bs7799标准分析

1、一个基于BS7799标准的风险分析方法* 基金项目：国家高技术研究发展计划（863计划）项目（课题编号：2002AA142151） 国家计算机网络与信息安全管理中心项目（课题编号：2002-研1-A-007） 作者简介： 聂晓伟，（1980），男，硕士研究生，主要研究方向：数字信号处理、网络安全。张玉清，男，副研究员，主要研究领域为网络与信息安全。杨鼎才，男，副教授，主要研究领域为数字信号处理 韩全印，男，研究生，主要研究领域为网络与信息安全聂晓伟1 2, 张玉清1, 杨鼎才2, 韩权印13(1中科院研究生院国家计算机网络入侵防范中心，北京 100043)(2 燕山大学信息科学与工程学院，河北

2、秦皇岛 066004)(3西安电子科技大学计算机学院，陕西西安 710071）niexw摘要：英国信息安全管理标准BS7799是国际上有代表性的风险评估标准。本文首先分析了BS7799页：1“它”改为“BS7799”较好的结构特点，进而研究了当前主要的风险评估分析方法，旨在探讨一套能够对BS7799标准进行改进、定性和定量相结合的风险分析方法，以克服单一分析方法的不足。在具体设计风险分析方法时，采取故障树和风险模式影响分析相结合的方式对BS7799进行了实施与应用。并将该套方法在实际的风险评估工具的设计中进行实现，收到了较好的效果，从而验证了方法的科学性和可行性。关键词：风险评估；BS7799

3、；风险分析方法； 页：1这两个关键词需要考虑1 引言 随着信息系统的发展，系统规模不断扩大。单一依靠技术手段的传统网络安全暴露出了很大的局限性。人们逐渐认识到，信息系统的安全应从系统工程的角度来看待。风险评估在信息安全系统工程中占有很重要的地位，它是信息系统安全的基础和前提。当前信息安全对风险的科学定义1是：特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性。即特定威胁事件发生的可能性与后果的结合。风险评估就是对系统的所有安全要素的多种评测数据进行分析、统计、以确定系统存在的安全隐患和风险级别。根据评估结果向系统管理员提供周密可靠的安全性分析报告，为提高系统安全整体水平提供

4、重要依据。当前风险评估研究的重点在于标准的制定和评估工具的开发与应用。目前关于风险评估的标准很多，如CC2、SSE-CMM3、BS77994等，其中英国标准机构（BSI）制定的BS7799是目前国际上具有代表性的信息安全管理标准。BS7799围绕风险评估从管理和技术两方面建立了一整套信息安全评估体系。国外已针对该标准开发出相应的风险评估工具，比较著名的有Cobra、Panach等。但国内目前还没有开发出类似的评估工具，针对该标准的评估工作还是采用手工进行。风险评估工具首先要完整、有效的体现BS7799标准，然后依据标准对评估系统进行行之有效的风险分析。这些都需要一套科学、可行的风险分析方法。它

5、是评价一个评估工具质量的重要方面6。本文围绕BS7799标准设计了一套定性、定量相结合的风险分析方法，并将其应用到评估工具的设计中，力求实现对BS7799标准科学、有效的应用。2 BS7799标准BS7799标准包括两部分：BS7799-1:1999信息安全管理实施细则；BS7799-2:2002信息安全管理体系规范。其中BS7799-1:1999于2000年12月通过国际标准化组织（ISO）认证正式成为国际标准，即ISO/IEC 17799:2000。它是被ISO认可速度最快的一个标准，由此也可看出风险评估是信息安全的一个重要发展方向页：2是“趋势”还是“方向”。在BS7799标准的两部分内

6、容中，第二部分明确提出了安全控制要求，第一部分则对应给出了通用的控制措施。可以说，BS7799第一部分为第二部分的具体实施提供了指南。由于第二部分主要在认证时使用，因此主要基于BS7799 页：2去掉更清晰-1：1999信息安全管理实施细则来设计风险评估工具。BS7799-1:1999(ISO/IEC 17799) 是一个非常详尽、复杂的信息安全管理标准层次体系，共分为四层内容：首先按照信息安全的十个核心领域组织为十个管理要项，其中既包含偏重于管理的信息安全方针、安全组织、人员安全、业务连续性等方面，也有偏重于技术的通信和操作管理、系统访问控制、系统开发和维护等内容，每一部分都针对不同的主题或

7、范围。在这十大管理要项中，BS7799又细分了36个管理目标、127个控制措施，若干个控制要点。从而涵盖了当前信息安全应该考虑的各个主要方面。BS7799的科学性和有效性在具体的风险评估中得到了充分验证，但还存在一些不足之处。其中一个重要不足就是对标准中每个安全要素风险事件发生的危害程度分析不足，没有建立对系统整体风险贡献程度系数，容易让人误解各个安全要素同等重要，而事实并非如此。另外尽管BS7799完整覆盖了当前信息安全中的所有内容，提供了统一的规范和要求。但标准中并没有如何对该标准进行实施的说明，同时标准自身也具有很鲜明的特点，所以很有必要针对该标准设计一套分析方法和评估工具，从而做到对其

