信息安全风险评估技术综述

信息安全风险评估技术手段综述（转）

摘要：信息安全成为国家安全的重要构成部分，因此为保证信息安全，建立

信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理

体系建设口勺基础，在体系建设的各个阶段发挥着重要口勺作用。风险评估日勺进行离

不开风险评估工具，本文在对风险评估工具进行分类H勺基础上，探讨了目前重要

口勺风险评估工具日勺研究现实状况及发展方向。

关键词：风险评估综合风险评估信息基础设施工具

引言

当今时代，信息是一种国家最重要的资源之一，信息与网络日勺运用亦是二十一世

纪国力日勺象征，以网络为载体、信息资源为关键口勺新经济变化了老式口勺资产运行

模式，没有多种信息的支持，企业日勺生存和发展空间就会受到限制。信息日勺重要

性使得他不仅面临着来自各方面日勺层出不穷日勺挑战，因此，需要对信息资产加以

妥善保护。正如中国工程院院长徐匡迪所说：“没有安全日勺工程就是豆腐渣工程”。

信息同样需要安全工程。而人们在实践中逐渐认识到科学的管理是处理信息安全

问题。勺关键。信息安全口勺内涵也在不停时延伸，从最初口勺信息保密性发展到信息

口勺完整性、可用性、可控性和不可否认性，进而又发展为“攻（袭击）、防（防

备）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理

论和实行技术。

怎样保证组织一直保持一种比较安全日勺状态，保证企业日勺信息安全管理手段和安

全技术发挥最大日勺作用，是企业最关怀曰勺问题。同步企业高层开始意识到信息安

全方略日勺重要性。忽然间，IT专业人员发现自己面临着挑战：设计信息安全政

策该从何处着手？怎样拟订具有约束力H勺安全政策？怎样让企业员工真正接受

安全方略并在平常工作中执行？借助于信息安全风险评估和风险评估工具，可以

回答以上H勺问题。

信息安全风险评估与评估工具

风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生口勺也许性的

评估。它是确认安全风险及其大小口勺过程，即运用定性或定量口勺措施，借助于风

险评估工具，确定信息资产日勺风险等级和优先风险控制。

风险评估是风险管理日勺最主线根据，是对既有网络的安全性进行分析口勺第一手资

料，也是网络安全领域内最重要日勺内容之一。企业在进行网络安全设备选型、网

络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与

第三方业务伙伴进行网上业务数据传播、电子政务等业务之前，进行风险评估会

协助组织在一种安全的框架下进行组织活动。它通过风险评估来识别风险大小，

通过制定信息安全方针，采用合适的控制目日勺与控制方式对风险进行控制，使风

险被防止、转移或降至一种可被接受日勺水平。

信息安全风险评估经历了很长一段的发展时期。风险评估日勺重点也从操作系统、

网络环境发展到整个管理体系。西方国家在实践中不停发现，风险评估作为保证

信息安全H勺重要基石发挥H勺关键口勺作用。在信息安全、安全技术口勺有关原则中，

风险评估均作为关键环节进行论述，如IS013335.FIPS-30.BS7799-2等。风险

评估模型也从借鉴其他领域9勺模型发展到开发出合用于风险评估日勺模型。风险评

估措施的定性分析和定量分析不停被学者和安全分析人员完善与扩充。

最重要日勺是，风险评估日勺过程逐渐转向自动化和原则化。应用于风险评估日勺工具

层出不穷，越来越多H勺科研人员发现，自动化日勺风险评估工具不仅可以将分析人

员从繁重H勺手工劳动中解脱出来，最重要H勺是它可以将专家知识进行集中，使专

家的经验知识被广泛H勺应用。

风险评估工具的分类

目前对风险评估工具的分类还没有一种统一的理解。文献□将风险评估工具被分

为三类：防止、对应和检测。一般状况下技术人员会把漏洞扫描工具称为风险评

估工具，文献□提到日勺风险评估工具就是漏洞评估扫描器。确实在对信息基础设

施进行风险评估过程中，漏洞扫描工具发挥着不可替代的作用，通过漏洞扫描工

具发现系统存在日勺漏洞、不合理配置等问题，根据漏洞扫描成果提供日勺线索，运

用渗透性测试分析系统存在H勺风险。伴随人们对信息资产口勺深入理解，发现信息

资产不只包括存在于计算机环境中的数据、文档，信息在组织中H勺多种载体中传

播，包括纸质载体、人员等，因此信息安全包括更广泛日勺范围。同步，信息安全

管理者发现处理信息安全。勺问题在于防止。在此基础上，许多国家和组织都建立

了针对于防止安全事件发生日勺风险评估指南和措施。基于这些措施，开发出了某

些工具，如CRAMM、RA等，这些工具统称为风险评估工具。这些工具重要从管理

日勺层面上，考虑包括信息安全技术在内的一系列与信息安全有关日勺问题，如安全

规定、人员管理、通信保障、业务持续性以及法律法规等各方面日勺原因，对信息

安全有一种整体宏观口勺评价。其实，一种完整的风险评估所考虑口勺问题不只关键

资产在是某个时间状态下口勺威胁、脆弱点状况，以往一段时间内口勺袭击状况和安

全事故都是风险分析过程中用于确定风险H勺客观支持。那么对这些袭击事件的检

测和记录工具也是风险评估过程中不可缺乏日勺工具。因此，文献［1］中将入侵监

测系统也作为风险评估工具H勺一种。可见，对风险评估工具日勺类型划分是人们在

