bs统一标准分析.doc

1、一种基于BS7799原则风险分析办法* 基金项目：国家高技术研究发展筹划（863筹划）项目（课题编号：AA142151） 国家计算机网络与信息安全管理中心项目（课题编号：-研1-A-007） 作者简介： 聂晓伟，（1980），男，研究生研究生，重要研究方向：数字信号解决、网络安全。张玉清，男，副研究员，重要研究领域为网络与信息安全。杨鼎才，男，副专家，重要研究领域为数字信号解决 韩全印，男，研究生，重要研究领域为网络与信息安全聂晓伟1 2，张玉清1，杨鼎才2，韩权印13(1中科院研究生院国家计算机网络入侵防范中心，北京 100043)(2 燕山大学信息科学与工程学院，河北秦皇岛 066004)

2、(3西安电子科技大学计算机学院，陕西西安 710071）摘要：英国信息安全管理原则BS7799是国际上有代表性风险评估原则。本文一方面分析了BS7799页：1“它”改为“BS7799”较好构造特点，进而研究了当前重要风险评估分析办法，旨在探讨一套可以对BS7799原则进行改进、定性和定量相结合风险分析办法，以克服单一分析办法局限性。在详细设计风险分析办法时，采用故障树和风险模式影响分析相结合方式对BS7799进行了实行与应用。并将该套办法在实际风险评估工具设计中进行实现，收到了较好效果，从而验证了办法科学性和可行性。核心词：风险评估；BS7799；风险分析办法； 页：1这两个核心词需要考虑1

3、引言 随着信息系统发展，系统规模不断扩大。单一依托技术手段老式网络安全暴露出了很大局限性。人们逐渐结识到，信息系统安全应从系统工程角度来看待。风险评估在信息安全系统工程中占有很重要地位，它是信息系统安全基本和前提。当前信息安全对风险科学定义1是：特定威胁运用资产一种或一组薄弱点，导致资产丢失或损害潜在也许性。即特定威胁事件发生也许性与后果结合。风险评估就是对系统所有安全要素各种评测数据进行分析、记录、以拟定系统存在安全隐患和风险级别。依照评估成果向系统管理员提供周密可靠安全性分析报告，为提高系统安全整体水平提供重要根据。当前风险评估研究重点在于原则制定和评估工具开发与应用。当前关于风险评估原则

4、诸多，如CC2、SSE-CMM3、BS77994等，其中英国原则机构（BSI）制定BS7799是当前国际上具备代表性信息安全管理原则。BS7799环绕风险评估从管理和技术两方面建立了一整套信息安全评估体系。国外已针对该原则开发出相应风险评估工具，比较知名有Cobra、Panach等。但国内当前还没有开发出类似评估工具，针对该原则评估工作还是采用手工进行。风险评估工具一方面要完整、有效体现BS7799原则，然后根据原则对评估系统进行行之有效风险分析。这些都需要一套科学、可行风险分析办法。它是评价一种评估工具质量重要方面6。本文环绕BS7799原则设计了一套定性、定量相结合风险分析办法，并将其应用

5、到评估工具设计中，力求实现对BS7799原则科学、有效应用。2 BS7799原则BS7799原则涉及两某些：BS7799-1:1999信息安全管理实行细则；BS7799-2:信息安全管理体系规范。其中BS7799-1:1999于12月通过国际原则化组织（ISO）认证正式成为国际原则，即ISO/IEC 17799:。它是被ISO承认速度最快一种原则，由此也可看出风险评估是信息安全一种重要发展方向页：2是“趋势”还是“方向”。在BS7799原则两某些内容中，第二某些明确提出了安全控制规定，第一某些则相应给出了通用控制办法。可以说，BS7799第一某些为第二某些详细实行提供了指南。由于第二某些重要在

