信息安全風險評估實踐與思考-張建軍.doc

論文集安全保密信息安全風險評估實踐與思考張建軍【摘 要】 本文對作者的風險評估實踐情況進行了總結(jié)和分析。文中描述了風險分析程序和基于“威脅樹”和“威脅路徑”的評估方法，并對它們的適用性和特點進行了分析，最后對風險評估結(jié)論的可比性和風險分析方法的要求兩個方面進行了分析。 【關(guān)鍵詞】 信息安全 風險分析 威脅樹 威脅路徑1 引言信息安全的重要性已經(jīng)成為人們的共識，但如何實施信息安全工作卻一直是一個極富挑戰(zhàn)性的工作，尤其是在如何回答“投資與回報”以及“系統(tǒng)是否安全”這兩個問題上。如果從用戶投資的角度來看，投資信息安全，就是投資在避免一個永遠不希望發(fā)生的事件。從直觀上來說，如果不希望發(fā)生的信息安全事件發(fā)生了，會對信息安全設(shè)施的投資發(fā)生懷疑，懷疑信息安全設(shè)施是否在發(fā)揮作用；如果一直沒有發(fā)生所期望的信息安全事件，則又會懷疑投資是否值得，是否過度。風險評估是回答信息安全“投資與回報”問題的一個好方法，投資信息安全就是降低信息系統(tǒng)安全風險，投資的回報就是信息安全風險的降低程度。對于“信息系統(tǒng)是否安全”這樣的問題，常見的回答就是“沒有絕對”的安全，那么“相對”的安全就是相對“信息安全風險”而言的，即：信息系統(tǒng)的潛在損失信息安全風險處在信息系統(tǒng)擁有者可以承受的范圍之內(nèi)。通過風險評估確定信息系統(tǒng)可能給擁有者造成的“損失”，還可以明確信息系統(tǒng)擁有者可以承受的損失，這是判斷信息系統(tǒng)是否安全的基礎(chǔ)。正是基于這樣一個出發(fā)點，我們從2000年開始，對風險評估相關(guān)的理論、方法進行了研究，并進行了相應(yīng)的工程實踐。經(jīng)過5年多的研究和實踐，已經(jīng)積累了一些成果，本文扼要將這些成果進行介紹。5年的實踐，也使我們對風險分析的認識進一步深入，因此提出了本文最后一節(jié)的問題，這些問題將使今后風險分析研究的重點。2 風險評估的定義、目的和意義2.1 定義我們將風險評估定義為：按照一定的工作程序，使用嚴格定義的工具和方法，通過分析信息系統(tǒng)的資產(chǎn)、面臨的安全威脅和信息系統(tǒng)的脆弱性，對信息系統(tǒng)可能造成的潛在損失作出定性或定量的結(jié)論。從定義中可以看出，風險評估主要涉及到兩個方面的內(nèi)容，即：評估程序（在第3節(jié)中介紹）、風險的分析工具與方法（在第4節(jié)中會描述）。如果按照評估主體可以將風險評估劃分可以分為自評估、檢查評估、第三方評估三類。各類評估方式的優(yōu)缺點如下表：評估方式比較評估方式評估主體優(yōu)點缺點自評估組織自身熟悉系統(tǒng)，了解組織內(nèi)部存在的問題專業(yè)性不夠，容易受到干擾檢查評估上級單位，或主管部門易于開展工作，高效，組織風險得到一定的轉(zhuǎn)移對于組織的需求考慮不足第三方評估專業(yè)機構(gòu)或商業(yè)組織專業(yè)，權(quán)威性時間、經(jīng)費限制，評估可能不夠深入從評估的范圍劃分可以分為綜合評估，技術(shù)評估，管理評估，專項評估。各類評估方式的關(guān)注內(nèi)容如下表：評估內(nèi)容比較評估方式評估內(nèi)容關(guān)注焦點應(yīng)用綜合評估綜合評估環(huán)境，信息系統(tǒng)，管理體系與組織的要求的差距風險控制能力對組織需求的滿足程度系統(tǒng)設(shè)計階段，系統(tǒng)開通前，系統(tǒng)或組織發(fā)生重大變更技術(shù)評估針對信息系統(tǒng)，安全設(shè)施進行全面分析評估，評價技術(shù)能力與組織要求的差距技術(shù)體系信息系統(tǒng)設(shè)計，系統(tǒng)開通前，系統(tǒng)發(fā)生較大變更管理評估針對信息安全管理的組織，人員，操作進行評估，評價管理體系與組織要求的差距管理體系系統(tǒng)運行過程中，新系統(tǒng)上線前專項評估針對特定的問題，如病毒，郵件系統(tǒng)等進行綜合深入地評估分析，評價與組織要求的差距特定問題系統(tǒng)運行過程中，新系統(tǒng)上線前2.2 風險評估與風險管理BS7799將風險管理定義為“在可接受的成本下，標識、控制和盡量減少（或消除）可能影響信息系統(tǒng)的安全風險的過程”。