信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐與思考-張建軍.doc

論文集安全保密信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐與思考張建軍【摘 要】 本文對(duì)作者的風(fēng)險(xiǎn)評(píng)估實(shí)踐情況進(jìn)行了總結(jié)和分析。文中描述了風(fēng)險(xiǎn)分析程序和基于“威脅樹(shù)”和“威脅路徑”的評(píng)估方法，并對(duì)它們的適用性和特點(diǎn)進(jìn)行了分析，最后對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)論的可比性和風(fēng)險(xiǎn)分析方法的要求兩個(gè)方面進(jìn)行了分析。 【關(guān)鍵詞】 信息安全 風(fēng)險(xiǎn)分析 威脅樹(shù) 威脅路徑1 引言信息安全的重要性已經(jīng)成為人們的共識(shí)，但如何實(shí)施信息安全工作卻一直是一個(gè)極富挑戰(zhàn)性的工作，尤其是在如何回答“投資與回報(bào)”以及“系統(tǒng)是否安全”這兩個(gè)問(wèn)題上。如果從用戶(hù)投資的角度來(lái)看，投資信息安全，就是投資在避免一個(gè)永遠(yuǎn)不希望發(fā)生的事件。從直觀上來(lái)說(shuō)，如果不希望發(fā)生的信息安全事件發(fā)生了，會(huì)對(duì)信息安全設(shè)施的投資發(fā)生懷疑，懷疑信息安全設(shè)施是否在發(fā)揮作用；如果一直沒(méi)有發(fā)生所期望的信息安全事件，則又會(huì)懷疑投資是否值得，是否過(guò)度。風(fēng)險(xiǎn)評(píng)估是回答信息安全“投資與回報(bào)”問(wèn)題的一個(gè)好方法，投資信息安全就是降低信息系統(tǒng)安全風(fēng)險(xiǎn)，投資的回報(bào)就是信息安全風(fēng)險(xiǎn)的降低程度。對(duì)于“信息系統(tǒng)是否安全”這樣的問(wèn)題，常見(jiàn)的回答就是“沒(méi)有絕對(duì)”的安全，那么“相對(duì)”的安全就是相對(duì)“信息安全風(fēng)險(xiǎn)”而言的，即：信息系統(tǒng)的潛在損失信息安全風(fēng)險(xiǎn)處在信息系統(tǒng)擁有者可以承受的范圍之內(nèi)。通過(guò)風(fēng)險(xiǎn)評(píng)估確定信息系統(tǒng)可能給擁有者造成的“損失”，還可以明確信息系統(tǒng)擁有者可以承受的損失，這是判斷信息系統(tǒng)是否安全的基礎(chǔ)。正是基于這樣一個(gè)出發(fā)點(diǎn)，我們從2000年開(kāi)始，對(duì)風(fēng)險(xiǎn)評(píng)估相關(guān)的理論、方法進(jìn)行了研究，并進(jìn)行了相應(yīng)的工程實(shí)踐。經(jīng)過(guò)5年多的研究和實(shí)踐，已經(jīng)積累了一些成果，本文扼要將這些成果進(jìn)行介紹。5年的實(shí)踐，也使我們對(duì)風(fēng)險(xiǎn)分析的認(rèn)識(shí)進(jìn)一步深入，因此提出了本文最后一節(jié)的問(wèn)題，這些問(wèn)題將使今后風(fēng)險(xiǎn)分析研究的重點(diǎn)。2 風(fēng)險(xiǎn)評(píng)估的定義、目的和意義2.1 定義我們將風(fēng)險(xiǎn)評(píng)估定義為：按照一定的工作程序，使用嚴(yán)格定義的工具和方法，通過(guò)分析信息系統(tǒng)的資產(chǎn)、面臨的安全威脅和信息系統(tǒng)的脆弱性，對(duì)信息系統(tǒng)可能造成的潛在損失作出定性或定量的結(jié)論。從定義中可以看出，風(fēng)險(xiǎn)評(píng)估主要涉及到兩個(gè)方面的內(nèi)容，即：評(píng)估程序（在第3節(jié)中介紹）、風(fēng)險(xiǎn)的分析工具與方法（在第4節(jié)中會(huì)描述）。如果按照評(píng)估主體可以將風(fēng)險(xiǎn)評(píng)估劃分可以分為自評(píng)估、檢查評(píng)估、第三方評(píng)估三類(lèi)。各類(lèi)評(píng)估方式的優(yōu)缺點(diǎn)如下表：評(píng)估方式比較評(píng)估方式評(píng)估主體優(yōu)點(diǎn)缺點(diǎn)自評(píng)估組織自身熟悉系統(tǒng)，了解組織內(nèi)部存在的問(wèn)題專(zhuān)業(yè)性不夠，容易受到干擾檢查評(píng)估上級(jí)單位，或主管部門(mén)易于開(kāi)展工作，高效，組織風(fēng)險(xiǎn)得到一定的轉(zhuǎn)移對(duì)于組織的需求考慮不足第三方評(píng)估專(zhuān)業(yè)機(jī)構(gòu)或商業(yè)組織專(zhuān)業(yè)，權(quán)威性時(shí)間、經(jīng)費(fèi)限制，評(píng)估可能不夠深入從評(píng)估的范圍劃分可以分為綜合評(píng)估，技術(shù)評(píng)估，管理評(píng)估，專(zhuān)項(xiàng)評(píng)估。