6、认证时使用，因而重要基于BS7799 页：2去掉更清晰-1：1999信息安全管理实行细则来设计风险评估工具。BS7799-1:1999(ISO/IEC 17799) 是一种非常详尽、复杂信息安全管理原则层次体系，共分为四层内容：一方面按照信息安全十个核心领域组织为十个管理要项，其中既包括偏重于管理信息安全方针、安全组织、人员安全、业务持续性等方面，也有偏重于技术通信和操作管理、系统访问控制、系统开发和维护等内容，每一某些都针对不同主题或范畴。在这十大管理要项中，BS7799又细分了36个管理目的、127个控制办法，若干个控制要点。从而涵盖了当前信息安全应当考虑各个重要方面。BS7799科学性和

7、有效性在详细风险评估中得到了充分验证，但还存在某些局限性之处。其中一种重要局限性就是对原则中每个安全要素风险事件发生危害限度分析局限性，没有建立对系统整体风险贡献限度系数，容易让人误解各个安全要素同等重要，而事实并非如此。此外尽管BS7799完整覆盖了当前信息安全中所有内容，提供了统一规范和规定。但原则中并没有如何对该原则进行实行阐明，同步原则自身也具备很鲜明特点，因此很有必要针对该原则设计一套分析办法和评估工具，从而做到对其有效、灵活应用与实行。3 风险分析办法风险分析办法普通可分为定性分析、定量分析办法。定性分析办法是一种典型模糊分析办法。其重要根据研究者知识及经验、历史教训、政策走向以及

8、特殊变例等非量化资料对系统风险状况做出判断。定性分析办法长处是使评估结论更全面、更深刻。缺陷是：主观性很强，对评估者自身规定更高。典型定性分析办法有：因素分析法、逻辑分析法、历史比较法、德尔斐法等6。 定量分析办法运用数量指标来对风险进行评估。它分析风险发生概率、风险危害限度所形成量化值，大大增长了与运营机制和各项规范、制度等紧密结合可操作性。分析目的和采用办法更加详细、明确、可靠。定量分析办法长处是用直观数据来表述评估成果，看起来一目了然，并且比较客观。缺陷是量化过程中容易使本来比较复杂事物简朴化、模糊化。典型定量分析办法有：聚类分析法、时序模型、回归模型等6。4 基于BS7799风险分析办

9、法设计4.1 风险分析办法建立定性分析办法和定量分析办法各自存在着局限性，同步风险评估又是一种复杂过程。因此不能把定性和定量分析办法简朴分割开来，而是应当将这两种办法有机结合起来，做到彼此之间取长补短。本文在设计风险分析办法时采用了定性、定量办法相结合分析办法，从而使评估成果更加客观、公正。如图1所示，对风险辨认、风险产生因素以及威胁影响限度分析是采用定性办法；而对于风险概率预测、威胁发生概率、最后风险评价则采用定量办法。图1 风险评估定性和定量办法 在设计详细风险分析办法时，还应结合BS7799自身特点，力求实现对BS7799科学、有效应用。一方面，BS77991：1999是一种四层构造体系

10、。从风险评估角度来看，各层之间是一种因与果关系。即系统整体风险状况是总体成果，下面各层安全要素即是上一层因素又是下一层成果。依照这个特点，本文以为适合采用故障树分析法对其各层安全要素之间风险逻辑关系进行分析，以实现对原则中安全要素完整、有效提取与实行。另一方面，针对BS7799中对安全要素风险危害限度分析局限性。本文在这里引入了风险模式影响及危害性分析法对每个安全要素所导致危害限度进行分析解决以弥补该缺陷，力求得到一种合理、公正风险评估成果。综上，采用故障树和风险模式影响及危害性相结合分析办法来设计基于BS7799风险分析办法是对BS7799进行实行一种有效途径。下面将分别讨论这两种办法。4.

