理论、方法进行了研究，并进行了相应的工程实践。经过5年多的研究和实践，已经积累了一些成果，本文扼要将这些成果进行介绍。5年的实践，也使我们对风险分析的认识进一步深入，因此提出了本文最后一节的问题，这些问题将使今后风险分析研究的重点。2 风险评估的定义、目的和意义2.1 定义我们将风险评估定义为：按照一定的工作程序，使用严格定义的工具和方法，通过分析信息系统的资产、面临的安全威胁和信息系统的脆弱性，对信息系统可能造成的潜在损失作出定性或定量的结论。从定义中可以看出，风险评估主要涉及到两个方面的内容，即：评估程序（在第3节中介绍）、风险的分析工具与方法（在第4节中会描述）。如果按照评估主体可以将风险评估划分可以分为自评估、检查评估、第三方评估三类。各类评估方式的优缺点如下表：评估方式比较评估方式评估主体优点缺点自评估组织自身熟悉系统，了解组织内部存在的问题专业性不够，容易受到干扰检查评估上级单位，或主管部门易于开展工作，高效，组织风险得到一定的转移对于组织的需求考虑不足第三方评估专业机构或商业组织专业，权威性时间、经费限制，评估可能不够深入从评估的范围划分可以分为综合评估，技术评估，管理评估，专项评估。各类评估方式的关注内容如下表：评估内容比较评估方式评估内容关注焦点应用综合评估综合评估环境，信息系统，管理体系与组织的要求的差距风险控制能力对组织需求的满足程度系统设计阶段，系统开通前，系统或组织发生重大变更技术评估针对信息系统，安全设施进行全面分析评估，评价技术能力与组织要求的差距技术体系信息系统设计，系统开通前，系统发生较大变更管理评估针对信息安全管理的组织，人员，操作进行评估，评价管理体系与组织要求的差距管理体系系统运行过程中，新系统上线前专项评估针对特定的问题，如病毒，邮件系统等进行综合深入地评估分析，评价与组织要求的差距特定问题系统运行过程中，新系统上线前2.2 风险评估与风险管理BS7799将风险管理定义为“在可接受的成本下，标识、控制和尽量减少（或消除）可能影响信息系统的安全风险的过程”。风险评估作为其中的一个过程，主要作用是标识、分析安全风险，制定相应的风险控制计划，作为实施风险控制措施、监控风险变化、改进风险控制措施的依据。以风险评估为核心的风险管理是一个可以在信息系统生命周期各主要阶段实施的重复过程。通常信息系统生命周期包括了五个阶段：系统规划和启动、设计开发或采购、集成实现、运行和维护、废弃。信息系统在设计阶段要进行风险评估以确定系统的安全目标；在建设验收阶段要进行风险评估以确定系统的安全目标达到与否；在运行维护阶段要不断进行风险评估以确定系统安全措施的有效性，确保安全保障目标始终如一得以坚持。下表描述了每个系统生命周期阶段的特征，并说明了风险评估如何对这些阶段提供支持：风险评估对信息系统生命周期的支持生命周期阶段阶段特征风险评估活动的作用阶段1规划和启动提出信息系统的目的、需求、规模和安全要求。l 确定信息系统安全需求。阶段2设计开发或采购信息系统设计、购买、开发或建造。l 标识出风险，以支持信息系统的安全分析。l 评估结果会影响到体系结构和设计方案的权衡。阶段3集成实现信息系统的安全特性应该被配置、激活、测试并得到验证。l 风险评估可支持对系统实现效果的评价，考察系统所运行的环境是否是预期设计的。阶段4运行和维护信息系统开始执行其功能，系统会被不断修改，改变机构的运行规则、策略或流程等。l 定期的评估，监控系统安全风险的变化，为信息安全相关决策提供依据。阶段5废弃对信息、硬件和软件的废弃，包括信息的转移、备份、丢弃、销毁以及对软硬件进行的密级处理。l 风险评估可以确保硬件和软件得到了适当的废弃处置，残留信息也恰当地进行了处理。2.3 风险评估的意义风险评估的最终目的是为制定风险控制计划提供依据，为实施风险管理服务。风险评估具有如下意义和作用：(1) 明确信息系统的安全现状。通过风险评估，可以让信息系统拥有者准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状，从而明晰信息安全需求。(2) 确定信息系统的主要安全风险。在评估并进行风险分级后，可以确定信息系统的主要安全风险，并让系统拥有者选择规避、降低、转移、接受等风险处置措施。(3) 指导信息系统安全技术体系与管理体系的建设。评估后，可以根据所识别出的风险情况，制定信息系统的安全策略及安全解决方案，从而指导信息系统安全技术体系（如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等）与管理体系（安全组织保证、安全管理制度及安全培训机制等）的建设。