信息安全風(fēng)險(xiǎn)評估實(shí)踐與思考-張建軍.doc

論文集安全保密信息安全風(fēng)險(xiǎn)評估實(shí)踐與思考張建軍【摘 要】 本文對作者的風(fēng)險(xiǎn)評估實(shí)踐情況進(jìn)行了總結(jié)和分析。文中描述了風(fēng)險(xiǎn)分析程序和基于“威脅樹”和“威脅路徑”的評估方法，并對它們的適用性和特點(diǎn)進(jìn)行了分析，最后對風(fēng)險(xiǎn)評估結(jié)論的可比性和風(fēng)險(xiǎn)分析方法的要求兩個方面進(jìn)行了分析。 【關(guān)鍵詞】 信息安全 風(fēng)險(xiǎn)分析 威脅樹 威脅路徑1 引言信息安全的重要性已經(jīng)成為人們的共識，但如何實(shí)施信息安全工作卻一直是一個極富挑戰(zhàn)性的工作，尤其是在如何回答“投資與回報(bào)”以及“系統(tǒng)是否安全”這兩個問題上。如果從用戶投資的角度來看，投資信息安全，就是投資在避免一個永遠(yuǎn)不希望發(fā)生的事件。從直觀上來說，如果不希望發(fā)生的信息安全事件發(fā)生了，會對信息安全設(shè)施的投資發(fā)生懷疑，懷疑信息安全設(shè)施是否在發(fā)揮作用；如果一直沒有發(fā)生所期望的信息安全事件，則又會懷疑投資是否值得，是否過度。風(fēng)險(xiǎn)評估是回答信息安全“投資與回報(bào)”問題的一個好方法，投資信息安全就是降低信息系統(tǒng)安全風(fēng)險(xiǎn)，投資的回報(bào)就是信息安全風(fēng)險(xiǎn)的降低程度。對于“信息系統(tǒng)是否安全”這樣的問題，常見的回答就是“沒有絕對”的安全，那么“相對”的安全就是相對“信息安全風(fēng)險(xiǎn)”而言的，即：信息系統(tǒng)的潛在損失信息安全風(fēng)險(xiǎn)處在信息系統(tǒng)擁有者可以承受的范圍之內(nèi)。通過風(fēng)險(xiǎn)評估確定信息系統(tǒng)可能給擁有者造成的“損失”，還可以明確信息系統(tǒng)擁有者可以承受的損失，這是判斷信息系統(tǒng)是否安全的基礎(chǔ)。正是基于這樣一個出發(fā)點(diǎn)，我們從2000年開始，對風(fēng)險(xiǎn)評估相關(guān)的理論、方法進(jìn)行了研究，并進(jìn)行了相應(yīng)的工程實(shí)踐。經(jīng)過5年多的研究和實(shí)踐，已經(jīng)積累了一些成果，本文扼要將這些成果進(jìn)行介紹。5年的實(shí)踐，也使我們對風(fēng)險(xiǎn)分析的認(rèn)識進(jìn)一步深入，因此提出了本文最后一節(jié)的問題，這些問題將使今后風(fēng)險(xiǎn)分析研究的重點(diǎn)。2 風(fēng)險(xiǎn)評估的定義、目的和意義2.1 定義我們將風(fēng)險(xiǎn)評估定義為：按照一定的工作程序，使用嚴(yán)格定義的工具和方法，通過分析信息系統(tǒng)的資產(chǎn)、面臨的安全威脅和信息系統(tǒng)的脆弱性，對信息系統(tǒng)可能造成的潛在損失作出定性或定量的結(jié)論。從定義中可以看出，風(fēng)險(xiǎn)評估主要涉及到兩個方面的內(nèi)容，即：評估程序（在第3節(jié)中介紹）、風(fēng)險(xiǎn)的分析工具與方法（在第4節(jié)中會描述）。如果按照評估主體可以將風(fēng)險(xiǎn)評估劃分可以分為自評估、檢查評估、第三方評估三類。各類評估方式的優(yōu)缺點(diǎn)如下表：評估方式比較評估方式評估主體優(yōu)點(diǎn)缺點(diǎn)自評估組織自身熟悉系統(tǒng)，了解組織內(nèi)部存在的問題專業(yè)性不夠，容易受到干擾檢查評估上級單位，或主管部門易于開展工作，高效，組織風(fēng)險(xiǎn)得到一定的轉(zhuǎn)移對于組織的需求考慮不足第三方評估專業(yè)機(jī)構(gòu)或商業(yè)組織專業(yè)，權(quán)威性時間、經(jīng)費(fèi)限制，評估可能不夠深入從評估的范圍劃分可以分為綜合評估，技術(shù)評估，管理評估，專項(xiàng)評估。