風險評估作為其中的一個過程，主要作用是標識、分析安全風險，制定相應(yīng)的風險控制計劃，作為實施風險控制措施、監(jiān)控風險變化、改進風險控制措施的依據(jù)。以風險評估為核心的風險管理是一個可以在信息系統(tǒng)生命周期各主要階段實施的重復(fù)過程。通常信息系統(tǒng)生命周期包括了五個階段：系統(tǒng)規(guī)劃和啟動、設(shè)計開發(fā)或采購、集成實現(xiàn)、運行和維護、廢棄。信息系統(tǒng)在設(shè)計階段要進行風險評估以確定系統(tǒng)的安全目標；在建設(shè)驗收階段要進行風險評估以確定系統(tǒng)的安全目標達到與否；在運行維護階段要不斷進行風險評估以確定系統(tǒng)安全措施的有效性，確保安全保障目標始終如一得以堅持。下表描述了每個系統(tǒng)生命周期階段的特征，并說明了風險評估如何對這些階段提供支持：風險評估對信息系統(tǒng)生命周期的支持生命周期階段階段特征風險評估活動的作用階段1規(guī)劃和啟動提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。l 確定信息系統(tǒng)安全需求。階段2設(shè)計開發(fā)或采購信息系統(tǒng)設(shè)計、購買、開發(fā)或建造。l 標識出風險，以支持信息系統(tǒng)的安全分析。l 評估結(jié)果會影響到體系結(jié)構(gòu)和設(shè)計方案的權(quán)衡。階段3集成實現(xiàn)信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測試并得到驗證。l 風險評估可支持對系統(tǒng)實現(xiàn)效果的評價，考察系統(tǒng)所運行的環(huán)境是否是預(yù)期設(shè)計的。階段4運行和維護信息系統(tǒng)開始執(zhí)行其功能，系統(tǒng)會被不斷修改，改變機構(gòu)的運行規(guī)則、策略或流程等。l 定期的評估，監(jiān)控系統(tǒng)安全風險的變化，為信息安全相關(guān)決策提供依據(jù)。階段5廢棄對信息、硬件和軟件的廢棄，包括信息的轉(zhuǎn)移、備份、丟棄、銷毀以及對軟硬件進行的密級處理。l 風險評估可以確保硬件和軟件得到了適當?shù)膹U棄處置，殘留信息也恰當?shù)剡M行了處理。2.3 風險評估的意義風險評估的最終目的是為制定風險控制計劃提供依據(jù)，為實施風險管理服務(wù)。風險評估具有如下意義和作用：(1) 明確信息系統(tǒng)的安全現(xiàn)狀。通過風險評估，可以讓信息系統(tǒng)擁有者準確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰信息安全需求。(2) 確定信息系統(tǒng)的主要安全風險。在評估并進行風險分級后，可以確定信息系統(tǒng)的主要安全風險，并讓系統(tǒng)擁有者選擇規(guī)避、降低、轉(zhuǎn)移、接受等風險處置措施。(3) 指導(dǎo)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。評估后，可以根據(jù)所識別出的風險情況，制定信息系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機制等）的建設(shè)。