风险评估评估的工具与基本过程

风险评估评估的工具与基本过程风险评估评估的工具与基本过程风险评估评估的工具与基本过程风险评估工具

风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，包括：调查问卷——风险评估者通过问卷形式对组织信息安全的各个方面进行调查，问卷解答可以进行手工分析，也可以输入自动化评估工具进行分析。从问卷调查中，评估者能够了解到组织的关键业务、关键资产、主要威胁、管理上的缺陷、采用的控制措施和安全策略的执行情况。检查列表——检查列表通常是基于特定标准或基线建立的，对特定系统进行审查的项目条款，通过检查列表，操作者可以快速定位系统目前的安全状况与基线要求之间的差距。人员访谈——风险评估者通过与组织内关键人员的访谈，可以了解到组织的安全意识、业务操作、管理程序等重要信息。漏洞扫描器——漏洞扫描器（包括基于网络探测和基于主机审计）可以对信息系统中存在的技术性漏洞（弱点）进行评估。许多扫描器都会列出已发现漏洞的严重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCopScanner等。渗透测试——这是一种模拟黑客行为的漏洞探测活动，它不但要扫描目标系统的漏洞，还会通过漏洞利用来验证此种威胁场景。

除了这些方法和工具外，风险评估过程最常用的还是一些专用的自动化的风险评估工具，无论是商用的还是免费的，此类工具都可以有效地通过输入数据来分析风险，最终给出对风险的评价并推荐相应的安全措施。目前常见的自动化风险评估工具包括：COBRA——COBRA（Consultative,ObjectiveandBi-functionalRiskAnalysis）是英国的C&A系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险的水平和推荐措施。此外，COBRA还支持基于知识的评估方法，可以将组织的安全现状与ISO17799标准相比较，从中找出差距，提出弥补措施。C&A公司提供了COBRA试用版下载：。(COBRAcanbepurchasedinstantlyviacreditcard.Simplyproceedtothesecureserverasfollows:

*

-

SpecialOffer...Only$US1995

-

$US895

)CRAMM——CRAMM（CCTARiskAnalysisandManagementMethod）是由英国政府的中央计算机与电信局（CentralComputerandTelecommunicationsAgency，CCTA）于1985年开发的一种定量风险分析工具，同时支持定性分析。经过多次版本更新（现在是第四版），目前由Insight咨询公司负责管理和授权。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM与BS7799标准保持一致，它提供的可供选择的安全控制多达3000个。除了风险评估，CRAMM还可以对符合ITIL（ITInfrastructureLibrary）指南的业务连续性管理提供支持。ASSET——ASSET（AutomatedSecuritySelf-EvaluationTool）是美国国家标准技术协会（NationalInstituteofStandardandTechnology，NIST）发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NISTSP800-26指南之间的差距。NISTSpecialPublication800-26，即信息技术系统安全自我评估指南（SecuritySelf-AssessmentGuideforInformationTechnologySystems），为组织进行IT系统风险评估提供了众多控制目标和建议技术。ASSET是一个免费工具，可以在NIST的网站下载：。CORA——CORA（Cost-of-RiskAnalysis）是由国际安全技术公司（InternationalSecurityTechnology,Inc.）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。面对信息安全问题时，需要从组织的角度去评估他们实际上需要保护什么及其需求的原因。大多数安全问题深深的根植在一个或者多个组织和业务问题中。在实施安全方案之前，应当通过在业务环境中评估安全需求和风险，刻画出基本问题的真实本质，决定需要保护哪些对象，为什么要保护这些对象，需要从哪些方面进行保护，如何在生存期内进行保护。下面将从不同的角度比较现有的信息安全风险评估方法。

１）手动评估和工具辅助评估

在各种信息安全风险评估工具出现以前，对信息系统进行安全管理，一切工作都只能手工进行。对于安全风险分析人员而言，这些工作包括识别重要资产、安全需求分析、当前安全实践分析、威胁和弱点发现、基于资产的风险分析和评估等。对于安全决策者而言，这些工作包括资产估价、安全投资成本以及风险效益之间的平衡决策等。对于系统管理员而言，这些工作包括基于风险评估的风险管理等。总而言之，其劳动量巨大，容易出现疏漏，而且，他们都是依据各自的经验，进行与安全风险相关的工作。