8、有效、灵活的应用与实施。3 风险分析方法风险分析方法一般可分为定性分析、定量分析方法。定性分析方法是一种典型的模糊分析方法。其主要依据研究者的知识及经验、历史教训、政策走向以及特殊变例等非量化资料对系统风险状况做出判断。定性分析方法的优点是使评估的结论更全面、更深刻。缺点是：主观性很强，对评估者本身的要求更高。典型的定性分析方法有：因素分析法、逻辑分析法、历史比较法、德尔斐法等6。 定量分析方法运用数量指标来对风险进行评估。它分析风险发生的概率、风险危害程度所形成的量化值，大大增加了与运行机制和各项规范、制度等紧密结合的可操作性。分析的目标和采取的措施更加具体、明确、可靠。定量分析方法的优点是

9、用直观的数据来表述评估的结果，看起来一目了然，而且比较客观。缺点是量化过程中容易使本来比较复杂的事物简单化、模糊化。典型的定量分析方法有：聚类分析法、时序模型、回归模型等6。4 基于BS7799的风险分析方法的设计4.1 风险分析方法的建立定性分析方法和定量分析方法各自存在着不足，同时风险评估又是一个复杂的过程。所以不能把定性和定量分析方法简单的分割开来，而是应该将这两种方法有机结合起来，做到彼此之间的取长补短。本文在设计风险分析方法时采取了定性、定量方法相结合的分析方法，从而使评估结果更加客观、公正。如图1所示，对风险的识别、风险产生的原因以及威胁影响程度的分析是采用定性的方法；而对于风险概

10、率的预测、威胁的发生概率、最终的风险评价则采用定量的方法。图1 风险评估定性和定量方法 在设计具体风险分析方法时，还应结合BS7799自身特点，力求实现对BS7799科学、有效的应用。首先，BS77991：1999是一个四层结构体系。从风险评估的角度来看，各层之间是一种因与果的关系。即系统的整体风险状况是总体结果，下面各层安全要素即是上一层的原因又是下一层的结果。根据这个特点，本文认为适合采取故障树分析法对其的各层安全要素之间的风险逻辑关系进行分析，以实现对标准中安全要素完整、有效的提取与实施。其次，针对BS7799中对安全要素风险危害程度分析的不足。本文在这里引入了风险模式影响及危害性分析法

11、对每个安全要素所造成的危害程度进行分析处理以弥补该缺陷，力求得到一个合理、公正的风险评估结果。综上，采取故障树和风险模式影响及危害性相结合分析的方法来设计基于BS7799的风险分析方法是对BS7799进行实施的一种有效途径。下面将分别讨论这两种方法。4.2故障树分析方法故障树分析法（FTA：fault tree analysis）是一种演绎的风险分析法，其将系统总的风险状况作为树顶事件。通过分析造成顶事件的各种可能的原因及彼此间的关系，画出逻辑关系图（即故障树）。根据该逻辑关系图，确定顶事件发生的原因（包括多种因素的组合原因）和概率。由分析结果，可以确定被分析系统的薄弱环节、关键部位、应采取的

12、措施、对安全性实验的要求等。风险树分析的步骤和顺序如下： （1）熟悉系统的设计资料；（2）熟悉系统结构、功能和工作模式；（3）确定顶事件；（4）建造风险树；（5）求风险树最小割集，确定系统的风险模式；（6）用最小割集的结构函数求顶事件的发生概率。其中步骤（1）、（2）、（3）、（4）主要是对被分析系统的内容、结构、各要素彼此之间的风险逻辑关系进行定性的研究。（5）、（6）则是对风险树中各要素风险概率的定量分析。以下是上述步骤中的几个关键概念。顶事件是风险分析所关心的结果事件，其位于风险树的顶端。而底事件是在特定风险分析中无需或暂时不能探明其发生原因的事件。割集是风险树的若干底事件的集合，如果这

13、些事件都发生，则顶事件发生。最小割集是底事件不能再减少的割集，即在最小割集中任意去掉一个底事件之后，剩下的底事件就不是割集。故障树分析法适合对BS7799的树型结构进行分析，建立起科学、系统的安全评估体系，从而完整、有效的实施BS7799标准。4.3风险模式影响及危害性分析方法风险模式影响及危害性分析（RMECA:Risk Mode Effects and Criticality Analysis）通过分析被评估系统所有可能的风险模式来确定每一种风险对系统和信息安全的潜在影响。以此找出单点风险，并按其影响的严重程度及其发生的概率，确定其危害性，从而发现系统中潜在的薄弱环节，以便选择恰当的控制方

14、式消除或减轻这些影响。RMECA是通过下列步骤来实施的：（1）定义被分析系统；（2）绘制系统功能图和安全性框图；（3）确定信息系统所有潜在的风险模式，并确定这些模式对系统相关功能的影响；（4）按最坏的潜在后果评估每一种风险模式，确定其严重性；（5）确定每一种风险模式发生的概率；（6）确定每一种风险模式发生的频数比；（7）分析风险模式的危害度；（8）分析系统的危害度或风险损失； 上述步骤中（1）到（6）是风险对风险模式影响（Risk Mode and Effects AnalysisRMEA）的分析，（7）（8）则是风险影响危害程度（Criticality AnalysisCA）的分析。在故障树

