《风险评估分析与实践》(共9页).doc

《《风险评估分析与实践》(共9页).doc》由会员分享，可在线阅读，更多相关《《风险评估分析与实践》(共9页).doc（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上风险评估分析与实践 摘要 风险评估的极端重要性已经越来越被用户认同。在四年多的风险评估实践中，在从覆盖政府，以及电信、金融等众多行业的逾百个大小用户的风险评估实践中，我们可以清晰地感受到用户安全意识的提高，以及安全需求的不断明确。一、 前言 风险评估的极端重要性已经越来越被用户认同。在四年多的风险评估实践中，在从覆盖政府，以及电信、金融等众多行业的逾百个大小用户的风险评估实践中，我们可以清晰地感受到用户安全意识的提高，以及安全需求的不断明确。在20002001年，大多数用户的安全评估需求主要集中于系统脆弱性评估和渗透性测试；在20012002年，多数用户的安全评估需求

2、已经侧重于整个管理体系的评估和对特定应用系统的评估；从2002年开始，许多行业用户对全面风险评估和等级化评估提出了要求。 二、 标准与理论 我们在风险评估实践中，主要参考了BS 7799（ISO/IEC 17799）、ISO/IEC 15408-1999（等同GB/T 18336-2001）、ISO/IEC 13335、SSE-CMM等标准。另外，我们也参考了GB 17859-1999计算机信息系统安全保护等级划分准则、中国信息安全产品测评认证中心信息系统安全保障等级评估准则、公安部信息系统安全等级保护评估指南、GB9361-88计算机场地安全要求，以及CAV公共漏洞和暴露标准、Cramm/O

3、ctave/ 等标准和法规。 信息安全管理标准BS 7799（ISO/IEC 17799） BS 7799是国内外现在比较流行的信息安全管理标准，其安全模型主要是建立在风险管理的基础上，通过风险分析的方法，使信息风险的发生概率和后果降低到可接受水平，并采取相应措施保证业务不会因安全事件的发生而中断。BS 7799给出了10类需要进行控制的部分：安全策略、安全组织、资产分类与控制、个人信息安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、商业持续规划、合法性要求等方面的安全风险评估和控制，以及127项控制细则。 BS 7799中关于风险管理框架的构建过程对我们进行安全风险评估给予

4、了宏观上的指导。 信息安全通用准则ISO/IEC 15408-1999 信息技术安全性评估通用准则ISO/IEC 15408-1999（等同GB/T 18336-2001），即通用准则CC，是评估信息技术产品和系统安全性的基础准则。该标准针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求，使各种相对独立的安全性评估结果具有可比性。 ISO/IEC 15408对确定安全风险评估模型及关键风险因素具有指导意义，但更重要的是它能比较好的指导我们对系统安全功能的各方面进行安全检查和分析，保证了安全风险评估的全面性和完整性，也使得信息系统在技术上能够符合国家安全测评认证的

5、要求。最后，我们可以根据这个标准生成针对信息系统安全的规范化的安全评估方案，或者更确切叫信息系统安全规范。 系统安全工程能力成熟模型SSE-CMM SSE-CMM是“系统安全工程能力成熟模型”的缩写。系统安全工程旨在了解用户单位存在的安全风险，建立符合实际的安全需求，将安全需求转换为贯穿安全系统工程的实施指南。系统安全工程需要对安全机制的正确性和有效性做出验证，证明系统安全的信任度能够达到用户要求，以及未在安全基线内仍存在的安全问题连带的风险在用户可容许、或可控范围内。 SSE-CMM针对风险评估过程提供了影响、风险、威胁和脆弱性的具体评估方法和过程，进一步为安全风险评估的实施提供了指导。 应

6、用SSE-CMM模型，我们在实践中，将整个安全风险评估工程划分为以下几个阶段：安全需求分析阶段、安全系统规划阶段、安全系统实施阶段、安全系统确认阶段和安全需求验证阶段，并在安全工程的整个生命周期过程中，严格按照SSE-CMM的要求进行实施，以保证整个项目工程的质量。 信息安全管理指南ISO/IEC 13335 ISO/IEC 13335是信息安全管理方面的规范，给出了如何有效地实施IT安全管理的建议和指南。 ISO/IEC 13335为风险评估提供了方法上的支持，它所定义的安全概念全面覆盖了安全风险评估需要考虑的问题，使得最终生成的安全评估方案不但能够保证技术方面的完整，而且能够满足安全管理的

7、要求。 三、 风险评估模型 资产由于自身的脆弱性，使得威胁的发生成为可能，从而造成了不同的影响，形成了风险。换句话说，风险分析的过程实际上就是对影响、威胁和脆弱性进行分析的过程，而且都紧紧围绕着资产。在风险评估中，资产的价值、资产被破坏后造成的影响、威胁的严重程度、威胁发生的可能性、资产的脆弱程度都是风险评估的关键因素。 在ISO/IEC 13335中描述了非正式风险评估、基线风险评估、详细风险评估、综合风险评估等四种方法。国内目前推行的信息系统安全等级保护评估指南接近于基线评估方法。 基线风险评估是指通过对信息系统实施一些标准的安全防范措施使其达到一个最基本的安全级别。这种评估方法不考虑系统

