信息安全風險評估綜述(下)

    6.3 定性與定量相結合的綜合評估方法

    系統風險評估是一個復雜的過程，需要考慮的因素很多，有些評估要素是可以用量化的形式來表達，而對有些要素的量化又是很困難甚至是不可能的，所以我們不主張在風險評估過程中一味地追求量化，也不認為一切都是量化的風險評估過程是科學、準確的。我們認為定量分析是定性分析的基礎和前提，定性分析應建立在定量分析的基礎上才能揭示客觀事物的內在規律。定性分析則是靈魂，是形成概念、觀點，做出判斷，得出結論所必須依靠的，在復雜的信息系統風險評估過程中，不能將定性分析和定量分析兩種方法簡單的割裂開來。而是應該將這兩種方法融合起來，采用綜合的評估方法。

    6.4 典型的風險評估方法

    在信息系統風險評估過程中，層次分析法 (AHP)經常被用到，它是一種綜合的評估方法。該方法是由美國著名的運籌學專家薩蒂TL 于20 世紀70 年代提出來的，是一種定性與定量相結合的多目標決策分析方法。這一方法的核心是將決策者的經驗判斷給予量化，從而為決策者提供定量形式的決策依據。目前該方法已被廣泛地應用于尚無統一度量標尺的復雜問題的分析，解決用純參數數學模型方法難以解決的決策分析問題。該方法對系統進行分層次、擬定量、規范化處理，在評估過程中經歷系統分解、安全性判斷和綜合判斷三個階段。它的基本步驟是：

    1) 系統分解，建立層次結構模型：層次模型的構造是基于分解法的思想，進行對象的系統分解。它的基本層次有三類：目標層、準則層和指標層，目的是基于系統基本特征建立系統的評估指標體系。

    2) 構造判斷矩陣，通過單層次計算進行安全性判斷：判斷矩陣的作用是在上一層某一元素約束條件下，對同層次的元素之間相對重要性進行比較，根據心理學家提出的“人區分信息等級的極限能力為7±2”的研究結論，AHP 方法在對評估指標的相對重要程度進行測量時，引入了九分位的相對重要的比例標度，構成判斷矩陣。計算的中心問題是求解判斷矩陣的最大特征根及其對應的特征向量；通過判斷矩陣及矩陣運算的數學方法，確定對于上一層次的某個元素而言，本層次中與其相關元素的相對風險權值。

    3) 層次總排序，完成綜合判斷：計算各層元素對系統目標的合成權重，完成綜合判斷，進行總排序，以確定遞階結構圖中最底層各個元素在總目標中的風險程度。

7 風險評估工具

    在進行安全模型、評估標準、評估方法研究的同時，各大安全公司也相應推出自己的評估工具來體現以上的研究成果。下面介紹幾個典型的評估工具。

    7.1 SAFESuite 套件

    SAFESuite 套件是Internet Security Systems（簡稱ISS）公司開發的網絡脆弱點檢測軟件，它由Internet 掃描器、系統掃描器、數據庫掃描器、實時監控和SAFESuite 套件決策軟件構成，是一個完整的信息系統評估系統。

    7.2 WebTrends Security Analyzer 套件

    WebTrends Security Analyzer 套件主要針對Web 站點安全的檢測和分析軟件，它是NetIQ-WebTrends 公司的系列產品。其系列產品為企業提供一套完整的、可升級的、模塊式的、易于使用的解決方案。產品系列包括: WebTrends Reporting Center、Analysis Suite、WebTrends Log Analyzer、Security Analyzer、WebTrends、Firewall Suite and WebTrends Live等，它可以找出大量隱藏在Linux 和Windows 服務器、防火墻、路由器等軟件中的威脅和脆弱點，并可針對Web 和防火墻日志進行分析，由它生成的HTML 格式的報告被認為是目前市場上做得最好的。報告里對找到的每個脆弱點進行了說明，并根據脆弱點的優先級進行了分類，還包括一些消除風險、保護系統的建議。

    7.3 Cobra

    Cobra 是一套專門用于進行風險分析的工具軟件，其中也包含促進安全策略執行、外部安全標準（ISO 17799）評定的功能模塊。

    用Cobra 進行風險分析時，分3 個步驟：調查表生成、風險調查、報告生成。

    Cobra 的操作過程簡單而靈活，安全分析人員只需要清楚當前的信息系統狀況，并對之作出正確的解釋即可，所有繁瑣的分析工作都交由Cobra 來自動完成。

    7.4 CC tools

    CC tools 是針對CC 開發的工具，它幫助用戶按照CC 標準自動生成PP(保護輪廓)和ST（安全目標）報告。

    以上這些工具有的是通過技術手段，如漏洞掃描、入侵檢測等來維護信息系統的安全；有的是依據評估標準而開發的，如Cobra。不可否認，這些工具的使用會豐富評估所需的系統脆弱、威脅信息、簡化評估的工作量，減少評估過程中的主觀性，但無論這些工具功能多么強大，由于信息系統風險評估的復雜性，它在信息系統的風險評估過程中也只能作為輔助手段，代替不了整個風險評估過程。

