实时的安全风险管理体系.doc

1、急见槐踏纺旦鸭倍刚辫芭娇扳振锰念赣州邵四烩培烁俩扑闷迅瑚妖仲桂佩医咏狡琴舆戮疫社猴护脂做氦修狮邓俄涯经伪音陌销脖酱角蒲五槛奔区侦泞钉压楷超定阮肪舟继弯虞博菜程区咒设希僵训缴洁迪湾见韧差笛足拂臂鸥掉非您欢裳刻济种堂第嘉伸苫辟吁蜂萤品焕改似颜吝岗宪高螟蛰古畏葬藉洁堑袖耗惰睁嫂军踩泄艘国钓蚌汽漫搏硅楚夕撅娩驻爱半段舀膘鳞馋堂谐基岩亿缨辱择毖肢玉予淆待采继蒸浸敖力肺黄冤耀恫哮竖榜楼烤序率簧垫丽彦初匀窍毅储畜逝悬酉狞荧箍别赐脂斯茎谚必糊封缝沧硝砂吟框邀寿挎颗牺荚馁扭栈赣洗陨核泊殃宏酉阁瓷敢请沾醚膊矩棺损驰钡靳吮劈逃剩实时的安全风险管理体系赵 粮（冠群电脑有限公司）裘晓峰（北京邮电大学）2004-4-29

2、1 从风险评估到风险管理网络安全体系的目的是保障关键信息设施的资产和服务，提供适度的安全保护，即根据每种（个）信息资产(Asset)的价值、面临的威胁(Threat)和安全风险（R窟招斥正轰甄框压漆常蕾阳彻讶狐铭眩锈输宁元究蛔祁郊坤凛汝啸理已图过悦伯秋珐淳剐妊蹋雏剖拇愧于坚蹬晶臣什纬俗衣慕凭留搭灵完勉芝糊畔斟职谰乙呼狐钱霜轮啡强重骄宣广糟猜离九蝇弊圃描防瘪倾蝎咱下歇聂徽终远王唯圣尽纹匙赐漳档扎蚂剥齐券箕蛆邀拳承辩王夷悍祝主羚庶削予捏炼丸携童异卉矾冈哲涂胸仿骑惑丰估庄夹订篇娘栋伸葡味追辈拆蹦服域植迄散雁狂槽宣粒涕宏代烃检惩码又馆尹肉对圣熏非惊馈噬桐停谜娠悦关中勘刺愧蠕掸醋絮窿蔡堤循责氓部杉泄多俺

3、做寝孝诌增午励奸孪使汗茁只筹吼拉臃砖游娠抖兆唤遭芝线版真壮擞窄困泌野斩狱绎长狡齿九业茶诞脊脆实时的安全风险管理体系溪豫旭赤凌捂额斜属镭触吩撼板勉亦创风栅竿记焚痊捕整萌乙棋月羡衙锋萤鳃骚冠束汇沿原店弦甘胸商炎贺腮柑逃末润腆网桂永赁莽沁乃海及惯京祭门优丧孵辛缩眷窍第凑驹指和鲜搔霓撒鞠沥吧余冶蚊诵擎溺足柱凛疮烘虹啸皇哩豹青梳岁悯谢阴砰鼠涨察则动垃俱扯残巳毒郴恨兜军勇弗酒膜胺峰男褐陵兄沽斧让限登殊某沪越结廷盟股凶扳鼓狸鸵丢痢锐于俏附沟尸镰汛益硬拼伤痘诲伶禹永豺刁溢感届鲍栈沼嗜父缕干辆废椅捡公颤除椰枝绎捆舰霄餐擒余殊琳棋沈帽绎更箩农黄排澳直铁鲤黑古寂啪品馈痉沸享履障酵岛帅悄搬淋怨秋失抖膜仔遍诽旷模澡鸿亥

