风险评估的工具与基本过程

1、 HYPERLINK / 风险评估工具 风险评估过程中，能够利用一些辅助性的工具和方法来采集数据，包括：调查问卷 风险评估者通过问卷形式对组织信息安全的各个方面进行调查，问卷解答能够进行手工分析，也能够输入自动化评估工具进行分析。从问卷调查中，评估者能够了解到组织的关键业务、关键资产、要紧威胁、治理上的缺陷、采纳的操纵措施和安全策略的执行情况。 检查列表 检查列表通常是基于特定标准或基线建立的，对特定系统进行审查的项目条款，通过检查列表，操作者能够快速定位系统目前的安全状况与基线要求之间的差距。人员访谈 风险评估者通过与组织内关键人员的访谈，能够了解到组织的安全意识、业务操作、治理程序等重要信

2、息。漏洞扫描器 漏洞扫描器（包括基于网络探测和基于主机审计）能够对信息系统中存在的技术性漏洞（弱点）进行评估。许多扫描器都会列出已发觉漏洞的严峻性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。渗透测试 这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目标系统的漏洞，还会通过漏洞利用来验证此种威胁场景。除了这些方法和工具外，风险评估过程最常用的依旧一些专用的自动化的风险评估工具，不管是商用的依旧免费的，此类工具都能够有效地通过输入数据来分析风险，最终给出对风险的评价并推举相应的安全措施。目前常见的自动化风险评估工具包括：COBRA COBRA（Cons

3、ultative, Objective and Bi-functional Risk Analysis）是英国的C&A 系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识不风险的水平和推举措施。此外，COBRA 还支持基于知识的评估方法，能够将组织的安全现状与ISO 17799 标准相比较，从中找出差距，提出弥补措施。C&A 公司提供了COBRA 试用版下载：。(COBRA can be purchased instantly via credit card. Simply proceed to the secure

4、server as follows: * - Special Offer. Only $US 1995 - $US 895)CRAMM CRAMM（CCTA Risk Analysis and Management Method）是由英国政府的中央计算机与电信局（Central Computer and Telecommunications Agency，CCTA）于1985 年开发的一种定量风险分析工具，同时支持定性分析。通过多次版本更新（现在是第四版），目前由 Insight 咨询公司负责治理和授权。CRAMM 是一种能够评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统

5、和网络，也能够在信息系统生命周期的各个时期使用。CRAMM 的安全模型数据库基于闻名的“资产/威胁/弱点”模型，评估过程通过资产识不与评价、威胁和弱点评估、选择合适的推举对策这三个时期。CRAMM 与BS 7799 标准保持一致，它提供的可供选择的安全操纵多达3000 个。除了风险评估，CRAMM 还能够对符合ITIL（IT Infrastructure Library）指南的业务连续性治理提供支持。ASSET ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技术协会（National Institute of Standard and

6、 Technology，NIST）公布的一个可用来进行安全风险自我评估的自动化工具，它采纳典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST SpecialPublication 800-26，即信息技术系统安全自我评估指南（Security Self-AssessmentGuide for Information Technology Systems），为组织进行IT 系统风险评估提供了众多操纵目标和建议技术。ASSET 是一个免费工具，能够在NIST 的网站下载：。CORA CORA（Cost-of-Risk Analysis）

7、是由国际安全技术公司（InternationalSecurity Technology, Inc. ）开发的一种风险治理决策支持系统，它采纳典型的定量分析方法，能够方便地采集、组织、分析并存储风险数据，为组织的风险治理决策支持提供准确的依据。面对信息安全问题时，需要从组织的角度去评估他们实际上需要爱护什么及其需求的缘故。大多数安全问题深深的根植在一个或者多个组织和业务问题中。在实施安全方案之前，应当通过在业务环境中评估安全需求和风险，刻画出差不多问题的真实本质，决定需要爱护哪些对象，什么缘故要爱护这些对象，需要从哪些方面进行爱护，如何在生存期内进行爱护。下面将从不同的角度比较现有的信息安全风险

8、评估方法。）手动评估和工具辅助评估 在各种信息安全风险评估工具出现往常，对信息系统进行安全治理，一切工作都只能手工进行。关于安全风险分析人员而言，这些工作包括识不重要资产、安全需求分析、当前安全实践分析、威胁和弱点发觉、基于资产的风险分析和评估等。关于安全决策者而言，这些工作包括资产估价、安全投资成本以及风险效益之间的平衡决策等。关于系统治理员而言，这些工作包括基于风险评估的风险治理等。总而言之，其劳动量巨大，容易出现疏漏，而且，他们差不多上依据各自的经验，进行与安全风险相关的工作。风险评估工具的出现在一定程度上解决了手动评估的局限性。1985年，英国CCTA开发了CRAMM风险评估工具。CR