各類(lèi)評(píng)估方式的關(guān)注內(nèi)容如下表：評(píng)估內(nèi)容比較評(píng)估方式評(píng)估內(nèi)容關(guān)注焦點(diǎn)應(yīng)用綜合評(píng)估綜合評(píng)估環(huán)境，信息系統(tǒng)，管理體系與組織的要求的差距風(fēng)險(xiǎn)控制能力對(duì)組織需求的滿(mǎn)足程度系統(tǒng)設(shè)計(jì)階段，系統(tǒng)開(kāi)通前，系統(tǒng)或組織發(fā)生重大變更技術(shù)評(píng)估針對(duì)信息系統(tǒng)，安全設(shè)施進(jìn)行全面分析評(píng)估，評(píng)價(jià)技術(shù)能力與組織要求的差距技術(shù)體系信息系統(tǒng)設(shè)計(jì)，系統(tǒng)開(kāi)通前，系統(tǒng)發(fā)生較大變更管理評(píng)估針對(duì)信息安全管理的組織，人員，操作進(jìn)行評(píng)估，評(píng)價(jià)管理體系與組織要求的差距管理體系系統(tǒng)運(yùn)行過(guò)程中，新系統(tǒng)上線(xiàn)前專(zhuān)項(xiàng)評(píng)估針對(duì)特定的問(wèn)題，如病毒，郵件系統(tǒng)等進(jìn)行綜合深入地評(píng)估分析，評(píng)價(jià)與組織要求的差距特定問(wèn)題系統(tǒng)運(yùn)行過(guò)程中，新系統(tǒng)上線(xiàn)前2.2 風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理BS7799將風(fēng)險(xiǎn)管理定義為“在可接受的成本下，標(biāo)識(shí)、控制和盡量減少（或消除）可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過(guò)程”。風(fēng)險(xiǎn)評(píng)估作為其中的一個(gè)過(guò)程，主要作用是標(biāo)識(shí)、分析安全風(fēng)險(xiǎn)，制定相應(yīng)的風(fēng)險(xiǎn)控制計(jì)劃，作為實(shí)施風(fēng)險(xiǎn)控制措施、監(jiān)控風(fēng)險(xiǎn)變化、改進(jìn)風(fēng)險(xiǎn)控制措施的依據(jù)。以風(fēng)險(xiǎn)評(píng)估為核心的風(fēng)險(xiǎn)管理是一個(gè)可以在信息系統(tǒng)生命周期各主要階段實(shí)施的重復(fù)過(guò)程。通常信息系統(tǒng)生命周期包括了五個(gè)階段：系統(tǒng)規(guī)劃和啟動(dòng)、設(shè)計(jì)開(kāi)發(fā)或采購(gòu)、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄。信息系統(tǒng)在設(shè)計(jì)階段要進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo)；在建設(shè)驗(yàn)收階段要進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo)達(dá)到與否；在運(yùn)行維護(hù)階段要不斷進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)安全措施的有效性，確保安全保障目標(biāo)始終如一得以堅(jiān)持。下表描述了每個(gè)系統(tǒng)生命周期階段的特征，并說(shuō)明了風(fēng)險(xiǎn)評(píng)估如何對(duì)這些階段提供支持：風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持生命周期階段階段特征風(fēng)險(xiǎn)評(píng)估活動(dòng)的作用階段1規(guī)劃和啟動(dòng)提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。l 確定信息系統(tǒng)安全需求。階段2設(shè)計(jì)開(kāi)發(fā)或采購(gòu)信息系統(tǒng)設(shè)計(jì)、購(gòu)買(mǎi)、開(kāi)發(fā)或建造。l 標(biāo)識(shí)出風(fēng)險(xiǎn)，以支持信息系統(tǒng)的安全分析。l 評(píng)估結(jié)果會(huì)影響到體系結(jié)構(gòu)和設(shè)計(jì)方案的權(quán)衡。階段3集成實(shí)現(xiàn)信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測(cè)試并得到驗(yàn)證。l 風(fēng)險(xiǎn)評(píng)估可支持對(duì)系統(tǒng)實(shí)現(xiàn)效果的評(píng)價(jià)，考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。階段4運(yùn)行和維護(hù)信息系統(tǒng)開(kāi)始執(zhí)行其功能，系統(tǒng)會(huì)被不斷修改，改變機(jī)構(gòu)的運(yùn)行規(guī)則、策略或流程等。l 定期的評(píng)估，監(jiān)控系統(tǒng)安全風(fēng)險(xiǎn)的變化，為信息安全相關(guān)決策提供依據(jù)。階段5廢棄對(duì)信息、硬件和軟件的廢棄，包括信息的轉(zhuǎn)移、備份、丟棄、銷(xiāo)毀以及對(duì)軟硬件進(jìn)行的密級(jí)處理。l 風(fēng)險(xiǎn)評(píng)估可以確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置，殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理。2.3 風(fēng)險(xiǎn)評(píng)估的意義風(fēng)險(xiǎn)評(píng)估的最終目的是為制定風(fēng)險(xiǎn)控制計(jì)劃提供依據(jù)，為實(shí)施風(fēng)險(xiǎn)管理服務(wù)。風(fēng)險(xiǎn)評(píng)估具有如下意義和作用：(1) 明確信息系統(tǒng)的安全現(xiàn)狀。