对信息安全风险评估不停认识、以及对评估过程不停完善日勺过程中逐渐形成的。

本文根据在风险评估过程中日勺重要任务和作用原理口勺不一样，将风险评分为三

类：综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。

综合风险评估与管理工具。这种工具根据信息所面临口勺威胁口勺不一样分布进行全

面考虑，在风险评估日勺同步根据面临H勺风险提供对应口勺控制措施和处理措施。这

种风险评估工具一般建立在一定日勺算法之上，风险由关键信息资产、资产所面临

日勺威胁以及威胁所运用H勺脆弱点三者来确定，如RAo也有通过建立专家系统，

运用专家经验进行风险分析，给出专家结论，这种评估工具需要不停进行知识库

日勺扩充，以适应不一样日勺需要，如COBRA。

信息基础设施风险评估工具。包括脆弱点评估工具和渗透性测试工具。脆弱点评

估工具也称为安全扫描、漏洞扫描器，评估网络或主机系统口勺安全性并且汇报系

统脆弱点。这些工具可以扫描网络、服务器、防火墙、路由器和应用程序发现其

中的漏洞。一般状况下，这些工具可以发现软件和硬件中已知口勺安全漏洞，以决

定系统与否易受已知袭击口勺影响，并且寻找系统脆弱点，例如安装方面与建立的

安全方略相悖等。渗透性测试工具是根据漏洞扫描工具提供口勺漏洞，进行模拟黑

客测试，判断与否这些漏洞可以被他人运用。这种工具一般包括某些黑客工具,

也可以是某些脚本文献。

风险评估辅助工具。这种工具在风险评估过程中不可缺乏，它用来搜集评估所需

要的数据和资料，协助完毕现实状况分析和趋势分析。如入侵监测系统，协助检

测多种袭击试探和误造作，它可以作为一种警报器，提醒管理员发生的安全状况。

同步安全漏洞库、知识库都是风险评估不可或缺D勺支持手段。

从风险评估工具口勺分类来看，风险评估辅助工具波及到信息安全。勺其他技术体

系，因此这里只分析综合风险评估与管理工具和脆弱点评估工具，他们构成了风

险评估工具口勺主体部分。

综合风险评估与管理工具口勺研究与开发现实状况

下面从不一样角度比较综合风险评估与管理工具口勺研究现实状况。

1、基于国家或政府颁布H勺信息安全管理标2、准或指3、南建立风险评估工

具。

目前世界上存在多种不一样的风险分析指南和措施。如，NIST(National

InstituteofstandardsandTechnology)日勺FIPS65[];DoJ(Departmentof

Justice)口勺SRAG和GAO(GovernmentAccountingOffice)口的信息安全管理的

实行指南。针对这些措施，由美国开发了自动。勺风险评估工具口口。英国推行基

于BS7799口勺认证产业，BS7799是一种信息安全管理原则与规定口，在建立信息

安全管理体系过程中要进行风险评估，根据PD3000中提供风险评估口勺措施，建

立了口勺CRAMM口、RA等风险分析工具。许多国家也在使用或发展国际原则化组织

口勺ISO/IEC,JTC/SC27信息技术安全管理指南的基础上建立自己H勺风险评估工具

[]o

4、基于专家系统的风险评估工具。

这种措施常常运用专家系统建立规则和外部知识库，通过调查问卷H勺方式搜集组

织内部信息安全日勺状态。对重要资产H勺威胁和脆弱点进行评估，产生专家推荐的

安全控制措施。这种工具一般会自动形成风险评估汇报，安全风险日勺严重程度提

供风险指数，同步分析也许存在日勺问题，以及处理措施。如COBRA

(ConsuItative,ObjectiveandBi-functionaIRiskAnalysis)口是一种基于

专家系统口勺风险评估工具，它是一种问卷调查形式的风险分析工具，有三个部分

构成：问卷建立器、风险测量器和成果产生器。问卷测量器有四个独立口勺知识库

支持分析工作，这四个知识库分别是：IT安全知识库、操作风险知识库和高风

险知识库。除此以外，尚有@RISK口、BDSS(TheBayesianDecisionSupport

System)口等工具。

5、基于定性或定量算法H勺风险分析工具。

风险评估根据对各要素日勺指标量化以及计算措施不一样分为定性和定量日勺风险

分析工具。风险分析作为重要的信息安全保障原则已经很长时间。信息安全风险

分析算法在很久此前就提出来，并且某些算法被作为正式H勺信息安全原则。这些

原则大部分是定性的——也就是，他们对风险产生时也许性和风险产生日勺后果基

于“低/中/高”这种体现方式，而不是精确口勺也许性和损失量。伴随人们对信息安

全风险理解口勺不停深入，获得了更多口勺经验数据，因此人们越来越但愿用定量的

风险分析措施反应事故方式日勺也许性。定量口勺信息安全风险管理原则包括美国联

邦原则FIPS31和FIPS191,提供定量风险分析技术口勺手册包括GAO和新版的

NISTRMGo好H勺数据是突用定量风险分析日勺先决条件。不过“可靠日勺评估信息安全

风险比其他种类日勺风险更难，由于信息安全风险原因H勺也许数据常常是非常有限

日勺，由于风险原因持续变化“口。但无论怎样，目前产生日勺某些列风险评估工具

都在定量和定性方面各有侧重。如CONTROL-IT、DefinitiveScenario^JANBER

都是定性口勺风险评估工具。而加出入TheBuddySystem.RiskCALC.