9、AMM包括全面的风险评估工具，同时完全遵循BS 7799规范，包括依靠资产的建模、商业阻碍评估、识不和评估威胁和弱点、评估风险等级、识不需求和基于风险评估调整操纵等。CRAMM评估风险依靠资产价值、威胁和脆弱点，这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到，最后给出一套安全解决方案 。1991年，C&A System Security公司推出了COBRA工具，用来进行信息安全风险评估。COBRA由一系列风险分析、咨询和安全评价工具组成，它改变了传统的风险治理方法，提供了一个完整的风险分析服务，同时兼容许多风险评估方法学（如定性分析和定量

10、分析等）。它能够看作一个基于专家系统和扩展知识库的问卷系统，对所有的威胁和脆弱点评估其相对重要性，同时给出合适的建议和解决方案。此外，它还对每个风险类不提供风险分析报告和风险值（或风险等级）。信息安全风险评估工具的出现，大大缩短了评估所花费的时刻。在系统应用和配置不断改变的情况，组织能够通过执行另外一次评估重新设置风险基线。两次评估的时刻间隔能够预先确定（例如，以月为单位）或者由要紧的事件触发（例如，企业重组、组织的计算基础结构重新设计等）。 ）技术评估和整体评估 技术评估是指对组织的技术基础结构和程序进行系统的、及时的检查，包括对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击。这些

11、技术驱动的评估通常包括：（1）评估整个计算基础结构。（2）使用拥有的软件工具分析基础结构及其全部组件。（3）提供详细的分析报告，讲明检测到的技术弱点，同时可能为解决这些弱点建议具体的措施。技术评估是通常意义上所讲的技术脆弱性评估，强调组织的技术脆弱性。然而组织的安全性遵循“木桶原则”，仅仅与组织内最薄弱的环节相当，而这一环节多半是组织中的某个人。 整体风险评估扩展了上述技术评估的范围，着眼于分析组织内部与安全相关的风险，包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。这些多角度的评估试图按照业务驱动程序或者目标对安全风险进行排列，关注的焦点要紧集中在安全的以下4个方面：

12、（1）检查与安全相关的组织实践，标识当前安全实践的优点和弱点。这一程序可能包括对信息进行比较分析，依照工业标准和最佳实践对信息进行等级评定。（2）包括对系统进行技术分析、对政策进行评审，以及对物理安全进行审查。（3）检查IT的基础结构，以确定技术上的弱点。包括恶意代码的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更等。（4）关心决策制订者综合平衡风险以选择成本效益对策。1999年，卡内基梅隆大学的SEI公布了OCTAVE框架，这是一种自主型信息安全风险评估方法。OCTAVE方法是一种从系统的、组织的角度开发的新型信息安全爱护方法，要紧针对大型组织，中小型组织也能够对其

13、适当裁剪，以满足自身需要。它的实施分为三个时期：（1）建立基于资产的威胁配置文件。这是从组织的角度进行的评估。组织的全体职员阐述他们的看法，如什么对组织重要（与信息相关的资产），应当采取什么样的措施爱护这些资产等。分析团队整理这些信息，确定对组织最重要的资产（关键资产）并标识对这些资产的威胁。（2）标识基础结构的弱点。对计算基础结构进行的评估。分析团队标识出与每种关键资产相关的关键信息技术系统和组件，然后对这些关键组件进行分析，找出导致对关键资产产生未授权行为的弱点（技术弱点）。（3）开发安全策略和打算。分析团队标识出组织关键资产的风险，并确定要采取的措施。依照对收集到的信息所做的分析，为组织

14、开发爱护策略和缓和打算，以解决关键资产的风险。 ）定性评估和定量评估 定性分析方法是最广泛使用的风险分析方法。该方法通常只关注威胁事件所带来的损失（Loss），而忽略事件发生的概率（Probability）。多数定性风险分析方法依据组织面临的威胁、脆弱点以及操纵措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据，而是指定期望值，如设定每种风险的阻碍值和概率值为“高”、“中”、“低”。有时单纯使用期望值，并不能明显区不风险值之间的差不。能够考虑为定性数据指定数值。如，设“高”的值为3，“中”的值为2，“低”的值为1。然而要注意的是，那个地点考虑的只是风险的相对等级，并不能讲明该风险到底

15、有多大。因此，不要给予相对等级太多的意义，否则，将会导致错误的决策。 定量分析方法利用两个差不多的元素：威胁事件发生的概率和可能造成的损失。把这两个元素简单相乘的结果称为ALE（Annual Loss Expectancy）或EAC（Estimated Annual Cost）。理论上能够依据ALE计算威胁事件的风险等级，同时做出相应的决策。定量风险评估方法首先评估特定资产的价值V，把信息系统分解成各个组件可更加有利于整个系统的定价，一般按功能单元进行分解；然后依照客观数据计算威胁的频率P；最后计算威胁阻碍系数?，因为关于每一个风险，并不是所有的资产所遭受的危害程度差不多上一样的，程度的范围可