通過(guò)風(fēng)險(xiǎn)評(píng)估，可以讓信息系統(tǒng)擁有者準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰信息安全需求。(2) 確定信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。在評(píng)估并進(jìn)行風(fēng)險(xiǎn)分級(jí)后，可以確定信息系統(tǒng)的主要安全風(fēng)險(xiǎn)，并讓系統(tǒng)擁有者選擇規(guī)避、降低、轉(zhuǎn)移、接受等風(fēng)險(xiǎn)處置措施。(3) 指導(dǎo)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。評(píng)估后，可以根據(jù)所識(shí)別出的風(fēng)險(xiǎn)情況，制定信息系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測(cè)與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機(jī)制等）的建設(shè)。3 風(fēng)險(xiǎn)評(píng)估程序3.1 工作過(guò)程風(fēng)險(xiǎn)評(píng)估實(shí)施共分為四個(gè)階段：1) 前期準(zhǔn)備階段：本階段是對(duì)風(fēng)險(xiǎn)評(píng)估實(shí)施之前的準(zhǔn)備過(guò)程，并不涉及具體的實(shí)施工作，但是需要準(zhǔn)備實(shí)施所需的必要條件及相關(guān)信息資料。包括對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行規(guī)劃；確定評(píng)估團(tuán)隊(duì)組成；明確風(fēng)險(xiǎn)評(píng)估范圍；準(zhǔn)備調(diào)查資料等。2) 現(xiàn)場(chǎng)調(diào)查階段：在本階段風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施人員對(duì)被評(píng)估信息系統(tǒng)的詳細(xì)信息進(jìn)行調(diào)查，收集進(jìn)行風(fēng)險(xiǎn)分析數(shù)據(jù)信息，包括信息系統(tǒng)資產(chǎn)組成、系統(tǒng)資產(chǎn)脆弱點(diǎn)、組織管理脆弱點(diǎn)、威脅因素、安全需求等。3) 風(fēng)險(xiǎn)分析階段：本階段根據(jù)現(xiàn)場(chǎng)調(diào)查階段獲得的系統(tǒng)相關(guān)數(shù)據(jù)，選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法對(duì)目標(biāo)信息系統(tǒng)的風(fēng)險(xiǎn)狀況進(jìn)行綜合分析，得出系統(tǒng)當(dāng)前所面臨風(fēng)險(xiǎn)的結(jié)論。4) 策略制定階段：本階段根據(jù)風(fēng)險(xiǎn)分析結(jié)果，結(jié)合目標(biāo)信息系統(tǒng)的安全需求制定相應(yīng)的安全策略，包括安全管理策略、安全運(yùn)行策略和安全體系規(guī)劃。3.2 風(fēng)險(xiǎn)評(píng)估人員組織在風(fēng)險(xiǎn)評(píng)估過(guò)程中，人是各項(xiàng)活動(dòng)的執(zhí)行者，如何選擇適合的人員組建評(píng)估團(tuán)隊(duì)是風(fēng)險(xiǎn)評(píng)估的成敗關(guān)鍵。根據(jù)我們的實(shí)踐，評(píng)估團(tuán)隊(duì)?wèi)?yīng)該包括幾個(gè)方面的人員：l 業(yè)務(wù)流程分析人員。業(yè)務(wù)流程分析是風(fēng)險(xiǎn)分析的基礎(chǔ)，只有對(duì)信息系統(tǒng)所支持業(yè)務(wù)流程非常熟悉，才可能準(zhǔn)確識(shí)別信息系統(tǒng)的核心資產(chǎn)和價(jià)值。業(yè)務(wù)流程分析人員可以由信息系統(tǒng)的設(shè)計(jì)者（或決策者、運(yùn)行負(fù)責(zé)人等）擔(dān)任，也可以由其他專(zhuān)業(yè)人員擔(dān)任。業(yè)務(wù)流程分析人員的主要職責(zé)是準(zhǔn)確識(shí)別出信息系統(tǒng)的重要信息資產(chǎn)，并對(duì)其價(jià)值、重要性作出評(píng)估。l 信息安全專(zhuān)業(yè)人員。這是風(fēng)險(xiǎn)分析工作的主要完成者，主要負(fù)責(zé)對(duì)信息系統(tǒng)安全威脅背景、系統(tǒng)存在的脆弱性進(jìn)行分析。此類(lèi)人員要求有比較豐富的信息安全知識(shí)，并對(duì)信息系統(tǒng)存在的威脅、脆弱性具有較廣泛的知識(shí)和經(jīng)驗(yàn)。l 項(xiàng)目管理和后勤支持人員。風(fēng)險(xiǎn)評(píng)估項(xiàng)目，尤其是大型項(xiàng)目，都會(huì)涉及較多的協(xié)調(diào)、溝通工作，以及大量的文檔工作，專(zhuān)業(yè)的項(xiàng)目管理和后勤支持人員對(duì)于確保評(píng)估項(xiàng)目按照計(jì)劃完成、保證質(zhì)量非常重要。l 質(zhì)量監(jiān)督員。負(fù)責(zé)對(duì)項(xiàng)目質(zhì)量、進(jìn)度計(jì)劃進(jìn)行監(jiān)督，具體職責(zé)和工作方法參見(jiàn)3.5一節(jié)。