11、2故障树分析办法故障树分析法（FTA：fault tree analysis）是一种演绎风险分析法，其将系统总风险状况作为树顶事件。通过度析导致顶事件各种也许因素及彼此间关系，画出逻辑关系图（即故障树）。依照该逻辑关系图，拟定顶事件发生因素（涉及各种因素组合因素）和概率。由分析成果，可以拟定被分析系统薄弱环节、核心部位、应采用办法、对安全性实验规定等。风险树分析环节和顺序如下： （1）熟悉系统设计资料；（2）熟悉系统构造、功能和工作模式；（3）拟定顶事件；（4）建造风险树；（5）求风险树最小割集，拟定系统风险模式；（6）用最小割集构造函数求顶事件发生概率。其中环节（1）、（2）、（3）、（4）

12、重要是对被分析系统内容、构造、各要素彼此之间风险逻辑关系进行定性研究。（5）、（6）则是对风险树中各要素风险概率定量分析。如下是上述环节中几种核心概念。顶事件是风险分析所关怀成果事件，其位于风险树顶端。而底事件是在特定风险分析中无需或暂时不能探明其发生因素事件。割集是风险树若干底事件集合，如果这些事件都发生，则顶事件发生。最小割集是底事件不能再减少割集，即在最小割集中任意去掉一种底事件之后，剩余底事件就不是割集。故障树分析法适合对BS7799树型构造进行分析，建立起科学、系统安全评估体系，从而完整、有效实行BS7799原则。4.3风险模式影响及危害性分析办法风险模式影响及危害性分析（RMECA

13、:Risk Mode Effects and Criticality Analysis）通过度析被评估系统所有也许风险模式来拟定每一种风险对系统和信息安全潜在影响。以此找出单点风险，并按其影响严重限度及其发生概率，拟定其危害性，从而发现系统中潜在薄弱环节，以便选取恰当控制方式消除或减轻这些影响。RMECA是通过下列环节来实行：（1）定义被分析系统；（2）绘制系统功能图和安全性框图；（3）拟定信息系统所有潜在风险模式，并拟定这些模式对系统有关功能影响；（4）按最坏潜在后果评估每一种风险模式，拟定其严重性；（5）拟定每一种风险模式发生概率；（6）拟定每一种风险模式发生频数比；（7）分析风险模式危害

14、度；（8）分析系统危害度或风险损失； 上述环节中（1）到（6）是风险对风险模式影响（Risk Mode and Effects AnalysisRMEA）分析，（7）（8）则是风险影响危害限度（Criticality AnalysisCA）分析。在故障树分析法基本上，风险模式影响及危害性分析办法对已建立好故障页：5与否就是故障树树中安全要素风险危害进行分析，以弥补BS7799对安全要素危害限度分析局限性。 5 风险分析办法在评估工具中实现5.1故障树分析法实现本节一方面对BS7799原则层次构造采用故障树办法进行分析。各层彼此之间逻辑关系如图2所示：其中顶事件是被评估目的系统总体存在风险体现；

15、顶事件下一层是10大管理要项中某些项；而管理要项“因素”是某些执行目的；同理，管理目的“因素”是某些控制办法不当，而控制办法不当“因素”是某些行动即评估要点没有实行。在建立好树形评估体系中，各个安全要素可用一种四元组形式表达，记为criterion=,其中section是管理要项，object代表管理目的，measure 代表控制办法，point 代表评估要点，用8位十进制代表，每层构造使用两位数。在对安全要素完整、有效提取基本上，通过调查表形式对提取出安全要素进行实行。考虑到风险评估需求及BS7799特点，调查表重要针对原则中第三、四层建立。表1是对原则中人员管理要项某些要素提取后来所建立调

16、查表：参加评估专家依照被评估系统状况回答调查表。分析办法综合调查表成果进行定量计算，得到相应安全要素风险发生概率，为下一步风险评估提供了事实根据。图2 采用故障树对BS7799进行分析 表1 人员管理要素提取（某些） 第一层序 号第三层第四层问题内容答案安全方略01010100信息安全方略文献与否把书面形式方略文献发布给所有员工？是；只是一某些；否01010101同上信息安全定义、目的、范畴方略中与否包括信息安全定义、目的和范畴？有；某些；没有5.2风险模式影响及危害性分析办法实现在前面故障树分析办法基本上，对每个安全要素危害性采用风险模式影响及危害性分析法进行分析，最后得到被评估系统风险状况