风险评估工具的出现在一定程度上解决了手动评估的局限性。1985年，英国CCTA开发了CRAMM风险评估工具。CRAMM包括全面的风险评估工具，并且完全遵循BS7799规范，包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点，这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到，最后给出一套安全解决方案。1991年，C&ASystemSecurity公司推出了COBRA工具，用来进行信息安全风险评估。COBRA由一系列风险分析、咨询和安全评价工具组成，它改变了传统的风险管理方法，提供了一个完整的风险分析服务，并且兼容许多风险评估方法学（如定性分析和定量分析等）。它可以看作一个基于专家系统和扩展知识库的问卷系统，对所有的威胁和脆弱点评估其相对重要性，并且给出合适的建议和解决方案。此外，它还对每个风险类别提供风险分析报告和风险值（或风险等级）。

信息安全风险评估工具的出现，大大缩短了评估所花费的时间。在系统应用和配置不断改变的情况，组织可以通过执行另外一次评估重新设置风险基线。两次评估的时间间隔可以预先确定（例如，以月为单位）或者由主要的事件触发（例如，企业重组、组织的计算基础结构重新设计等）。

２）技术评估和整体评估

技术评估是指对组织的技术基础结构和程序进行系统的、及时的检查，包括对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击。这些技术驱动的评估通常包括：（1）评估整个计算基础结构。（2）使用拥有的软件工具分析基础结构及其全部组件。（3）提供详细的分析报告，说明检测到的技术弱点，并且可能为解决这些弱点建议具体的措施。技术评估是通常意义上所讲的技术脆弱性评估，强调组织的技术脆弱性。但是组织的安全性遵循“木桶原则”，仅仅与组织内最薄弱的环节相当，而这一环节多半是组织中的某个人。

整体风险评估扩展了上述技术评估的范围，着眼于分析组织内部与安全相关的风险，包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。这些多角度的评估试图按照业务驱动程序或者目标对安全风险进行排列，关注的焦点主要集中在安全的以下4个方面：（1）检查与安全相关的组织实践，标识当前安全实践的优点和弱点。这一程序可能包括对信息进行比较分析，根据工业标准和最佳实践对信息进行等级评定。（2）包括对系统进行技术分析、对政策进行评审，以及对物理安全进行审查。（3）检查IT的基础结构，以确定技术上的弱点。包括恶意代码的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更等。（4）帮助决策制订者综合平衡风险以选择成本效益对策。

1999年，卡内基•梅隆大学的SEI发布了OCTAVE框架，这是一种自主型信息安全风险评估方法。OCTAVE方法是一种从系统的、组织的角度开发的新型信息安全保护方法，主要针对大型组织，中小型组织也可以对其适当裁剪，以满足自身需要。它的实施分为三个阶段：（1）建立基于资产的威胁配置文件。这是从组织的角度进行的评估。组织的全体员工阐述他们的看法，如什么对组织重要（与信息相关的资产），应当采取什么样的措施保护这些资产等。分析团队整理这些信息，确定对组织最重要的资产（关键资产）并标识对这些资产的威胁。（2）标识基础结构的弱点。对计算基础结构进行的评估。分析团队标识出与每种关键资产相关的关键信息技术系统和组件，然后对这些关键组件进行分析，找出导致对关键资产产生未授权行为的弱点（技术弱点）。（3）开发安全策略和计划。分析团队标识出组织关键资产的风险，并确定要采取的措施。根据对收集到的信息所做的分析，为组织开发保护策略和缓和计划，以解决关键资产的风险。

３）定性评估和定量评估

定性分析方法是最广泛使用的风险分析方法。该方法通常只关注威胁事件所带来的损失（Loss），而忽略事件发生的概率（Probability）。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据，而是指定期望值，如设定每种风险的影响值和概率值为“高”、“中”、“低”。有时单纯使用期望值，并不能明显区别风险值之间的差别。可以考虑为定性数据指定数值。如，设“高”的值为3，“中”的值为2，“低”的值为1。但是要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。所以，不要赋予相对等级太多的意义，否则，将会导致错误的决策。

定量分析方法利用两个基本的元素：威胁事件发生的概率和可能造成的损失。把这两个元素简单相乘的结果称为ALE（AnnualLossExpectancy）或EAC（EstimatedAnnualCost）。理论上可以依据ALE计算威胁事件的风险等级，并且做出相应的决策。定量风险评估方法首先评估特定资产的价值V，把信息系统分解成各个组件可更加有利于整个系统的定价，一般按功能单元进行分解；然后根据客观数据计算威胁的频率P；最后计算威胁影响系数?，因为对于每一个风险，并不是所有的资产所遭受的危害程度都是一样的，程度的范围可能从无危害到彻底危害（即完全破坏）。根据上述三个参数，计算ALE：ALE＝V×P×?