根據(jù)經(jīng)驗(yàn)，如果風(fēng)險(xiǎn)評(píng)估涉及的系統(tǒng)地理位置相對(duì)集中、規(guī)模較小，評(píng)估的主要活動(dòng)是集中進(jìn)行調(diào)查、分析，需要組建相對(duì)獨(dú)立的評(píng)估團(tuán)隊(duì)，成員為專(zhuān)職評(píng)估人員；而在對(duì)大型系統(tǒng)進(jìn)行評(píng)估時(shí)，由于涉及系統(tǒng)運(yùn)行和使用的部門(mén)眾多且相對(duì)分散，其調(diào)查活動(dòng)主要依賴(lài)于相關(guān)的運(yùn)行和使用部門(mén)的員工完成，評(píng)估團(tuán)隊(duì)主要起策劃和推動(dòng)評(píng)估活動(dòng)作用，同時(shí)依據(jù)調(diào)查數(shù)據(jù)，完成風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)策略選擇工作。在風(fēng)險(xiǎn)評(píng)估之前，需要對(duì)評(píng)估團(tuán)隊(duì)成員進(jìn)行風(fēng)險(xiǎn)評(píng)估相關(guān)知識(shí)的正式培訓(xùn)，以適應(yīng)接下來(lái)的評(píng)估活動(dòng)。培訓(xùn)內(nèi)容包括風(fēng)險(xiǎn)評(píng)估方法、組織業(yè)務(wù)、溝通技巧、安全評(píng)估工具使用等。3.3 數(shù)據(jù)采集在我們的實(shí)踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類(lèi)：l 調(diào)查表格。這是根據(jù)一定的采集目的而專(zhuān)門(mén)設(shè)計(jì)的表格，根據(jù)調(diào)查內(nèi)容的不同、調(diào)查對(duì)象的不同、調(diào)查方式的不同、工作計(jì)劃的安排而設(shè)計(jì)。調(diào)查表格的種類(lèi)非常多。設(shè)計(jì)調(diào)查表格是風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段的主要內(nèi)容之一。我們常用的調(diào)查表有：資產(chǎn)調(diào)查表、安全威脅調(diào)查表、安全需求調(diào)查表、安全策略調(diào)查表等。l 技術(shù)分析工具。常用的是一些系統(tǒng)脆弱性分析工具，如：掃描器、系統(tǒng)安全檢查工具等。通過(guò)技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性，并對(duì)已有安全技術(shù)措施是否發(fā)揮采集客觀的數(shù)據(jù)。l 信息系統(tǒng)資料。風(fēng)險(xiǎn)評(píng)估還需要通過(guò)查閱、分析、整理信息系統(tǒng)相關(guān)資料來(lái)收集相關(guān)資料。信息系統(tǒng)資料涉及的范圍很廣，常見(jiàn)的有：系統(tǒng)規(guī)劃資料、建設(shè)資料、運(yùn)行記錄、事故處理記錄、升級(jí)記錄、管理制度等。3.4 分析方法的選擇風(fēng)險(xiǎn)評(píng)估的關(guān)鍵在于根據(jù)所收集的資料，采取一定的分析方法，得出信息系統(tǒng)安全風(fēng)險(xiǎn)的結(jié)論，因此，分析方法的正確選擇是風(fēng)險(xiǎn)評(píng)估的核心。一般來(lái)說(shuō)，風(fēng)險(xiǎn)分析的方法基本分為三類(lèi)：l 定量分析方法定量分析方法是指運(yùn)用數(shù)量指標(biāo)來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估，典型的定量分析方法有因子分析法、聚類(lèi)分析法、時(shí)序模型、回歸模型、等風(fēng)險(xiǎn)圖法等。在定量風(fēng)險(xiǎn)分析中，目標(biāo)是試圖為在風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分計(jì)算客觀數(shù)字值。 例如，用替換成本、生產(chǎn)率損失成本、品牌名譽(yù)成本以及其他直接和間接商業(yè)價(jià)值來(lái)估計(jì)各個(gè)組織資產(chǎn)的真實(shí)價(jià)值。計(jì)算資產(chǎn)脆弱點(diǎn)、控制成本以及在風(fēng)險(xiǎn)管理流程中確定的所有其他值時(shí)，盡量具有相同的客觀性。定量的分析方法的優(yōu)點(diǎn)是用直觀的數(shù)據(jù)來(lái)表述評(píng)估的結(jié)果，對(duì)于一般信息系統(tǒng)用戶(hù)，尤其是決策層，比較直觀和客觀。定量分析方法的采用，可以使評(píng)估結(jié)果更科學(xué)，更嚴(yán)密，更深刻。但在實(shí)際使用中，此方法有一些難以克服的明顯缺點(diǎn)。首先，沒(méi)有正式且嚴(yán)格的方法來(lái)有效計(jì)算信息資產(chǎn)和控制措施的價(jià)值。根據(jù)我們的項(xiàng)目經(jīng)驗(yàn)，盡管定量方法可以提供更多詳細(xì)資料佐證，但數(shù)字還是估計(jì)而來(lái)。有些數(shù)據(jù)難以精確地計(jì)算，如安全事件可能對(duì)品牌造成的影響。其次，定量分析過(guò)程工作量很大，需要非常長(zhǎng)的時(shí)間來(lái)完成全部工作，通常還會(huì)出現(xiàn)對(duì)如何計(jì)算具體價(jià)值的爭(zhēng)論，風(fēng)險(xiǎn)評(píng)估本身的成本代價(jià)很大。