3 風險評估程序3.1 工作過程風險評估實施共分為四個階段：1) 前期準備階段：本階段是對風險評估實施之前的準備過程，并不涉及具體的實施工作，但是需要準備實施所需的必要條件及相關(guān)信息資料。包括對風險評估進行規(guī)劃；確定評估團隊組成；明確風險評估范圍；準備調(diào)查資料等。2) 現(xiàn)場調(diào)查階段：在本階段風險評估項目實施人員對被評估信息系統(tǒng)的詳細信息進行調(diào)查，收集進行風險分析數(shù)據(jù)信息，包括信息系統(tǒng)資產(chǎn)組成、系統(tǒng)資產(chǎn)脆弱點、組織管理脆弱點、威脅因素、安全需求等。3) 風險分析階段：本階段根據(jù)現(xiàn)場調(diào)查階段獲得的系統(tǒng)相關(guān)數(shù)據(jù)，選擇適當?shù)娘L險分析方法對目標信息系統(tǒng)的風險狀況進行綜合分析，得出系統(tǒng)當前所面臨風險的結(jié)論。4) 策略制定階段：本階段根據(jù)風險分析結(jié)果，結(jié)合目標信息系統(tǒng)的安全需求制定相應(yīng)的安全策略，包括安全管理策略、安全運行策略和安全體系規(guī)劃。3.2 風險評估人員組織在風險評估過程中，人是各項活動的執(zhí)行者，如何選擇適合的人員組建評估團隊是風險評估的成敗關(guān)鍵。根據(jù)我們的實踐，評估團隊應(yīng)該包括幾個方面的人員：l 業(yè)務(wù)流程分析人員。業(yè)務(wù)流程分析是風險分析的基礎(chǔ)，只有對信息系統(tǒng)所支持業(yè)務(wù)流程非常熟悉，才可能準確識別信息系統(tǒng)的核心資產(chǎn)和價值。業(yè)務(wù)流程分析人員可以由信息系統(tǒng)的設(shè)計者（或決策者、運行負責人等）擔任，也可以由其他專業(yè)人員擔任。業(yè)務(wù)流程分析人員的主要職責是準確識別出信息系統(tǒng)的重要信息資產(chǎn)，并對其價值、重要性作出評估。l 信息安全專業(yè)人員。這是風險分析工作的主要完成者，主要負責對信息系統(tǒng)安全威脅背景、系統(tǒng)存在的脆弱性進行分析。此類人員要求有比較豐富的信息安全知識，并對信息系統(tǒng)存在的威脅、脆弱性具有較廣泛的知識和經(jīng)驗。l 項目管理和后勤支持人員。風險評估項目，尤其是大型項目，都會涉及較多的協(xié)調(diào)、溝通工作，以及大量的文檔工作，專業(yè)的項目管理和后勤支持人員對于確保評估項目按照計劃完成、保證質(zhì)量非常重要。l 質(zhì)量監(jiān)督員。負責對項目質(zhì)量、進度計劃進行監(jiān)督，具體職責和工作方法參見3.5一節(jié)。根據(jù)經(jīng)驗，如果風險評估涉及的系統(tǒng)地理位置相對集中、規(guī)模較小，評估的主要活動是集中進行調(diào)查、分析，需要組建相對獨立的評估團隊，成員為專職評估人員；而在對大型系統(tǒng)進行評估時，由于涉及系統(tǒng)運行和使用的部門眾多且相對分散，其調(diào)查活動主要依賴于相關(guān)的運行和使用部門的員工完成，評估團隊主要起策劃和推動評估活動作用，同時依據(jù)調(diào)查數(shù)據(jù)，完成風險分析和風險策略選擇工作。在風險評估之前，需要對評估團隊成員進行風險評估相關(guān)知識的正式培訓(xùn)，以適應(yīng)接下來的評估活動。培訓(xùn)內(nèi)容包括風險評估方法、組織業(yè)務(wù)、溝通技巧、安全評估工具使用等。3.3 數(shù)據(jù)采集在我們的實踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類：l 調(diào)查表格。這是根據(jù)一定的采集目的而專門設(shè)計的表格，根據(jù)調(diào)查內(nèi)容的不同、調(diào)查對象的不同、調(diào)查方式的不同、工作計劃的安排而設(shè)計。