




免費(fèi)預(yù)覽已結(jié)束,剩余7頁可下載查看
下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
論文集安全保密信息安全風(fēng)險(xiǎn)評估實(shí)踐與思考張建軍【摘 要】 本文對作者的風(fēng)險(xiǎn)評估實(shí)踐情況進(jìn)行了總結(jié)和分析。文中描述了風(fēng)險(xiǎn)分析程序和基于“威脅樹”和“威脅路徑”的評估方法,并對它們的適用性和特點(diǎn)進(jìn)行了分析,最后對風(fēng)險(xiǎn)評估結(jié)論的可比性和風(fēng)險(xiǎn)分析方法的要求兩個方面進(jìn)行了分析。 【關(guān)鍵詞】 信息安全 風(fēng)險(xiǎn)分析 威脅樹 威脅路徑1 引言信息安全的重要性已經(jīng)成為人們的共識,但如何實(shí)施信息安全工作卻一直是一個極富挑戰(zhàn)性的工作,尤其是在如何回答“投資與回報(bào)”以及“系統(tǒng)是否安全”這兩個問題上。如果從用戶投資的角度來看,投資信息安全,就是投資在避免一個永遠(yuǎn)不希望發(fā)生的事件。從直觀上來說,如果不希望發(fā)生的信息安全事件發(fā)生了,會對信息安全設(shè)施的投資發(fā)生懷疑,懷疑信息安全設(shè)施是否在發(fā)揮作用;如果一直沒有發(fā)生所期望的信息安全事件,則又會懷疑投資是否值得,是否過度。風(fēng)險(xiǎn)評估是回答信息安全“投資與回報(bào)”問題的一個好方法,投資信息安全就是降低信息系統(tǒng)安全風(fēng)險(xiǎn),投資的回報(bào)就是信息安全風(fēng)險(xiǎn)的降低程度。對于“信息系統(tǒng)是否安全”這樣的問題,常見的回答就是“沒有絕對”的安全,那么“相對”的安全就是相對“信息安全風(fēng)險(xiǎn)”而言的,即:信息系統(tǒng)的潛在損失信息安全風(fēng)險(xiǎn)處在信息系統(tǒng)擁有者可以承受的范圍之內(nèi)。通過風(fēng)險(xiǎn)評估確定信息系統(tǒng)可能給擁有者造成的“損失”,還可以明確信息系統(tǒng)擁有者可以承受的損失,這是判斷信息系統(tǒng)是否安全的基礎(chǔ)。正是基于這樣一個出發(fā)點(diǎn),我們從2000年開始,對風(fēng)險(xiǎn)評估相關(guān)的理論、方法進(jìn)行了研究,并進(jìn)行了相應(yīng)的工程實(shí)踐。經(jīng)過5年多的研究和實(shí)踐,已經(jīng)積累了一些成果,本文扼要將這些成果進(jìn)行介紹。5年的實(shí)踐,也使我們對風(fēng)險(xiǎn)分析的認(rèn)識進(jìn)一步深入,因此提出了本文最后一節(jié)的問題,這些問題將使今后風(fēng)險(xiǎn)分析研究的重點(diǎn)。2 風(fēng)險(xiǎn)評估的定義、目的和意義2.1 定義我們將風(fēng)險(xiǎn)評估定義為:按照一定的工作程序,使用嚴(yán)格定義的工具和方法,通過分析信息系統(tǒng)的資產(chǎn)、面臨的安全威脅和信息系統(tǒng)的脆弱性,對信息系統(tǒng)可能造成的潛在損失作出定性或定量的結(jié)論。從定義中可以看出,風(fēng)險(xiǎn)評估主要涉及到兩個方面的內(nèi)容,即:評估程序(在第3節(jié)中介紹)、風(fēng)險(xiǎn)的分析工具與方法(在第4節(jié)中會描述)。如果按照評估主體可以將風(fēng)險(xiǎn)評估劃分可以分為自評估、檢查評估、第三方評估三類。各類評估方式的優(yōu)缺點(diǎn)如下表:評估方式比較評估方式評估主體優(yōu)點(diǎn)缺點(diǎn)自評估組織自身熟悉系統(tǒng),了解組織內(nèi)部存在的問題專業(yè)性不夠,容易受到干擾檢查評估上級單位,或主管部門易于開展工作,高效,組織風(fēng)險(xiǎn)得到一定的轉(zhuǎn)移對于組織的需求考慮不足第三方評估專業(yè)機(jī)構(gòu)或商業(yè)組織專業(yè),權(quán)威性時間、經(jīng)費(fèi)限制,評估可能不夠深入從評估的范圍劃分可以分為綜合評估,技術(shù)評估,管理評估,專項(xiàng)評估。各類評估方式的關(guān)注內(nèi)容如下表:評估內(nèi)容比較評估方式評估內(nèi)容關(guān)注焦點(diǎn)應(yīng)用綜合評估綜合評估環(huán)境,信息系統(tǒng),管理體系與組織的要求的差距風(fēng)險(xiǎn)控制能力對組織需求的滿足程度系統(tǒng)設(shè)計(jì)階段,系統(tǒng)開通前,系統(tǒng)或組織發(fā)生重大變更技術(shù)評估針對信息系統(tǒng),安全設(shè)施進(jìn)行全面分析評估,評價(jià)技術(shù)能力與組織要求的差距技術(shù)體系信息系統(tǒng)設(shè)計(jì),系統(tǒng)開通前,系統(tǒng)發(fā)生較大變更管理評估針對信息安全管理的組織,人員,操作進(jìn)行評估,評價(jià)管理體系與組織要求的差距管理體系系統(tǒng)運(yùn)行過程中,新系統(tǒng)上線前專項(xiàng)評估針對特定的問題,如病毒,郵件系統(tǒng)等進(jìn)行綜合深入地評估分析,評價(jià)與組織要求的差距特定問題系統(tǒng)運(yùn)行過程中,新系統(tǒng)上線前2.2 風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理BS7799將風(fēng)險(xiǎn)管理定義為“在可接受的成本下,標(biāo)識、控制和盡量減少(或消除)可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程”。