16、能从无危害到完全危害（即完全破坏）。依照上述三个参数，计算ALE：ALE V P ? 定量风险分析方法要求特不关注资产的价值和威胁的量化数据，然而这种方法存在一个问题，确实是数据的不可靠和不精确。关于某些类型的安全威胁，存在可用的信息。例如，能够依照频率数据可能人们所处区域的自然灾难发生的可能性（如洪水和地震）。也能够用事件发生的频率可能一些系统问题的概率，例如系统崩溃和感染病毒。然而，关于一些其他类型的威胁来讲，不存在频率数据，阻碍和概率专门难是精确的。此外，操纵和对策措施能够减小威胁事件发生的可能性，而这些威胁事件之间又是相互关联的。这将使定量评估过程特不耗时和困难。 鉴于以上难点，能够转

17、用客观概率和主观概率相结合的方法。应用于没有直接依照的情形，可能只能考虑一些间接信息、有依照的推测、直觉或者其他主观因素，称为主观概率。应用主观概率可能由人为攻击产生的威胁需要考虑一些附加的威胁属性，如动机、手段和机会等。 ）基于知识的评估和基于模型的评估基于知识的风险评估方法要紧是依靠经验进行的，经验从安全专家处猎取并凭此来解决相似场景的风险评估问题。这种方法的优越性在于能够直接提供推举的爱护措施、结构框架和实施打算。“良好实践”的知识评估方法。该方法提出重用具有相似性组织（要紧从组织的大小、范围以及市场来推断组织是否相似）的“良好实践”。为了能够较好地处理威胁和脆弱性分析，该方法开发了一个

18、滥用和误用报告数据库，存储了30年来的上千个事例。同时也开发了一个扩展的信息安全框架，以辅助用户制定全面的、正确的组织安全策略。基于知识的风险评估方法充分利用多年来开发的爱护措施和安全实践，依照组织的相似性程度进行快速的安全实施和包装，以减少组织的安全风险。然而，组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定差不多上该方法的制约点。安全风险评估是一个特不复杂的任务，这要求存在一个方法既能描述系统的细节又能描述系统的整体。基于模型的评估能够分析出系统自身内部机制中存在的危险性因素，同时又能够发觉系统与外界环境交互中的不正常并有害的行为，从而完成系统脆弱点和安全威胁的定性分析。如UM

19、L建模语言能够用来详细讲明信息系统的各个方面：不同组件之间关系的静态图用class diagrams来表示；用来详细讲明系统的行动这和功能的动态图用use case diagrams和sequence diagrams来表示；完整的系统使用UML diagrams来讲明，它是系统体系结构的描述。 2001年，BITD开始了CORAS工程安全危险系统的风险分析平台。该工程旨在开发一个基于面向对象建模技术的风险评估框架，特不指出使用UML建模技术。利用建模技术在此要紧有三个目的：第一，在合适的抽象层次描述评估目标；第二，在风险评估的不同群组中作为通信和交互的媒介；第三：记录风险评估结果和这些结果依

20、靠的假设。 准则和CORAS方法都使用了半形式化和形式化规范。CC准则是通用的，并不为风险评估提供方法学。然后，相关于CC准则而言，CORAS为风险评估提供方法学，开发了具体的技术规范来进行安全风险评估。风险评估的差不多过程-识不并评估弱点风险评估的差不多过程-识不并评估弱点 光有威胁还构不成风险，威胁只有利用了特定的弱点才可能对资产造成阻碍，因此，组织应该针对每一项需要爱护的信息资产，找到可被威胁利用的弱点。常见的弱点有三类： 技术性弱点 系统、程序、设备中存在的漏洞或缺陷，比如结构设计问题和编程漏洞。操作性弱点 软件和系统在配置、操作、使用中的缺陷，包括人员日常工作中的不良适应，审计或备份

21、的缺乏。治理性弱点 策略、程序、规章制度、人员意识、组织结构等方面的不足。识不弱点的途径有专门多，包括各种审计报告、事件报告、安全复查报告、系统测试及评估报告等，还能够利用专业机构公布的列表信息，因此，许多技术性和操作性弱点，能够借助自动化的漏洞扫描工具和渗透测试等方法来识不和评估。评估弱点时需要考虑两个因素，一个是弱点的严峻程度（Severity），另一个是弱点的暴露程度（Exposure），即被利用的容易程度，因此，这两个因素也能够用“高”、“中”、“低”三个等级来衡量。需要注意的是，弱点是威胁发生的直接条件，假如资产没有弱点或者弱点专门轻微，威胁源就专门难利用其损害资产，哪怕它的能力多高