調(diào)查表格的種類非常多。設(shè)計調(diào)查表格是風險評估準備階段的主要內(nèi)容之一。我們常用的調(diào)查表有：資產(chǎn)調(diào)查表、安全威脅調(diào)查表、安全需求調(diào)查表、安全策略調(diào)查表等。l 技術(shù)分析工具。常用的是一些系統(tǒng)脆弱性分析工具，如：掃描器、系統(tǒng)安全檢查工具等。通過技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性，并對已有安全技術(shù)措施是否發(fā)揮采集客觀的數(shù)據(jù)。l 信息系統(tǒng)資料。風險評估還需要通過查閱、分析、整理信息系統(tǒng)相關(guān)資料來收集相關(guān)資料。信息系統(tǒng)資料涉及的范圍很廣，常見的有：系統(tǒng)規(guī)劃資料、建設(shè)資料、運行記錄、事故處理記錄、升級記錄、管理制度等。3.4 分析方法的選擇風險評估的關(guān)鍵在于根據(jù)所收集的資料，采取一定的分析方法，得出信息系統(tǒng)安全風險的結(jié)論，因此，分析方法的正確選擇是風險評估的核心。一般來說，風險分析的方法基本分為三類：l 定量分析方法定量分析方法是指運用數(shù)量指標來對風險進行評估，典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風險圖法等。在定量風險分析中，目標是試圖為在風險評估與成本效益分析期間收集的各個組成部分計算客觀數(shù)字值。 例如，用替換成本、生產(chǎn)率損失成本、品牌名譽成本以及其他直接和間接商業(yè)價值來估計各個組織資產(chǎn)的真實價值。計算資產(chǎn)脆弱點、控制成本以及在風險管理流程中確定的所有其他值時，盡量具有相同的客觀性。定量的分析方法的優(yōu)點是用直觀的數(shù)據(jù)來表述評估的結(jié)果，對于一般信息系統(tǒng)用戶，尤其是決策層，比較直觀和客觀。定量分析方法的采用，可以使評估結(jié)果更科學，更嚴密，更深刻。但在實際使用中，此方法有一些難以克服的明顯缺點。首先，沒有正式且嚴格的方法來有效計算信息資產(chǎn)和控制措施的價值。根據(jù)我們的項目經(jīng)驗，盡管定量方法可以提供更多詳細資料佐證，但數(shù)字還是估計而來。有些數(shù)據(jù)難以精確地計算，如安全事件可能對品牌造成的影響。其次，定量分析過程工作量很大，需要非常長的時間來完成全部工作，通常還會出現(xiàn)對如何計算具體價值的爭論，風險評估本身的成本代價很大。l 定性分析方法定性的分析方法主要依據(jù)評估者的知識、經(jīng)驗、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對系統(tǒng)風險狀況做出判斷的過程。在工程實踐中，定性分析主要以與調(diào)查對象的深入訪談做出個案記錄為基本資料，然后通過一個理論推導(dǎo)演繹的分析框架，對資料進行編碼整理，在此基礎(chǔ)上做出評估結(jié)論。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德爾斐法。定性風險分析與定量風險分析的區(qū)別在于在前一方法中不用向資產(chǎn)分配難以確定的財務(wù)價值、預(yù)期損失和控制成本，取而代之的是計算相對值。在實踐中，可以通過調(diào)查表和合作討論會的形式進行風險分析，分析活動會涉及來自信息系統(tǒng)運行和使用相關(guān)的各個部門的人員，例如：信息安全專家、信息技術(shù)經(jīng)理和員工、資產(chǎn)所有者、用戶以及高級管理人員等。 