風(fēng)險(xiǎn)評估作為其中的一個過程,主要作用是標(biāo)識、分析安全風(fēng)險(xiǎn),制定相應(yīng)的風(fēng)險(xiǎn)控制計(jì)劃,作為實(shí)施風(fēng)險(xiǎn)控制措施、監(jiān)控風(fēng)險(xiǎn)變化、改進(jìn)風(fēng)險(xiǎn)控制措施的依據(jù)。以風(fēng)險(xiǎn)評估為核心的風(fēng)險(xiǎn)管理是一個可以在信息系統(tǒng)生命周期各主要階段實(shí)施的重復(fù)過程。通常信息系統(tǒng)生命周期包括了五個階段:系統(tǒng)規(guī)劃和啟動、設(shè)計(jì)開發(fā)或采購、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄。信息系統(tǒng)在設(shè)計(jì)階段要進(jìn)行風(fēng)險(xiǎn)評估以確定系統(tǒng)的安全目標(biāo);在建設(shè)驗(yàn)收階段要進(jìn)行風(fēng)險(xiǎn)評估以確定系統(tǒng)的安全目標(biāo)達(dá)到與否;在運(yùn)行維護(hù)階段要不斷進(jìn)行風(fēng)險(xiǎn)評估以確定系統(tǒng)安全措施的有效性,確保安全保障目標(biāo)始終如一得以堅(jiān)持。下表描述了每個系統(tǒng)生命周期階段的特征,并說明了風(fēng)險(xiǎn)評估如何對這些階段提供支持:風(fēng)險(xiǎn)評估對信息系統(tǒng)生命周期的支持生命周期階段階段特征風(fēng)險(xiǎn)評估活動的作用階段1規(guī)劃和啟動提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。l 確定信息系統(tǒng)安全需求。階段2設(shè)計(jì)開發(fā)或采購信息系統(tǒng)設(shè)計(jì)、購買、開發(fā)或建造。l 標(biāo)識出風(fēng)險(xiǎn),以支持信息系統(tǒng)的安全分析。l 評估結(jié)果會影響到體系結(jié)構(gòu)和設(shè)計(jì)方案的權(quán)衡。階段3集成實(shí)現(xiàn)信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測試并得到驗(yàn)證。l 風(fēng)險(xiǎn)評估可支持對系統(tǒng)實(shí)現(xiàn)效果的評價(jià),考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。階段4運(yùn)行和維護(hù)信息系統(tǒng)開始執(zhí)行其功能,系統(tǒng)會被不斷修改,改變機(jī)構(gòu)的運(yùn)行規(guī)則、策略或流程等。l 定期的評估,監(jiān)控系統(tǒng)安全風(fēng)險(xiǎn)的變化,為信息安全相關(guān)決策提供依據(jù)。階段5廢棄對信息、硬件和軟件的廢棄,包括信息的轉(zhuǎn)移、備份、丟棄、銷毀以及對軟硬件進(jìn)行的密級處理。l 風(fēng)險(xiǎn)評估可以確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置,殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理。2.3 風(fēng)險(xiǎn)評估的意義風(fēng)險(xiǎn)評估的最終目的是為制定風(fēng)險(xiǎn)控制計(jì)劃提供依據(jù),為實(shí)施風(fēng)險(xiǎn)管理服務(wù)。風(fēng)險(xiǎn)評估具有如下意義和作用:(1) 明確信息系統(tǒng)的安全現(xiàn)狀。通過風(fēng)險(xiǎn)評估,可以讓信息系統(tǒng)擁有者準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀,從而明晰信息安全需求。(2) 確定信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。在評估并進(jìn)行風(fēng)險(xiǎn)分級后,可以確定信息系統(tǒng)的主要安全風(fēng)險(xiǎn),并讓系統(tǒng)擁有者選擇規(guī)避、降低、轉(zhuǎn)移、接受等風(fēng)險(xiǎn)處置措施。