信息安全风险评估方法研究.doc

1、信息安全风险评估方法研究 毛捍东1 作者简介：毛捍东（1979—），博士研究生，研究方向为网络安全、安全风险评估。陈锋，硕士研究生。张维明，博士 教授。黄金才，副教授。 陈锋 张维明 黄金才 （国防科技大学管理科学与工程系 长沙 410073） handmao@ 摘要 在信息安全领域，对信息系统进行风险评估十分重要，其最终目的就是要指导决策者在“投资成本”和“安全级别”这两者之间找到平衡，从而为等级化的资产风险制定保护策略和缓和计划。信息安全风险评估方法经历了从手动评估到半自动化评估的阶段，现在正在由技术评估向整体评估发展，由定性评估向定性和定量评估相结合的方法发展，由基于知识

2、的评估向基于模型的评估方法发展。该文阐述了信息安全风险评估所要解决的问题，介绍了目前在信息安全风险评估领域的主要方法以及今后的发展方向。 关键词：信息系统；风险评估；资产；威胁；脆弱性 A Survey of Information Security Risk Assessment Methods Mao Handong, Chen Feng, Zhang Weiming, Huang Jincai ( Department of Management Science and Engineering, National University of Defense Technology

3、Changsha 410073 ) handmao@ Abstract: Information systems risk assessment has experienced the stage of manual-to-automatic. It’s now expanding from technology assessment to holistic, from qualitative to synthetic method of qualitative and quantitative analysis, from knowledge-based to model-based.

4、To make the assessment comprehensive and accurate, the target of assessment must be considered as a whole system with technological, organizational and personnel factors. Specifying an information system is often a complicated task that demands a method that can provide both the details and the over

5、view of the system. Modeling techniques give us the possibility to specify all aspects of the system while keeping a good overview at the same time. Key words: Information System; risk assessment; asset; threat; vulnerability. 一、引言 信息系统已经成为人们生活中重要组成部分，人们总是希望信息系统能够带来更多的便利。但是信息系统自身以及与信息系统相连的网络环境的特点

6、与局限性决定了信息系统的发展和应用将遭受木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁。由于这个原因，人们在不断的探索和研究防止信息系统威胁的手段和方法，并且迅速在杀毒软件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而，这没有从根本上解决信息系统的安全问题，来自计算机网络的威胁更加多样化和隐蔽化，黑客、病毒等攻击事件也越来越多。据CERT/CC的统计，2003年报告的安全事件（security incident）的数量达到137529件，远远高于2001年的52658件和2002年的82094件 http://www.cert.org/stats/cert_stats.html

7、 怎样确保组织能够在长时间内处于较高的安全水平，是目前急需解决的问题。安全管理是一个过程，而不是一个产品，不能期望通过一个安全产品就能把所有的安全问题都解决。同时，需要基于安全风险管理来建立信息安全战略，最适宜的信息安全战略实际上就是最优的风险管理对策。信息安全风险管理可以看成是一个不断降低安全风险的过程，其最终目的是使安全风险降低到一个可接受的程度，使用户和决策者可以接受剩余的风险。如何获得信息系统的安全状态，以及如何对信息系统受到的威胁进行有效客观科学的分析和评估是信息安全风险管理的第一步。 信息安全风险评估的初期，主要是通过从实际使用中总结经验，然后用这些经验去评估更多的信息系统，

8、研究的重点也就在于如何提取知识和运用知识的过程。目前，研究的出发点是基于组织的资产所处的具体环境来构造组织的风险框架[3]，使用组织的关键资产考虑评估活动是一种有效的手段，它可以使评估活动中考虑的威胁和风险数量大大减少[1]。同时，为了使评估结果更加客观和清晰，工具辅助评估、定量评估以及基于模型的评估技术也成为当前研究的热点。 二、信息安全风险评估概念 信息安全风险评估涉及4个主要因素：资产、威胁、弱点和风险。资产是对企业有价值的东西[2]。信息技术资产结合了逻辑和物理的资产，文献[3]将其分为五类：（1）信息资产（数据或者用于完成组织任务的知识产权）。（2）系统资产（处理和存储信息的信

9、息系统）。（3）软件资产（软件应用程序和服务）。（4）硬件资产（信息技术的物理设备）。（5）人员资产（组织中拥有独特技能、知识和经验的他人难以替代的人）。 2001年，Alberts等人认为弱点（Vulnerability）可分为组织弱点和技术弱点。组织弱点是指组织的政策或实践中可能导致未授权行为的弱点[3]。技术弱点是指系统、设备和直接导致未授权行为的组件中存在的弱点[4]，文献[5]将其分为三类：（1）设计弱点（硬件或者软件中设计或者规范中存在的弱点）。（2）实现弱点（由一个良好的设计在实现软件或者硬件时产生的错误而导致的弱点）。（3）配置弱点（由一个系统或者组件在配置时产生错误而导致的