定量风险分析方法要求特别关注资产的价值和威胁的量化数据，但是这种方法存在一个问题，就是数据的不可靠和不精确。对于某些类型的安全威胁，存在可用的信息。例如，可以根据频率数据估计人们所处区域的自然灾害发生的可能性（如洪水和地震）。也可以用事件发生的频率估计一些系统问题的概率，例如系统崩溃和感染病毒。但是，对于一些其他类型的威胁来说，不存在频率数据，影响和概率很难是精确的。此外，控制和对策措施可以减小威胁事件发生的可能性，而这些威胁事件之间又是相互关联的。这将使定量评估过程非常耗时和困难。

鉴于以上难点，可以转用客观概率和主观概率相结合的方法。应用于没有直接根据的情形，可能只能考虑一些间接信息、有根据的猜测、直觉或者其他主观因素，称为主观概率。应用主观概率估计由人为攻击产生的威胁需要考虑一些附加的威胁属性，如动机、手段和机会等。

４）基于知识的评估和基于模型的评估

基于知识的风险评估方法主要是依靠经验进行的，经验从安全专家处获取并凭此来解决相似场景的风险评估问题。这种方法的优越性在于能够直接提供推荐的保护措施、结构框架和实施计划。

“良好实践”的知识评估方法。该方法提出重用具有相似性组织（主要从组织的大小、范围以及市场来判断组织是否相似）的“良好实践”。为了能够较好地处理威胁和脆弱性分析，该方法开发了一个滥用和误用报告数据库，存储了30年来的上千个事例。同时也开发了一个扩展的信息安全框架，以辅助用户制定全面的、正确的组织安全策略。基于知识的风险评估方法充分利用多年来开发的保护措施和安全实践，依照组织的相似性程度进行快速的安全实施和包装，以减少组织的安全风险。然而，组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方法的制约点。安全风险评估是一个非常复杂的任务，这要求存在一个方法既能描述系统的细节又能描述系统的整体。

基于模型的评估可以分析出系统自身内部机制中存在的危险性因素，同时又可以发现系统与外界环境交互中的不正常并有害的行为，从而完成系统脆弱点和安全威胁的定性分析。如UML建模语言可以用来详细说明信息系统的各个方面：不同组件之间关系的静态图用classdiagrams来表示；用来详细说明系统的行动这和功能的动态图用usecasediagrams和sequencediagrams来表示；完整的系统使用UMLdiagrams来说明，它是系统体系结构的描述。

2001年，BITD开始了CORAS工程——安全危急系统的风险分析平台。该工程旨在开发一个基于面向对象建模技术的风险评估框架，特别指出使用UML建模技术。利用建模技术在此主要有三个目的：第一，在合适的抽象层次描述评估目标；第二，在风险评估的不同群组中作为通信和交互的媒介；第三：记录风险评估结果和这些结果依赖的假设。

准则和CORAS方法都使用了半形式化和形式化规范。CC准则是通用的，并不为风险评估提供方法学。然后，相对于CC准则而言，CORAS为风险评估提供方法学，开发了具体的技术规范来进行安全风险评估。风险评估的基本过程-识别并评估弱点风险评估的基本过程-识别并评估弱点

光有威胁还构不成风险，威胁只有利用了特定的弱点才可能对资产造成影响，所以，组织应该针对每一项需要保护的信息资产，找到可被威胁利用的弱点。常见的弱点有三类：技术性弱点——系统、程序、设备中存在的漏洞或缺陷，比如结构设计问题和编程漏洞。操作性弱点——软件和系统在配置、操作、使用中的缺陷，包括人员日常工作中的不良习惯，审计或备份的缺乏。管理性弱点——策略、程序、规章制度、人员意识、组织结构等方面的不足。识别弱点的途径有很多，包括各种审计报告、事件报告、安全复查报告、系统测试及评估报告等，还可以利用专业机构发布的列表信息，当然，许多技术性和操作性弱点，可以借助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。

评估弱点时需要考虑两个因素，一个是弱点的严重程度（Severity），另一个是弱点的暴露程度（Exposure），即被利用的容易程度，当然，这两个因素也可以用“高”、“中”、“低”三个等级来衡量。

需要注意的是，弱点是威胁发生的直接条件，如果资产没有弱点或者弱点很轻微，威胁源就很难利用其损害资产，哪怕它的能力多高动机多么强烈。信息安全评估标准的发展企业的网络环境和应用系统愈来愈复杂，每个企业都有这样的疑惑：自己的网络和应用系统有哪些安全漏洞？应该怎样解决？如何规划企业的安全建设？信息安全评估回答了这些问题。

