第12講風險評估的常用方法

1、第十二講風險評估的常用方法在風險評估過程中，可以采用多種操作方法，包括基于知識 (Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性 ( Qualitative )分析和定量( Quantitative )分析，無論何種方法，共同的目 標都是找出組織信息資產(chǎn)面臨的風險及其影響， 以及目前安全水平與組織安全需 求之間的差距?；谥R的分析方法在基線風險評估時， 組織可以采用基于知識的分析方法來找出目前的安全狀況和 基線安全標準之間的差距?；谥R的分析方法又稱作經(jīng)驗方法， 它牽涉到對來自類似組織 (包括規(guī)模、 商 務目標和市場等)的 “最佳慣例 ”的重

2、用，適合一般性的信息安全社團。 采用基于知識的分析方法， 組織不需要付出很多精力、 時間和資源， 只要通過多 種途徑采集相關信息， 識別組織的風險所在和當前的安全措施， 與特定的標準或 最佳慣例進行比較， 從中找出不符合的地方， 并按照標準或最佳慣例的推薦選擇 安全措施，最終達到消減和控制風險的目的?；谥R的分析方法，最重要的還在于評估信息的采集，信息源包括：會議討論；對當前的信息安全策略和相關文檔進行復查；制作問卷，進行調查；對相關人員進行訪談；進行實地考察。為了簡化評估工作， 組織可以采用一些輔助性的自動化工具， 這些工具可以幫助 組織擬訂符合特定標準要求的問卷， 然后對解答結果進行綜合

3、分析， 在與特定標 準比較之后給出最終的推薦報告。 市場上可選的此類工具有多種， Cobra 就是典 型的一種?；谀Ｐ偷姆治龇椒?001 年 1 月，由希臘、德國、英國、挪威等國的多家商業(yè)公司和研究機構共同 組織開發(fā)了一個名為 CORAS勺項目，即 Platform for Risk Analysis of Security Critical Systems 。該項目的目的是開發(fā)一個基于面向對象建模特別是UML技術的風險評估框架，它的評估對象是對安全要求很高的一般性的系統(tǒng)，特別是 IT系統(tǒng)的安全。CORAS考慮到技術、人員以及所有與組織安全相關的方面，通 過CORAS風險評估，組織可以定義、

4、獲取并維護IT系統(tǒng)的保密性、完整性、可 用性、抗抵賴性、可追溯性、真實性和可靠性。與傳統(tǒng)的定性和定量分析類似，CORAS風險評估沿用了識別風險、分析風險、評 價并處理風險這樣的過程， 但其度量風險的方法則完全不同， 所有的分析過程都 是基于面向對象的模型來進行的。CORAS勺優(yōu)點在于：提高了對安全相關特性描 述的精確性， 改善了分析結果的質量； 圖形化的建模機制便于溝通， 減少了理解 上的偏差；加強了不同評估方法互操作的效率；等等。目前C0RAS5處于實驗階段，相關信息可以參見:http:/www.bitd.clrc.ac.uk/Activity/CORAS定量分析 進行詳細風險分析時， 除了

5、可以使用基于知識的評估方法外， 最傳統(tǒng)的還是定量 和定性分析的方法。定量分析方法的思想很明確: 對構成風險的各個要素和潛在損失的水平賦予數(shù)值 或貨幣金額，當度量風險的所有要素(資產(chǎn)價值、威脅頻率、弱點利用程度、安 全措施的效率和成本等) 都被賦值， 風險評估的整個過程和結果就都可以被量化 了。簡單說，定量分析就是試圖從數(shù)字上對安全風險進行分析評估的一種方法。 定量風險分析中有幾個重要的概念:暴露因子( Exposure Factor ， EF) 特定威脅對特定資產(chǎn)造成損失的百 分比，或者說損失的程度。單一損失期望( Single Loss Expectancy ， SLE) 或者稱作 S 0

6、C( Single 0ccuranceCosts )，即特定威脅可能造成的潛在損失總量。年度發(fā)生率( Annualized Rate of 0ccurrence ， AR0) 即威脅在一年內 估計會發(fā)生的頻率。年度損失期望( Annualized Loss Expectancy ， ALE) 或者稱作 EAC ( EstimatedAnnual Cost )，表示特定資產(chǎn)在一年內遭受損失的預期值。 考察定量分析的過程，從中就能看到這幾個概念之間的關系:( 1) 首先，識別資產(chǎn)并為資產(chǎn)賦值；( 2) 通過威脅和弱點評估，評價特定威脅作用于特定資產(chǎn)所造成的影響，即EF (取值在 0% 100%之間

7、)；( 3) 計算特定威脅發(fā)生的頻率，即 AR0；( 4) 計算資產(chǎn)的 SLE:SLE = Asset Value XEF( 5) 計算資產(chǎn)的 ALE:ALE = SLE XARO這里舉個例子:假定某公司投資 500,000 美元建了一個網(wǎng)絡運營中心，其最大 的威脅是火災，一旦火災發(fā)生，網(wǎng)絡運營中心的估計損失程度是 45%。根據(jù)消 防部門推斷，該網(wǎng)絡運營中心所在的地區(qū)每 5 年會發(fā)生一次火災，于是我們得 出了 ARO為0.20的結果?；谝陨蠑?shù)據(jù)，該公司網(wǎng)絡運營中心的 ALE將是 45,000 美元。我們可以看到， 對定量分析來說， 有兩個指標是最為關鍵的， 一個是事件發(fā)生的 可能性(可以用A

8、RO表示)，另一個就是威脅事件可能引起的損失(用 EF來表 示)。理論上講， 通過定量分析可以對安全風險進行準確的分級， 但這有個前提， 那就 是可供參考的數(shù)據(jù)指標是準確的，可事實上，在信息系統(tǒng)日益復雜多變的今天， 定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的， 再加上數(shù)據(jù)統(tǒng)計缺乏長期性， 計 算過程又極易出錯， 這就給分析的細化帶來了很大困難， 所以，目前的信息安全 風險分析，采用定量分析或者純定量分析方法的已經(jīng)比較少了。定性分析 定性分析方法是目前采用最為廣泛的一種方法， 它帶有很強的主觀性， 往往需要 憑借分析者的經(jīng)驗和直覺， 或者業(yè)界的標準和慣例， 為風險管理諸要素 (資產(chǎn)價 值，威脅的可能性，弱點被利用的容易度，現(xiàn)有控制措施的效力等)的大小或高 低程度定性分級，例如 “高”、“中”、“低”三級。定性分析的操作方法可以多種多樣，包括小組討論(例如 Delphi 方法)、檢查 列表( Checklist )、問卷( Questionnaire )、人員訪談( Interview )、調查 ( Survey )等。定性分析操作起來相對容易， 但也可能因為操作者經(jīng)驗和直覺的 偏差而使分析結果失準。與定量分析相比較， 定性分析的準確性稍好但精確性不夠， 定量分析則相反； 定 性分析沒有定量分析那樣繁