8、所面对的具体风险有多大，而是对安全风险模型中系统资产所面临的威胁、脆弱性及其受破坏后造成的影响直接进行问题分析，为客户信息系统建立系统安全基线或更高一级的安全要求。采用基线风险评估方法，因为涉及到安全基线或某一级别安全要求的建立，实施时通常需要参照相关标准、规范和政策。基线风险评估的优点是不需花费太多的人力、物力和财力，尤其是在安全需求相同时比较有效。基线风险评估的主要缺点是通用安全标准针对性不强。 详细风险评估是对一个信息系统中的所有资产都进行仔细的风险评估分析，包括资产识别和评估，对资产所面临的安全威胁的评估，以及对其脆弱性的评估。然后，在这些评估分析的基础上再进行最后综合的风险分析，针对

9、高风险实施合适的安全防范措施，并制定出相应的风险控制策略。详细风险评估的优点是对所有的系统都进行了适当的安全防范鉴定，而且这种分析评估的结果也可以在处置安全状况改变中应用。详细风险评估的缺点是需要相当多的时间和精力、财力、物力以及专业能力去获得结果，有可能的情况是提出的安全需求大大滞后于时间要求，从实际项目的经验上看，不适用大规模的风险评估需求。 综合风险评估首先对所有的信息系统进行一次较高级别的安全分析，并在分析中关注它对整个业务的价值以及它所面临的风险严重程度，对那些被鉴定为对业务非常重要或面临严重风险的部分进行详细风险评估分析，而对于其它的信息系统则采取基本风险评估方法。综合风险评估的优

10、点是能够快捷简便地得到可接受的安全风险评估分析程序，迅速地为一个机构组织建立一个安全程序的策略。缺点是在进行高层安全分析时可能遗漏某些重要的部分。 等级保护比较接近于基线评估，没有对安全威胁进行太多考虑，易于实施，而等级保障更强调多种风险因素和保障措施的综合考虑，对实施者的要求较高。我们在实践中，使用了如图1所示的风险评估模型：资产的评估主要是对资产进行相对估价，而其估价准则依赖于对其影响的分析，即资产的相对价值体现了威胁的严重程度。这样，威胁评估就仅仅成了对资产所受威胁发生可能性的评估。脆弱性的评估是对资产脆弱程度的评估。如图1所示，安全风险评估就是通过对评估后的资产信息、威胁信息和脆弱性信

11、息进行综合分析，最终生成风险信息。 图1：风险评估模型四、 风险评估的过程组织 安全风险评估过程方案是安全风险模型的体现，传统的风险评估过程可以分为以下几个阶段（参见图2）： 第一阶段：确定评估范围和资产识别阶段：调查并了解用户网络系统业务的流程和运行环境，确定评估范围的边界以及范围内的所有网络系统；识别和估价是对评估范围内的所有资产进行识别，并调查资产破坏后可能造成的影响大小，根据影响的大小对资产进行相对赋值； 第二阶段：安全威胁/脆弱性评估阶段：评估资产所面临的每种威胁发生的可能性；脆弱性评估则从技术、管理、策略方面进行的脆弱程度检查，特别是技术方面，以远程和本地两种方式进行系统扫描和手动

12、抽查的评估； 第三阶段：风险的分析阶段：过分析上面所评估的数据，进行风险值计算、区分和确认高风险因素； 第四阶段：分险的管理阶段：这一阶段主要是总结整个风险评估过程，制定相关风险控制策略，建立风险评估报告，实施某些紧急风险控制措施。 图2：传统风险评估流程图在实践中，我们发现在进行大规模网络评估时，即使使用综合风险评估方法，在有人力和时间资源限制的情况时，由于很多行业不存在安全基线的概念，往往不能及时达到评估目标，只能采用不够准确的非正式评估或对非重要资产也进行详细分析。但是其结果要么不够准确和标准，要么使得评估周期加长，增加了评估成本。因此我们尝试在一些评估项目中更多融入了等级评估的过程和基

13、于等级保障分析的思想，从而使评估成本和效果能够达到比较好的均衡。 如图3所示：首先，我们使用等级/保障保护思想进行高层业务分析和分级，然后，对重点/高级别业务使用全面风险评估方法，对一般业务使用等级（基线）评估方式。由于大多数行业和用户目前没有安全基线标准，一般情况下使用非正式方式进行。在报告输出分析阶段，同样也采用保障等级分析的思想进行分析和输出报告。通过采用这样的评估方法，可以为业务重要等级的划分提供统一的标准，不但提高了大规模评估的速度，而且方便了评估结果的输出和完整性。 图3：综合的风险评估流程五、 风险评估案例分析 这里，我们以某个行业用户的具体评估过程案例进行说明，此用户评估项目的

14、基本情况如下： 涵盖多种业务系统，评估范围比较大 要求对安全风险的各个层次进行分析 有时间控制要求 输出风险排列和下一步建设建议 在这个项目中，我们采用了综合风险评估和等级保护思想的融合方法整个项目的过程划分如下，其中圆圈中的数值代表此阶段预计的工作量。 从上面的风险评估过程的设计实例，我们可以看到，经过多个项目的总结和实施后，整个风险评估的过程已经比较规范并能在不同的评估项目中进行复制。但是和传统风险评估过程不同的是，我们已经在整个评估过程中加入了“安全区域等级划分”、“等级评估”和“差异分析”两个部分。这两个过程的实施，能够比较好的区分评估业务重点，并规范相对非重要业务的评估内容和输出结果。 而在后续报告输出中，同样可以采用差异分析，并结合信息系统安全保障通用评估准则的要求，使最终的评估报告一方面能够融入等级保护/保护的要求并指导后续安全建设，同时也符合中办27号文中重视风险评估，进行信息安全保障建设的要求。专心-专注-专业