(3) 指導(dǎo)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。評估后,可以根據(jù)所識別出的風(fēng)險(xiǎn)情況,制定信息系統(tǒng)的安全策略及安全解決方案,從而指導(dǎo)信息系統(tǒng)安全技術(shù)體系(如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等)與管理體系(安全組織保證、安全管理制度及安全培訓(xùn)機(jī)制等)的建設(shè)。3 風(fēng)險(xiǎn)評估程序3.1 工作過程風(fēng)險(xiǎn)評估實(shí)施共分為四個階段:1) 前期準(zhǔn)備階段:本階段是對風(fēng)險(xiǎn)評估實(shí)施之前的準(zhǔn)備過程,并不涉及具體的實(shí)施工作,但是需要準(zhǔn)備實(shí)施所需的必要條件及相關(guān)信息資料。包括對風(fēng)險(xiǎn)評估進(jìn)行規(guī)劃;確定評估團(tuán)隊(duì)組成;明確風(fēng)險(xiǎn)評估范圍;準(zhǔn)備調(diào)查資料等。2) 現(xiàn)場調(diào)查階段:在本階段風(fēng)險(xiǎn)評估項(xiàng)目實(shí)施人員對被評估信息系統(tǒng)的詳細(xì)信息進(jìn)行調(diào)查,收集進(jìn)行風(fēng)險(xiǎn)分析數(shù)據(jù)信息,包括信息系統(tǒng)資產(chǎn)組成、系統(tǒng)資產(chǎn)脆弱點(diǎn)、組織管理脆弱點(diǎn)、威脅因素、安全需求等。3) 風(fēng)險(xiǎn)分析階段:本階段根據(jù)現(xiàn)場調(diào)查階段獲得的系統(tǒng)相關(guān)數(shù)據(jù),選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法對目標(biāo)信息系統(tǒng)的風(fēng)險(xiǎn)狀況進(jìn)行綜合分析,得出系統(tǒng)當(dāng)前所面臨風(fēng)險(xiǎn)的結(jié)論。4) 策略制定階段:本階段根據(jù)風(fēng)險(xiǎn)分析結(jié)果,結(jié)合目標(biāo)信息系統(tǒng)的安全需求制定相應(yīng)的安全策略,包括安全管理策略、安全運(yùn)行策略和安全體系規(guī)劃。3.2 風(fēng)險(xiǎn)評估人員組織在風(fēng)險(xiǎn)評估過程中,人是各項(xiàng)活動的執(zhí)行者,如何選擇適合的人員組建評估團(tuán)隊(duì)是風(fēng)險(xiǎn)評估的成敗關(guān)鍵。根據(jù)我們的實(shí)踐,評估團(tuán)隊(duì)?wèi)?yīng)該包括幾個方面的人員:l 業(yè)務(wù)流程分析人員。業(yè)務(wù)流程分析是風(fēng)險(xiǎn)分析的基礎(chǔ),只有對信息系統(tǒng)所支持業(yè)務(wù)流程非常熟悉,才可能準(zhǔn)確識別信息系統(tǒng)的核心資產(chǎn)和價(jià)值。業(yè)務(wù)流程分析人員可以由信息系統(tǒng)的設(shè)計(jì)者(或決策者、運(yùn)行負(fù)責(zé)人等)擔(dān)任,也可以由其他專業(yè)人員擔(dān)任。業(yè)務(wù)流程分析人員的主要職責(zé)是準(zhǔn)確識別出信息系統(tǒng)的重要信息資產(chǎn),并對其價(jià)值、重要性作出評估。l 信息安全專業(yè)人員。這是風(fēng)險(xiǎn)分析工作的主要完成者,主要負(fù)責(zé)對信息系統(tǒng)安全威脅背景、系統(tǒng)存在的脆弱性進(jìn)行分析。此類人員要求有比較豐富的信息安全知識,并對信息系統(tǒng)存在的威脅、脆弱性具有較廣泛的知識和經(jīng)驗(yàn)。l 項(xiàng)目管理和后勤支持人員。風(fēng)險(xiǎn)評估項(xiàng)目,尤其是大型項(xiàng)目,都會涉及較多的協(xié)調(diào)、溝通工作,以及大量的文檔工作,專業(yè)的項(xiàng)目管理和后勤支持人員對于確保評估項(xiàng)目按照計(jì)劃完成、保證質(zhì)量非常重要。l 質(zhì)量監(jiān)督員。負(fù)責(zé)對項(xiàng)目質(zhì)量、進(jìn)度計(jì)劃進(jìn)行監(jiān)督,具體職責(zé)和工作方法參見3.5一節(jié)。根據(jù)經(jīng)驗(yàn),如果風(fēng)險(xiǎn)評估涉及的系統(tǒng)地理位置相對集中、規(guī)模較小,評估的主要活動是集中進(jìn)行調(diào)查、分析,需要組建相對獨(dú)立的評估團(tuán)隊(duì),成員為專職評估人員;而在對大型系統(tǒng)進(jìn)行評估時,由于涉及系統(tǒng)運(yùn)行和使用的部門眾多且相對分散,其調(diào)查活動主要依賴于相關(guān)的運(yùn)行和使用部門的員工完成,評估團(tuán)隊(duì)主要起策劃和推動評估活動作用,同時依據(jù)調(diào)查數(shù)據(jù),完成風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)策略選擇工作。