3 风险评估程序3.1 工作过程风险评估实施共分为四个阶段：1) 前期准备阶段：本阶段是对风险评估实施之前的准备过程，并不涉及具体的实施工作，但是需要准备实施所需的必要条件及相关信息资料。包括对风险评估进行规划；确定评估团队组成；明确风险评估范围；准备调查资料等。2) 现场调查阶段：在本阶段风险评估项目实施人员对被评估信息系统的详细信息进行调查，收集进行风险分析数据信息，包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素、安全需求等。3) 风险分析阶段：本阶段根据现场调查阶段获得的系统相关数据，选择适当的风险分析方法对目标信息系统的风险状况进行综合分析，得出系统当前所面临风险的结论。4) 策略制定阶段：本阶段根据风险分析结果，结合目标信息系统的安全需求制定相应的安全策略，包括安全管理策略、安全运行策略和安全体系规划。3.2 风险评估人员组织在风险评估过程中，人是各项活动的执行者，如何选择适合的人员组建评估团队是风险评估的成败关键。根据我们的实践，评估团队应该包括几个方面的人员：l 业务流程分析人员。业务流程分析是风险分析的基础，只有对信息系统所支持业务流程非常熟悉，才可能准确识别信息系统的核心资产和价值。业务流程分析人员可以由信息系统的设计者（或决策者、运行负责人等）担任，也可以由其他专业人员担任。业务流程分析人员的主要职责是准确识别出信息系统的重要信息资产，并对其价值、重要性作出评估。l 信息安全专业人员。这是风险分析工作的主要完成者，主要负责对信息系统安全威胁背景、系统存在的脆弱性进行分析。此类人员要求有比较丰富的信息安全知识，并对信息系统存在的威胁、脆弱性具有较广泛的知识和经验。l 项目管理和后勤支持人员。风险评估项目，尤其是大型项目，都会涉及较多的协调、沟通工作，以及大量的文档工作，专业的项目管理和后勤支持人员对于确保评估项目按照计划完成、保证质量非常重要。l 质量监督员。负责对项目质量、进度计划进行监督，具体职责和工作方法参见3.5一节。根据经验，如果风险评估涉及的系统地理位置相对集中、规模较小，评估的主要活动是集中进行调查、分析，需要组建相对独立的评估团队，成员为专职评估人员；而在对大型系统进行评估时，由于涉及系统运行和使用的部门众多且相对分散，其调查活动主要依赖于相关的运行和使用部门的员工完成，评估团队主要起策划和推动评估活动作用，同时依据调查数据，完成风险分析和风险策略选择工作。在风险评估之前，需要对评估团队成员进行风险评估相关知识的正式培训，以适应接下来的评估活动。培训内容包括风险评估方法、组织业务、沟通技巧、安全评估工具使用等。3.3 数据采集在我们的实践中经常使用的数据采集方式主要有三类：l 调查表格。这是根据一定的采集目的而专门设计的表格，根据调查内容的不同、调查对象的不同、调查方式的不同、工作计划的安排而设计。调查表格的种类非常多。设计调查表格是风险评估准备阶段的主要内容之一。我们常用的调查表有：资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。l 技术分析工具。常用的是一些系统脆弱性分析工具，如：扫描器、系统安全检查工具等。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性，并对已有安全技术措施是否发挥采集客观的数据。l 信息系统资料。风险评估还需要通过查阅、分析、整理信息系统相关资料来收集相关资料。信息系统资料涉及的范围很广，常见的有：系统规划资料、建设资料、运行记录、事故处理记录、升级记录、管理制度等。3.4 分析方法的选择风险评估的关键在于根据所收集的资料，采取一定的分析方法，得出信息系统安全风险的结论，因此，分析方法的正确选择是风险评估的核心。一般来说，风险分析的方法基本分为三类：l 定量分析方法定量分析方法是指运用数量指标来对风险进行评估，典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。在定量风险分析中，目标是试图为在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值。 例如，用替换成本、生产率损失成本、品牌名誉成本以及其他直接和间接商业价值来估计各个组织资产的真实价值。