l 定性分析方法定性的分析方法主要依據(jù)評(píng)估者的知識(shí)、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對(duì)系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過(guò)程。在工程實(shí)踐中，定性分析主要以與調(diào)查對(duì)象的深入訪(fǎng)談做出個(gè)案記錄為基本資料，然后通過(guò)一個(gè)理論推導(dǎo)演繹的分析框架，對(duì)資料進(jìn)行編碼整理，在此基礎(chǔ)上做出評(píng)估結(jié)論。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德?tīng)栰撤ā６ㄐ燥L(fēng)險(xiǎn)分析與定量風(fēng)險(xiǎn)分析的區(qū)別在于在前一方法中不用向資產(chǎn)分配難以確定的財(cái)務(wù)價(jià)值、預(yù)期損失和控制成本，取而代之的是計(jì)算相對(duì)值。在實(shí)踐中，可以通過(guò)調(diào)查表和合作討論會(huì)的形式進(jìn)行風(fēng)險(xiǎn)分析，分析活動(dòng)會(huì)涉及來(lái)自信息系統(tǒng)運(yùn)行和使用相關(guān)的各個(gè)部門(mén)的人員，例如：信息安全專(zhuān)家、信息技術(shù)經(jīng)理和員工、資產(chǎn)所有者、用戶(hù)以及高級(jí)管理人員等。 定性分析在于一個(gè)資產(chǎn)和另一個(gè)資產(chǎn)價(jià)值之間的比較是相對(duì)的，分析者不會(huì)用大量的時(shí)間來(lái)嘗試為資產(chǎn)評(píng)估計(jì)算精確的財(cái)務(wù)數(shù)字。計(jì)算轉(zhuǎn)變?yōu)楝F(xiàn)實(shí)的風(fēng)險(xiǎn)的可能影響以及實(shí)施控制所需的成本也同樣如此。 定性方法的優(yōu)點(diǎn)是克服了為資產(chǎn)價(jià)值、控制成本等計(jì)算精確數(shù)字的挑戰(zhàn)。定性風(fēng)險(xiǎn)分析項(xiàng)目的時(shí)間進(jìn)度一般比定量方法的時(shí)間短，成本易于控制。定性方法的缺點(diǎn)是得出的數(shù)字是含糊的，分析結(jié)論對(duì)于決策者不直觀。但定性評(píng)估方法的優(yōu)點(diǎn)是避免了定量方法的缺點(diǎn)，可以挖掘出一些蘊(yùn)藏很深的思想，使評(píng)估的結(jié)論更全面、更深刻；但它的主觀性很強(qiáng)，對(duì)評(píng)估者本身的要求很高。l 綜合分析方法安全風(fēng)險(xiǎn)管理的定性方法和定量方法都具有各自的優(yōu)點(diǎn)與缺點(diǎn)。 在某些情況下會(huì)要求采用定量方法，而在其他情況下定性的評(píng)估方法更能滿(mǎn)足組織需求。下表概括介紹了定量和定性方法的優(yōu)點(diǎn)與缺點(diǎn)：優(yōu)點(diǎn)缺點(diǎn)定量方法l 按財(cái)務(wù)影響確定風(fēng)險(xiǎn)優(yōu)先級(jí)；按財(cái)務(wù)價(jià)值確定資產(chǎn)優(yōu)先級(jí)。l 結(jié)果通過(guò)安全投資收益推動(dòng)風(fēng)險(xiǎn)管理。l 結(jié)果可用因管理而異的術(shù)語(yǔ)來(lái)表達(dá)（例如貨幣值和表達(dá)為具體百分比的可能性）。l 隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗(yàn)，其精確度將隨時(shí)間的推移而提高。l 分配給風(fēng)險(xiǎn)的影響值以分析參與者的主觀意見(jiàn)為基礎(chǔ)。l 達(dá)成可靠結(jié)果和一致意見(jiàn)的流程非常耗時(shí)。l 計(jì)算可能會(huì)非常復(fù)雜且耗時(shí)。l 結(jié)果只用財(cái)務(wù)術(shù)語(yǔ)來(lái)表達(dá)，對(duì)非技術(shù)性人員而言可能難以解釋。l 流程要求專(zhuān)業(yè)技術(shù)，因此參與者無(wú)法輕松通過(guò)流程獲得指導(dǎo)。定性方法l 使可見(jiàn)性和了解風(fēng)險(xiǎn)排列成為可能。l 更容易達(dá)成一致意見(jiàn)。l 無(wú)需量化威脅頻率。l 無(wú)需確定資產(chǎn)的財(cái)務(wù)價(jià)值。l 更便于不是安全或計(jì)算機(jī)專(zhuān)家的人員參與。l 在重要的風(fēng)險(xiǎn)之間沒(méi)有足夠的區(qū)別。l 難以證明投資控制措施實(shí)施是否正確，因?yàn)闆](méi)有為成本效益分析提供基礎(chǔ)。l 結(jié)果取決于建立的風(fēng)險(xiǎn)管理小組的素質(zhì)。系統(tǒng)風(fēng)險(xiǎn)分析是一個(gè)復(fù)雜的過(guò)程，需要考慮的因素很多，有些要素是可以用量化的形式來(lái)表達(dá)，而對(duì)有些要素的量化又是很困難甚至是不可能的，所以，在風(fēng)險(xiǎn)評(píng)估過(guò)程中一味的追求量化是不現(xiàn)實(shí)的。我們認(rèn)為定量分析是定性分析的基礎(chǔ)和前提，定性分析應(yīng)建立在定量分析的基礎(chǔ)上才能揭示系統(tǒng)客觀存在的風(fēng)險(xiǎn)；而定性分析則是靈魂，是形成概念、觀點(diǎn)，做出判斷，得出結(jié)論所必須依靠的。