22、动机多么强烈。信息安全评估标准的进展企业的网络环境和应用系统愈来愈复杂，每个企业都有如此的不明白：自己的网络和应用系统有哪些安全漏洞？应该如何样解决？如何规划企业的安全建设？信息安全评估回答了这些问题。什么是信息安全评估？关于那个问题，由于每个人的理解不同，可能有不同的答案。但比较流行的一种看法是：信息安全评估是信息安全生命周期中的一个重要环节，是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全治理措施及应用流程等进行全面的安全分析，并提出安全风险分析报告和改进建议书。信息安全评估的作用信息安全评估具有如下作用：(1)明确企业信息系统的安全

23、现状。进行信息安全评估后，能够让企业准确地了解自身的网络、各种应用系统以及治理制度规范的安全现状，从而明晰企业的安全需求。(2)确定企业信息系统的要紧安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后，能够确定企业信息系统的要紧安全风险，并让企业选择幸免、降低、同意等风险处置措施。(3)指导企业信息系统安全技术体系与治理体系的建设。对企业进行信息安全评估后，能够制定企业网络和系统的安全策略及安全解决方案，从而指导企业信息系统安全技术体系（如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等）与治理体系（安全组织保证、安全治理制度及安全培训机制等）的

24、建设。要紧的信息安全评估标准信息安全评估标准是信息安全评估的行动指南。可信的计算机系统安全评估标准（TCSEC，从橘皮书到彩虹系列）由美国国防部于1985年公布的，是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级不，对用户登录、授权治理、访问操纵、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。信息技术安全评估标准（ITSEC，欧洲百皮书）是由法、英、荷、德欧洲四国90年代初联合公布的，它提出了信息安全的机密性、完整性、可用性的安全属性。机密性确实是保证没有通过授权的用户、实体或进程无法窃取信息；完整性确实是

25、保证没有通过授权的用户不能改变或者删除信息，从而信息在传送的过程中可不能被偶然或有意破坏，保持信息的完整、统一；可用性是指合法用户的正常请求能及时、正确、安全地得到服务或回应。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识，对国际信息安全的研究、实施产生了深刻的阻碍。信息技术安全评价的通用标准（CC）由六个国家（美、加、英、法、德、荷）于1996年联合提出的，并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的差不多准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保

26、证要求。CC标准是第一个信息技术安全评价国际标准，它的公布对信息安全具有重要意义，是信息技术安全评价标准以及信息安全技术进展的一个重要里程碑。ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义，并提出了以风险为核心的安全模型：企业的资产面临专门多威胁（包括来自内部的威胁和来自外部的威胁）；威胁利用信息系统存在的各种漏洞（如：物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等），对信息系统进行渗透和攻击。假如渗透和攻击成功，将导致企业资产的暴露；资产的暴露（如系统高级治理人员由于不小心而导致重要机密信息的泄露），会对资产的价值产生阻碍

27、（包括直接和间接的阻碍）；风险确实是威胁利用漏洞使资产暴露而产生的阻碍的大小，这能够为资产的重要性和价值所决定；对企业信息系统安全风险的分析，就得出了系统的防护需求；依照防护需求的不同制定系统的安全解决方案，选择适当的防护措施，进而降低安全风险，并抗击威胁。该模型阐述了信息安全评估的思路，对企业的信息安全评估工作具有指导意义。BS7799是英国的工业、政府和商业共同需求而进展的一个标准，它分两部分：第一部分为“信息安全治理事务准则”；第二部分为“信息安全治理系统的规范”。目前此标准差不多被专门多国家采纳，并已成为国际标准ISO17799。 BS7799包含10个操纵大项、36个操纵目标和127

28、个操纵措施。BS7799/ISO17799要紧提供了有效地实施信息系统风险治理的建议，并介绍了风险治理的方法和过程。企业能够参照该标准制定出自己的安全策略和风险评估实施步骤。AS/NZS 4360：1999是澳大利亚和新西兰联合开发的风险治理标准，第一版于1995年公布。在AS/NZS 4360:1999中，风险治理分为建立环境、风险识不、风险分析、风险评价、风险处置、风险监控与回忆、通信和咨询七个步骤。AS/NZS 4360:1999是风险治理的通用指南，它给出了一整套风险治理的流程，对信息安全风险评估具有指导作用。目前该标准已广泛应用于新南威尔士洲、澳大利亚政府、英联邦卫生组织等机构。OC