CORA(Cost-of-RiskAnalysis)是半定量(定性与定量措施相结合)口勺风险评估

工具。目前还没有完全定量口勺风险评估工具，由于对于信息安全风险原因口勺数据

日勺获得还存在很大问题。

此外，根据风险评估工详细系构造不一样，风险评估工具还包括基于客户机/服

务器模式以及单机版风险评估工具。如COBRA就是基于C/S模式，而目前大多数

日勺风险评估工具识基于单机版的。此外基于安全原因调查方式的不一样，风险评

估工具还包括文献式或过程式，如RA就是过程式风险评估工具。

根据以上对综合风险评估与管理工具日勺分析，笔者对目前比较流行日勺工具进行了

对比：

工具名称COBRARAGRAMM@RISKBDSS

国家/组织BSl/BritainCCTA/BritainPaIisade/AmericaTheIntegratedRisk

ManagementGroup/American

体系构造客户机/服务器模式单机版单机版单机版单机版

采用措施专家系统过程式算法过程式算法专家系统专家系统

定性/定量算法定性/定量结合定性/定量结合定性/定量结合定性/定量结合

定性/定量结合

数据采集形式调查文献过程过程调查文献调查问卷

对使用人员的规定不需要有风险评估H勺专业知识依托评估人员日勺知识与经脸

依托评估人员的知识与经验不需要有风险评估的专业知识不需要有风险评估

口勺专业知识

成果输出形式成果汇报：风险等基于控制措施风险等级与控制措施（基于

BS7799提供日勺控制措施）风险等级与控制措施：基于BS7799提供的控制措施）

决策支持信息安全防护措施列表

信息基础设施风险评估工具9勺研究与开发现实状况

目前，每年有数以百计日勺新H勺安全漏洞被发现，每月都会公布一打新日勺补丁。对

于系统和网络管理本来说评估和管理网络系统潜在的安全风险变得越来越重要。

积极H勺漏洞扫描可以在证明危险发生前协助识别不需要的服务或安全漏洞。信息

基础设施风险评估工具日勺研发现实状况重要分析漏洞扫描工具。漏洞扫描工具是

提供网络或主机系统安全漏洞监测和分析。勺软件。漏洞扫描器扫描网络或主机时

安全漏洞，并公布扫描成果使顾客对关键漏洞迅速响应。

目前对漏洞扫描工具的研发重要分为如下几种类型。

1、基于网络口勺扫描器：在网络中运行。可以监测如防火墙错误配置或连接到网

络上口勺易受袭击日勺网络服务器口勺关键漏洞。

2、基于主机日勺扫描器：发现主机的操作系统、特殊服务和配置日勺细节。可以发

现潜在的顾客行为风险，例如密码强度不够。对于文献系统口勺检查也是一种很好

口勺工具。

3、战争拨号器(wardialer):通过拨打一系列号码或简朴日勺随机号码可以找到

响应日勺调制解调器。这样用于检查未授权H勺或不安全日勺调制解调器，这些调制解

调器一旦被渗透将使袭击者越过防火墙进入顾客网络。安全专家和系统管理员可

以通过战争拨号器评估和测量调制解调器安全方略■的有效性。

4、数据库漏洞扫描：对数据库口勺授权，认证和完整性进行详细的分析。也可以

识别数据库系统中潜在的安全漏洞。

5、分布式网络扫描器：用于企业级网络日勺漏洞评估，广泛地分布和位于不一样

口勺位置，都市甚至不一样的国家。一般分布式网络扫描器由远程扫描代理、对这

些代理日勺即插即用更籽机制和中心管理点构成。这样漏洞评估可以从一种地方对

多种地理分布的网络进行。

目前对漏洞扫描工具衡量原则是：监测到重要漏洞日勺精确性。过去，对漏洞扫描

工具口勺宣传和开发似乎成了玩弄数字日勺游戏。厂商常常以可以检测到口勺漏洞的救