10、错误）。 威胁是指潜在的不希望发生事件的指示器[4]，文献[3]将其分为四类：基于网络方式访问造成的威胁、基于物理方式访问造成的威胁、系统问题以及其他问题等。威胁的属性包括资产、访问、主角、动机和结果等。当一个威胁利用了资产所包含的弱点后，资产将会面临风险。这种危害将会影响资产的保密性、完整性和可用性，并造成资产价值的损失。资产、威胁、弱点以及影响之间的关系如图1： 脆 弱 点 威胁 威胁 威胁 资 产 影 响 控制措施 图1 资产、威胁、弱点以及影响关系图 Rowe认为，风险是指遭受损害或者损失的可能性，是实现一个事件不想要的负面结果的潜在因素[6]

11、文献[7]提出了风险提出了风险的数学表达式：风险R = f（p, c），其中p为事件发生的概率，c为事件发生的后果。 风险分析是风险评估过程中最复杂的步骤，要求对风险的识别、估计和评价做出全面的、综合的分析。一个全面的风险分析包括对各种层次的风险发生的概率和影响进行评价[8]。风险评估重点关注风险的评估和量化，由此决定风险的可接受级别[9]。风险管理过程定义了综合的策略来解决风险分析过程中识别出来的风险。Britton等人在文献[10]中提出了三种基本的风险解决办法：接受风险、减小风险和转移风险。 三、信息安全风险评估 面对信息安全问题时，需要从组织的角度去评估他们实际上需要保护什么及

12、其需求的原因。大多数安全问题深深的根植在一个或者多个组织和业务问题中。在实施安全方案之前，应当通过在业务环境中评估安全需求和风险，刻画出基本问题的真实本质，决定需要保护哪些对象，为什么要保护这些对象，需要从哪些方面进行保护，如何在生存期内进行保护。下面将从不同的角度比较现有的信息安全风险评估方法。 3.1 手动评估和工具辅助评估 在各种信息安全风险评估工具出现以前，对信息系统进行安全管理，一切工作都只能手工进行。对于安全风险分析人员而言，这些工作包括识别重要资产、安全需求分析、当前安全实践分析、威胁和弱点发现、基于资产的风险分析和评估等。对于安全决策者而言，这些工作包括资产估价、安全投资

13、成本以及风险效益之间的平衡决策等。对于系统管理员而言，这些工作包括基于风险评估的风险管理等。总而言之，其劳动量巨大，容易出现疏漏，而且，他们都是依据各自的经验，进行与安全风险相关的工作。 风险评估工具的出现在一定程度上解决了手动评估的局限性。1985年，英国CCTA开发了CRAMM风险评估工具。CRAMM包括全面的风险评估工具，并且完全遵循BS 7799规范，包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点，这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员

14、一起的交互活动得到，最后给出一套安全解决方案 。1991年，C&A System Security公司推出了COBRA工具，用来进行信息安全风险评估。COBRA由一系列风险分析、咨询和安全评价工具组成，它改变了传统的风险管理方法，提供了一个完整的风险分析服务，并且兼容许多风险评估方法学（如定性分析和定量分析等）。它可以看作一个基于专家系统和扩展知识库的问卷系统，对所有的威胁和脆弱点评估其相对重要性，并且给出合适的建议和解决方案。此外，它还对每个风险类别提供风险分析报告和风险值（或风险等级） http://www.securitypolicy.co.uk/riskanalysis/intro

15、cob.html 。 信息安全风险评估工具的出现，大大缩短了评估所花费的时间。在系统应用和配置不断改变的情况，组织可以通过执行另外一次评估重新设置风险基线。两次评估的时间间隔可以预先确定（例如，以月为单位）或者由主要的事件触发（例如，企业重组、组织的计算基础结构重新设计等）。 3.2 技术评估和整体评估 技术评估是指对组织的技术基础结构和程序进行系统的、及时的检查，包括对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击。这些技术驱动的评估通常包括：（1）评估整个计算基础结构。（2）使用拥有的软件工具分析基础结构及其全部组件。（3）提供详细的分析报告，说明检测到的技术弱点，并

16、且可能为解决这些弱点建议具体的措施。技术评估是通常意义上所讲的技术脆弱性评估，强调组织的技术脆弱性。但是组织的安全性遵循“木桶原则”，仅仅与组织内最薄弱的环节相当，而这一环节多半是组织中的某个人。 整体风险评估扩展了上述技术评估的范围，着眼于分析组织内部与安全相关的风险，包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。这些多角度的评估试图按照业务驱动程序或者目标对安全风险进行排列，关注的焦点主要集中在安全的以下4个方面：（1）检查与安全相关的组织实践，标识当前安全实践的优点和弱点。这一程序可能包括对信息进行比较分析，根据工业标准和最佳实践对信息进行等级评定。（2）包括