各類評估方式的關(guān)注內(nèi)容如下表：評估內(nèi)容比較評估方式評估內(nèi)容關(guān)注焦點(diǎn)應(yīng)用綜合評估綜合評估環(huán)境，信息系統(tǒng)，管理體系與組織的要求的差距風(fēng)險(xiǎn)控制能力對組織需求的滿足程度系統(tǒng)設(shè)計(jì)階段，系統(tǒng)開通前，系統(tǒng)或組織發(fā)生重大變更技術(shù)評估針對信息系統(tǒng)，安全設(shè)施進(jìn)行全面分析評估，評價(jià)技術(shù)能力與組織要求的差距技術(shù)體系信息系統(tǒng)設(shè)計(jì)，系統(tǒng)開通前，系統(tǒng)發(fā)生較大變更管理評估針對信息安全管理的組織，人員，操作進(jìn)行評估，評價(jià)管理體系與組織要求的差距管理體系系統(tǒng)運(yùn)行過程中，新系統(tǒng)上線前專項(xiàng)評估針對特定的問題，如病毒，郵件系統(tǒng)等進(jìn)行綜合深入地評估分析，評價(jià)與組織要求的差距特定問題系統(tǒng)運(yùn)行過程中，新系統(tǒng)上線前2.2 風(fēng)險(xiǎn)評估與風(fēng)險(xiǎn)管理BS7799將風(fēng)險(xiǎn)管理定義為“在可接受的成本下，標(biāo)識、控制和盡量減少（或消除）可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程”。風(fēng)險(xiǎn)評估作為其中的一個過程，主要作用是標(biāo)識、分析安全風(fēng)險(xiǎn)，制定相應(yīng)的風(fēng)險(xiǎn)控制計(jì)劃，作為實(shí)施風(fēng)險(xiǎn)控制措施、監(jiān)控風(fēng)險(xiǎn)變化、改進(jìn)風(fēng)險(xiǎn)控制措施的依據(jù)。以風(fēng)險(xiǎn)評估為核心的風(fēng)險(xiǎn)管理是一個可以在信息系統(tǒng)生命周期各主要階段實(shí)施的重復(fù)過程。通常信息系統(tǒng)生命周期包括了五個階段：系統(tǒng)規(guī)劃和啟動、設(shè)計(jì)開發(fā)或采購、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄。信息系統(tǒng)在設(shè)計(jì)階段要進(jìn)行風(fēng)險(xiǎn)評估以確定系統(tǒng)的安全目標(biāo)；在建設(shè)驗(yàn)收階段要進(jìn)行風(fēng)險(xiǎn)評估以確定系統(tǒng)的安全目標(biāo)達(dá)到與否；在運(yùn)行維護(hù)階段要不斷進(jìn)行風(fēng)險(xiǎn)評估以確定系統(tǒng)安全措施的有效性，確保安全保障目標(biāo)始終如一得以堅(jiān)持。下表描述了每個系統(tǒng)生命周期階段的特征，并說明了風(fēng)險(xiǎn)評估如何對這些階段提供支持：風(fēng)險(xiǎn)評估對信息系統(tǒng)生命周期的支持生命周期階段階段特征風(fēng)險(xiǎn)評估活動的作用階段1規(guī)劃和啟動提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。l 確定信息系統(tǒng)安全需求。階段2設(shè)計(jì)開發(fā)或采購信息系統(tǒng)設(shè)計(jì)、購買、開發(fā)或建造。l 標(biāo)識出風(fēng)險(xiǎn)，以支持信息系統(tǒng)的安全分析。l 評估結(jié)果會影響到體系結(jié)構(gòu)和設(shè)計(jì)方案的權(quán)衡。階段3集成實(shí)現(xiàn)信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測試并得到驗(yàn)證。l 風(fēng)險(xiǎn)評估可支持對系統(tǒng)實(shí)現(xiàn)效果的評價(jià)，考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。階段4運(yùn)行和維護(hù)信息系統(tǒng)開始執(zhí)行其功能，系統(tǒng)會被不斷修改，改變機(jī)構(gòu)的運(yùn)行規(guī)則、策略或流程等。l 定期的評估，監(jiān)控系統(tǒng)安全風(fēng)險(xiǎn)的變化，為信息安全相關(guān)決策提供依據(jù)。階段5廢棄對信息、硬件和軟件的廢棄，包括信息的轉(zhuǎn)移、備份、丟棄、銷毀以及對軟硬件進(jìn)行的密級處理。l 風(fēng)險(xiǎn)評估可以確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置，殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理。2.3 風(fēng)險(xiǎn)評估的意義風(fēng)險(xiǎn)評估的最終目的是為制定風(fēng)險(xiǎn)控制計(jì)劃提供依據(jù)，為實(shí)施風(fēng)險(xiǎn)管理服務(wù)。風(fēng)險(xiǎn)評估具有如下意義和作用：(1) 明確信息系統(tǒng)的安全現(xiàn)狀。通過風(fēng)險(xiǎn)評估，可以讓信息系統(tǒng)擁有者準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰信息安全需求。