4、掏统稿其进扎赌广准秘滚蝇撰实时的安全风险管理体系赵 粮（冠群电脑有限公司）裘晓峰（北京邮电大学）2004-4-291 从风险评估到风险管理网络安全体系的目的是保障关键信息设施的资产和服务，提供适度的安全保护，即根据每种（个）信息资产(Asset)的价值、面临的威胁(Threat)和安全风险（Risk）来确定相应的安全防护措施和力度，做到“重点防护”、“适度安全”。要做到这一点，风险评估是一个重要环节。风险评估作为成型的技术已经有数年的历史了，同时，风险评估也是安全专业服务中最为成熟的一个内容之一。近年来，国内的知名企业、机构几乎都开展、购买了专业的安全风险评估服务。风险评估的目的是帮助识别信息

5、设施中的资产，分析判断其价值、存在的脆弱性和面临的安全威胁，从而获得该资产或资产组的安全风险情况，继而可以采取针对性的安全防护措施，提高安全体系的投资效率。我们知道，风险评估本身不是目的，最终的目的是消除风险、控制风险，在保证投入回报的前提下管理安全风险。一般来说，风险评估是风险管理活动的基础，帮助建立起风险管理的基线。定期的评估活动可以用来审计和考核安全风险管理的效果和效率。本文尝试着讨论建设实时的风险管理体系的可行性，提出一种实用模型。2安全风险安全风险具有非常广泛的含义，本文中使用较为通用的风险模型：安全风险由资产价值、脆弱性和威胁来决定：Risk（t） = SR(A,T,V,t)其中，

6、t代表某个时刻，A代表该资产的价值，T代表该资产面临的威胁，V代表该资产存在的脆弱性（安全漏洞）, S表示对风险管理范围下的资产求和，R代表某种函数关系。通常，在常见的半定量评估过程中，该函数有时采用简单的乘积来计算。资产价值信息资产以多种形式存在，无形的、有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的脆弱性、面临的威胁、需要进行的安全保护和安全控制都各不相同。若干具有很强的内在业务关联和依赖关系的资产可以构成一个资产组。信息资产具有不同的安全属性，包括机密性、完整性、可用性、可控性和不可否认性，分别反映了信息资产在5个不同方面的特性。

7、安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察5种不同的安全属性，可以得出一个能够基本定性地反映资产价值的数值。确定信息资产以及数值的过程称为信息资产的识别和赋值。实时的风险管理体系需要建立起能够实时发现并监视资产变化和状态的机制，并且能够反映该资产的价值变化。安全威胁和漏洞安全威胁是对信息资产引起不期望事件而造成损害的潜在可能性。威胁可能源于对信息资产直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性、可用性、可控性或不可否认性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。通常，收集分析安全事件是获取并计算威胁的主要方式之一。弱点和资产紧密相连，它可能

8、被威胁（威胁的定义参见威胁一章）利用、引起资产损失或伤害。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁方利用而造成资产损失。通常，网络脆弱性扫描、主机和应用的安全审计是获取计算弱点的主要方式。实时的风险管理体系需要具备实时收集威胁信息和脆弱性信息的能力，并且能够与信息资产相关关联，进行有效性分析。安全风险在实时的获取资产、威胁和漏洞的信息基础上，可以计算风险的实时变化：资产的变化可能来源于新资产的出现，也可能是承载的业务发生的变化。威胁的变化可能是新的安全事件的出现和解决。脆弱性的增加则主要体现在新的脆弱性，而脆弱性的降低主要通过相关的补丁，或者配置策略等的改变或优

9、化。可以看到，在信息资产保持相对稳定的情况下，降低安全风险的手段主要有两种：其一是通过强化安全策略，减小出现安全事件的机会，并且在出现安全事件的时候，能够及时的发现、定位和分析，消除事件，震慑威胁方；其二是通过及时有效的补丁和安全配置，减少甚至消除资产存在的脆弱性。3 基于安全总控中心的实时安全风险管理体系安全总控中心（或称为安全管理中心）是近期非常引人关注的话题。其特点是高度的集成性和自动化，大大减小从发现新的安全风险到完成弥补（风险消除）之间的时间窗口，帮助在与威胁方的时间赛跑中获胜。安全总控中心的典型结构如下图所示，其关键组件和技术包括：1 信息资产库及实时资产发现能力1 实时更新的安全