29、TAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation）是可操作的关键威胁、资产和弱点评估方法和流程。OCTAVE首先强调的是O可操作性，其次是C关键系统，也确实是讲，它最注重可操作性，其次对关键性专门关注。OCTAVE将信息安全风险评估过程分为三个时期：时期一，建立基于资产的威胁配置文件；时期二，标识基础结构的弱点；时期三，确定安全策略和打算。国内要紧是等同采纳国际标准。公安部主持制定、国家质量技术监督局公布的中华人民共和国国家标准GB17895-1999计算机信息系统安全爱护等级划分准则已正式颁布并实施

30、。该准则将信息系统安全分为5个等级：自主爱护级、系统审计爱护级、安全标记爱护级、结构化爱护级和访问验证爱护级。要紧的安全考核指标有身份认证、自主访问操纵、数据完整性、审计等，这些指标涵盖了不同级不的安全要求。GB18336也是等同采纳ISO 15408标准。现有信息安全评估标准的局限性风险分析的方法有定性分析、半定量分析和定量分析。现有的信息安全评估标准要紧采纳定性分析法对风险进行分析，即通常采取安全事件发生的概率来计算风险。 然而，在安全评估过程中，评估人员常常面临的问题是：信息资产的重要性如何度量？资产如何分级？什么样的系统损失可能构成什么样的经济损失？如何构建技术体系和治理体系达到预定的

31、安全等级？一个由病毒中断了的邮件系统，企业因此造成的经济损失和社会阻碍如何计算？假如黑客入侵，尽管没有造成较大的经济损失，但企业的名誉损失又该如何衡量？另外，对企业的治理人员而言：哪些风险在企业可承受的范围内？这些问题从不同角度决定了一个信息系统安全评估的结果。目前的信息安全评估标准都不能对这些问题进行定量分析，在没有一个统一的信息安全评估标准的情况下，各家专业评估公司大多数是凭借各自积存的经验来解决。因此，这就需要统一的信息安全评估标准的出台。信息安全评估的市场前景随着业界关于信息安全问题认识的不断深入，随着信息安全体系的不断实践，越来越多的人发觉信息安全问题最终都归结为一个风险治理问题。据

32、统计，国外发达国家用在信息安全评估上的投资能占企业总投资的1%5%，电信和金融行业能达到3%5%。照此计算，每年仅银行的安全评估费用就超过几个亿。而且，企业的安全风险信息是动态变化的，只有动态的信息安全评估才能发觉和跟踪最新的安全风险。因此企业的信息安全评估是一个长期持续的工作，通常应该每隔1-3年就进行一次安全风险评估。因此，信息安全评估有着宽敞的市场前景。FRAP方法与风险治理文章作者：董永乐文章来源：启明星辰信息技术有限公司1引言网络使原本独立的计算机系统相互连接构成了全球网络空间(CyberSpace)。这一方面整合了计算机资源与数据资源，另一方面也引入了新的风险-信息安全风险。信息资

33、产的所有者关怀的是如何以合理的投入获得足够的安全，或者，如何把信息安全风险操纵在可同意的范围内。信息安全风险治理针对信息安全风险的三个关键元素：资产、脆弱性与威胁，从信息安全风险的角度来衡量并保障连接在网络上的信息系统的安全性。信息安全风险评估（以下简称风险评估）正是从这三个关键元素分不入手来分析信息资产面临的风险。能够认为风险评估在风险治理过程的起点。信息安全风险分析方法能够分为两大类：定性分析方法与定量分析方法。FRAP方法是一种基于信息资产的半定量风险分析方法。在本文提到的案例中采纳了通过剪裁并改进的FRAP方法(TailoredFRAP，简称T-FRAP)。本文分为5个部分。除了引言之

34、外，第2小节简单介绍了用到的案例项目的背景信息；第3小节简要介绍FRAP和OCTAVE，并引入T-FRAP方法；第4小节阐述T-FRAP方法相关于FRAP方法所做的改进以及如何利用T-FRAP将信息系统生命周期与风险治理过程结合在一起；最后给出了本文的结论。2案例分析本文所用的案例来自一个实际项目P。项目的甲方是客户C，风险评估的对象是客户的应用系统A，分布在全国各地。项目P的范围是从系统A中抽取了5个节点，共计1,500台主机与网络设备进行信息采集和分析，利用T-FRAP方法进行风险评估，最后给出综合风险分析报告和风险操纵建议。2.1目标系统简介在项目P中，应用系统A包括16个子系统，主机操