计算资产脆弱点、控制成本以及在风险管理流程中确定的所有其他值时，尽量具有相同的客观性。定量的分析方法的优点是用直观的数据来表述评估的结果，对于一般信息系统用户，尤其是决策层，比较直观和客观。定量分析方法的采用，可以使评估结果更科学，更严密，更深刻。但在实际使用中，此方法有一些难以克服的明显缺点。首先，没有正式且严格的方法来有效计算信息资产和控制措施的价值。根据我们的项目经验，尽管定量方法可以提供更多详细资料佐证，但数字还是估计而来。有些数据难以精确地计算，如安全事件可能对品牌造成的影响。其次，定量分析过程工作量很大，需要非常长的时间来完成全部工作，通常还会出现对如何计算具体价值的争论，风险评估本身的成本代价很大。l 定性分析方法定性的分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。在工程实践中，定性分析主要以与调查对象的深入访谈做出个案记录为基本资料，然后通过一个理论推导演绎的分析框架，对资料进行编码整理，在此基础上做出评估结论。典型的定性分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法。定性风险分析与定量风险分析的区别在于在前一方法中不用向资产分配难以确定的财务价值、预期损失和控制成本，取而代之的是计算相对值。在实践中，可以通过调查表和合作讨论会的形式进行风险分析，分析活动会涉及来自信息系统运行和使用相关的各个部门的人员，例如：信息安全专家、信息技术经理和员工、资产所有者、用户以及高级管理人员等。 定性分析在于一个资产和另一个资产价值之间的比较是相对的，分析者不会用大量的时间来尝试为资产评估计算精确的财务数字。计算转变为现实的风险的可能影响以及实施控制所需的成本也同样如此。 定性方法的优点是克服了为资产价值、控制成本等计算精确数字的挑战。定性风险分析项目的时间进度一般比定量方法的时间短，成本易于控制。定性方法的缺点是得出的数字是含糊的，分析结论对于决策者不直观。但定性评估方法的优点是避免了定量方法的缺点，可以挖掘出一些蕴藏很深的思想，使评估的结论更全面、更深刻；但它的主观性很强，对评估者本身的要求很高。l 综合分析方法安全风险管理的定性方法和定量方法都具有各自的优点与缺点。 在某些情况下会要求采用定量方法，而在其他情况下定性的评估方法更能满足组织需求。下表概括介绍了定量和定性方法的优点与缺点：优点缺点定量方法l 按财务影响确定风险优先级；按财务价值确定资产优先级。l 结果通过安全投资收益推动风险管理。l 结果可用因管理而异的术语来表达（例如货币值和表达为具体百分比的可能性）。l 随着组织建立数据的历史记录并获得经验，其精确度将随时间的推移而提高。l 分配给风险的影响值以分析参与者的主观意见为基础。l 达成可靠结果和一致意见的流程非常耗时。l 计算可能会非常复杂且耗时。l 结果只用财务术语来表达，对非技术性人员而言可能难以解释。l 流程要求专业技术，因此参与者无法轻松通过流程获得指导。定性方法l 使可见性和了解风险排列成为可能。l 更容易达成一致意见。l 无需量化威胁频率。l 无需确定资产的财务价值。l 更便于不是安全或计算机专家的人员参与。l 在重要的风险之间没有足够的区别。l 难以证明投资控制措施实施是否正确，因为没有为成本效益分析提供基础。l 结果取决于建立的风险管理小组的素质。系统风险分析是一个复杂的过程，需要考虑的因素很多，有些要素是可以用量化的形式来表达，而对有些要素的量化又是很困难甚至是不可能的，所以，在风险评估过程中一味的追求量化是不现实的。我们认为定量分析是定性分析的基础和前提，定性分析应建立在定量分析的基础上才能揭示系统客观存在的风险；而定性分析则是灵魂，是形成概念、观点，做出判断，得出结论所必须依靠的。在复杂的信息系统风险评估过程中，不能将定性分析和定量分析两种方法简单的割裂开来，而是应该将这两种方法融合起来，采用综合的评估方法。在我们的实践中，曾经发展了两个分析方法，可用于定性分析和定量分析，在第4节中会对此进行介绍。3.5 质量保证鉴于风险评估项目具有一定的复杂性和主观性，只有进行完善的质量控制和严格的流程管理，才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性，质量保障活动需要在评估项目实施中提供足够的可见性，确保项目实施按照规定的标准流程进行。