15、分析法的基础上，风险模式影响及危害性分析方法对已建立好的故障页：4是否就是故障树树中的安全要素的风险危害进行分析，以弥补BS7799对安全要素危害程度分析的不足。 5 风险分析方法在评估工具中的实现5.1故障树分析法的实现本节首先对BS7799标准层次结构采用故障树方法进行分析。各层彼此之间的逻辑关系如图2所示：其中顶事件是被评估目标系统的总体存在的风险表现；顶事件的下一层是10大管理要项中的某些项；而管理要项的“原因”是某些执行目标；同理，管理目标的“原因”是某些控制措施的不当，而控制措施不当的“原因”是某些行动即评估要点没有实施。在建立好的树形评估体系中，各个安全要素可用一个四元组形式表示

16、，记为criterion=,其中section是管理要项，object代表管理目标，measure 代表控制措施，point 代表评估要点，用8位十进制代表，每层结构使用两位数。在对安全要素完整、有效提取的基础上，通过调查表的形式对提取出的安全要素进行实施。考虑到风险评估的需求及BS7799的特点，调查表主要针对标准中的第三、四层建立。表1是对标准中的人员管理要项的部分要素提取以后所建立的调查表：参与评估的专家根据被评估系统的状况回答调查表。分析方法综合调查表的结果进行定量计算，得到相应的安全要素风险发生概率，为下一步风险评估提供了事实依据。图2 采用故障树对BS7799进行分析 表1 人员管

17、理的要素提取（部分） 第一层序 号第三层第四层问题内容答案安全策略01010100信息安全策略文件是否把书面形式的策略文件发布给所有的员工？是；只是一部分；否01010101同上信息安全定义、目标、范围策略中是否包含信息安全的定义、目标和范围？有；部分；没有5.2风险模式影响及危害性分析方法的实现在前面故障树分析方法的基础上，对每个安全要素的危害性采取风险模式影响及危害性分析法进行分析，最终得到被评估系统的风险状况。 首先定义风险影响等级如表2所示。表2 风险影响等级定义影响等级描述 v1 可忽略的风险事件的发生对系统几乎没有影响v2 微小对系统有一些很小的影响，只需很小的努力就可恢复系统v3

18、 一般能引起系统声望的损害，或是对系统资源或服务信任程度的降低，需要支付重要资源维修费v4 严重可引起重要系统的中断，或连接客户损失或商业信任损失v5 关键可引起系统持续中断或永久关闭。可引起代理信息或服务的重大损失为了计算方便，对（v1，v2，v3,.v4，v5）用（0，0.25，0.5，0.75，1）表示。同时为了下面的讨论，在这里定义表示符号如表3所示：表3 风险符号定义符号表示意义安全要素权重系数安全要素危害程度安全要素风险概率风险评价根据BS7799的结构特点，对安全要素风险事件的分析主要建立在前三层上。具体分析如下：标准中的第一层是十大管理要项，它标识了被评估系统在各个资产上的重要

19、程度。用表示系统资产权重分配情况，此时有=1。标准中的第二层是管理目标层，根据BS7799标准的结构特点，对该层安全要素的风险分析主要是确立其的危害程度。该危害程度由评估专家和系统用户参照表2制定。这里采用表示第个管理要项下的第个管理目标风险的安全要素危害程度。标准中的第三层是控制措施层，对该层安全要素的风险分析主要考虑安全要素风险发生的重要程度。用代表第个管理要项下的第个管理目标下的第个控制措施的安全要素风险权重系数。此时，有=1（第个管理目标下有个控制措施）。确立每一层安全要素风险评价如下：假设第个管理要项下的第个管理目标下的第个控制措施风险发生的概率是，则有：第个管理要项下的第个管理目标

20、的风险发生概率是：（假设第个管理目标下有个控制措施）第i个管理要项的风险评价是： （假设第个管理要项下有个管理目标）最终的风险评价是：综合可得系统风险评价表达式：页：7公式中求和变量是错的，应该是i吧上式中：由被评估系统的用户或评估发起者在填写评估任务时分配。、可以通过风险评估数据库中的权重系数表和危害程度表获取。最后通过判断落在预先定义好风险评价集的哪一部分，即可判断被评估系统的风险等级。参照相应的风险等级的描述，从而可以得到被评估系统的总体风险状况及具体改进意见。6 结束语本文在分析BS7799标准的特点的基础上，采取故障树和风险模式影响及危害性分析法相结合的方式建立起了一套定性、定量方法相结合的风险评估分析方法，弥补了单一分析方法的不足，实现了对BS7799有针对性、有效、灵活的应用。本套风险分析方法在评估工具中得以实现，效果良好，较好的支撑了基于BS7799的风险评估工作，丰富了国内风险评估体系。下一步