信息安全风险评估方法研究
毛捍东1陈锋张维明黄金才
(国防科技大学管理科学与工程系长沙410073)
***************
摘要
在信息安全领域,对信息系统进行风险评估十分重要,其最终目的就是要指导决策者在“投资成本”和“安全级别”这两者之间找到平衡,从而为等级化的资产风险制定保护策略和缓和计划。信息安全风险评估方法经历了从手动评估到半自动化评估的阶段,现在正在由技术评估向整体评估发展,由定性评估向定性和定量评估相结合的方法发展,由基于知识的评估向基于模型的评估方法发展。该文阐述了信息安全风险评估所要解决的问题,介绍了目前在信息安全风险评估领域的主要方法以及今后的发展方向。
关键词:信息系统;风险评估;资产;威胁;脆弱性
A Survey of Information Security Risk Assessment Methods
Mao Handong, Chen Feng, Zhang Weiming, Huang Jincai
( Department of Management Science and Engineering, National University of Defense
Technology Changsha 410073 )
***************
Abstract: Information systems risk assessment has experienced the stage of manual-to-automatic. It’s now expanding from technology assessment to holistic, from qualitative to synthetic method of qualitative and quantitative analysis, from knowledge-based to model-based. To make the assessment comprehensive and accurate, the target of assessment must be considered as a whole system with technological, organizational and personnel factors. Specifying an information system is often a complicated task that demands a method that can provide both the details and the overview of the system. Modeling techniques give us the possibility to specify all aspects of the system while keeping a good overview at the same time.
Key words: Information System; risk assessment; asset; threat; vulnerability.
一、引言
信息系统已经成为人们生活中重要组成部分,人们总是希望信息系统能够带来更多的便利。但是信息系统自身以及与信息系统相连的网络环境的特点与局限性决定了信息系统的发展和应用将遭受木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁。由于这个原因,人们在不断的探索和研究防止信息系统威胁的手段和方法,并且迅速在杀毒软件、防火墙和入侵检测技术等方面取得了迅猛的发展。然而,这没有从根本上解决信息系统的安全问题,来自计算机网络的威胁更加多样化和隐蔽化,黑客、病毒等攻击事件也越来越多。据CERT/CC的统计,2003年报告的安全事件(security incident)的数量达到137529件,远远
1作者简介:毛捍东(1979—),博士研究生,研究方向为网络安全、安全风险评估。陈锋,硕士研究生。张维明,博士教授。黄金才,副教授。
高于2001年的52658件和2002年的82094件①。
怎样确保组织能够在长时间内处于较高的安全水平,是目前急需解决的问题。安全管理是一个过程,而不是一个产品,不能期望通过一个安全产品就能把所有的安全问题都解决。同时,需要基于安全风险管理来建立信息安全战略,最适宜的信息安全战略实际上就是最优的风险管理对策。信息安全风险管理可以看成是一个不断降低安全风险的过程,其最终目的是使安全风险降低到一个可接受的程度,使用户和决策者可以接受剩余的风险。如何获得信息系统的安全状态,以及如何对信息系统受到的威胁进行有效客观科学的分析和评估是信息安全风险管理的第一步。
信息安全风险评估的初期,主要是通过从实际使用中总结经验,然后用这些经验去评估更多的信息系统,研究的重点也就在于如何提取知识和运用知识的过程。目前,研究的出发点是基于组织的资产所处的具体环境来构造组织的风险框架[3],使用组织的关键资产考虑评估活动是一种有效的手段,它可以使评估活动中考虑的威胁和风险数量大大减少[1]。同时,为了使评估结果更加客观和清晰,工具辅助评估、定量评估以及基于模型的评估技术也成为当前研究的热点。
二、信息安全风险评估概念
信息安全风险评估涉及4个主要因素:资产、威胁、弱点和风险。资产是对企业有价值的东西[2]。信息技术资产结合了逻辑和物理的资产,文献[3]将其分为五类:(1)信息资产(数据或者用于完成组织任务的知识产权)。(2)系统资产(处理和存储信息的信息系统)。(3)软件资产(软件应用程序和服务)。(4)硬件资产(信息技术的物理设备)。(5)人员资产(组织中拥有独特技能、知识和经验的他人难以替代的人)。
2001年,Alberts等人认为弱点(Vulnerability)可分为组织弱点和技术弱点。组织弱点是指组织的政策或实践中可能导致未授权行为的弱点[3]。技术弱点是指系统、设备和直接导致未授权行为的组件中存在的弱点[4],文献[5]将其分为三类:(1)设计弱点(硬件或者软件中设计或者规范中存在的弱点)。(2)实现弱点(由一个良好的设计在实现软件或者硬件时产生的错误而导致的弱点)。(3)配置弱点(由一个系统或者组件在配置时产生错误而导致的错误)。
威胁是指潜在的不希望发生事件的指示器[4],文献[3]将其分为四类:基于网络方式访问造成的威胁、基于物理方式访问造成的威胁、系统问题以及其他问题等。威胁的属性包括资产、访问、主角、动机和结果等。当一个威胁利用了资产所包含的弱点后,资产将会面临风险。这种危害将会影响资产的保密性、完整性和可用性,并造成资产价值的损失。资产、威胁、弱点以及影响之间的关系如图1:
①/stats/cert_stats.html