定性分析在于一個資產(chǎn)和另一個資產(chǎn)價值之間的比較是相對的，分析者不會用大量的時間來嘗試為資產(chǎn)評估計算精確的財務(wù)數(shù)字。計算轉(zhuǎn)變?yōu)楝F(xiàn)實的風險的可能影響以及實施控制所需的成本也同樣如此。 定性方法的優(yōu)點是克服了為資產(chǎn)價值、控制成本等計算精確數(shù)字的挑戰(zhàn)。定性風險分析項目的時間進度一般比定量方法的時間短，成本易于控制。定性方法的缺點是得出的數(shù)字是含糊的，分析結(jié)論對于決策者不直觀。但定性評估方法的優(yōu)點是避免了定量方法的缺點，可以挖掘出一些蘊藏很深的思想，使評估的結(jié)論更全面、更深刻；但它的主觀性很強，對評估者本身的要求很高。l 綜合分析方法安全風險管理的定性方法和定量方法都具有各自的優(yōu)點與缺點。 在某些情況下會要求采用定量方法，而在其他情況下定性的評估方法更能滿足組織需求。下表概括介紹了定量和定性方法的優(yōu)點與缺點：優(yōu)點缺點定量方法l 按財務(wù)影響確定風險優(yōu)先級；按財務(wù)價值確定資產(chǎn)優(yōu)先級。l 結(jié)果通過安全投資收益推動風險管理。l 結(jié)果可用因管理而異的術(shù)語來表達（例如貨幣值和表達為具體百分比的可能性）。l 隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗，其精確度將隨時間的推移而提高。l 分配給風險的影響值以分析參與者的主觀意見為基礎(chǔ)。l 達成可靠結(jié)果和一致意見的流程非常耗時。l 計算可能會非常復(fù)雜且耗時。l 結(jié)果只用財務(wù)術(shù)語來表達，對非技術(shù)性人員而言可能難以解釋。l 流程要求專業(yè)技術(shù)，因此參與者無法輕松通過流程獲得指導(dǎo)。定性方法l 使可見性和了解風險排列成為可能。l 更容易達成一致意見。l 無需量化威脅頻率。l 無需確定資產(chǎn)的財務(wù)價值。l 更便于不是安全或計算機專家的人員參與。l 在重要的風險之間沒有足夠的區(qū)別。l 難以證明投資控制措施實施是否正確，因為沒有為成本效益分析提供基礎(chǔ)。l 結(jié)果取決于建立的風險管理小組的素質(zhì)。系統(tǒng)風險分析是一個復(fù)雜的過程，需要考慮的因素很多，有些要素是可以用量化的形式來表達，而對有些要素的量化又是很困難甚至是不可能的，所以，在風險評估過程中一味的追求量化是不現(xiàn)實的。我們認為定量分析是定性分析的基礎(chǔ)和前提，定性分析應(yīng)建立在定量分析的基礎(chǔ)上才能揭示系統(tǒng)客觀存在的風險；而定性分析則是靈魂，是形成概念、觀點，做出判斷，得出結(jié)論所必須依靠的。在復(fù)雜的信息系統(tǒng)風險評估過程中，不能將定性分析和定量分析兩種方法簡單的割裂開來，而是應(yīng)該將這兩種方法融合起來，采用綜合的評估方法。在我們的實踐中，曾經(jīng)發(fā)展了兩個分析方法，可用于定性分析和定量分析，在第4節(jié)中會對此進行介紹。3.5 質(zhì)量保證鑒于風險評估項目具有一定的復(fù)雜性和主觀性，只有進行完善的質(zhì)量控制和嚴格的流程管理，才能保證風險評估項目的最終質(zhì)量。風險評估項目的質(zhì)量保障主要體現(xiàn)在實施流程的透明性以及對整體項目的可控性，質(zhì)量保障活動需要在評估項目實施中提供足夠的可見性，確保項目實施按照規(guī)定的標準流程進行。在我們的實踐中，設(shè)立質(zhì)量監(jiān)督員（或聘請獨立的項目監(jiān)理擔任）是一個有效的方法。在項目小組中，質(zhì)量監(jiān)督員將保持中立性，直接向項目的最高領(lǐng)導(dǎo)人匯報工作。質(zhì)量監(jiān)督員將依照相應(yīng)各階段的實施標準，通過記錄審核、流程監(jiān)理、組織評審、異常報告等方式對項目的進度、質(zhì)量進行控制。