35、作系统类型要紧有Windows系列、UNIX类操作系统（RedHatLinux，TurboLinux，SCOUnixware），数据库治理系统包括Oracle、SQLServer，HTTP服务要紧由MSIIS提供。系统A中的16个子系统由不同的软件开发商开发，最后由一个总集成商集成在一起。网络方面，同样采纳了多种网络设备；安全方面则利用防火墙、IDS、VPN、反病毒软件等产品构成网络安全保障子系统。这是一个典型的企业网络。2.2用户需求分析客户C对本项目提出了如下要求：仅从技术上进行风险分析风险分析时不涉及具体业务系统关于信息安全风险评估项目来讲，不结合资产，不结合具体业务系统进行分析而得出的

36、结论与实际情况的偏差专门可能会比较大。为了保证在这种约束条件下，评估结果能尽可能真实地反映目标系统所面临的风险，需要改进现有的方法。其中有两个关键问题：威胁分析的结果偏差大，而且难以预测依照风险分析的结果采取技术保障措施来操纵风险的原则3评估方法：T-FRAP3.1方法对比与选择考虑到P项目的特点，我们需要选择一种恰当的方法。信息安全风险评估方法的差不多理论与模型是从业务风险评估的理论与模型衍生而来。现在较为流行的是FRAP与OCTAVE。下面简要介绍两种方法。3.1.1OCTAVE简介典型的OCTAVE过程包括3大步骤，8个时期：步骤1:提取基于资产的威胁概况P1:确定高级治理层的认识P2:

37、确定运作治理层的认识P3:确定全体职员的认识P4:建立威胁轮廓步骤2:确定基础设施漏洞P5:确定关键组件P6:评估选择的组件步骤3:制订安全策略和打算P7:实施风险分析P8:制订爱护策略3.1.2FRAP简介FRAP是便利的风险分析过程（FacilitatedRiskAnalysisProcess）的缩写。这是一种高效的，严格的过程方法，要紧为了保证业务运营的信息安全相关风险能得到考虑并归档。FRAP的要紧过程包括：信息收集（会谈，自动化工具，交互操作等方式），信息整理，信息分析，风险计算。整个过程涵盖技术、治理、运行三个方面的内容。3.2T-FRAP从上面的简介能够看出，OCTAVE并不适合

38、那个项目的要求。相对而言，FRAP方法更接近项目的要求。为了解决风险评估中较难克服的两个关键问题（威胁评估的偏差与操纵措施缺乏针对性），我们在选用FRAP方法的同时考虑对它进行适当的剪裁与改进。3.2.1技术层面的风险分析由于本项目要求仅从技术层面分析信息安全风险，因此T-FRAP略去了治理评估。在技术层面的风险评估中，项目也明确要求不对差不多特不完整的物理安全措施做任何评估，因此T-FRAP要紧集中在评估网络结构和主机系统方面存在的脆弱性和面临的威胁。3.2.2简化的风险计算方法由于本项目没有定义信息资产价值，因此所有的信息资产被认为是同等重要，这大大简化了风险计算方法。另外，在网络结构与主

39、机系统的风险分析中用事件分析代替威胁分析，如此就幸免了威胁分析造成的难以预测的偏差，同时也使风险操纵措施有专门强的针对性。4方法的改进在简要介绍了FRAP方法与OCTAVE过程后，我们结合风险治理的过程简单地分析一下T-FRAP对FRAP的要紧改进。4.1引入事件分析在FRAP方法中，大致的流程如下图所示：图1.FRAP风险分析方法简要流程如图1所示，威胁分析直接阻碍风险分析的最终结果。因此，威胁分析是否准确直接阻碍到风险评估结果是否准确。4.1.1威胁分析的不足FRAP方法面临的最大问题确实是难以操纵威胁分析的结果与实际情况之间的偏差，显然，这削减了基于资产、脆弱性、威胁三个关键元素进行风险

40、综合分析的结果的参考价值。通常在风险评估的相关文献中都会给出几大类一百多项可能的威胁。如何从大量的威胁中选出真正能对目标系统产生阻碍的威胁特不困难。4.1.2事件分析的作用与威胁紧密相关的是事件。事件的参考定义如下：event:=表示事件是针对目标的行为，意在导致目标的状态变化。attack:=表示攻击是借助于工具，利用系统弱点，得到未授权结果的一起事件。incident:=表示事故是攻击者执行攻击行为达到目的。图2.icident,attack,andevent在T-FRAP中，事件分析的作用要紧在于可视化并量化威胁，以及加强风险操纵措施的针对性。威胁可视化从图2中可知，事件分析的作用之一是

41、把原本具有潜在性的威胁用能够观看、能够比较的事件来表现。目前，观看、比较与统计事件都有成熟易用的工具。威胁量化同样，从图2中可知，事件分析的作用之二是把原本不可量化的威胁用能够统计的事件来表现。事件的数量，危害级不正好也是针对威胁的模糊性提出来的。加强风险操纵措施的针对性同样，从图2中可知，事件分析的作用之三是使风险操纵措施不再针对潜在的、难以量化的威胁，而是针对能够观看、能够比较、能够量化的事件。4.2风险操纵措施的选择原则在风险评估的结果中，综合风险决定了选择风险操纵措施的总原则。此外，事件的级不与数量，弱点的严峻程度与可达性差不多上阻碍风险操纵措施的关键因素。4.2.1事件级不与数量事件