量来宣传他们的产平。而纯粹数量计算在诸多时候都会给人以误导。例如，入侵

监测系统H勺厂商当提到他们。勺产品所采用。勺入侵特性时会强调采用特性的数量。

病毒扫描软件厂商也通过强调数量来支持他们监测恶意代码的有效性。漏洞扫描

也不例外，也会强调它们产品嵌入的漏洞检测时数量。也许诸多人认为数量越多

越好，但实际上我们需要日勺不止这些。我们需要的是可以精确的识别并对紧急漏

洞进行汇报，而不是不对口勺汇报结论却要通过上亿次扫描日勺工具。

一种好的漏洞扫描工具应包括如下几种特性:

•最新日勺漏洞检测库，为此工具开发上应各有不一样H勺措施监控新发现日勺漏洞。

漏洞库日勺更新不能在一种重大漏洞发现一种月后才进行。

•扫描工具必须精确并使误报率减少到最小。在小范围H勺漏洞扫描汇报中存在几

种不确定H勺警告是一回事，通过大范围日勺扫描后出现成百上千的不确定警报是此

外一回事。假如在扫描既有十台机器日勺环境下。勺误报率是3%,那么根据此状况

类推在大型网络环境下回是什么成果呢？

•扫描器有某种可升级妁后端，可以存储多种扫描成果并提供趋势分析的手段。

例如InternetScanner□可以将过去扫描的成果调出与本次扫描地进行比较，

而eEye'sRetina口没有管理多组扫描数据的功能。

•理想日勺扫描工具应包括清晰的且精确地提供弥补发现问题日勺信息。如Axent's

NetRecon,InternetScanner可以提供漏洞修复信息，而SAINT和SARA在这方

面有所欠缺。

漏洞扫描工具是风险评估人员、系统工程师和网络管理员常常使用的工具，大家

对它并不陌生，这里对几种常用口勺漏洞扫描工具进行分析比较。

NetReconBindViewHarkerShieldEEyeDigitalSecurityRetinaISSInternet

ScannerNessusSecurityNetworkAssociatesCyberCopScannerSARAWorId

WideDigitalSecuritySAINT

操作系统WindowsWindowsWindowsWindowsUnixWindowsUnixUnix

内建的自动更新特性可以自动更新（从网络下载）可以自动更新可以自动更

新可以自动更新可以自动更新（从网络下载）可以自动更新无此功能无此

功能

扫描类型基于网络H勺扫描基于主机的扫描基于主机日勺扫描基于主机的扫描

基于网络口勺扫描基于主机日勺扫描基于网络H勺扫描基于网络的扫描

CVE对照没有对应CVE列表对应CVE列表没有对应CVE列表对应CVE列表对

应CVE列表没有对应CVE列表对应CVE列表对应CVE列表

与否可以对选点口勺漏洞进行修复否可以可以否否可以否否

软件开放类型购置购置购置购置开源购置开源开源

体现形式顾客界面顾客界面顾客界面命令行命令行命令行命令行命令

行

信息安全风险评估工具的研究发展方向

伴随人们对信息安全风险评估重要性口勺认识，风险评估工具也慢慢得到广泛的应

用。同步也对风险评估工具H勺发展提出新H勺规定。

1、风险评估工具应整合多种安全技术。风险评估过程中要用到多种技术手段，

如入侵检测、系统审计、漏洞扫描等，将这些技术整合到一起，提供综合。勺风险

分析工具，不仅处理了数据日勺多元获取问题，并且为整个信息安全管理发明良好

日勺条件。

2、风险评估工具应实现功能口勺集成。风险评估工具应具有状态分析、趋势分析

和预见性分析等功能。同步，风险评估工具应提供对系统及管理方面漏洞口勺修复

和赔偿措施。可以调动其他安全设施如，防火墙、IDS等配功能，使网络安全设

备可