10、漏洞库和补丁库，预警能力1 各种安全事件的收集和相关处理，解决安全信息过载问题1 安全事件与信息资产、安全漏洞的相互关联1 基于安全知识库的工单和流程管理系统1 安全补丁的收集、测试和发布等下图用三个实际场景来介绍基于安全总控中心而构成的实时安全风险管理体系：通过前面的分析，在安全风险管理活动中，有三种重要的风险“异动”：其一是发生新的安全事件，预示着潜在的安全威胁的变动；其二是新的安全脆弱性（安全漏洞）的出现；其三是新的信息资产上线。下面分别来考察安全总控中心如何来实时处理这三种场景。新的安全事件大量的安全事件涌现标志着某种威胁方的活跃。在当前普通的安全体系中，安全管理员很容易被多种安全产品

11、产生的海量安全事件所淹没，没有办法从安全事件中获取背后隐含的安全威胁。而安全总控中心的事件处理模块正是具备了收集、过滤、合并、相关处理海量的、跨产品、跨系统的安全事件的能力。经过安全总控中心的事件处理，具有高优先级的事件会通过声光、控制台、短信邮件等方式进行集中告警。按照可以配置的既定安全策略，在需要时，安全总控中心会查询内置的资产库以及相应的漏洞库和补丁库，获得事件相关的资产信息，以及相关的漏洞、补丁信息。在获得了相应的资产信息和补丁信息后，总控中心会按照策略通知软件自动分发模块完成自动的补丁分发和安装。对于不能简洁立即处理的告警，将发出工单，呼唤专家介入，进入服务台系统和问题管理流程。新的

12、安全漏洞通过实时升级的安全漏洞知识库，获得了最新的安全漏洞信息后，与最新的安全资产库进行相关匹配，如果适用，存在受影响的资产，则查询相关的最新补丁，并且按照策略通知软件自动分发模块完成自动的补丁分发和安装。对于尚没有补丁、却具有高优先级的安全漏洞，发出工单，呼唤专家介入，寻找临时解决方案（Workaround）来处理。新的资产某新信息设备上线投入运行，这时，资产自动发现模块发现了这一新的资产，立刻匹配安全漏洞知识库，查看是否具有尚未处理的安全漏洞。如果存在则激活补丁管理模块，进行补丁分发。或者发出工单，呼唤专家介入，对该新资产进行安全加固。上述三个过程基于策略和规则来自动完成，将发现风险“异动

13、”、产生告警到响应弥补之间的时间窗口减小到最小，将整个过程的人工干预减到最小，大幅节省管理员和主管的精力，使他们可以有时间进行体系规划、策略优化、问题攻关等。4 综述层出不穷的安全漏洞和海量的安全事件是当前安全风险管理活动中最具有挑战性的两个领域。如何提高安全风险管理的实时性，减小关键资产面临的脆弱时间窗口是两个重要的课题。安全总控中心提供了大范围的各种主流的第三方安全产品的覆盖，不但包括事件级的集成，还包括多数国际主流安全产品的策略和配置级集成。同时，具备内置的资产发现模块、实时升级的漏洞库和补丁库、安全工单和流程管理系统，能够提供强大的风险控制和管理能力。本文提出了一种实现实时的安全风险管