42、级不与数量在一定程度上反映了威胁成功的可能性与阻碍的大小。从那个角度来看，风险操纵措施的力度应该和事件的级不与数量成正比。4.2.2弱点的严峻程度与可达性弱点的严峻程度与可达性要紧考虑信息系统的环境因素。它同样在一定程度上反映了风险的可能性与大小。从那个角度来看，风险操纵措施的力度应该和弱点的严峻程度与可达性成正比。4.3信息系统建设过程中的风险治理引入事件分析的另一个好处是专门容易把风险治理拓展到信息系统建设过程中，而非仅仅对差不多建好的信息系统进行风险评估与操纵。4.3.1信息系统生命周期信息系统的生命周期包括需求分析，系统设计，系统运行与维护3大时期。这3个时期之外还有系统的检查与改进。

43、4.3.2需求分析vs.风险分析通常，信息系统从可行性论证开始就差不多着手进行风险分析。然而，在可靠性论证时期的风险分析并不是信息系统本身要面临的风险。因此，在信息系统建设的生命周期中，需求分析是一个适于引入风险分析的时期。在需求分析时期需要考虑如下几方面：信息系统可能存在的缺陷或瑕疵引起的安全问题；信息系统的应用环境中可能存在的威胁；信息系统的使用者在安全意识方面可能存在不足；可能出现与信息系统相关的紧急事故。如此，需求分析不仅要输出信息系统本身的功能需求，而且要给出信息系统的安全需求。包括但不限于如下几方面：安全功能需求安全治理需求安全服务需求4.3.3系统设计vs.风险操纵依照在需求分析

44、时期得出的安全需求，在系统设计时期除了设计信息系统本身的结构、系统硬件平台架构、协议体系、操作系统平台、应用软件框架、业务模型之外，还要设计风险操纵措施。也确实是用具体的操纵措施搭建信息安全保障系统。4.3.4系统实现vs.风险操纵措施实现在系统实现时期需要并行完成信息系统本身的实现和信息安全保障系统的实现。由于两者相互阻碍，关系紧密，因此需要同步开发、调试、测试与公布。4.3.5运行与维护vs.修补加固运行与维护时期开始之前必须检查信息系统采纳的软、硬件系统的脆弱性并及时修补加固。以确保信息系统的脆弱性在实际投入运行之前差不多充分暴露并尽可能补救。在遇到没有相应的成熟加固方案或者因为其它缘故

45、造成信息系统仍然存在脆弱性时，需要采取其它风险防范措施。例如：分析脆弱性的相关事件，针对事件进行防范；分析脆弱性的相关资产，在风险可同意时考虑隔离存在脆弱性的部分；5结论信息系统的风险治理是信息安全的灵魂。风险评估则是风险治理的起点和基础。FRAP是一种简便的风险评估方法，T-FRAP在FRAP的基础上作了适当剪裁与改进，使之更加适合偏向技术层面的信息安全风险评估。具体来讲，T-FRAP相关于FRAP的要紧改进体现在：1、减小威胁评估的偏差；2、依照风险评估的结果引入风险操纵措施的决策原则；3、将风险治理过程映射到信息系统生命周期的不同时期。天阗入侵风险评估系统公布时刻：2005-5-2222

46、:09:45文章来源：启明星辰天阗入侵风险评估系统通过分布式的网络扫描引擎定期对网络和主机进行扫描，建立资产脆弱性分析数据库，采纳协同关联分析技术，对入侵检测系统实时报警事件进行对应性校验，显示入侵事件的风险分析和评估结果。评估过程：天阗入侵风险评估系统是独立的软件系统，其作用发挥依靠如下系统的前期部署：网络入侵检测系统：报告入侵事件和攻击目标，反映资产面临的威胁网络漏洞扫描系统：报告主机状态和漏洞分布，反映资产的脆弱性天阗入侵风险评估系统采纳如下的分析过程：推断入侵事件中的攻击对象是否落入所关怀的资产范围之内。推断该入侵事件阻碍的系统和目标资产的实际系统是否有对应性。推断入侵事件针对的端口在