17、对系统进行技术分析、对政策进行评审，以及对物理安全进行审查。（3）检查IT的基础结构，以确定技术上的弱点。包括恶意代码的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更等。（4）帮助决策制订者综合平衡风险以选择成本效益对策。 1999年，卡内基·梅隆大学的SEI发布了OCTAVE框架，这是一种自主型信息安全风险评估方法[3]。OCTAVE方法是Alberts和Dorofee共同研究的成果，这是一种从系统的、组织的角度开发的新型信息安全保护方法，主要针对大型组织，中小型组织也可以对其适当裁剪，以满足自身需要。它的实施分为三个阶段：（1）建立基于资产的威胁配置文件（Thr

18、eat Profile）。这是从组织的角度进行的评估。组织的全体员工阐述他们的看法，如什么对组织重要（与信息相关的资产），应当采取什么样的措施保护这些资产等。分析团队整理这些信息，确定对组织最重要的资产（关键资产）并标识对这些资产的威胁。（2）标识基础结构的弱点。对计算基础结构进行的评估。分析团队标识出与每种关键资产相关的关键信息技术系统和组件，然后对这些关键组件进行分析，找出导致对关键资产产生未授权行为的弱点（技术弱点）。（3）开发安全策略和计划。分析团队标识出组织关键资产的风险，并确定要采取的措施。根据对收集到的信息所做的分析，为组织开发保护策略和缓和计划，以解决关键资产的风险。 3.3

19、 定性评估和定量评估 定性分析方法是最广泛使用的风险分析方法。该方法通常只关注威胁事件所带来的损失（Loss），而忽略事件发生的概率（Probability）。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据，而是指定期望值，如设定每种风险的影响值和概率值为“高”、“中”、“低”。有时单纯使用期望值，并不能明显区别风险值之间的差别。可以考虑为定性数据指定数值。例如，设“高”的值为3，“中”的值为2，“低”的值为1。但是要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。所以，不要赋予相对等级太多的意义，否则，

20、将会导致错误的决策。 定量分析方法利用两个基本的元素：威胁事件发生的概率和可能造成的损失。把这两个元素简单相乘的结果称为ALE（Annual Loss Expectancy）或EAC（Estimated Annual Cost）[2]。理论上可以依据ALE计算威胁事件的风险等级，并且做出相应的决策。文献[11]提出了一种定量风险评估方法。该方法首先评估特定资产的价值V，把信息系统分解成各个组件可能更加有利于整个系统的定价，一般按功能单元进行分解；然后根据客观数据计算威胁的频率P；最后计算威胁影响系数µ，因为对于每一个风险，并不是所有的资产所遭受的危害程度都是一样的，程度的范围可能从无危害到彻

21、底危害（即完全破坏）。根据上述三个参数，计算ALE： ALE ＝ V × P × µ （3-1） 定量风险分析方法要求特别关注资产的价值和威胁的量化数据，但是这种方法存在一个问题，就是数据的不可靠和不精确。对于某些类型的安全威胁，存在可用的信息。例如，可以根据频率数据估计人们所处区域的自然灾害发生的可能性（如洪水和地震）。也可以用事件发生的频率估计一些系统问题的概率，例如系统崩溃和感染病毒。但是，对于一些其他类型的威胁来说，不存在频率数据，影响和概率很难是精确的。此外，控制和对策措施可以减小威胁事件发生的可能性，而这些威胁事件之间又是相互关

22、联的。这将使定量评估过程非常耗时和困难。 鉴于以上难点，可以转用客观概率和主观概率相结合的方法。应用于没有直接根据的情形，可能只能考虑一些间接信息、有根据的猜测、直觉或者其他主观因素，称为主观概率[12]。应用主观概率估计由人为攻击产生的威胁需要考虑一些附加的威胁属性，如动机、手段和机会等。 3.4 基于知识的评估和基于模型的评估 基于知识的风险评估方法主要是依靠经验进行的，经验从安全专家处获取并凭此来解决相似场景的风险评估问题。这种方法的优越性在于能够直接提供推荐的保护措施、结构框架和实施计划。 文献[13]提出了一种基于“良好实践”的知识评估方法。该方法提出重用具有相似性组织（主要

23、从组织的大小、范围以及市场来判断组织是否相似）的“良好实践”。为了能够较好地处理威胁和脆弱性分析，该方法开发了一个滥用和误用报告数据库，存储了30年来的上千个事例。同时也开发了一个扩展的信息安全框架，以辅助用户制定全面的、正确的组织安全策略。基于知识的风险评估方法充分利用多年来开发的保护措施和安全实践，依照组织的相似性程度进行快速的安全实施和包装，以减少组织的安全风险。然而，组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方法的制约点。安全风险评估是一个非常复杂的任务，这要求存在一个方法既能描述系统的细节又能描述系统的整体。 基于模型的评估可以分析出系统自身内部机制中存在的