在風(fēng)險(xiǎn)評估之前,需要對評估團(tuán)隊(duì)成員進(jìn)行風(fēng)險(xiǎn)評估相關(guān)知識的正式培訓(xùn),以適應(yīng)接下來的評估活動。培訓(xùn)內(nèi)容包括風(fēng)險(xiǎn)評估方法、組織業(yè)務(wù)、溝通技巧、安全評估工具使用等。3.3 數(shù)據(jù)采集在我們的實(shí)踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類:l 調(diào)查表格。這是根據(jù)一定的采集目的而專門設(shè)計(jì)的表格,根據(jù)調(diào)查內(nèi)容的不同、調(diào)查對象的不同、調(diào)查方式的不同、工作計(jì)劃的安排而設(shè)計(jì)。調(diào)查表格的種類非常多。設(shè)計(jì)調(diào)查表格是風(fēng)險(xiǎn)評估準(zhǔn)備階段的主要內(nèi)容之一。我們常用的調(diào)查表有:資產(chǎn)調(diào)查表、安全威脅調(diào)查表、安全需求調(diào)查表、安全策略調(diào)查表等。l 技術(shù)分析工具。常用的是一些系統(tǒng)脆弱性分析工具,如:掃描器、系統(tǒng)安全檢查工具等。通過技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性,并對已有安全技術(shù)措施是否發(fā)揮采集客觀的數(shù)據(jù)。l 信息系統(tǒng)資料。風(fēng)險(xiǎn)評估還需要通過查閱、分析、整理信息系統(tǒng)相關(guān)資料來收集相關(guān)資料。信息系統(tǒng)資料涉及的范圍很廣,常見的有:系統(tǒng)規(guī)劃資料、建設(shè)資料、運(yùn)行記錄、事故處理記錄、升級記錄、管理制度等。3.4 分析方法的選擇風(fēng)險(xiǎn)評估的關(guān)鍵在于根據(jù)所收集的資料,采取一定的分析方法,得出信息系統(tǒng)安全風(fēng)險(xiǎn)的結(jié)論,因此,分析方法的正確選擇是風(fēng)險(xiǎn)評估的核心。一般來說,風(fēng)險(xiǎn)分析的方法基本分為三類:l 定量分析方法定量分析方法是指運(yùn)用數(shù)量指標(biāo)來對風(fēng)險(xiǎn)進(jìn)行評估,典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風(fēng)險(xiǎn)圖法等。在定量風(fēng)險(xiǎn)分析中,目標(biāo)是試圖為在風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個組成部分計(jì)算客觀數(shù)字值。 例如,用替換成本、生產(chǎn)率損失成本、品牌名譽(yù)成本以及其他直接和間接商業(yè)價(jià)值來估計(jì)各個組織資產(chǎn)的真實(shí)價(jià)值。計(jì)算資產(chǎn)脆弱點(diǎn)、控制成本以及在風(fēng)險(xiǎn)管理流程中確定的所有其他值時,盡量具有相同的客觀性。定量的分析方法的優(yōu)點(diǎn)是用直觀的數(shù)據(jù)來表述評估的結(jié)果,對于一般信息系統(tǒng)用戶,尤其是決策層,比較直觀和客觀。定量分析方法的采用,可以使評估結(jié)果更科學(xué),更嚴(yán)密,更深刻。但在實(shí)際使用中,此方法有一些難以克服的明顯缺點(diǎn)。首先,沒有正式且嚴(yán)格的方法來有效計(jì)算信息資產(chǎn)和控制措施的價(jià)值。根據(jù)我們的項(xiàng)目經(jīng)驗(yàn),盡管定量方法可以提供更多詳細(xì)資料佐證,但數(shù)字還是估計(jì)而來。有些數(shù)據(jù)難以精確地計(jì)算,如安全事件可能對品牌造成的影響。其次,定量分析過程工作量很大,需要非常長的時間來完成全部工作,通常還會出現(xiàn)對如何計(jì)算具體價(jià)值的爭論,風(fēng)險(xiǎn)評估本身的成本代價(jià)很大。l 定性分析方法定性的分析方法主要依據(jù)評估者的知識、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過程。在工程實(shí)踐中,定性分析主要以與調(diào)查對象的深入訪談做出個案記錄為基本資料,然后通過一個理論推導(dǎo)演繹的分析框架,對資料進(jìn)行編碼整理,在此基礎(chǔ)上做出評估結(jié)論。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德爾斐法。