在復(fù)雜的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估過(guò)程中，不能將定性分析和定量分析兩種方法簡(jiǎn)單的割裂開(kāi)來(lái)，而是應(yīng)該將這兩種方法融合起來(lái)，采用綜合的評(píng)估方法。在我們的實(shí)踐中，曾經(jīng)發(fā)展了兩個(gè)分析方法，可用于定性分析和定量分析，在第4節(jié)中會(huì)對(duì)此進(jìn)行介紹。3.5 質(zhì)量保證鑒于風(fēng)險(xiǎn)評(píng)估項(xiàng)目具有一定的復(fù)雜性和主觀性，只有進(jìn)行完善的質(zhì)量控制和嚴(yán)格的流程管理，才能保證風(fēng)險(xiǎn)評(píng)估項(xiàng)目的最終質(zhì)量。風(fēng)險(xiǎn)評(píng)估項(xiàng)目的質(zhì)量保障主要體現(xiàn)在實(shí)施流程的透明性以及對(duì)整體項(xiàng)目的可控性，質(zhì)量保障活動(dòng)需要在評(píng)估項(xiàng)目實(shí)施中提供足夠的可見(jiàn)性，確保項(xiàng)目實(shí)施按照規(guī)定的標(biāo)準(zhǔn)流程進(jìn)行。在我們的實(shí)踐中，設(shè)立質(zhì)量監(jiān)督員（或聘請(qǐng)獨(dú)立的項(xiàng)目監(jiān)理?yè)?dān)任）是一個(gè)有效的方法。在項(xiàng)目小組中，質(zhì)量監(jiān)督員將保持中立性，直接向項(xiàng)目的最高領(lǐng)導(dǎo)人匯報(bào)工作。質(zhì)量監(jiān)督員將依照相應(yīng)各階段的實(shí)施標(biāo)準(zhǔn)，通過(guò)記錄審核、流程監(jiān)理、組織評(píng)審、異常報(bào)告等方式對(duì)項(xiàng)目的進(jìn)度、質(zhì)量進(jìn)行控制。為了使項(xiàng)目質(zhì)量控制活動(dòng)能夠規(guī)范、有效地運(yùn)作，必須應(yīng)用各類(lèi)質(zhì)量控制表格使質(zhì)量控制流程標(biāo)準(zhǔn)化，為質(zhì)量控制活動(dòng)提供工具保障4 風(fēng)險(xiǎn)分析方法4.1 概述風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)評(píng)估活動(dòng)的核心部分。通過(guò)風(fēng)險(xiǎn)分析，將在所識(shí)別的信息資產(chǎn)、威脅背景和信息系統(tǒng)脆弱性三者之間建立起關(guān)系，從而得出信息系統(tǒng)潛在損失情況的結(jié)論。所謂風(fēng)險(xiǎn)分析方法，就是如何找到三者之間存在的客觀“關(guān)系”，從而確定出客觀的潛在損失（即風(fēng)險(xiǎn)）的結(jié)論。下面主要介紹兩種我們?cè)趯?shí)踐中使用的基本風(fēng)險(xiǎn)分析方法“威脅樹(shù)”分析方法和“威脅路徑”分析方法。4.2 “威脅樹(shù)”分析方法“威脅樹(shù)”分析方法是我們借鑒反應(yīng)堆可靠性工程的一種分析方法而發(fā)展的。該分析法圍繞信息資產(chǎn)的“機(jī)密性”、“完整性”和“可用性”三個(gè)最基本的安全需求，針對(duì)信息系統(tǒng)構(gòu)建相應(yīng)的信息流程模型，然后以該模型為出發(fā)點(diǎn)，詳細(xì)分析系統(tǒng)中可能存在的、針對(duì)信息上“三性”的潛在威脅和后果。分析方法采用“樹(shù)”狀的結(jié)構(gòu)，詳細(xì)分解每一類(lèi)安全威脅，其“根”就是對(duì)“機(jī)密性”、“完整性”和“可用性”的威脅。如下圖所示：*（資產(chǎn)名稱(chēng)）機(jī)密性威脅（TC）|- 線(xiàn)路竊聽(tīng)（1）| |-內(nèi)部線(xiàn)路竊聽(tīng)（1）| |-開(kāi)放線(xiàn)路竊聽(tīng)（2）|- 非法訪(fǎng)問(wèn) (2)|“威脅樹(shù)分析”要求對(duì)每一個(gè)威脅因素逐層進(jìn)行編號(hào)，如：TC.1.2 則表示通過(guò)對(duì)開(kāi)放性線(xiàn)路的竊聽(tīng)而造成的對(duì)信息資產(chǎn)機(jī)密性的威脅，以便于標(biāo)識(shí)。對(duì)于每一個(gè)信息資產(chǎn)而言，其威脅樹(shù)由“三棵樹(shù)”組成，即：機(jī)密性威脅樹(shù)、完整性威脅樹(shù)、可用性威脅樹(shù)。在具體項(xiàng)目中，有時(shí)會(huì)出現(xiàn)某一些信息資產(chǎn)（或某一類(lèi)資產(chǎn)）缺失一棵（或兩棵樹(shù)）的情況，這要根據(jù)信息系統(tǒng)所支持核心業(yè)務(wù)的情況來(lái)確定。每一顆樹(shù)的“根”為資產(chǎn)的安全屬性，“葉子”則為所識(shí)別出的信息系統(tǒng)安全威脅，“樹(shù)枝”則是聯(lián)系各個(gè)威脅與相應(yīng)資產(chǎn)安全屬性的紐帶。各個(gè)樹(shù)枝是根據(jù)系統(tǒng)脆弱性調(diào)研的結(jié)果來(lái)予以確定的，具體分析時(shí)，還需要分析者根據(jù)所掌握的信息安全知識(shí)、所了解的最新信息安全態(tài)勢(shì)情況，作出一些假設(shè)。“威脅樹(shù)”分析支持定性、定量的分析方式。定性分析時(shí)，首先需要對(duì)資產(chǎn)安全屬性受到破壞后的損失給出定性的結(jié)論（如：分級(jí)）；然后針對(duì)每一個(gè)“葉子”，根據(jù)“威脅樹(shù)”上樹(shù)枝的結(jié)構(gòu)，綜合考慮該威脅實(shí)際發(fā)生的可能性和成功威脅到相應(yīng)屬性的難度，確定威脅成功的可能性級(jí)別。