什么是信息安全评估？

关于这个问题，由于每个人的理解不同，可能有不同的答案。但比较流行的一种看法是：信息安全评估是信息安全生命周期中的一个重要环节，是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全管理措施及应用流程等进行全面的安全分析，并提出安全风险分析报告和改进建议书。

信息安全评估的作用

信息安全评估具有如下作用：

(1)明确企业信息系统的安全现状。进行信息安全评估后，可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状，从而明晰企业的安全需求。

(2)确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后，可以确定企业信息系统的主要安全风险，并让企业选择避免、降低、接受等风险处置措施。

(3)指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后，可以制定企业网络和系统的安全策略及安全解决方案，从而指导企业信息系统安全技术体系（如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等）与管理体系（安全组织保证、安全管理制度及安全培训机制等）的建设。

主要的信息安全评估标准

信息安全评估标准是信息安全评估的行动指南。可信的计算机系统安全评估标准（TCSEC，从橘皮书到彩虹系列）由美国国防部于1985年公布的，是计算机系统信息安全评估的第一个正式标准。它把计算机系统的安全分为4类、7个级别，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。

信息技术安全评估标准（ITSEC，欧洲百皮书）是由法、英、荷、德欧洲四国90年代初联合发布的，它提出了信息安全的机密性、完整性、可用性的安全属性。机密性就是保证没有经过授权的用户、实体或进程无法窃取信息；完整性就是保证没有经过授权的用户不能改变或者删除信息，从而信息在传送的过程中不会被偶然或故意破坏，保持信息的完整、统一；可用性是指合法用户的正常请求能及时、正确、安全地得到服务或回应。ITSEC把可信计算机的概念提高到可信信息技术的高度上来认识，对国际信息安全的研究、实施产生了深刻的影响。

信息技术安全评价的通用标准（CC）由六个国家（美、加、英、法、德、荷）于1996年联合提出的，并逐渐形成国际标准ISO15408。该标准定义了评价信息技术产品和系统安全性的基本准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效地实施这些功能的保证要求。CC标准是第一个信息技术安全评价国际标准，它的发布对信息安全具有重要意义，是信息技术安全评价标准以及信息安全技术发展的一个重要里程碑。

ISO13335标准首次给出了关于IT安全的保密性、完整性、可用性、审计性、认证性、可靠性6个方面含义，并提出了以风险为核心的安全模型：企业的资产面临很多威胁（包括来自内部的威胁和来自外部的威胁）；威胁利用信息系统存在的各种漏洞（如：物理环境、网络服务、主机系统、应用系统、相关人员、安全策略等），对信息系统进行渗透和攻击。如果渗透和攻击成功，将导致企业资产的暴露；资产的暴露（如系统高级管理人员由于不小心而导致重要机密信息的泄露），会对资产的价值产生影响（包括直接和间接的影响）；风险就是威胁利用漏洞使资产暴露而产生的影响的大小，这可以为资产的重要性和价值所决定；对企业信息系统安全风险的分析，就得出了系统的防护需求；根据防护需求的不同制定系统的安全解决方案，选择适当的防护措施，进而降低安全风险，并抗击威胁。该模型阐述了信息安全评估的思路，对企业的信息安全评估工作具有指导意义。

BS7799是英国的工业、政府和商业共同需求而发展的一个标准，它分两部分：第一部分为“信息安全管理事务准则”；第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用，并已成为国际标准ISO17799。BS7799包含10个控制大项、36个控制目标和127个控制措施。BS7799/ISO17799主要提供了有效地实施信息系统风险管理的建议，并介绍了风险管理的方法和过程。企业可以参照该标准制定出自己的安全策略和风险评估实施步骤。

AS/NZS4360：1999是澳大利亚和新西兰联合开发的风险管理标准，第一版于1995年发布。在AS/NZS4360:1999中，风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监控与回顾、通信和咨询七个步骤。AS/NZS4360:1999是风险管理的通用指南，它给出了一整套风险管理的流程，对信息安全风险评估具有指导作用。目前该标准已广泛应用于新南威尔士洲、澳大利亚政府、英联邦卫生组织等机构。

OCTAVE（OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation）是可操作的关键威胁、资产和弱点评估方法和流程。OCTAVE首先强调的是O—可操作性，其次是C—关键系统，也就是说，它最注重可操作性，其次对关键性很关注。OCTAVE将信息安全风险评估过程分为三个阶段：阶段一，建立基于资产的威胁配置文件；阶段二，标识基础结构的弱点；阶段三，确定安全策略和计划。