24、危险性因素，同时又可以发现系统与外界环境交互中的不正常并有害的行为，从而完成系统脆弱点和安全威胁的定性分析。如UML建模语言可以用来详细说明信息系统的各个方面：不同组件之间关系的静态图用class diagrams来表示；用来详细说明系统的行动这和功能的动态图用use case diagrams和sequence diagrams来表示；完整的系统使用UML diagrams来说明，它是系统体系结构的描述[14]。 2001年，BITD开始了CORAS工程——安全危急系统的风险分析平台。该工程旨在开发一个基于面向对象建模技术的风险评估框架，特别指出使用UML建模技术。利用建模技术在此主要有三

25、个目的：第一，在合适的抽象层次描述评估目标；第二，在风险评估的不同群组中作为通信和交互的媒介；第三：记录风险评估结果和这些结果依赖的假设[15]。CC准则和CORAS方法都使用了半形式化和形式化规范。CC准则是通用的，并不为风险评估提供方法学。然后，相对于CC准则而言，CORAS为风险评估提供方法学，开发了具体的技术规范来进行安全风险评估。 四、结论和展望 信息系统安全风险评估经历了从手动评估到工具辅助评估的阶段，目前正在由技术评估到整体评估发展，由定性评估向定性和定量相结合的方向发展，由基于知识（经验）的评估向基于模型的评估方法发展。在信息系统安全应用领域，经常要求对一个组织进行信息安

26、全风险评估。要使评估结果完整准确，必须考虑到组织的安全风险不仅仅是由计算机网络攻击所引起的，而是由技术基础结构、组织结构以及人员等综合因素所决定。也正是由于这个原因，要求信息安全风险评估必须考虑组织的方方面面的因素，同时也决定了整个评估过程非常复杂和耗时。 进一步的研究可以有下面一些方向：（1）组织关键信息资产的确定和估价，这是安全投资决策的基础。（2）资产、安全事件、威胁、脆弱点四者之间的关系建模以及威胁产生的概率和影响，这是定量分析的基本要求。（3）基于模型的安全需求、安全评估以及安全管理方法的进一步完善。（4）更加适应于信息安全领域的风险评估模型的引入和创建等。 五、参考文献 [

27、1] Fites, P. E.; Kratz, M. P. ; and Brebner, A. F. Control and Security of Computer Information Systems. Rockville, MD, Computer Science Press Inc. , 1989 [2] Hutt, Arthur E. ; Bosworth, Seymour; and Hoyt, Douglas B. Computer Security Handbook. Third edition. New York; John Wiley & Sons, Inc. 1995.

28、 [3] Alberts, Christopher J. and Dorofee, Audrey J. OCTAVE Method Implementation Guide, v2.0. Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 2001. [4] National Security Telecommunication and Information Systems Security Committee. Index of National Security Telecommuni

29、cation Information Systems Security Issuances. January 1998. [5] Howard, John and Longstaff, Tom. A Common Language for Computer Security Incidents. Albuguerque, NM: Sandia National Laboratories, 1998. [6] Rowe, W. D. 1997. An Anatomy of Risk. New York: John Wiley and Sons. [7] Ansell, J. and F.

30、Wharton. 1992. Risk: Analysis, Assessment, and Management. Chichester: John Wiley & Sons. [8] Deyle, Robert, Steven French, Robert Olshansky, and Robert Paterson. 1998. Hazard Assessment: The Factual Basis for Planning and Mitigation. Chapter five in Cooperating with Nature, edited by Raymond Burby

31、 : National Academy Press, Joseph Henry Press. [9] Cutter, Susan L. 1993. Living With Risk: The Geography of Technological Hazards. London and NY: Edward Arnold. [10] Britton, Neil R. 1998. "Safeguarding New Zealand's Future: Emergency Management's Role in Shaping the Nation." Foresight, Septembe

32、r, pp. 1-12. [11] James W. Meritt, CISSPA . Method for Quantitative Risk Analysis [12] Freund, John E. Introduction to Probability. Mieola, NY: Dover Publication, Inc. 1993. [13] Parker, Donn. “Why the Due Care security review method is superior to Risk Assessment”. CSI ALERT Newsletter, Number

33、 212. November 2000. [14] Siv-Hilde Houmb, Folker den Braber, Mass Soldal Lund, Ketil Stølen: Towards a UML profile for model-based risk assessment. In the Proc. UML'2002, Satellite Workshop on Critical Systems Development with UML. [15] Theo Dimitrakos, Juan Bicarregui, Ketil Stølen. CORAS - a framework for risk analysis of security critical systems. ERCIM news, number 49, pages 25-26, 2002.