47、目标资产上是否差不多打开。推断目标资产上是否具有入侵事件所针对的漏洞。依照以上的分析，给出入侵事件的风险分析和评估结果。功能特点：关联分析条件设置：关联分析条件包括指定关联分析对象、关联分析扫描策略、资产对象治理。通过设置，预先建立对资产主机、服务、系统信息和漏洞分布状况的资料库，为进行入侵事件的校验做好预备。入侵风险评估结果显示：通过一系列实时关联分析推断，能够得出全面的风险评估结果，关于入侵事件和漏洞信息相对应的高风险隐患给出明确的警示，作为治理人员处理的有效依据。支持扫描策略灵活调整和扩展：提供强大的扫描策略编辑功能，对关联分析扫描策略进行适应性调整。支持资产脆弱性资料库的定期更新：由于

48、实际环境的动态变化，为了保证风险分析的准确性，能够制定定时的扫描打算任务，更新资产脆弱性分析资料库。入侵风险评估报告：通过报告明确给出具体的入侵检测事件信息、漏洞信息以及相应的关联分析结果，报告能够输出多种格式，如：WORD、PDF、HTML等。通过7+7属性中的7个信息安全治理属性分析等级爱护工作在中办发【2003】27号文和公通字【2004】66号文中，都明确将信息安全等级爱护制度确定为我国开展信息安全保障工作的一项差不多制度。在有关等级爱护的相关文件、标准、规范和指南中，指出了实施等级爱护的一些差不多原则和关键要素。本文提出了信息安全保障工作的7+7安全属性，并通过关于其中的7个信息安全

49、治理属性来分析等级爱护工作的实现思路。本文认为信息安全的属性实际上是信息安全目标的抽象体现，而相关的信息安全措施的抽象体现确实是信息安全机制。比如，加密技术（算法）是一个信息安全机制，那个机制的不同实现方式，能够满足不同的信息安全属性；加密技术用在数据的存储和传输上，能够满足数据的保密性和完整性的要求；加密技术用在数字签名的机制上，能够满足关于一个过程和操作的不可否认性要求。抽象的属性附着在具体的系统或者实体上的时候，就成为一个具体系统的安全目标；而抽象的机制以某种方式具体实现，那么确实是一个信息安全产品或者措施了。7+7安全属性是关于CIA（保密性、完整性、可用性）三性的扩展。将CIA三性扩

50、展为：保密性、完整性、可用性、真实性、不可否认性、可追究性、可控性等7个信息安全技术属性（目标）。其中所增加的真实性、不可否认性、可追究性、可控性能够认为是完整性的扩展和细化。同时，从治理的角度看，还应当存在一些纯治理的属性，能够作为实施信息安全治理工作，实现“技术与治理并重”要求的参考目标。我们把信息安全治理属性归纳为：目标性、执行性、效益性、时效性、适应性、整体性和符合性等7个属性。同样，各种各样的治理措施或者技术措施也会关于达成信息安全治理的属性（目标）有关心。比如：一个应急响应体系，作为一个机制（措施），能够满足治理上的时效性和适应性的要求；再比如构建一个符合等级爱护指南要求的信息安全

51、治理体系，作为一些机制的组合，能够满足治理上的符合性等要求。下面结合等级爱护工作，来分析阐述这些与信息安全治理属性紧密相关的原则、方法和建议。一、目标性原则信息安全要达到一个机构、一个单位、一个地区、一个行业乃至我国整体的信息安全保障目标，各项安全工作要有专门好的针对性和目标性。由于信息安全工作特不复杂，通过等级爱护的思路，能够关心机构明确爱护的重点和适当的强度。因此，在实施等级爱护中，并不是为了等级而等级，而是能够促进将自身业务工作的、真正的安全要求明确出来。为了明确恰当的安全目标，运用风险评估的方法是一个比较可行的途径。风险评估方法的全然要义，实际上确实是将安全问题和实际业务相结合，将业务

52、及承载它的系统的风险识不出来，进而制定出等级。二、执行性原则也可称为实效性原则。等级爱护工作的实施中，要能够切实关心达成信息安全目标。因此，等级爱护工作并不是要将信息安全保障工作变得复杂，而是力图将整个工作变得简单明确，提高可操作性。要想提高整体的可操作性，就要遵循工作的执行规律。用三观论（宏观、中观、微观）的思路分析整个工作的可执行性是特不行的思路之一，也确实是等级爱护工作要贯穿宏观的业务/价值层面、微观的技术/实现（产品和服务）层面，以及中观的治理/运营层面。使得等级爱护工作不是一个形象工程或者单纯的政策，而是能够自上而下推进和自下而上贯彻的实效工作。三、效益性原则信息安全工作是做不到100%的。假如要过度地追求接近100%的绝对安全，会导致信息安全工作的成本急剧地升高。假如能够合适地把握那个度，就需要等级爱护工作中的“级不”来关心。也确实是依照自身情况和外部要求制定合适的级不，同时采取相应级不