為了使項目質(zhì)量控制活動能夠規(guī)范、有效地運作，必須應(yīng)用各類質(zhì)量控制表格使質(zhì)量控制流程標準化，為質(zhì)量控制活動提供工具保障4 風險分析方法4.1 概述風險分析是風險評估活動的核心部分。通過風險分析，將在所識別的信息資產(chǎn)、威脅背景和信息系統(tǒng)脆弱性三者之間建立起關(guān)系，從而得出信息系統(tǒng)潛在損失情況的結(jié)論。所謂風險分析方法，就是如何找到三者之間存在的客觀“關(guān)系”，從而確定出客觀的潛在損失（即風險）的結(jié)論。下面主要介紹兩種我們在實踐中使用的基本風險分析方法“威脅樹”分析方法和“威脅路徑”分析方法。4.2 “威脅樹”分析方法“威脅樹”分析方法是我們借鑒反應(yīng)堆可靠性工程的一種分析方法而發(fā)展的。該分析法圍繞信息資產(chǎn)的“機密性”、“完整性”和“可用性”三個最基本的安全需求，針對信息系統(tǒng)構(gòu)建相應(yīng)的信息流程模型，然后以該模型為出發(fā)點，詳細分析系統(tǒng)中可能存在的、針對信息上“三性”的潛在威脅和后果。分析方法采用“樹”狀的結(jié)構(gòu)，詳細分解每一類安全威脅，其“根”就是對“機密性”、“完整性”和“可用性”的威脅。如下圖所示：*（資產(chǎn)名稱）機密性威脅（TC）|- 線路竊聽（1）| |-內(nèi)部線路竊聽（1）| |-開放線路竊聽（2）|- 非法訪問 (2)|“威脅樹分析”要求對每一個威脅因素逐層進行編號，如：TC.1.2 則表示通過對開放性線路的竊聽而造成的對信息資產(chǎn)機密性的威脅，以便于標識。對于每一個信息資產(chǎn)而言，其威脅樹由“三棵樹”組成，即：機密性威脅樹、完整性威脅樹、可用性威脅樹。在具體項目中，有時會出現(xiàn)某一些信息資產(chǎn)（或某一類資產(chǎn)）缺失一棵（或兩棵樹）的情況，這要根據(jù)信息系統(tǒng)所支持核心業(yè)務(wù)的情況來確定。每一顆樹的“根”為資產(chǎn)的安全屬性，“葉子”則為所識別出的信息系統(tǒng)安全威脅，“樹枝”則是聯(lián)系各個威脅與相應(yīng)資產(chǎn)安全屬性的紐帶。各個樹枝是根據(jù)系統(tǒng)脆弱性調(diào)研的結(jié)果來予以確定的，具體分析時，還需要分析者根據(jù)所掌握的信息安全知識、所了解的最新信息安全態(tài)勢情況，作出一些假設(shè)?！巴{樹”分析支持定性、定量的分析方式。定性分析時，首先需要對資產(chǎn)安全屬性受到破壞后的損失給出定性的結(jié)論（如：分級）；然后針對每一個“葉子”，根據(jù)“威脅樹”上樹枝的結(jié)構(gòu)，綜合考慮該威脅實際發(fā)生的可能性和成功威脅到相應(yīng)屬性的難度，確定威脅成功的可能性級別。定量分析時則是將上面的損失轉(zhuǎn)化為絕對的資金金額，威脅成功的可能性轉(zhuǎn)化為概率?！巴{樹”分析的結(jié)果可以有三個形式：一個是按照威脅列表的潛在損失結(jié)果，一個是按照資產(chǎn)列表的潛在損失結(jié)果，一個將所有損失依據(jù)一定規(guī)則累加后的結(jié)果。威脅列表對于確定重點的防范對象有重要意義，資產(chǎn)列表對于確定重點的保護對象有重要意義，累加后的結(jié)果則對整體安全有一個了解。一般來說，定性分析時，前面兩個結(jié)果的意義更大一些，定量時三個結(jié)果都有很大的意義?！巴{樹”分析方法的優(yōu)點是分析細致，但相應(yīng)的缺點是工作量非常大。以典型的信息系統(tǒng)為例，如果有10個資產(chǎn)、20個識別出的威脅，則需要構(gòu)造：10x3棵樹，每棵樹有20個葉子。在整理威脅列表的分析結(jié)果時，針對每一個威脅需要整合30棵樹的分析結(jié)果。