定量分析時(shí)則是將上面的損失轉(zhuǎn)化為絕對(duì)的資金金額，威脅成功的可能性轉(zhuǎn)化為概率。“威脅樹(shù)”分析的結(jié)果可以有三個(gè)形式：一個(gè)是按照威脅列表的潛在損失結(jié)果，一個(gè)是按照資產(chǎn)列表的潛在損失結(jié)果，一個(gè)將所有損失依據(jù)一定規(guī)則累加后的結(jié)果。威脅列表對(duì)于確定重點(diǎn)的防范對(duì)象有重要意義，資產(chǎn)列表對(duì)于確定重點(diǎn)的保護(hù)對(duì)象有重要意義，累加后的結(jié)果則對(duì)整體安全有一個(gè)了解。一般來(lái)說(shuō)，定性分析時(shí)，前面兩個(gè)結(jié)果的意義更大一些，定量時(shí)三個(gè)結(jié)果都有很大的意義。“威脅樹(shù)”分析方法的優(yōu)點(diǎn)是分析細(xì)致，但相應(yīng)的缺點(diǎn)是工作量非常大。以典型的信息系統(tǒng)為例，如果有10個(gè)資產(chǎn)、20個(gè)識(shí)別出的威脅，則需要構(gòu)造：10x3棵樹(shù)，每棵樹(shù)有20個(gè)葉子。在整理威脅列表的分析結(jié)果時(shí)，針對(duì)每一個(gè)威脅需要整合30棵樹(shù)的分析結(jié)果。因此，“威脅樹(shù)”方法比較適合于結(jié)構(gòu)簡(jiǎn)單的信息系統(tǒng)，或者用于對(duì)系統(tǒng)局部的分析。實(shí)際使用中，可以通過(guò)合理簡(jiǎn)化信息系統(tǒng)結(jié)構(gòu)以減少工作量。另外，準(zhǔn)確確定信息系統(tǒng)的威脅背景，對(duì)于減少工作量也很有幫助。以我們的經(jīng)驗(yàn)為例，目前已經(jīng)積累的威脅種類(lèi)在300種左右，但在實(shí)際應(yīng)用中，通過(guò)對(duì)威脅進(jìn)行適當(dāng)?shù)姆诸?lèi)、歸并，并根據(jù)信息系統(tǒng)的實(shí)際運(yùn)行環(huán)境的分析，去除一部分不存在（或可不予以考慮）的威脅，將威脅數(shù)量控制在50種以?xún)?nèi)是完全可能的。4.3 “威脅路徑”分析方法“威脅路徑”分析方法則是根據(jù)信息系統(tǒng)的組成結(jié)構(gòu)，在確定信息資產(chǎn)分布的前提下，針對(duì)可能的威脅源，分析其在系統(tǒng)中可能的對(duì)指定資產(chǎn)的攻擊路徑，從而確定威脅最終造成資產(chǎn)損失的可能性。下面通過(guò)一個(gè)簡(jiǎn)單例子說(shuō)明該方法的特點(diǎn)。下圖為某地區(qū)信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)：系統(tǒng)中最重要的信息資產(chǎn)為信息中心的數(shù)據(jù)，主要有：l 核心數(shù)據(jù)：存放在信息中心的數(shù)據(jù)庫(kù)服務(wù)器以及應(yīng)用服務(wù)器上；l 業(yè)務(wù)數(shù)據(jù)：分別存放在應(yīng)用服務(wù)器、認(rèn)證管理服務(wù)器上、網(wǎng)絡(luò)管理數(shù)據(jù)、系統(tǒng)管理數(shù)據(jù)；l 備份數(shù)據(jù)：分別存放在備份服務(wù)器上；l 內(nèi)部數(shù)據(jù)：存放在信息中心二級(jí)網(wǎng)絡(luò)交換機(jī)鏈接的內(nèi)部網(wǎng)絡(luò)中。與核心網(wǎng)絡(luò)相連的網(wǎng)絡(luò)用戶(hù)基本可以分為以下幾類(lèi)，即：信息中心管理員、內(nèi)部網(wǎng)絡(luò)用戶(hù)、相關(guān)單位用戶(hù)、災(zāi)難恢復(fù)中心管理員。由于這些用戶(hù)物理上與核心網(wǎng)絡(luò)是連通的，因此，都可能成為潛在的攻擊者。各種用戶(hù)及其攻擊的可能性大小及其攻擊動(dòng)機(jī)如表所示。用戶(hù)描述可能的攻擊動(dòng)機(jī)可能性信息中心管理員信息中心信息系統(tǒng)的管理員誤操作；管理問(wèn)題；報(bào)復(fù)；犯罪；經(jīng)濟(jì)利益；低災(zāi)難備份中心管理員災(zāi)難恢復(fù)中心的系統(tǒng)管理員誤操作；管理問(wèn)題；報(bào)復(fù)；犯罪；經(jīng)濟(jì)利益；低內(nèi)部網(wǎng)絡(luò)用戶(hù)通過(guò)二級(jí)網(wǎng)絡(luò)交換機(jī)連接的用戶(hù)誤操作；管理問(wèn)題；報(bào)復(fù)；犯罪；經(jīng)濟(jì)利益；好奇；中相關(guān)單位用戶(hù)小、中、較大規(guī)模用戶(hù)誤操作；管理問(wèn)題；報(bào)復(fù)；犯罪；經(jīng)濟(jì)利益；競(jìng)爭(zhēng)；好奇；破壞；高攻擊路徑分析如下1）信息中心管理員對(duì)核心數(shù)據(jù)的攻擊(略)2）災(zāi)難備份中心管理員對(duì)業(yè)務(wù)數(shù)據(jù)的攻擊（略）3）內(nèi)部網(wǎng)絡(luò)用戶(hù)對(duì)核心數(shù)據(jù)的攻擊5)相關(guān)單位用戶(hù)對(duì)核心數(shù)據(jù)的攻擊路徑標(biāo)識(shí)路徑描述P5.1較大規(guī)模用戶(hù)-中心路由器（或訪(fǎng)問(wèn)服務(wù)器1）-主干交換機(jī)-應(yīng)用服務(wù)器（或數(shù)據(jù)庫(kù)服務(wù)器）P5.2中小規(guī)模用戶(hù)-備份路由器（或訪(fǎng)問(wèn)服務(wù)器1）-主干交換機(jī)-應(yīng)用服務(wù)器（或數(shù)據(jù)庫(kù)服務(wù)器）10)相關(guān)單位用戶(hù)對(duì)應(yīng)用服務(wù)器2上業(yè)務(wù)數(shù)據(jù)的攻擊路徑標(biāo)識(shí)路徑描述P10.1較大規(guī)模用戶(hù)-中心路由器（或訪(fǎng)問(wèn)服務(wù)器1）-主干交換機(jī)-防火墻1-交換機(jī)1-應(yīng)用服務(wù)器2P10.2中小規(guī)模用戶(hù)-備份路由器（或訪(fǎng)問(wèn)服務(wù)器1）-主干交換機(jī)-防火墻1-交換機(jī)1-應(yīng)用服務(wù)器2P10.3較大規(guī)模用戶(hù)（或中小規(guī)模用戶(hù)）-訪(fǎng)問(wèn)服務(wù)器2 -交換機(jī)3-防火墻2-交換機(jī)2-路由器4（或5）-路由器1或（3）-交換機(jī)1-應(yīng)用服務(wù)器215)相關(guān)單位用戶(hù)對(duì)應(yīng)用服務(wù)器3上業(yè)務(wù)數(shù)據(jù)的攻擊路徑標(biāo)識(shí)路徑描述P15.1較大規(guī)模用戶(hù)（或中小規(guī)模用戶(hù)）-訪(fǎng)問(wèn)服務(wù)器2 -交換機(jī)3-防火墻2-交換機(jī)2-應(yīng)用服務(wù)器3上面列出了攻擊可能性較高的相關(guān)單位用戶(hù)的直接攻擊的路徑分析結(jié)果。在提取了路徑后，需要根據(jù)實(shí)際情況對(duì)每條攻擊路徑成功的可能性作一分析，如：攻擊路徑P5.1與P10.1相比，在中心路由器和主干交換機(jī)不作任何安全設(shè)置，服務(wù)器安全設(shè)置一樣的情況下，如果防火墻正確設(shè)置了安全策略，P10.1成功的可能性要小于P5.1?！巴{路徑法”也可以得出定性或定量的結(jié)果。與“威脅樹(shù)”方法相比，“威脅路徑法”更直觀一些。“威脅路徑法”還有一個(gè)最大的優(yōu)勢(shì)是便于信息安全措施的部署。需要說(shuō)明的是“威脅路徑法”分析的時(shí)候，不一定是按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析，還可以根據(jù)系統(tǒng)的邏輯架構(gòu)、系統(tǒng)的業(yè)務(wù)處理流程分析。“威脅路徑”分析的結(jié)論除了系統(tǒng)潛在損失的大小外，更為重要的是要找出減少損失的“關(guān)鍵環(huán)節(jié)”，找到需要優(yōu)先阻斷的“攻擊路徑”。5 風(fēng)險(xiǎn)評(píng)估的思考5.1 風(fēng)險(xiǎn)評(píng)估結(jié)論的可比性在進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)踐過(guò)程中我們感覺(jué)風(fēng)險(xiǎn)評(píng)估結(jié)論離普適性、定量化的要求還比較遠(yuǎn)。首先，評(píng)估的結(jié)果能否滿(mǎn)足橫向和縱向可比性的要求。所謂橫向可比性就是不同信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)論的可比性；所謂縱向可比性同一信息系統(tǒng)在不同時(shí)間風(fēng)險(xiǎn)評(píng)估結(jié)論的可比性。橫向可比性對(duì)于管理層，尤其是管理層在信息安全上的決策非常重要，畢竟確保信息安全是需要投入的。具有橫向可比性的風(fēng)險(xiǎn)評(píng)估結(jié)果可以為決策層提供一個(gè)參考的依據(jù)。縱向可比性的結(jié)果對(duì)于監(jiān)控信息系統(tǒng)的風(fēng)險(xiǎn)變化、提醒決策層及時(shí)采取安全措施具有重要意義。相比較而言，實(shí)施橫向可比的風(fēng)險(xiǎn)評(píng)估要難于實(shí)施縱向可比的風(fēng)險(xiǎn)評(píng)估。其次，對(duì)于同一信息系統(tǒng)，不同風(fēng)險(xiǎn)分析方法的結(jié)論是否具有可比性。這實(shí)際是對(duì)風(fēng)險(xiǎn)分析客觀性的一個(gè)要求。要滿(mǎn)足上述兩個(gè)要求，我們認(rèn)為比較適合的風(fēng)險(xiǎn)分析形式有以下兩類(lèi)：l 絕對(duì)化數(shù)值的風(fēng)險(xiǎn)分析方法。如預(yù)期每年損失金額數(shù)，或預(yù)期系統(tǒng)非計(jì)劃中斷次數(shù)、中斷時(shí)間等。絕對(duì)化數(shù)值非常有利于做縱向比較，也可以用作橫向比較。絕對(duì)化數(shù)值用于說(shuō)明相同系統(tǒng)在安全措施實(shí)施前后的風(fēng)險(xiǎn)變化則非常有效，是一種定量的分析方法。在作橫向比較時(shí)，需要注意風(fēng)險(xiǎn)評(píng)估的結(jié)論并非對(duì)系統(tǒng)目前是否安全的結(jié)論，而是潛在損失的量化，因?yàn)榧词故峭瑯拥念A(yù)期損失，不同組織的承受能力也是不同的。比如，預(yù)期年100萬(wàn)元的損失對(duì)于年收入超過(guò)10億的組織與年收入1000萬(wàn)的組織具有不同的概念；預(yù)期年中斷時(shí)間30小時(shí)對(duì)只有OA應(yīng)用的組織與實(shí)施了ERP系統(tǒng)的組織來(lái)說(shuō)也是不同的概念。絕對(duì)化數(shù)值的評(píng)估目前的難度還是比較大。一方面是各方面的數(shù)據(jù)分析整理比較困難，比如：歷史已發(fā)生事件的統(tǒng)計(jì)，大多數(shù)組織缺乏對(duì)病毒事件或