(2) 確定信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。在評估并進(jìn)行風(fēng)險(xiǎn)分級后，可以確定信息系統(tǒng)的主要安全風(fēng)險(xiǎn)，并讓系統(tǒng)擁有者選擇規(guī)避、降低、轉(zhuǎn)移、接受等風(fēng)險(xiǎn)處置措施。(3) 指導(dǎo)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。評估后，可以根據(jù)所識別出的風(fēng)險(xiǎn)情況，制定信息系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機(jī)制等）的建設(shè)。3 風(fēng)險(xiǎn)評估程序3.1 工作過程風(fēng)險(xiǎn)評估實(shí)施共分為四個階段：1) 前期準(zhǔn)備階段：本階段是對風(fēng)險(xiǎn)評估實(shí)施之前的準(zhǔn)備過程，并不涉及具體的實(shí)施工作，但是需要準(zhǔn)備實(shí)施所需的必要條件及相關(guān)信息資料。包括對風(fēng)險(xiǎn)評估進(jìn)行規(guī)劃；確定評估團(tuán)隊(duì)組成；明確風(fēng)險(xiǎn)評估范圍；準(zhǔn)備調(diào)查資料等。2) 現(xiàn)場調(diào)查階段：在本階段風(fēng)險(xiǎn)評估項(xiàng)目實(shí)施人員對被評估信息系統(tǒng)的詳細(xì)信息進(jìn)行調(diào)查，收集進(jìn)行風(fēng)險(xiǎn)分析數(shù)據(jù)信息，包括信息系統(tǒng)資產(chǎn)組成、系統(tǒng)資產(chǎn)脆弱點(diǎn)、組織管理脆弱點(diǎn)、威脅因素、安全需求等。3) 風(fēng)險(xiǎn)分析階段：本階段根據(jù)現(xiàn)場調(diào)查階段獲得的系統(tǒng)相關(guān)數(shù)據(jù)，選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)分析方法對目標(biāo)信息系統(tǒng)的風(fēng)險(xiǎn)狀況進(jìn)行綜合分析，得出系統(tǒng)當(dāng)前所面臨風(fēng)險(xiǎn)的結(jié)論。4) 策略制定階段：本階段根據(jù)風(fēng)險(xiǎn)分析結(jié)果，結(jié)合目標(biāo)信息系統(tǒng)的安全需求制定相應(yīng)的安全策略，包括安全管理策略、安全運(yùn)行策略和安全體系規(guī)劃。3.2 風(fēng)險(xiǎn)評估人員組織在風(fēng)險(xiǎn)評估過程中，人是各項(xiàng)活動的執(zhí)行者，如何選擇適合的人員組建評估團(tuán)隊(duì)是風(fēng)險(xiǎn)評估的成敗關(guān)鍵。根據(jù)我們的實(shí)踐，評估團(tuán)隊(duì)?wèi)?yīng)該包括幾個方面的人員：l 業(yè)務(wù)流程分析人員。業(yè)務(wù)流程分析是風(fēng)險(xiǎn)分析的基礎(chǔ)，只有對信息系統(tǒng)所支持業(yè)務(wù)流程非常熟悉，才可能準(zhǔn)確識別信息系統(tǒng)的核心資產(chǎn)和價(jià)值。業(yè)務(wù)流程分析人員可以由信息系統(tǒng)的設(shè)計(jì)者（或決策者、運(yùn)行負(fù)責(zé)人等）擔(dān)任，也可以由其他專業(yè)人員擔(dān)任。業(yè)務(wù)流程分析人員的主要職責(zé)是準(zhǔn)確識別出信息系統(tǒng)的重要信息資產(chǎn)，并對其價(jià)值、重要性作出評估。l 信息安全專業(yè)人員。這是風(fēng)險(xiǎn)分析工作的主要完成者，主要負(fù)責(zé)對信息系統(tǒng)安全威脅背景、系統(tǒng)存在的脆弱性進(jìn)行分析。此類人員要求有比較豐富的信息安全知識，并對信息系統(tǒng)存在的威脅、脆弱性具有較廣泛的知識和經(jīng)驗(yàn)。l 項(xiàng)目管理和后勤支持人員。風(fēng)險(xiǎn)評估項(xiàng)目，尤其是大型項(xiàng)目，都會涉及較多的協(xié)調(diào)、溝通工作，以及大量的文檔工作，專業(yè)的項(xiàng)目管理和后勤支持人員對于確保評估項(xiàng)目按照計(jì)劃完成、保證質(zhì)量非常重要。l 質(zhì)量監(jiān)督員。負(fù)責(zé)對項(xiàng)目質(zhì)量、進(jìn)度計(jì)劃進(jìn)行監(jiān)督，具體職責(zé)和工作方法參見3.5一節(jié)。