国内主要是等同采用国际标准。公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》已正式颁布并实施。该准则将信息系统安全分为5个等级：自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等，这些指标涵盖了不同级别的安全要求。GB18336也是等同采用ISO15408标准。

现有信息安全评估标准的局限性

风险分析的方法有定性分析、半定量分析和定量分析。现有的信息安全评估标准主要采用定性分析法对风险进行分析，即通常采取安全事件发生的概率来计算风险。然而，在安全评估过程中，评估人员常常面临的问题是：信息资产的重要性如何度量？资产如何分级？什么样的系统损失可能构成什么样的经济损失？如何构建技术体系和管理体系达到预定的安全等级？一个由病毒中断了的邮件系统，企业因此造成的经济损失和社会影响如何计算？如果黑客入侵，尽管没有造成较大的经济损失，但企业的名誉损失又该如何衡量？另外，对企业的管理人员而言：哪些风险在企业可承受的范围内？这些问题从不同角度决定了一个信息系统安全评估的结果。目前的信息安全评估标准都不能对这些问题进行定量分析，在没有一个统一的信息安全评估标准的情况下，各家专业评估公司大多数是凭借各自积累的经验来解决。因此，这就需要统一的信息安全评估标准的出台。

信息安全评估的市场前景

随着业界对于信息安全问题认识的不断深入，随着信息安全体系的不断实践，越来越多的人发现信息安全问题最终都归结为一个风险管理问题。据统计，国外发达国家用在信息安全评估上的投资能占企业总投资的1%～5%，电信和金融行业能达到3%～5%。照此计算，每年仅银行的安全评估费用就超过几个亿。而且，企业的安全风险信息是动态变化的，只有动态的信息安全评估才能发现和跟踪最新的安全风险。所以企业的信息安全评估是一个长期持续的工作，通常应该每隔1-3年就进行一次安全风险评估。因此，信息安全评估有着广阔的市场前景。FRAP方法与风险管理文章作者：董永乐

文章来源：启明星辰信息技术有限公司1引言

网络使原本独立的计算机系统相互连接构成了全球网络空间(Cyber

Space)。这一方面整合了计算机资源与数据资源，另一方面也引入了新的风险--信息安全风险。

信息资产的所有者关心的是如何以合理的投入获得足够的安全，或者，如何把信息安全风险控制在可接受的范围内。信息安全风险管理针对信息安全风险的三个关键元素：资产、脆弱性与威胁，从信息安全风险的角度来衡量并保障连接在网络上的信息系统的安全性。信息安全风险评估（以下简称风险评估）正是从这三个关键元素分别入手来分析信息资产面临的风险。可以认为风险评估在风险管理过程的起点。

信息安全风险分析方法可以分为两大类：定性分析方法与定量分析方法。FRAP方法是一种基于信息资产的半定量风险分析方法。在本文提到的案例中采用了经过剪裁并改进的FRAP方法(Tailored

FRAP，简称T-FRAP)。

本文分为5个部分。除了引言之外，第2小节简单介绍了用到的案例项目的背景信息；第3小节简要介绍FRAP和OCTAVE，并引入T-FRAP方法；第4小节阐述T-FRAP方法相对于FRAP方法所做的改进以及如何利用T-FRAP将信息系统生命周期与风险管理过程结合在一起；最后给出了本文的结论。

2案例分析

本文所用的案例来自一个实际项目P。项目的甲方是客户C，风险评估的对象是客户的应用系统A，分布在全国各地。项目P的范围是从系统A中抽取了5个节点，共计1,500台主机与网络设备进行信息采集和分析，利用T-FRAP方法进行风险评估，最后给出综合风险分析报告和风险控制建议。

2.1目标系统简介

在项目P中，应用系统A包括16个子系统，主机操作系统类型主要有Windows系列、UNIX类操作系统（RedHat

Linux，Turbo

Linux，SCO

Unixware），数据库管理系统包括Oracle、SQL

Server，HTTP服务主要由MS

IIS提供。系统A中的16个子系统由不同的软件开发商开发，最后由一个总集成商集成在一起。网络方面，同样采用了多种网络设备；安全方面则利用防火墙、IDS、VPN、反病毒软件等产品构成网络安全保障子系统。这是一个典型的企业网络。