定性風(fēng)險(xiǎn)分析與定量風(fēng)險(xiǎn)分析的區(qū)別在于在前一方法中不用向資產(chǎn)分配難以確定的財(cái)務(wù)價(jià)值、預(yù)期損失和控制成本,取而代之的是計(jì)算相對值。在實(shí)踐中,可以通過調(diào)查表和合作討論會的形式進(jìn)行風(fēng)險(xiǎn)分析,分析活動會涉及來自信息系統(tǒng)運(yùn)行和使用相關(guān)的各個部門的人員,例如:信息安全專家、信息技術(shù)經(jīng)理和員工、資產(chǎn)所有者、用戶以及高級管理人員等。 定性分析在于一個資產(chǎn)和另一個資產(chǎn)價(jià)值之間的比較是相對的,分析者不會用大量的時間來嘗試為資產(chǎn)評估計(jì)算精確的財(cái)務(wù)數(shù)字。計(jì)算轉(zhuǎn)變?yōu)楝F(xiàn)實(shí)的風(fēng)險(xiǎn)的可能影響以及實(shí)施控制所需的成本也同樣如此。 定性方法的優(yōu)點(diǎn)是克服了為資產(chǎn)價(jià)值、控制成本等計(jì)算精確數(shù)字的挑戰(zhàn)。定性風(fēng)險(xiǎn)分析項(xiàng)目的時間進(jìn)度一般比定量方法的時間短,成本易于控制。定性方法的缺點(diǎn)是得出的數(shù)字是含糊的,分析結(jié)論對于決策者不直觀。但定性評估方法的優(yōu)點(diǎn)是避免了定量方法的缺點(diǎn),可以挖掘出一些蘊(yùn)藏很深的思想,使評估的結(jié)論更全面、更深刻;但它的主觀性很強(qiáng),對評估者本身的要求很高。l 綜合分析方法安全風(fēng)險(xiǎn)管理的定性方法和定量方法都具有各自的優(yōu)點(diǎn)與缺點(diǎn)。 在某些情況下會要求采用定量方法,而在其他情況下定性的評估方法更能滿足組織需求。下表概括介紹了定量和定性方法的優(yōu)點(diǎn)與缺點(diǎn):優(yōu)點(diǎn)缺點(diǎn)定量方法l 按財(cái)務(wù)影響確定風(fēng)險(xiǎn)優(yōu)先級;按財(cái)務(wù)價(jià)值確定資產(chǎn)優(yōu)先級。l 結(jié)果通過安全投資收益推動風(fēng)險(xiǎn)管理。l 結(jié)果可用因管理而異的術(shù)語來表達(dá)(例如貨幣值和表達(dá)為具體百分比的可能性)。l 隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗(yàn),其精確度將隨時間的推移而提高。l 分配給風(fēng)險(xiǎn)的影響值以分析參與者的主觀意見為基礎(chǔ)。l 達(dá)成可靠結(jié)果和一致意見的流程非常耗時。l 計(jì)算可能會非常復(fù)雜且耗時。l 結(jié)果只用財(cái)務(wù)術(shù)語來表達(dá),對非技術(shù)性人員而言可能難以解釋。l 流程要求專業(yè)技術(shù),因此參與者無法輕松通過流程獲得指導(dǎo)。定性方法l 使可見性和了解風(fēng)險(xiǎn)排列成為可能。l 更容易達(dá)成一致意見。l 無需量化威脅頻率。l 無需確定資產(chǎn)的財(cái)務(wù)價(jià)值。l 更便于不是安全或計(jì)算機(jī)專家的人員參與。l 在重要的風(fēng)險(xiǎn)之間沒有足夠的區(qū)別。l 難以證明投資控制措施實(shí)施是否正確,因?yàn)闆]有為成本效益分析提供基礎(chǔ)。l 結(jié)果取決于建立的風(fēng)險(xiǎn)管理小組的素質(zhì)。系統(tǒng)風(fēng)險(xiǎn)分析是一個復(fù)雜的過程,需要考慮的因素很多,有些要素是可以用量化的形式來表達(dá),而對有些要素的量化又是很困難甚至是不可能的,所以,在風(fēng)險(xiǎn)評估過程中一味的追求量化是不現(xiàn)實(shí)的。我們認(rèn)為定量分析是定性分析的基礎(chǔ)和前提,定性分析應(yīng)建立在定量分析的基礎(chǔ)上才能揭示系統(tǒng)客觀存在的風(fēng)險(xiǎn);而定性分析則是靈魂,是形成概念、觀點(diǎn),做出判斷,得出結(jié)論所必須依靠的。在復(fù)雜的信息系統(tǒng)風(fēng)險(xiǎn)評估過程中,不能將定性分析和定量分析兩種方法簡單的割裂開來,而是應(yīng)該將這兩種方法融合起來,采用綜合的評估方法。在我們的實(shí)踐中,曾經(jīng)發(fā)展了兩個分析方法,可用于定性分析和定量分析,在第4節(jié)中會對此進(jìn)行介紹。3.5 質(zhì)量保證鑒于風(fēng)險(xiǎn)評估項(xiàng)目具有一定的復(fù)雜性和主觀性,只有進(jìn)行完善的質(zhì)量控制和嚴(yán)格的流程管理,才能保證風(fēng)險(xiǎn)評估項(xiàng)目的最終質(zhì)量。