根據(jù)經(jīng)驗(yàn)，如果風(fēng)險(xiǎn)評估涉及的系統(tǒng)地理位置相對集中、規(guī)模較小，評估的主要活動是集中進(jìn)行調(diào)查、分析，需要組建相對獨(dú)立的評估團(tuán)隊(duì)，成員為專職評估人員；而在對大型系統(tǒng)進(jìn)行評估時，由于涉及系統(tǒng)運(yùn)行和使用的部門眾多且相對分散，其調(diào)查活動主要依賴于相關(guān)的運(yùn)行和使用部門的員工完成，評估團(tuán)隊(duì)主要起策劃和推動評估活動作用，同時依據(jù)調(diào)查數(shù)據(jù)，完成風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)策略選擇工作。在風(fēng)險(xiǎn)評估之前，需要對評估團(tuán)隊(duì)成員進(jìn)行風(fēng)險(xiǎn)評估相關(guān)知識的正式培訓(xùn)，以適應(yīng)接下來的評估活動。培訓(xùn)內(nèi)容包括風(fēng)險(xiǎn)評估方法、組織業(yè)務(wù)、溝通技巧、安全評估工具使用等。3.3 數(shù)據(jù)采集在我們的實(shí)踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類：l 調(diào)查表格。這是根據(jù)一定的采集目的而專門設(shè)計(jì)的表格，根據(jù)調(diào)查內(nèi)容的不同、調(diào)查對象的不同、調(diào)查方式的不同、工作計(jì)劃的安排而設(shè)計(jì)。調(diào)查表格的種類非常多。設(shè)計(jì)調(diào)查表格是風(fēng)險(xiǎn)評估準(zhǔn)備階段的主要內(nèi)容之一。我們常用的調(diào)查表有：資產(chǎn)調(diào)查表、安全威脅調(diào)查表、安全需求調(diào)查表、安全策略調(diào)查表等。l 技術(shù)分析工具。常用的是一些系統(tǒng)脆弱性分析工具，如：掃描器、系統(tǒng)安全檢查工具等。通過技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性，并對已有安全技術(shù)措施是否發(fā)揮采集客觀的數(shù)據(jù)。l 信息系統(tǒng)資料。風(fēng)險(xiǎn)評估還需要通過查閱、分析、整理信息系統(tǒng)相關(guān)資料來收集相關(guān)資料。信息系統(tǒng)資料涉及的范圍很廣，常見的有：系統(tǒng)規(guī)劃資料、建設(shè)資料、運(yùn)行記錄、事故處理記錄、升級記錄、管理制度等。3.4 分析方法的選擇風(fēng)險(xiǎn)評估的關(guān)鍵在于根據(jù)所收集的資料，采取一定的分析方法，得出信息系統(tǒng)安全風(fēng)險(xiǎn)的結(jié)論，因此，分析方法的正確選擇是風(fēng)險(xiǎn)評估的核心。一般來說，風(fēng)險(xiǎn)分析的方法基本分為三類：l 定量分析方法定量分析方法是指運(yùn)用數(shù)量指標(biāo)來對風(fēng)險(xiǎn)進(jìn)行評估，典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風(fēng)險(xiǎn)圖法等。在定量風(fēng)險(xiǎn)分析中，目標(biāo)是試圖為在風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個組成部分計(jì)算客觀數(shù)字值。 例如，用替換成本、生產(chǎn)率損失成本、品牌名譽(yù)成本以及其他直接和間接商業(yè)價(jià)值來估計(jì)各個組織資產(chǎn)的真實(shí)價(jià)值。計(jì)算資產(chǎn)脆弱點(diǎn)、控制成本以及在風(fēng)險(xiǎn)管理流程中確定的所有其他值時，盡量具有相同的客觀性。定量的分析方法的優(yōu)點(diǎn)是用直觀的數(shù)據(jù)來表述評估的結(jié)果，對于一般信息系統(tǒng)用戶，尤其是決策層，比較直觀和客觀。定量分析方法的采用，可以使評估結(jié)果更科學(xué)，更嚴(yán)密，更深刻。但在實(shí)際使用中，此方法有一些難以克服的明顯缺點(diǎn)。首先，沒有正式且嚴(yán)格的方法來有效計(jì)算信息資產(chǎn)和控制措施的價(jià)值。根據(jù)我們的項(xiàng)目經(jīng)驗(yàn)，盡管定量方法可以提供更多詳細(xì)資料佐證，但數(shù)字還是估計(jì)而來。有些數(shù)據(jù)難以精確地計(jì)算，如安全事件可能對品牌造成的影響。其次，定量分析過程工作量很大，需要非常長的時間來完成全部工作，通常還會出現(xiàn)對如何計(jì)算具體價(jià)值的爭論，風(fēng)險(xiǎn)評估本身的成本代價(jià)很大。