2.2用户需求分析

客户C对本项目提出了如下要求：

仅从技术上进行风险分析

风险分析时不涉及具体业务系统

对于信息安全风险评估项目来说，不结合资产，不结合具体业务系统进行分析而得出的结论与实际情况的偏差很可能会比较大。

为了保证在这种约束条件下，评估结果能尽可能真实地反映目标系统所面临的风险，需要改进现有的方法。其中有两个关键问题：

威胁分析的结果偏差大，而且难以预测

根据风险分析的结果采取技术保障措施来控制风险的原则

3评估方法：T-FRAP

3.1方法对比与选择

考虑到P项目的特点，我们需要选择一种恰当的方法。信息安全风险评估方法的基本理论与模型是从业务风险评估的理论与模型衍生而来。现在较为流行的是FRAP与OCTAVE。下面简要介绍两种方法。

3.1.1OCTAVE简介

典型的OCTAVE过程包括3大步骤，8个阶段：

步骤1:

提取基于资产的威胁概况

P1:

确定高级管理层的认识

P2:

确定运作管理层的认识

P3:

确定全体职员的认识

P4:

建立威胁轮廓

步骤

2:

确定基础设施漏洞

P5:

确定关键组件

P6:

评估选择的组件

步骤

3:

制订安全策略和计划

P7:

实施风险分析

P8:

制订保护策略

3.1.2FRAP简介

FRAP是"便利的风险分析过程（Facilitated

Risk

Analysis

Process）"的缩写。这是一种高效的，严格的过程方法，主要为了保证业务运营的信息安全相关风险能得到考虑并归档。

FRAP的主要过程包括：信息收集（会谈，自动化工具，交互操作等方式），信息整理，信息分析，风险计算。整个过程涵盖技术、管理、运行三个方面的内容。

3.2T-FRAP

从上面的简介可以看出，OCTAVE并不适合这个项目的要求。相对而言，FRAP方法更接近项目的要求。

为了解决风险评估中较难克服的两个关键问题（威胁评估的偏差与控制措施缺乏针对性），我们在选用FRAP方法的同时考虑对它进行适当的剪裁与改进。

3.2.1技术层面的风险分析

由于本项目要求仅从技术层面分析信息安全风险，因此T-FRAP略去了管理评估。

在技术层面的风险评估中，项目也明确要求不对已经非常完整的物理安全措施做任何评估，因此T-FRAP主要集中在评估网络结构和主机系统方面存在的脆弱性和面临的威胁。

3.2.2简化的风险计算方法

由于本项目没有定义信息资产价值，因此所有的信息资产被认为是同等重要，这大大简化了风险计算方法。另外，在网络结构与主机系统的风险分析中用事件分析代替威胁分析，这样就避免了威胁分析造成的难以预测的偏差，同时也使风险控制措施有很强的针对性。

4方法的改进

在简要介绍了FRAP方法与OCTAVE过程后，我们结合风险管理的过程简单地分析一下T-FRAP对FRAP的主要改进。

4.1引入事件分析

在FRAP方法中，大致的流程如下图所示：

图1.FRAP风险分析方法简要流程

如图1所示，威胁分析直接影响风险分析的最终结果。因此，威胁分析是否准确直接影响到风险评估结果是否准确。

4.1.1威胁分析的不足

FRAP方法面临的最大问题就是难以控制威胁分析的结果与实际情况之间的偏差，显然，这削减了基于资产、脆弱性、威胁三个关键元素进行风险综合分析的结果的参考价值。通常在风险评估的相关文献中都会给出几大类一百多项可能的威胁。如何从大量的威胁中选出真正能对目标系统产生影响的威胁非常困难。

4.1.2事件分析的作用

与威胁密切相关的是事件。事件的参考定义如下：

event

::=

<

Action,

Target

>

表示"事件是针对目标的行为，意在导致目标的状态变化。"[]

attack

:=

<

Tool,

Vulnerability,

event,

Unauthorized

Result

>

表示"攻击是借助于工具，利用系统弱点，得到未授权结果的一起事件。"

incident

:=

<

attackers,

attacks,

objectives

>

表示"事故是攻击者执行攻击行为达到目的。"

图2.icident,

attack,

and

event

在T-FRAP中，事件分析的作用主要在于可视化并量化威胁，以及加强风险控制措施的针对性。

威胁可视化

从图2中可知，事件分析的作用之一是把原本具有潜在性的威胁用可以观察、可以比较的事件来表现。目前，观察、比较与统计事件都有成熟易用的工具。

威胁量化

同样，从图2中可知，事件分析的作用之二是把原本不可量化的威胁用可以统计的事件来表现。事件的数量，危害级别正好也是针对威胁的模糊性提出来的。

加强风险控制措施的针对性

同样，从图2中可知，事件分析的作用之三是使风险控制措施不再针对潜在的、难以量化的威胁，而是针对可以观察、可以比较、可以量化的事件。

4.2风险控制措施的选择原则

在风险评估的结果中，综合风险决定了选择风险控制措施的总原则。此外，事件的级别与数量，弱点的严重程度与可达性都是影响风险控制措施的关键因素。

4.2.1事件级别与数量

事件级别与数量在一定程度上反映了威胁成功的可能性与影响的大小。从这个角度来看，风险控制措施的力度应该和事件的级别与数量成正比。

4.2.2弱点的严重程度与可达性

弱点的严重程度与可达性主要考虑信息系统的环境因素。它同样在一定程度上反映了风险的可能性与大小。从这个角度来看，风险控制措施的力度应该和弱点的严重程度与可达性成正比。