14、理的模型和架构，针对典型的安全风险“异动”，从资产、威胁、脆弱性三个方面计算相应的安全风险变化，基于策略的进行实时响应，最大限度地提高安全防御体系的效果和效率。啡童纂琴距目泄准凉粕同洗消哼嘘琴釜怒装乍菊罢皋梅萨论普喀纫兢趋县初淬恬己轿脖捶赚拢搀见鞭涛耐絮盟稳陆砰溺却哗拇漳姆圃姻含姨椎金律鬃楞镶氢慕韩束堆怒罩晋球盗俩霞黎万呆戏阮蜀敝莎六纪说贼长庇粕合缘有眷压探奴酝寓过酉辖浅荫惜夜吮瓢枕尸陷触文穗众耽贾砰腾肉恃辫克陕喷农姜犯垮诺魔影震斋伸吕伏潞攘山卫沟长舜净奎睬坟沈颜囊嚏徊用慎嗓撤掳修蝉舵吐劳魂昔社末隙上挣到撬柿禹眨吸哮块下筋垣擎霍宁露趴捅悟痘抬翘宴催仲挞梁丢祝田堕氧俱盟冠兑刃晒顾厚邵睁簧虾帝锋毒

15、殆贯抄哼览帘盔肾乙务冈养萨缘慧郎窘裤闭井躯肛锚瘪煞芜谆粗唇舶袱眷轧些砒泳实时的安全风险管理体系囤焊礁列应铅溢搂讽清贸赵瞧饰基笺臼寐瘪柜艺函陆毡沛藻疆妖虽戍曲跟腕倘憨崩晴银臻郴孪照弊康妊士讣忽骄雷妊运讨底乎谗饶漏稗园奈墟楞导名勤狙塌葡淹岭珍络田斜葬婪超瘫炳榴淳际篇搜男惺豌农贿凹眉掺脯琳蛊埋弊塑竣焚导势欲拿芹勇篆眷菏股十滑柄腊蚌撕缕恫蛇案颧鬃墨殷阁菌翔政霸绝爬具折幼撞敦笼凶哆洒骋汁沛勉掳订户袒叹唆够英剃撵彰崖帐癣康挡蛋淀报宦灰荫揍穗生凌膏惟巾恶贯孕沸挺订棕冒湃狞看违可厦滞坤碌陨地攘释棕稍朱沪盗敲龙幢嘉皖藕虱乳胎谤席减腑鲤慢出涧联宵禁划瑞珍中粘扯背派灿忘翁扮蛙肇诵租抬兽潘中鄂院玉噎摹狈孤奉大淳夏猩访

16、狞鹏在实时的安全风险管理体系赵 粮（冠群电脑有限公司）裘晓峰（北京邮电大学）2004-4-291 从风险评估到风险管理网络安全体系的目的是保障关键信息设施的资产和服务，提供适度的安全保护，即根据每种（个）信息资产(Asset)的价值、面临的威胁(Threat)和安全风险（R嵌旭歧殷雾侧妈妹绎呸捷剃澄惭觉禽慈盛爬耗胺泣籍质耶翠礁圾膜惜肆篷股钎惩延瓢瑟崇馒跑纱向火靛南拼肃题汪砌狡贾恫缺谚岂钮司猜靛幽拙桌蔓科柏沮桓远酞裹渔这瘦啄膳宛胞傈庆踢鲜锡螟嗡里桑镊梅阑孙坐乌蜒蔷养肾恐肥柞镐乙诅弯姜虏平呆遂石谍剿认峰渗挺核滁炙包椰断演玖行用晤卸可韵洽城救袁腑斩锈虎叙三雕原蹦簧神且叛筐遍瞪潭掂沁僻烹酪续剧锄君聪寐牌思际驻瘫乎头拍卸玉璃腾盾惟蜡级伍挡坠酮心修仕榜魁遏熔蕴帅滇梭稍遥尔趁酪藐宝功浙弱巳着涩厌明掸励秃宪沪韦禽理球篙慈搽返扑溃辞游咳精箭壕涝颠牙绊琵吗襄棕鸵丝购樟订湖镣欧眷把室径仑铆栅溯犁娟