風(fēng)險(xiǎn)評估項(xiàng)目的質(zhì)量保障主要體現(xiàn)在實(shí)施流程的透明性以及對整體項(xiàng)目的可控性,質(zhì)量保障活動需要在評估項(xiàng)目實(shí)施中提供足夠的可見性,確保項(xiàng)目實(shí)施按照規(guī)定的標(biāo)準(zhǔn)流程進(jìn)行。在我們的實(shí)踐中,設(shè)立質(zhì)量監(jiān)督員(或聘請獨(dú)立的項(xiàng)目監(jiān)理擔(dān)任)是一個有效的方法。在項(xiàng)目小組中,質(zhì)量監(jiān)督員將保持中立性,直接向項(xiàng)目的最高領(lǐng)導(dǎo)人匯報(bào)工作。質(zhì)量監(jiān)督員將依照相應(yīng)各階段的實(shí)施標(biāo)準(zhǔn),通過記錄審核、流程監(jiān)理、組織評審、異常報(bào)告等方式對項(xiàng)目的進(jìn)度、質(zhì)量進(jìn)行控制。為了使項(xiàng)目質(zhì)量控制活動能夠規(guī)范、有效地運(yùn)作,必須應(yīng)用各類質(zhì)量控制表格使質(zhì)量控制流程標(biāo)準(zhǔn)化,為質(zhì)量控制活動提供工具保障4 風(fēng)險(xiǎn)分析方法4.1 概述風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)評估活動的核心部分。通過風(fēng)險(xiǎn)分析,將在所識別的信息資產(chǎn)、威脅背景和信息系統(tǒng)脆弱性三者之間建立起關(guān)系,從而得出信息系統(tǒng)潛在損失情況的結(jié)論。所謂風(fēng)險(xiǎn)分析方法,就是如何找到三者之間存在的客觀“關(guān)系”,從而確定出客觀的潛在損失(即風(fēng)險(xiǎn))的結(jié)論。下面主要介紹兩種我們在實(shí)踐中使用的基本風(fēng)險(xiǎn)分析方法“威脅樹”分析方法和“威脅路徑”分析方法。4.2 “威脅樹”分析方法“威脅樹”分析方法是我們借鑒反應(yīng)堆可靠性工程的一種分析方法而發(fā)展的。該分析法圍繞信息資產(chǎn)的“機(jī)密性”、“完整性”和“可用性”三個最基本的安全需求,針對信息系統(tǒng)構(gòu)建相應(yīng)的信息流程模型,然后以該模型為出發(fā)點(diǎn),詳細(xì)分析系統(tǒng)中可能存在的、針對信息上“三性”的潛在威脅和后果。分析方法采用“樹”狀的結(jié)構(gòu),詳細(xì)分解每一類安全威脅,其“根”就是對“機(jī)密性”、“完整性”和“可用性”的威脅。如下圖所示:*(資產(chǎn)名稱)機(jī)密性威脅(TC)|- 線路竊聽(1)| |-內(nèi)部線路竊聽(1)| |-開放線路竊聽(2)|- 非法訪問 (2)|“威脅樹分析”要求對每一個威脅因素逐層進(jìn)行編號,如:TC.1.2 則表示通過對開放性線路的竊聽而造成的對信息資產(chǎn)機(jī)密性的威脅,以便于標(biāo)識。對于每一個信息資產(chǎn)而言,其威脅樹由“三棵樹”組成,即:機(jī)密性威脅樹、完整性威脅樹、可用性威脅樹。在具體項(xiàng)目中,有時會出現(xiàn)某一些信息資產(chǎn)(或某一類資產(chǎn))缺失一棵(或兩棵樹)的情況,這要根據(jù)信息系統(tǒng)所支持核心業(yè)務(wù)的情況來確定。每一顆樹的“根”為資產(chǎn)的安全屬性,“葉子”則為所識別出的信息系統(tǒng)安全威脅,“樹枝”則是聯(lián)系各個威脅與相應(yīng)資產(chǎn)安全屬性的紐帶。各個樹枝是根據(jù)系統(tǒng)脆弱性調(diào)研的結(jié)果來予以確定的,具體分析時,還需要分析者根據(jù)所掌握的信息安全知識、所了解的最新信息安全態(tài)勢情況,作出一些假設(shè)?!巴{樹”分析支持定性、定量的分析方式。定性分析時,首先需要對資產(chǎn)安全屬性受到破壞后的損失給出定性的結(jié)論(如:分級);然后針對每一個“葉子”,根據(jù)“威脅樹”上樹枝的結(jié)構(gòu),綜合考慮該威脅實(shí)際發(fā)生的可能性和成功威脅到相應(yīng)屬性的難度,確定威脅成功的可能性級別。定量分析時則是將上面的損失轉(zhuǎn)化為絕對的資金金額,威脅成功的可能性轉(zhuǎn)化為概率?!巴{樹”分析的結(jié)果可以有三個形式:一個是按照威脅列表的潛在損失結(jié)果,一個是按照資產(chǎn)列表的潛在損失結(jié)果,一個將所有損失依據(jù)一定規(guī)則累加后的結(jié)果。威脅列表對于確定重點(diǎn)的防范對象有重要意義,資產(chǎn)列表對于確定重點(diǎn)的保護(hù)對象有重要意義,累加后的結(jié)果則對整體安全有一個了解。一般來說,定性分析時,前面兩個結(jié)果的意義更大一些,定量時三個結(jié)果都有很大的意義?!巴{樹”分析方法的優(yōu)點(diǎn)是分析細(xì)致,但相應(yīng)的缺點(diǎn)是工作量非常大。以典型的信息系統(tǒng)為例,如果有10個資產(chǎn)、20個識別出的威脅,則需要構(gòu)造:10x3棵樹,每棵樹有20個葉子。在整理威脅列表的分析結(jié)果時,針對每一個威脅需要整合30棵樹的分析結(jié)果。