l 定性分析方法定性的分析方法主要依據(jù)評估者的知識、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過程。在工程實(shí)踐中，定性分析主要以與調(diào)查對象的深入訪談做出個案記錄為基本資料，然后通過一個理論推導(dǎo)演繹的分析框架，對資料進(jìn)行編碼整理，在此基礎(chǔ)上做出評估結(jié)論。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德爾斐法。定性風(fēng)險(xiǎn)分析與定量風(fēng)險(xiǎn)分析的區(qū)別在于在前一方法中不用向資產(chǎn)分配難以確定的財(cái)務(wù)價(jià)值、預(yù)期損失和控制成本，取而代之的是計(jì)算相對值。在實(shí)踐中，可以通過調(diào)查表和合作討論會的形式進(jìn)行風(fēng)險(xiǎn)分析，分析活動會涉及來自信息系統(tǒng)運(yùn)行和使用相關(guān)的各個部門的人員，例如：信息安全專家、信息技術(shù)經(jīng)理和員工、資產(chǎn)所有者、用戶以及高級管理人員等。 定性分析在于一個資產(chǎn)和另一個資產(chǎn)價(jià)值之間的比較是相對的，分析者不會用大量的時間來嘗試為資產(chǎn)評估計(jì)算精確的財(cái)務(wù)數(shù)字。計(jì)算轉(zhuǎn)變?yōu)楝F(xiàn)實(shí)的風(fēng)險(xiǎn)的可能影響以及實(shí)施控制所需的成本也同樣如此。 定性方法的優(yōu)點(diǎn)是克服了為資產(chǎn)價(jià)值、控制成本等計(jì)算精確數(shù)字的挑戰(zhàn)。定性風(fēng)險(xiǎn)分析項(xiàng)目的時間進(jìn)度一般比定量方法的時間短，成本易于控制。定性方法的缺點(diǎn)是得出的數(shù)字是含糊的，分析結(jié)論對于決策者不直觀。但定性評估方法的優(yōu)點(diǎn)是避免了定量方法的缺點(diǎn)，可以挖掘出一些蘊(yùn)藏很深的思想，使評估的結(jié)論更全面、更深刻；但它的主觀性很強(qiáng)，對評估者本身的要求很高。l 綜合分析方法安全風(fēng)險(xiǎn)管理的定性方法和定量方法都具有各自的優(yōu)點(diǎn)與缺點(diǎn)。 在某些情況下會要求采用定量方法，而在其他情況下定性的評估方法更能滿足組織需求。下表概括介紹了定量和定性方法的優(yōu)點(diǎn)與缺點(diǎn)：優(yōu)點(diǎn)缺點(diǎn)定量方法l 按財(cái)務(wù)影響確定風(fēng)險(xiǎn)優(yōu)先級；按財(cái)務(wù)價(jià)值確定資產(chǎn)優(yōu)先級。l 結(jié)果通過安全投資收益推動風(fēng)險(xiǎn)管理。l 結(jié)果可用因管理而異的術(shù)語來表達(dá)（例如貨幣值和表達(dá)為具體百分比的可能性）。l 隨著組織建立數(shù)據(jù)的歷史記錄并獲得經(jīng)驗(yàn)，其精確度將隨時間的推移而提高。l 分配給風(fēng)險(xiǎn)的影響值以分析參與者的主觀意見為基礎(chǔ)。l 達(dá)成可靠結(jié)果和一致意見的流程非常耗時。l 計(jì)算可能會非常復(fù)雜且耗時。l 結(jié)果只用財(cái)務(wù)術(shù)語來表達(dá)，對非技術(shù)性人員而言可能難以解釋。l 流程要求專業(yè)技術(shù)，因此參與者無法輕松通過流程獲得指導(dǎo)。定性方法l 使可見性和了解風(fēng)險(xiǎn)排列成為可能。l 更容易達(dá)成一致意見。l 無需量化威脅頻率。l 無需確定資產(chǎn)的財(cái)務(wù)價(jià)值。l 更便于不是安全或計(jì)算機(jī)專家的人員參與。l 在重要的風(fēng)險(xiǎn)之間沒有足夠的區(qū)別。l 難以證明投資控制措施實(shí)施是否正確，因?yàn)闆]有為成本效益分析提供基礎(chǔ)。l 結(jié)果取決于建立的風(fēng)險(xiǎn)管理小組的素質(zhì)。系統(tǒng)風(fēng)險(xiǎn)分析是一個復(fù)雜的過程，需要考慮的因素很多，有些要素是可以用量化的形式來表達(dá)，而對有些要素的量化又是很困難甚至是不可能的，所以，在風(fēng)險(xiǎn)評估過程中一味的追求量化是不現(xiàn)實(shí)的。我們認(rèn)為定量分析是定性分析的基礎(chǔ)和前提，定性分析應(yīng)建立在定量分析的基礎(chǔ)上才能揭示系統(tǒng)客觀存在的風(fēng)險(xiǎn)；而定性分析則是靈魂，是形成概念、觀點(diǎn)，做出判斷，得出結(jié)論所必須依靠的。在復(fù)雜的信息系統(tǒng)風(fēng)險(xiǎn)評估過程中，不能將定性分析和定量分析兩種方法簡單的割裂開來，而是應(yīng)該將這兩種方法融合起來，采用綜合的評估方法。