17、。 一方面定义风险影响级别如表2所示。表2 风险影响级别定义影响级别描述 v1 可忽视风险事件发生对系统几乎没有影响v2 微小对系统有某些很小影响，只需很小努力就可恢复系统v3 普通能引起系统声望损害，或是对系统资源或服务信任限度减少，需要支付重要资源维修费v4 严重可引起重要系统中断，或连接客户损失或商业信任损失v5 核心可引起系统持续中断或永久关闭。可引起代理信息或服务重大损失为了计算以便，对（v1，v2，v3,.v4，v5）用（0，0.25，0.5，0.75，1）表达。同步为了下面讨论，在这里定义表达符号如表3所示：表3 风险符号定义符号表达意义安全要素权重系数安全要素危害限度安全要素风

18、险概率风险评价依照BS7799构造特点，对安全要素风险事件分析重要建立在前三层上。详细分析如下：原则中第一层是十大管理要项，它标记了被评估系统在各个资产上重要限度。用表达系统资产权重分派状况，此时有=1。原则中第二层是管理目的层，依照BS7799原则构造特点，对该层安全要素风险分析重要是确立其危害限度。该危害限度由评估专家和系统顾客参照表2制定。这里采用表达第个管理要项下第个管理目的风险安全要素危害限度。原则中第三层是控制办法层，对该层安全要素风险分析重要考虑安全要素风险发生重要限度。用代表第个管理要项下第个管理目的下第个控制办法安全要素风险权重系数。此时，有=1（第个管理目的下有个控制办法）

19、。确立每一层安全要素风险评价如下：假设第个管理要项下第个管理目的下第个控制办法风险发生概率是，则有：第个管理要项下第个管理目的风险发生概率是：（假设第个管理目的下有个控制办法）第i个管理要项风险评价是： （假设第个管理要项下有个管理目的）最后风险评价是：综合可得系统风险评价表达式：页：8公式中求和变量是错，应当是i吧上式中：由被评估系统顾客或评估发起者在填写评估任务时分派。、可以通过风险评估数据库中权重系数表和危害限度表获取。最后通过判断落在预先定义好风险评价集哪一某些，即可判断被评估系统风险级别。参照相应风险级别描述，从而可以得到被评估系统总体风险状况及详细改进意见。6 结束语本文在分析BS

20、7799原则特点基本上，采用故障树和风险模式影响及危害性分析法相结合方式建立起了一套定性、定量办法相结合风险评估分析办法，弥补了单一分析办法局限性，实现了对BS7799有针对性、有效、灵活应用。本套风险分析办法在评估工具中得以实现，效果良好，较好支撑了基于BS7799风险评估工作，丰富了国内风险评估体系。下一步将重要考虑该风险分析办法优化以及针对其她原则风险评估分析办法建立。参照文献1 国际IT安全管理原则：ISO/IEC TR 13335-12 信息技术-安全技术-信息技术安全性评估准则（简称CC）：ISO/IEC 15408-19993 美国安全系统工程能力成熟度模型：System Sec

21、urity Engineering Capability Maturity Model 3.04 英国BS7799原则：ISO/IEC 17799；BS77992： 5 科飞管理征询公司编著. 信息安全管理概论BS7799理解与实行.北京：机械工业出版社,6 Thomas R. Peltier. Information Security Risk Analysis. Rothstein Associates Inc.7 Robert Mc Dowell. Introduction to Quantitative Analysis. Risk Analysis System USDAAPHISPPD 8Yacov Y.Haimes. Risk Modeling，Assessment，and Management. Wiley-Interscience .9 CMS Information Security Risk Assessment (RA) Methodology.OIS.SSG.