4.3信息系统建设过程中的风险管理

引入事件分析的另一个好处是很容易把风险管理拓展到信息系统建设过程中，而非仅仅对已经建好的信息系统进行风险评估与控制。

4.3.1信息系统生命周期

信息系统的生命周期包括需求分析，系统设计，系统运行与维护3大阶段。这3个阶段之外还有系统的检查与改进。

4.3.2需求分析vs.风险分析

通常，信息系统从可行性论证开始就已经着手进行风险分析。然而，在可靠性论证阶段的风险分析并不是信息系统本身要面临的风险。

因此，在信息系统建设的生命周期中，需求分析是一个适于引入风险分析的阶段。在需求分析阶段需要考虑如下几方面：

信息系统可能存在的缺陷或瑕疵引起的安全问题；

信息系统的应用环境中可能存在的威胁；

信息系统的使用者在安全意识方面可能存在不足；

可能出现与信息系统相关的紧急事故。

这样，需求分析不仅要输出信息系统本身的功能需求，而且要给出信息系统的安全需求。包括但不限于如下几方面：

安全功能需求

安全管理需求

安全服务需求

4.3.3系统设计vs.风险控制

根据在需求分析阶段得出的安全需求，在系统设计阶段除了设计信息系统本身的结构、系统硬件平台架构、协议体系、操作系统平台、应用软件框架、业务模型之外，还要设计风险控制措施。也就是用具体的控制措施搭建信息安全保障系统。

4.3.4系统实现vs.风险控制措施实现

在系统实现阶段需要并行完成信息系统本身的实现和信息安全保障系统的实现。由于两者相互影响，关系密切，所以需要同步开发、调试、测试与发布。

4.3.5运行与维护vs.修补加固

运行与维护阶段开始之前必须检查信息系统采用的软、硬件系统的脆弱性并及时修补加固。以确保信息系统的脆弱性在实际投入运行之前已经充分暴露并尽可能补救。

在遇到没有相应的成熟加固方案或者因为其它原因造成信息系统仍然存在脆弱性时，需要采取其它风险防范措施。例如：

分析脆弱性的相关事件，针对事件进行防范；

分析脆弱性的相关资产，在风险可接受时考虑隔离存在脆弱性的部分；

5结论

信息系统的风险管理是信息安全的灵魂。风险评估则是风险管理的起点和基础。

FRAP是一种简便的风险评估方法，T-FRAP在FRAP的基础上作了适当剪裁与改进，使之更加适合偏向技术层面的信息安全风险评估。具体来说，T-FRAP相对于FRAP的主要改进体现在：

1、减小威胁评估的偏差；

2、根据风险评估的结果引入风险控制措施的决策原则；

3、将风险管理过程映射到信息系统生命周期的不同阶段。天阗入侵风险评估系统发布时间：2005-5-22

22:09:45

文章来源：启明星辰天阗入侵风险评估系统通过分布式的网络扫描引擎定期对网络和主机进行扫描，建立资产脆弱性分析数据库，采用协同关联分析技术，对入侵检测系统实时报警事件进行对应性校验，显示入侵事件的风险分析和评估结果。

评估过程：

天阗入侵风险评估系统是独立的软件系统，其作用发挥依赖如下系统的前期部署：

※

网络入侵检测系统：报告入侵事件和攻击目标，反映资产面临的威胁

※

网络漏洞扫描系统：报告主机状态和漏洞分布，反映资产的脆弱性

天阗入侵风险评估系统采用如下的分析过程：

※

判断入侵事件中的攻击对象是否落入所关心的资产范围之内。

※

判断该入侵事件影响的系统和目标资产的实际系统是否有对应性。

※

判断入侵事件针对的端口在目标资产上是否已经打开。

※

判断目标资产上是否具有入侵事件所针对的漏洞。

根据以上的分析，给出入侵事件的风险分析和评估结果。

功能特点：

关联分析条件设置：关联分析条件包括指定关联分析对象、关联分析扫描策略、资产对象管理。通过设置，预先建立对资产主机、服务、系统信息和漏洞分布状况的资料库，为进行入侵事件的校验做好准备。