在我們的實(shí)踐中，曾經(jīng)發(fā)展了兩個分析方法，可用于定性分析和定量分析，在第4節(jié)中會對此進(jìn)行介紹。3.5 質(zhì)量保證鑒于風(fēng)險(xiǎn)評估項(xiàng)目具有一定的復(fù)雜性和主觀性，只有進(jìn)行完善的質(zhì)量控制和嚴(yán)格的流程管理，才能保證風(fēng)險(xiǎn)評估項(xiàng)目的最終質(zhì)量。風(fēng)險(xiǎn)評估項(xiàng)目的質(zhì)量保障主要體現(xiàn)在實(shí)施流程的透明性以及對整體項(xiàng)目的可控性，質(zhì)量保障活動需要在評估項(xiàng)目實(shí)施中提供足夠的可見性，確保項(xiàng)目實(shí)施按照規(guī)定的標(biāo)準(zhǔn)流程進(jìn)行。在我們的實(shí)踐中，設(shè)立質(zhì)量監(jiān)督員（或聘請獨(dú)立的項(xiàng)目監(jiān)理擔(dān)任）是一個有效的方法。在項(xiàng)目小組中，質(zhì)量監(jiān)督員將保持中立性，直接向項(xiàng)目的最高領(lǐng)導(dǎo)人匯報(bào)工作。質(zhì)量監(jiān)督員將依照相應(yīng)各階段的實(shí)施標(biāo)準(zhǔn)，通過記錄審核、流程監(jiān)理、組織評審、異常報(bào)告等方式對項(xiàng)目的進(jìn)度、質(zhì)量進(jìn)行控制。為了使項(xiàng)目質(zhì)量控制活動能夠規(guī)范、有效地運(yùn)作，必須應(yīng)用各類質(zhì)量控制表格使質(zhì)量控制流程標(biāo)準(zhǔn)化，為質(zhì)量控制活動提供工具保障4 風(fēng)險(xiǎn)分析方法4.1 概述風(fēng)險(xiǎn)分析是風(fēng)險(xiǎn)評估活動的核心部分。通過風(fēng)險(xiǎn)分析，將在所識別的信息資產(chǎn)、威脅背景和信息系統(tǒng)脆弱性三者之間建立起關(guān)系，從而得出信息系統(tǒng)潛在損失情況的結(jié)論。所謂風(fēng)險(xiǎn)分析方法，就是如何找到三者之間存在的客觀“關(guān)系”，從而確定出客觀的潛在損失（即風(fēng)險(xiǎn)）的結(jié)論。下面主要介紹兩種我們在實(shí)踐中使用的基本風(fēng)險(xiǎn)分析方法“威脅樹”分析方法和“威脅路徑”分析方法。4.2 “威脅樹”分析方法“威脅樹”分析方法是我們借鑒反應(yīng)堆可靠性工程的一種分析方法而發(fā)展的。該分析法圍繞信息資產(chǎn)的“機(jī)密性”、“完整性”和“可用性”三個最基本的安全需求，針對信息系統(tǒng)構(gòu)建相應(yīng)的信息流程模型，然后以該模型為出發(fā)點(diǎn)，詳細(xì)分析系統(tǒng)中可能存在的、針對信息上“三性”的潛在威脅和后果。分析方法采用“樹”狀的結(jié)構(gòu)，詳細(xì)分解每一類安全威脅，其“根”就是對“機(jī)密性”、“完整性”和“可用性”的威脅。如下圖所示：*（資產(chǎn)名稱）機(jī)密性威脅（TC）|- 線路竊聽（1）| |-內(nèi)部線路竊聽（1）| |-開放線路竊聽（2）|- 非法訪問 (2)|“威脅樹分析”要求對每一個威脅因素逐層進(jìn)行編號，如：TC.1.2 則表示通過對開放性線路的竊聽而造成的對信息資產(chǎn)機(jī)密性的威脅，以便于標(biāo)識。對于每一個信息資產(chǎn)而言，其威脅樹由“三棵樹”組成，即：機(jī)密性威脅樹、完整性威脅樹、可用性威脅樹。在具體項(xiàng)目中，有時會出現(xiàn)某一些信息資產(chǎn)（或某一類資產(chǎn)）缺失一棵（或兩棵樹）的情況，這要根據(jù)信息系統(tǒng)所支持核心業(yè)務(wù)的情況來確定。每一顆樹的“根”為資產(chǎn)的安全屬性，“葉子”則為所識別出的信息系統(tǒng)安全威脅，“樹枝”則是聯(lián)系各個威脅與相應(yīng)資產(chǎn)安全屬性的紐帶。各個樹枝是根據(jù)系統(tǒng)脆弱性調(diào)研的結(jié)果來予以確定的，具體分析時，還需要分析者根據(jù)所掌握的信息安全知識、所了解的最新信息安全態(tài)勢情況，作出一些假設(shè)?！巴{樹”分析支持定性、定量的分析方式。定性分析時，首先需要對資產(chǎn)安全屬性受到破壞后的損失給出定性的結(jié)論（如：分級）；然后針對每一個“葉子”，根據(jù)“威脅樹”上樹枝的結(jié)構(gòu)，綜合考慮該威脅實(shí)際發(fā)生的可能性和成功威脅到相應(yīng)屬性的難度，確定威脅成功的可能性級別。定量分析時則是將上面的損失轉(zhuǎn)化為絕對的資金金額，威脅成功的可能性轉(zhuǎn)化為概率?！