在我们的实践中，设立质量监督员（或聘请独立的项目监理担任）是一个有效的方法。在项目小组中，质量监督员将保持中立性，直接向项目的最高领导人汇报工作。质量监督员将依照相应各阶段的实施标准，通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。为了使项目质量控制活动能够规范、有效地运作，必须应用各类质量控制表格使质量控制流程标准化，为质量控制活动提供工具保障4 风险分析方法4.1 概述风险分析是风险评估活动的核心部分。通过风险分析，将在所识别的信息资产、威胁背景和信息系统脆弱性三者之间建立起关系，从而得出信息系统潜在损失情况的结论。所谓风险分析方法，就是如何找到三者之间存在的客观“关系”，从而确定出客观的潜在损失（即风险）的结论。下面主要介绍两种我们在实践中使用的基本风险分析方法“威胁树”分析方法和“威胁路径”分析方法。4.2 “威胁树”分析方法“威胁树”分析方法是我们借鉴反应堆可靠性工程的一种分析方法而发展的。该分析法围绕信息资产的“机密性”、“完整性”和“可用性”三个最基本的安全需求，针对信息系统构建相应的信息流程模型，然后以该模型为出发点，详细分析系统中可能存在的、针对信息上“三性”的潜在威胁和后果。分析方法采用“树”状的结构，详细分解每一类安全威胁，其“根”就是对“机密性”、“完整性”和“可用性”的威胁。如下图所示：*（资产名称）机密性威胁（TC）|- 线路窃听（1）| |-内部线路窃听（1）| |-开放线路窃听（2）|- 非法访问 (2)|“威胁树分析”要求对每一个威胁因素逐层进行编号，如：TC.1.2 则表示通过对开放性线路的窃听而造成的对信息资产机密性的威胁，以便于标识。对于每一个信息资产而言，其威胁树由“三棵树”组成，即：机密性威胁树、完整性威胁树、可用性威胁树。在具体项目中，有时会出现某一些信息资产（或某一类资产）缺失一棵（或两棵树）的情况，这要根据信息系统所支持核心业务的情况来确定。每一颗树的“根”为资产的安全属性，“叶子”则为所识别出的信息系统安全威胁，“树枝”则是联系各个威胁与相应资产安全属性的纽带。各个树枝是根据系统脆弱性调研的结果来予以确定的，具体分析时，还需要分析者根据所掌握的信息安全知识、所了解的最新信息安全态势情况，作出一些假设。“威胁树”分析支持定性、定量的分析方式。定性分析时，首先需要对资产安全属性受到破坏后的损失给出定性的结论（如：分级）；然后针对每一个“叶子”，根据“威胁树”上树枝的结构，综合考虑该威胁实际发生的可能性和成功威胁到相应属性的难度，确定威胁成功的可能性级别。定量分析时则是将上面的损失转化为绝对的资金金额，威胁成功的可能性转化为概率。“威胁树”分析的结果可以有三个形式：一个是按照威胁列表的潜在损失结果，一个是按照资产列表的潜在损失结果，一个将所有损失依据一定规则累加后的结果。威胁列表对于确定重点的防范对象有重要意义，资产列表对于确定重点的保护对象有重要意义，累加后的结果则对整体安全有一个了解。一般来说，定性分析时，前面两个结果的意义更大一些，定量时三个结果都有很大的意义。“威胁树”分析方法的优点是分析细致，但相应的缺点是工作量非常大。以典型的信息系统为例，如果有10个资产、20个识别出的威胁，则需要构造：10x3棵树，每棵树有20个叶子。在整理威胁列表的分析结果时，针对每一个威胁需要整合30棵树的分析结果。因此，“威胁树”方法比较适合于结构简单的信息系统，或者用于对系统局部的分析。实际使用中，可以通过合理简化信息系统结构以减少工作量。另外，准确确定信息系统的威胁背景，对于减少工作量也很有帮助。以我们的经验为例，目前已经积累的威胁种类在300种左右，但在实际应用中，通过对威胁进行适当的分类、归并，并根据信息系统的实际运行环境的分析，去除一部分不存在（或可不予以考虑）的威胁，将威胁数量控制在50种以内是完全可能的。4.3 “威胁路径”分析方法“威胁路径”分析方法则是根据信息系统的组成结构，在确定信息资产分布的前提下，针对可能的威胁源，分析其在系统中可能的对指定资产的攻击路径，从而确定威胁最终造成资产损失的可能性。下面通过一个简单例子说明该方法的特点。下图为某地区信息系统的拓扑结构：系统中最重要的信息资产为信息中心的数据，主要有：l 核心数据：存放在信息中心的数据库服务器以及应用服务器上；l 业务数据：分别存放在应用服务器、认证管理服务器上、网络管理数据、系统管理数据；l 备份数据：分别存放在备份服务器上；l 内部数据：存放在信息中心二级网络交换机链接的内部网络中。