入侵风险评估结果显示：通过一系列实时关联分析判断，可以得出全面的风险评估结果，对于入侵事件和漏洞信息相对应的高风险隐患给出明确的警示，作为管理人员处理的有效依据。

支持扫描策略灵活调整和扩展：提供强大的扫描策略编辑功能，对关联分析扫描策略进行适应性调整。

支持资产脆弱性资料库的定期更新：由于实际环境的动态变化，为了保证风险分析的准确性，可以制定定时的扫描计划任务，更新资产脆弱性分析资料库。

入侵风险评估报告：通过报告明确给出具体的入侵检测事件信息、漏洞信息以及相应的关联分析结果，报告可以输出多种格式，如：WORD、PDF、HTML等。

通过7+7属性中的7个信息安全管理属性分析等级保护工作在中办发【2003】27号文和公通字【2004】66号文中，都明确将信息安全等级保护制度确定为我国开展信息安全保障工作的一项基本制度。在有关等级保护的相关文件、标准、规范和指南中，指出了实施等级保护的一些基本原则和关键要素。本文提出了信息安全保障工作的7+7安全属性，并通过对于其中的7个信息安全管理属性来分析等级保护工作的实现思路。

本文认为信息安全的属性实际上是信息安全目标的抽象体现，而相关的信息安全措施的抽象体现就是信息安全机制。比如，加密技术（算法）是一个信息安全机制，这个机制的不同实现方式，可以满足不同的信息安全属性；加密技术用在数据的存储和传输上，可以满足数据的保密性和完整性的要求；加密技术用在数字签名的机制上，可以满足对于一个过程和操作的不可否认性要求。抽象的属性附着在具体的系统或者实体上的时候，就成为一个具体系统的安全目标；而抽象的机制以某种方式具体实现，那么就是一个信息安全产品或者措施了。

7+7安全属性是对于CIA（保密性、完整性、可用性）三性的扩展。将CIA三性扩展为：保密性、完整性、可用性、真实性、不可否认性、可追究性、可控性等7个信息安全技术属性（目标）。其中所增加的真实性、不可否认性、可追究性、可控性可以认为是完整性的扩展和细化。

同时，从管理的角度看，还应当存在一些纯管理的属性，可以作为实施信息安全管理工作，实现“技术与管理并重”要求的参考目标。我们把信息安全管理属性归纳为：目标性、执行性、效益性、时效性、适应性、整体性和符合性等7个属性。同样，各种各样的管理措施或者技术措施也会对于达成信息安全管理的属性（目标）有帮助。比如：一个应急响应体系，作为一个机制（措施），可以满足管理上的时效性和适应性的要求；再比如构建一个符合等级保护指南要求的信息安全管理体系，作为一些机制的组合，可以满足管理上的符合性等要求。

下面结合等级保护工作，来分析阐述这些与信息安全管理属性密切相关的原则、方法和建议。

一、目标性原则

信息安全要达到一个机构、一个单位、一个地区、一个行业乃至我国整体的信息安全保障目标，各项安全工作要有很好的针对性和目标性。由于信息安全工作非常复杂，通过等级保护的思路，可以帮助机构明确保护的重点和适当的强度。因此，在实施等级保护中，并不是为了等级而等级，而是能够促进将自身业务工作的、真正的安全要求明确出来。为了明确恰当的安全目标，运用风险评估的方法是一个比较可行的途径。风险评估方法的根本要义，实际上就是将安全问题和实际业务相结合，将业务及承载它的系统的风险识别出来，进而制定出等级。

二、执行性原则

也可称为实效性原则。等级保护工作的实施中，要能够切实帮助达成信息安全目标。因此，等级保护工作并不是要将信息安全保障工作变得复杂，而是力图将整个工作变得简单明确，提高可操作性。要想提高整体的可操作性，就要遵循工作的执行规律。用三观论（宏观、中观、微观）的思路分析整个工作的可执行性是非常好的思路之一，也就是等级保护工作要贯穿宏观的业务/价值层面、微观的技术/实现（产品和服务）层面，以及中观的管理/运营层面。使得等级保护工作不是一个形象工程或者单纯的政策，而是能够自上而下推进和自下而上贯彻的实效工作。

三、效益性原则

信息安全工作是做不到100%的。如果要过度地追求接近100%的绝对安全，会导致信息安全工作的成本急剧地升高。如果能够合适地把握这个度，就需要等级保护工作中的“级