巴{樹”分析的結(jié)果可以有三個形式：一個是按照威脅列表的潛在損失結(jié)果，一個是按照資產(chǎn)列表的潛在損失結(jié)果，一個將所有損失依據(jù)一定規(guī)則累加后的結(jié)果。威脅列表對于確定重點(diǎn)的防范對象有重要意義，資產(chǎn)列表對于確定重點(diǎn)的保護(hù)對象有重要意義，累加后的結(jié)果則對整體安全有一個了解。一般來說，定性分析時，前面兩個結(jié)果的意義更大一些，定量時三個結(jié)果都有很大的意義?！巴{樹”分析方法的優(yōu)點(diǎn)是分析細(xì)致，但相應(yīng)的缺點(diǎn)是工作量非常大。以典型的信息系統(tǒng)為例，如果有10個資產(chǎn)、20個識別出的威脅，則需要構(gòu)造：10x3棵樹，每棵樹有20個葉子。在整理威脅列表的分析結(jié)果時，針對每一個威脅需要整合30棵樹的分析結(jié)果。因此，“威脅樹”方法比較適合于結(jié)構(gòu)簡單的信息系統(tǒng)，或者用于對系統(tǒng)局部的分析。實(shí)際使用中，可以通過合理簡化信息系統(tǒng)結(jié)構(gòu)以減少工作量。另外，準(zhǔn)確確定信息系統(tǒng)的威脅背景，對于減少工作量也很有幫助。以我們的經(jīng)驗(yàn)為例，目前已經(jīng)積累的威脅種類在300種左右，但在實(shí)際應(yīng)用中，通過對威脅進(jìn)行適當(dāng)?shù)姆诸?、歸并，并根據(jù)信息系統(tǒng)的實(shí)際運(yùn)行環(huán)境的分析，去除一部分不存在（或可不予以考慮）的威脅，將威脅數(shù)量控制在50種以內(nèi)是完全可能的。4.3 “威脅路徑”分析方法“威脅路徑”分析方法則是根據(jù)信息系統(tǒng)的組成結(jié)構(gòu)，在確定信息資產(chǎn)分布的前提下，針對可能的威脅源，分析其在系統(tǒng)中可能的對指定資產(chǎn)的攻擊路徑，從而確定威脅最終造成資產(chǎn)損失的可能性。下面通過一個簡單例子說明該方法的特點(diǎn)。下圖為某地區(qū)信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)：系統(tǒng)中最重要的信息資產(chǎn)為信息中心的數(shù)據(jù)，主要有：l 核心數(shù)據(jù)：存放在信息中心的數(shù)據(jù)庫服務(wù)器以及應(yīng)用服務(wù)器上；l 業(yè)務(wù)數(shù)據(jù)：分別存放在應(yīng)用服務(wù)器、認(rèn)證管理服務(wù)器上、網(wǎng)絡(luò)管理數(shù)據(jù)、系統(tǒng)管理數(shù)據(jù)；l 備份數(shù)據(jù)：分別存放在備份服務(wù)器上；l 內(nèi)部數(shù)據(jù)：存放在信息中心二級網(wǎng)絡(luò)交換機(jī)鏈接的內(nèi)部網(wǎng)絡(luò)中。與核心網(wǎng)絡(luò)相連的網(wǎng)絡(luò)用戶基本可以分為以下幾類，即：信息中心管理員、內(nèi)部網(wǎng)絡(luò)用戶、相關(guān)單位用戶、災(zāi)難恢復(fù)中心管理員。由于這些用戶物理上與核心網(wǎng)絡(luò)是連通的，因此，都可能成為潛在的攻擊者。各種用戶及其攻擊的可能性大小及其攻擊動機(jī)如表所示。用戶描述可能的攻擊動機(jī)可能性信息中心管理員信息中心信息系統(tǒng)的管理員誤操作；管理問題；報(bào)復(fù)；犯罪；經(jīng)濟(jì)利益；低災(zāi)難備份中心管理員災(zāi)難恢復(fù)中心的系統(tǒng)管理員誤操作；管理問題；報(bào)復(fù)；犯罪；經(jīng)濟(jì)利益；低內(nèi)部網(wǎng)絡(luò)用戶通過二級網(wǎng)絡(luò)交換機(jī)連接的用戶誤操作；管理問題；報(bào)復(fù)；犯罪；經(jīng)濟(jì)利益；好奇；中相關(guān)單位用戶小、中、較大規(guī)模用戶誤操作；管理問題；報(bào)復(fù)；犯罪；經(jīng)濟(jì)利益；競爭；好奇；破壞；高攻擊路徑分析如下1）信息中心管理員對核心數(shù)據(jù)的攻擊(略)2）災(zāi)難備份中心管理員對業(yè)務(wù)數(shù)據(jù)的攻擊（略）3）內(nèi)部網(wǎng)絡(luò)用戶對核心數(shù)據(jù)的攻擊5)相關(guān)單位用戶對核心數(shù)據(jù)的攻擊路徑標(biāo)識路徑描述P5.1較大規(guī)模用戶-中心路由器（或訪問服務(wù)器1）-主干交換機(jī)-應(yīng)用服務(wù)器（或數(shù)據(jù)庫服務(wù)器）P5.2中小規(guī)模用戶-備份路由器（或訪問服務(wù)器1）-主干交換機(jī)-應(yīng)用服務(wù)器（或數(shù)據(jù)庫服務(wù)器）10)相關(guān)單位用戶對應(yīng)用服務(wù)器2上業(yè)務(wù)數(shù)據(jù)的攻擊路徑標(biāo)識路徑描述P10.1較大規(guī)模用戶-中心路由器（或訪問服務(wù)器1）-主干交換機(jī)-防火墻1-交換機(jī)1-應(yīng)用服務(wù)器2P10.2中小規(guī)模用戶-備份路由器（或訪問服務(wù)器1）-主干交換機(jī)-防火墻1-交換機(jī)1-應(yīng)用服務(wù)器2P10.3較大規(guī)模用戶（或中小規(guī)模用戶）-訪問服務(wù)器2 -交換機(jī)3-防火墻2-交換機(jī)2-路由器4（或5）-路由器1或（3）-交換機(jī)1-應(yīng)用服務(wù)器215)相關(guān)單位用戶對應(yīng)用服務(wù)器3上業(yè)務(wù)數(shù)據(jù)的攻擊路徑標(biāo)識路徑描述P15.1較大規(guī)模用戶（或中小規(guī)模用戶）-訪問服務(wù)器2 -交換機(jī)3-防火墻2-交換機(jī)2-應(yīng)用服務(wù)器3上面列出了攻擊可能性較高的相關(guān)單位用戶的直接攻擊的路徑分析結(jié)果。在提取了路徑后，需要根據(jù)實(shí)際情況對每條攻擊路徑成功的可能性作一分析，如：攻擊路徑P5.1與P10.1相比，在中心路由器和主干交換機(jī)不作任何安全設(shè)置，服務(wù)器安全設(shè)置一樣的情況下，如果防火墻正確設(shè)置了安全策略，P10.1成功的可能性要小于P5.1?！巴{路徑法”也可以得出定性或定量的結(jié)果。與“威脅樹”方法相比，“威脅路徑法”更直觀一些?！巴{路徑法”還有一個最大的優(yōu)勢是便于信息安全措施的部署。需要說明的是“威脅路徑法”分析的時候，不一定是按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析，還可以根據(jù)系統(tǒng)的邏輯架構(gòu)、系統(tǒng)的業(yè)務(wù)處理流程分析。“威脅路徑”分析的結(jié)論除了系統(tǒng)潛在損失的大小外，更為重要的是要找出減少損失的“關(guān)鍵環(huán)節(jié)”，找到需要優(yōu)先阻斷的“攻擊路徑”。5 風(fēng)險(xiǎn)評估的思考5.1 風(fēng)險(xiǎn)評估結(jié)論的可比性在進(jìn)行信息安全風(fēng)險(xiǎn)評估的實(shí)踐過程中我們感覺風(fēng)險(xiǎn)評估結(jié)論離普適性、定量化的要求還比較遠(yuǎn)。首先，評估的結(jié)果能否滿足橫向和縱向可比性的要求。所謂橫向可比性就是不同信息系統(tǒng)風(fēng)險(xiǎn)評估結(jié)論的可比性；所謂縱向可比性同一信息系統(tǒng)在不同時間風(fēng)險(xiǎn)評估結(jié)論的可比性。橫向可比性對于管理層，尤其是管理層在信息安全上的決策非常重要，畢竟確保信息安全是需要投入的。具有橫向可比性的風(fēng)險(xiǎn)評估結(jié)果可以為決策層提供一個參考的依據(jù)?？v向可比性的結(jié)果對于監(jiān)控信息系統(tǒng)的風(fēng)險(xiǎn)變化、提醒決策層及時采取安全措施具有重要意義。相比較而言，實(shí)施橫向可比的風(fēng)險(xiǎn)評估要難于實(shí)施縱向可比的風(fēng)險(xiǎn)評估。其次，對于同一信息系統(tǒng)，不同風(fēng)險(xiǎn)分析方法的結(jié)論是否具有可比性。這實(shí)際是對風(fēng)險(xiǎn)分析客觀性的一個要求。要滿足上述兩個要求，我們認(rèn)為比較適合的風(fēng)險(xiǎn)分析形式有以下兩類：l 絕對化數(shù)值的風(fēng)險(xiǎn)分析方法。如預(yù)期每年損失金額數(shù)，或預(yù)期系統(tǒng)非計(jì)劃中斷次數(shù)、中斷時間等。絕對化數(shù)值非常有利于做縱向比較，也可以用作橫向比較。絕對化數(shù)值用于說明相同系統(tǒng)在安全措施實(shí)施前后的風(fēng)險(xiǎn)變化則非常有效，是一種定量的分析方法。在作橫向比較時，需要注意風(fēng)險(xiǎn)評估的結(jié)論并非對系統(tǒng)目前是否安全的結(jié)論，而是潛在損失的量化，因?yàn)榧词故峭瑯拥念A(yù)期損失，不同組織的承受能力也是不同的。比如，預(yù)期年100萬元的損失對于年收入超過10億的組織與年收入1000萬的組織具有不同的概念；預(yù)期年中斷時間30小時對只有OA應(yīng)用的組織與實(shí)施了ERP系統(tǒng)的組織來說也是不同的概念。絕對化數(shù)值的評估目前的難度還是比較大。一方面是各方面的數(shù)據(jù)分析整理比較困難，比如：歷史已發(fā)生事件的統(tǒng)計(jì)，大多數(shù)組織缺乏對病毒事件或