与核心网络相连的网络用户基本可以分为以下几类，即：信息中心管理员、内部网络用户、相关单位用户、灾难恢复中心管理员。由于这些用户物理上与核心网络是连通的，因此，都可能成为潜在的攻击者。各种用户及其攻击的可能性大小及其攻击动机如表所示。用户描述可能的攻击动机可能性信息中心管理员信息中心信息系统的管理员误操作；管理问题；报复；犯罪；经济利益；低灾难备份中心管理员灾难恢复中心的系统管理员误操作；管理问题；报复；犯罪；经济利益；低内部网络用户通过二级网络交换机连接的用户误操作；管理问题；报复；犯罪；经济利益；好奇；中相关单位用户小、中、较大规模用户误操作；管理问题；报复；犯罪；经济利益；竞争；好奇；破坏；高攻击路径分析如下1）信息中心管理员对核心数据的攻击(略)2）灾难备份中心管理员对业务数据的攻击（略）3）内部网络用户对核心数据的攻击5)相关单位用户对核心数据的攻击路径标识路径描述P5.1较大规模用户-中心路由器（或访问服务器1）-主干交换机-应用服务器（或数据库服务器）P5.2中小规模用户-备份路由器（或访问服务器1）-主干交换机-应用服务器（或数据库服务器）10)相关单位用户对应用服务器2上业务数据的攻击路径标识路径描述P10.1较大规模用户-中心路由器（或访问服务器1）-主干交换机-防火墙1-交换机1-应用服务器2P10.2中小规模用户-备份路由器（或访问服务器1）-主干交换机-防火墙1-交换机1-应用服务器2P10.3较大规模用户（或中小规模用户）-访问服务器2 -交换机3-防火墙2-交换机2-路由器4（或5）-路由器1或（3）-交换机1-应用服务器215)相关单位用户对应用服务器3上业务数据的攻击路径标识路径描述P15.1较大规模用户（或中小规模用户）-访问服务器2 -交换机3-防火墙2-交换机2-应用服务器3上面列出了攻击可能性较高的相关单位用户的直接攻击的路径分析结果。在提取了路径后，需要根据实际情况对每条攻击路径成功的可能性作一分析，如：攻击路径P5.1与P10.1相比，在中心路由器和主干交换机不作任何安全设置，服务器安全设置一样的情况下，如果防火墙正确设置了安全策略，P10.1成功的可能性要小于P5.1。“威胁路径法”也可以得出定性或定量的结果。与“威胁树”方法相比，“威胁路径法”更直观一些。“威胁路径法”还有一个最大的优势是便于信息安全措施的部署。需要说明的是“威胁路径法”分析的时候，不一定是按照网络拓扑结构进行分析，还可以根据系统的逻辑架构、系统的业务处理流程分析。“威胁路径”分析的结论除了系统潜在损失的大小外，更为重要的是要找出减少损失的“关键环节”，找到需要优先阻断的“攻击路径”。5 风险评估的思考5.1 风险评估结论的可比性在进行信息安全风险评估的实践过程中我们感觉风险评估结论离普适性、定量化的要求还比较远。首先，评估的结果能否满足横向和纵向可比性的要求。所谓横向可比性就是不同信息系统风险评估结论的可比性；所谓纵向可比性同一信息系统在不同时间风险评估结论的可比性。横向可比性对于管理层，尤其是管理层在信息安全上的决策非常重要，毕竟确保信息安全是需要投入的。具有横向可比性的风险评估结果可以为决策层提供一个参考的依据。纵向可比性的结果对于监控信息系统的风险变化、提醒决策层及时采取安全措施具有重要意义。相比较而言，实施横向可比的风险评估要难于实施纵向可比的风险评估。其次，对于同一信息系统，不同风险分析方法的结论是否具有可比性。这实际是对风险分析客观性的一个要求。要满足上述两个要求，我们认为比较适合的风险分析形式有以下两类：l 绝对化数值的风险分析方法。如预期每年损失金额数，或预期系统非计划中断次数、中断时间等。绝对化数值非常有利于做纵向比较，也可以用作横向比较。绝对化数值用于说明相同系统在安全措施实施前后的风险变化则非常有效，是一种定量的分析方法。在作横向比较时，需要注意风险评估的结论并非对系统目前是否安全的结论，而是潜在损失的量化，因为即使是同样的预期损失，不同组织的承受能力也是不同的。比如，预期年100万元的损失对于年收入超过10亿的组织与年收入1000万的组织具有不同的概念；预期年中断时间30小时对只有OA应用的组织与实施了ERP系统的组织来说也是不同的概念。绝对化数值的评估目前的难度还是比较大。一方面是各方面的数据分析整理比较困难，比如：历史已发生事件的统计，大多数组织缺乏对病毒事件或