因此,“威脅樹”方法比較適合于結(jié)構(gòu)簡單的信息系統(tǒng),或者用于對系統(tǒng)局部的分析。實(shí)際使用中,可以通過合理簡化信息系統(tǒng)結(jié)構(gòu)以減少工作量。另外,準(zhǔn)確確定信息系統(tǒng)的威脅背景,對于減少工作量也很有幫助。以我們的經(jīng)驗(yàn)為例,目前已經(jīng)積累的威脅種類在300種左右,但在實(shí)際應(yīng)用中,通過對威脅進(jìn)行適當(dāng)?shù)姆诸?、歸并,并根據(jù)信息系統(tǒng)的實(shí)際運(yùn)行環(huán)境的分析,去除一部分不存在(或可不予以考慮)的威脅,將威脅數(shù)量控制在50種以內(nèi)是完全可能的。4.3 “威脅路徑”分析方法“威脅路徑”分析方法則是根據(jù)信息系統(tǒng)的組成結(jié)構(gòu),在確定信息資產(chǎn)分布的前提下,針對可能的威脅源,分析其在系統(tǒng)中可能的對指定資產(chǎn)的攻擊路徑,從而確定威脅最終造成資產(chǎn)損失的可能性。下面通過一個簡單例子說明該方法的特點(diǎn)。下圖為某地區(qū)信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu):系統(tǒng)中最重要的信息資產(chǎn)為信息中心的數(shù)據(jù),主要有:l 核心數(shù)據(jù):存放在信息中心的數(shù)據(jù)庫服務(wù)器以及應(yīng)用服務(wù)器上;l 業(yè)務(wù)數(shù)據(jù):分別存放在應(yīng)用服務(wù)器、認(rèn)證管理服務(wù)器上、網(wǎng)絡(luò)管理數(shù)據(jù)、系統(tǒng)管理數(shù)據(jù);l 備份數(shù)據(jù):分別存放在備份服務(wù)器上;l 內(nèi)部數(shù)據(jù):存放在信息中心二級網(wǎng)絡(luò)交換機(jī)鏈接的內(nèi)部網(wǎng)絡(luò)中。與核心網(wǎng)絡(luò)相連的網(wǎng)絡(luò)用戶基本可以分為以下幾類,即:信息中心管理員、內(nèi)部網(wǎng)絡(luò)用戶、相關(guān)單位用戶、災(zāi)難恢復(fù)中心管理員。由于這些用戶物理上與核心網(wǎng)絡(luò)是連通的,因此,都可能成為潛在的攻擊者。各種用戶及其攻擊的可能性大小及其攻擊動機(jī)如表所示。用戶描述可能的攻擊動機(jī)可能性信息中心管理員信息中心信息系統(tǒng)的管理員誤操作;管理問題;報(bào)復(fù);犯罪;經(jīng)濟(jì)利益;低災(zāi)難備份中心管理員災(zāi)難恢復(fù)中心的系統(tǒng)管理員誤操作;管理問題;報(bào)復(fù);犯罪;經(jīng)濟(jì)利益;低內(nèi)部網(wǎng)絡(luò)用戶通過二級網(wǎng)絡(luò)交換機(jī)連接的用戶誤操作;管理問題;報(bào)復(fù);犯罪;經(jīng)濟(jì)利益;好奇;中相關(guān)單位用戶小、中、較大規(guī)模用戶誤操作;管理問題;報(bào)復(fù);犯罪;經(jīng)濟(jì)利益;競爭;好奇;破壞;高攻擊路徑分析如下1)信息中心管理員對核心數(shù)據(jù)的攻擊(略)2)災(zāi)難備份中心管理員對業(yè)務(wù)數(shù)據(jù)的攻擊(略)3)內(nèi)部網(wǎng)絡(luò)用戶對核心數(shù)據(jù)的攻擊5)相關(guān)單位用戶對核心數(shù)據(jù)的攻擊路徑標(biāo)識路徑描述P5.1較大規(guī)模用戶-中心路由器(或訪問服務(wù)器1)-主干交換機(jī)-應(yīng)用服務(wù)器(或數(shù)據(jù)庫服務(wù)器)P5.2中小規(guī)模用戶-備份路由器(或訪問服務(wù)器1)-主干交換機(jī)-應(yīng)用服務(wù)器(或數(shù)據(jù)庫服務(wù)器)10)相關(guān)單位用戶對應(yīng)用服務(wù)器2上業(yè)務(wù)數(shù)據(jù)的攻擊路徑標(biāo)識路徑描述P10.1較大規(guī)模用戶-中心路由器(或訪問服務(wù)器1)-主干交換機(jī)-防火墻1-交換機(jī)1-應(yīng)用服務(wù)器2P10.2中小規(guī)模用戶-備份路由器(或訪問服務(wù)器1)-主干交換機(jī)-防火墻1-交換機(jī)1-應(yīng)用服務(wù)器2P10.3較大規(guī)模用戶(或中小規(guī)模用戶)-訪問服務(wù)器2 -交換機(jī)3-防火墻2-交換機(jī)2-路由器4(或5)-路由器1或(3)-交換機(jī)1-應(yīng)用服務(wù)器215)相關(guān)單位用戶對應(yīng)用服務(wù)器3上業(yè)務(wù)數(shù)據(jù)的攻擊路徑標(biāo)識路徑描述P15.1較大規(guī)模用戶(或中小規(guī)模用戶)-訪問服務(wù)器2 -交換機(jī)3-防火墻2-交換機(jī)2-應(yīng)用服務(wù)器3上面列出了攻擊可能性較高的相關(guān)單位用戶的直接攻擊的路徑分析結(jié)果。