因此，“威脅樹”方法比較適合于結(jié)構(gòu)簡單的信息系統(tǒng)，或者用于對系統(tǒng)局部的分析。實際使用中，可以通過合理簡化信息系統(tǒng)結(jié)構(gòu)以減少工作量。另外，準確確定信息系統(tǒng)的威脅背景，對于減少工作量也很有幫助。以我們的經(jīng)驗為例，目前已經(jīng)積累的威脅種類在300種左右，但在實際應(yīng)用中，通過對威脅進行適當?shù)姆诸悺w并，并根據(jù)信息系統(tǒng)的實際運行環(huán)境的分析，去除一部分不存在（或可不予以考慮）的威脅，將威脅數(shù)量控制在50種以內(nèi)是完全可能的。4.3 “威脅路徑”分析方法“威脅路徑”分析方法則是根據(jù)信息系統(tǒng)的組成結(jié)構(gòu)，在確定信息資產(chǎn)分布的前提下，針對可能的威脅源，分析其在系統(tǒng)中可能的對指定資產(chǎn)的攻擊路徑，從而確定威脅最終造成資產(chǎn)損失的可能性。下面通過一個簡單例子說明該方法的特點。下圖為某地區(qū)信息系統(tǒng)的拓撲結(jié)構(gòu)：系統(tǒng)中最重要的信息資產(chǎn)為信息中心的數(shù)據(jù)，主要有：l 核心數(shù)據(jù)：存放在信息中心的數(shù)據(jù)庫服務(wù)器以及應(yīng)用服務(wù)器上；l 業(yè)務(wù)數(shù)據(jù)：分別存放在應(yīng)用服務(wù)器、認證管理服務(wù)器上、網(wǎng)絡(luò)管理數(shù)據(jù)、系統(tǒng)管理數(shù)據(jù)；l 備份數(shù)據(jù)：分別存放在備份服務(wù)器上；l 內(nèi)部數(shù)據(jù)：存放在信息中心二級網(wǎng)絡(luò)交換機鏈接的內(nèi)部網(wǎng)絡(luò)中。與核心網(wǎng)絡(luò)相連的網(wǎng)絡(luò)用戶基本可以分為以下幾類，即：信息中心管理員、內(nèi)部網(wǎng)絡(luò)用戶、相關(guān)單位用戶、災(zāi)難恢復(fù)中心管理員。由于這些用戶物理上與核心網(wǎng)絡(luò)是連通的，因此，都可能成為潛在的攻擊者。各種用戶及其攻擊的可能性大小及其攻擊動機如表所示。用戶描述可能的攻擊動機可能性信息中心管理員信息中心信息系統(tǒng)的管理員誤操作；管理問題；報復(fù)；犯罪；經(jīng)濟利益；低災(zāi)難備份中心管理員災(zāi)難恢復(fù)中心的系統(tǒng)管理員誤操作；管理問題；報復(fù)；犯罪；經(jīng)濟利益；低內(nèi)部網(wǎng)絡(luò)用戶通過二級網(wǎng)絡(luò)交換機連接的用戶誤操作；管理問題；報復(fù)；犯罪；經(jīng)濟利益；好奇；中相關(guān)單位用戶小、中、較大規(guī)模用戶誤操作；管理問題；報復(fù)；犯罪；經(jīng)濟利益；競爭；好奇；破壞；高攻擊路徑分析如下1）信息中心管理員對核心數(shù)據(jù)的攻擊(略)2）災(zāi)難備份中心管理員對業(yè)務(wù)數(shù)據(jù)的攻擊（略）3）內(nèi)部網(wǎng)絡(luò)用戶對核心數(shù)據(jù)的攻擊5)相關(guān)單位用戶對核心數(shù)據(jù)的攻擊路徑標識路徑描述P5.1較大規(guī)模用戶-中心路由器（或訪問服務(wù)器1）-主干交換機-應(yīng)用服務(wù)器（或數(shù)據(jù)庫服務(wù)器）P5.2中小規(guī)模用戶-備份路由器（或訪問服務(wù)器1）-主干交換機-應(yīng)用服務(wù)器（或數(shù)據(jù)庫服務(wù)器）10)相關(guān)單位用戶對應(yīng)用服務(wù)器2上業(yè)務(wù)數(shù)據(jù)的攻擊路徑標識路徑描述P10.1較大規(guī)模用戶-中心路由器（或訪問服務(wù)器1）-主干交換機-防火墻1-交換機1-應(yīng)用服務(wù)器2P10.2中小規(guī)模用戶-備份路由器（或訪問服務(wù)器1）-主干交換機-防火墻1-交換機1-應(yīng)用服務(wù)器2P10.3較大規(guī)模用戶（或中小規(guī)模用戶）-訪問服務(wù)器2 -交換機3-防火墻2-交換機2-路由器4（或5）-路由器1或（3）-交換機1-應(yīng)用服務(wù)器215)相關(guān)單位用戶對應(yīng)用服務(wù)器3上業(yè)務(wù)數(shù)據(jù)的攻擊路徑標識路徑描述P15.1較大規(guī)模用戶（或中小規(guī)模用戶）-訪問服務(wù)器2 -交換機3-防火墻2-交換機2-應(yīng)用服務(wù)器3上面列出了攻擊可能性較高的相關(guān)單位用戶的直接攻擊的路徑分析結(jié)果。在提取了路徑后，需要根據(jù)實際情況對每條攻擊路徑成功的可能性作一分析，如：攻擊路徑P5.1與P10.1相比，在中心路由器和主干交換機不作任何安全設(shè)置，服務(wù)器安全設(shè)置一樣的情況下，如果防火墻正確設(shè)置了安全策略，P10.1成功的可能性要小于P5.1?！巴{路徑法”也可以得出定性或定量的結(jié)果。與“威脅樹”方法相比，“威脅路徑法”更直觀一些?！巴{路徑法”還有一個最大的優(yōu)勢是便于信息安全措施的部署。需要說明的是“威脅路徑法”分析的時候，不一定是按照網(wǎng)絡(luò)拓撲結(jié)構(gòu)進行分析，還可以根據(jù)系統(tǒng)的邏輯架構(gòu)、系統(tǒng)的業(yè)務(wù)處理流程分析?！巴{路徑”分析的結(jié)論除了系統(tǒng)潛在損失的大小外，更為重要的是要找出減少損失的“關(guān)鍵環(huán)節(jié)”，找到需要優(yōu)先阻斷的“攻擊路徑”。5 風險評估的思考5.1 風險評估結(jié)論的可比性在進行信息安全風險評估的實踐過程中我們感覺風險評估結(jié)論離普適性、定量化的要求還比較遠。首先，評估的結(jié)果能否滿足橫向和縱向可比性的要求。所謂橫向可比性就是不同信息系統(tǒng)風險評估結(jié)論的可比性；所謂縱向可比性同一信息系統(tǒng)在不同時間風險評估結(jié)論的可比性。橫向可比性對于管理層，尤其是管理層在信息安全上的決策非常重要，畢竟確保信息安全是需要投入的。具有橫向可比性的風險評估結(jié)果可以為決策層提供一個參考的依據(jù)?？v向可比性的結(jié)果對于監(jiān)控信息系統(tǒng)的風險變化、提醒決策層及時采取安全措施具有重要意義。相比較而言，實施橫向可比的風險評估要難于實施縱向可比的風險評估。其次，對于同一信息系統(tǒng)，不同風險分析方法的結(jié)論是否具有可比性。這實際是對風險分析客觀性的一個要求。要滿足上述兩個要求，我們認為比較適合的風險分析形式有以下兩類：l 絕對化數(shù)值的風險分析方法。如預(yù)期每年損失金額數(shù)，或預(yù)期系統(tǒng)非計劃中斷次數(shù)、中斷時間等。絕對化數(shù)值非常有利于做縱向比較，也可以用作橫向比較。絕對化數(shù)值用于說明相同系統(tǒng)在安全措施實施前后的風險變化則非常有效，是一種定量的分析方法。在作橫向比較時，需要注意風險評估的結(jié)論并非對系統(tǒng)目前是否安全的結(jié)論，而是潛在損失的量化，因為即使是同樣的預(yù)期損失，不同組織的承受能力也是不同的。比如，預(yù)期年100萬元的損失對于年收入超過10億的組織與年收入1000萬的組織具有不同的概念；預(yù)期年中斷時間30小時對只有OA應(yīng)用的組織與實施了ERP系統(tǒng)的組織來說也是不同的概念。絕對化數(shù)值的評估目前的難度還是比較大。一方面是各方面的數(shù)據(jù)分析整理比較困難，比如：歷史已發(fā)生事件的統(tǒng)計，大多數(shù)組織缺乏對病毒事件或