在提取了路徑后,需要根據(jù)實(shí)際情況對每條攻擊路徑成功的可能性作一分析,如:攻擊路徑P5.1與P10.1相比,在中心路由器和主干交換機(jī)不作任何安全設(shè)置,服務(wù)器安全設(shè)置一樣的情況下,如果防火墻正確設(shè)置了安全策略,P10.1成功的可能性要小于P5.1?!巴{路徑法”也可以得出定性或定量的結(jié)果。與“威脅樹”方法相比,“威脅路徑法”更直觀一些?!巴{路徑法”還有一個最大的優(yōu)勢是便于信息安全措施的部署。需要說明的是“威脅路徑法”分析的時候,不一定是按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析,還可以根據(jù)系統(tǒng)的邏輯架構(gòu)、系統(tǒng)的業(yè)務(wù)處理流程分析。“威脅路徑”分析的結(jié)論除了系統(tǒng)潛在損失的大小外,更為重要的是要找出減少損失的“關(guān)鍵環(huán)節(jié)”,找到需要優(yōu)先阻斷的“攻擊路徑”。5 風(fēng)險(xiǎn)評估的思考5.1 風(fēng)險(xiǎn)評估結(jié)論的可比性在進(jìn)行信息安全風(fēng)險(xiǎn)評估的實(shí)踐過程中我們感覺風(fēng)險(xiǎn)評估結(jié)論離普適性、定量化的要求還比較遠(yuǎn)。首先,評估的結(jié)果能否滿足橫向和縱向可比性的要求。所謂橫向可比性就是不同信息系統(tǒng)風(fēng)險(xiǎn)評估結(jié)論的可比性;所謂縱向可比性同一信息系統(tǒng)在不同時間風(fēng)險(xiǎn)評估結(jié)論的可比性。橫向可比性對于管理層,尤其是管理層在信息安全上的決策非常重要,畢竟確保信息安全是需要投入的。具有橫向可比性的風(fēng)險(xiǎn)評估結(jié)果可以為決策層提供一個參考的依據(jù)??v向可比性的結(jié)果對于監(jiān)控信息系統(tǒng)的風(fēng)險(xiǎn)變化、提醒決策層及時采取安全措施具有重要意義。相比較而言,實(shí)施橫向可比的風(fēng)險(xiǎn)評估要難于實(shí)施縱向可比的風(fēng)險(xiǎn)評估。其次,對于同一信息系統(tǒng),不同風(fēng)險(xiǎn)分析方法的結(jié)論是否具有可比性。這實(shí)際是對風(fēng)險(xiǎn)分析客觀性的一個要求。要滿足上述兩個要求,我們認(rèn)為比較適合的風(fēng)險(xiǎn)分析形式有以下兩類:l 絕對化數(shù)值的風(fēng)險(xiǎn)分析方法。如預(yù)期每年損失金額數(shù),或預(yù)期系統(tǒng)非計(jì)劃中斷次數(shù)、中斷時間等。絕對化數(shù)值非常有利于做縱向比較,也可以用作橫向比較。絕對化數(shù)值用于說明相同系統(tǒng)在安全措施實(shí)施前后的風(fēng)險(xiǎn)變化則非常有效,是一種定量的分析方法。在作橫向比較時,需要注意風(fēng)險(xiǎn)評估的結(jié)論并非對系統(tǒng)目前是否安全的結(jié)論,而是潛在損失的量化,因?yàn)榧词故峭瑯拥念A(yù)期損失,不同組織的承受能力也是不同的。比如,預(yù)期年100萬元的損失對于年收入超過10億的組織與年收入1000萬的組織具有不同的概念;預(yù)期年中斷時間30小時對只有OA應(yīng)用的組織與實(shí)施了ERP系統(tǒng)的組織來說也是不同的概念。絕對化數(shù)值的評估目前的難度還是比較大。一方面是各方面的數(shù)據(jù)分析整理比較困難,比如:歷史已發(fā)生事件的統(tǒng)計(jì),大多數(shù)組織缺乏對病毒事件或
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025建筑工程施工合同版樣式
- 2025合同范本貨車購買合同模板
- 2025圓通快遞承包合同范本
- 2025設(shè)備租賃合同的格式范文
- 2025股權(quán)融資合同范本
- 2025二手房買賣合同標(biāo)準(zhǔn)版本
- 醫(yī)院周末加班管理制度
- 勞保用品領(lǐng)用管理制度
- 單位飯?zhí)眯l(wèi)生管理制度
- 小食廚房衛(wèi)生管理制度
- 2024年北京控股集團(tuán)有限公司招聘筆試參考題庫含答案解析
- 勞動創(chuàng)造幸福主題班會
- 2024年移動網(wǎng)格經(jīng)理(認(rèn)證考試)備考試題庫大全-下(判斷題匯總)
- 心臟康復(fù)中醫(yī)優(yōu)勢與模式探討
- 口腔vip服務(wù)流程
- 暴發(fā)性1型糖尿病培訓(xùn)演示課件
- 幼兒園小班故事《貪吃的小豬》課件
- 日產(chǎn)軒逸說明書
- 光電技術(shù)(第5版) 習(xí)題解答 王慶有
- 2023年山東省淄博市中考?xì)v史試卷真題(含答案)
- 乙炔安全技術(shù)說明書(msds)
評論
0/150
提交評論