8 風險評估過程

    風險評估過程就是在評估標準的指導下，綜合利用相關評估技術、評估方法、評估工具，針對信息系統展開全方位的評估工作的完整歷程。對信息系統進行風險評估，首先應確保風險分析的內容與范圍應該覆蓋信息系統的整個體系，應包括：系統基本情況分析、信息系統基本安全狀況調查、信息系統安全組織、政策情況分析、信息系統弱點漏洞分析等。風險評估具體評估過程如下：

    8.1 確定資產

    安全評估的第一步是確定信息系統的資產，并明確資產的價值，資產的價值是由對組織、供應商、合作伙伴、客戶和其他利益相關方在安全事件中對保密性、完整性和可用性的影響來衡量的。資產的范圍很廣，一切需要加以保護的東西都算作資產，包括：信息資產、紙質文件、軟件資產、物理資產、人員、公司形象和聲譽、服務等。資產的評估應當從關鍵業務開始，最終覆蓋所有的關鍵資產。

    8.2 脆弱性和威脅分析

    對資產進行細致周密的分析，發現它的脆弱點及由脆弱點所引發的威脅，統計分析發生概率、被利用后所造成的損失等。

    8.3 制定及評估控制措施

    在分析各種威脅及它們發生可能性基礎上，研究消除/減輕/轉移威脅風險的手段。這一階段不需要做出什么決策，主要是考慮可能采取的各種安全防范措施和它們的實施成本。制定出的控制措施應當全面，在有針對性的同時，要考慮系統地、根本性的解決方法，為下一階段的決策作充足的準備，同時將風險和措施文檔化。

    8.4 決策

    這一階段包括評估影響，排列風險，制定決策。應當從3 個方面來考慮最終的決策：接受風險、避免風險、轉移風險。對安全風險決策后，明確信息系統所要接受的殘余風險。在分析和決策過程中，要盡可能多地讓更多的人參與進來，從管理層的代表到業務部門的主管，從技術人員到非技術人員。

    8.5 溝通與交流

    由上一階段所做出的決策，必須經過領導層的簽字和批準，并與各方面就決策結論進行溝通。這是很重要的一個過程，溝通能確保所有人員對風險有清醒地認識，并有可能在發現一些以前沒有注意到的脆弱點。

    8.6 監督實施

    最后的步驟是安全措施的實施。實施過程要始終在監督下進行，以確保決策能夠貫穿于工作之中。在實施的同時，要密切注意和分析新的威脅并對控制措施進行必要的修改。另外，由于信息系統及其所在環境的不斷變化，在信息系統的運行過程中，絕對安全的措施是不存在的：攻擊者不斷有新的方法繞過或擾亂系統中的安全措施；系統的變化會帶來新的脆弱點；實施的安全措施會隨著時間而過時等等，所有這些表明，信息系統的風險評估過程是一個動態循環的過程，應周期性的對信息系統安全進行重評估。

9 各國測評認證體系

    測評認證是現代質量認證制度的重要內容。其實質，是由一個中立的權威機構，依據國際、國內標準、行業標準或認證機構確認的技術規范，通過科學、規范、公正的測試對產品、系統的質量保障能力進行檢查評審，以及事后定期監督；它的性質是由具有檢驗技術能力和政府授權認證資格的權威機構，按照嚴格程序進行的科學公正的評價活動；它的表示方式是頒發認證證書和認證標志。

    隨著信息技術應用與發展，各國政府對信息安全測評認證十分重視，將信息安全列為其國家安全的重要內容之一，建立了與自身的信息化發展相適應的測評認證體系，從事信息安全產品的測評認證工作。信息安全的評估認證已成為信息化進程中的一個重要領域，受到廣泛關注。

    英國安全評估認證體系（CB）是1991 年由商業工業部和通信電子安全小組共同建立的；德國于1991 年建立德國信息安全局(BSI)，主要進行安全風險、開發準則、評估技術的研究，并負責頒發安全證書；日本1998 年在信息推進局建立CC 特種部，開發新的安全評估方法、評估工具，研究安全評估機制。

    美國于1997 年由國家標準技術研究所和國家安全局共同組建了國家信息保證伙伴（NIAP），負責基于CC 信息安全測試和評估，圖2 為美國評估認證體系結構。

圖2 美國評估認證體系結構

    我國的國家信息安全測評認證體系正處于建設和發展階段。

10 信息系統風險評估發展存在的問題

    目前“信息系統安全是一項系統工程”的觀點已得到廣泛的認可、接受，作為該工程的基礎和前提的風險評估也越來越受到大家的重視，但在該領域的研究、發展過程中還需要糾正和解決一些模糊概念和問題：

    第一，安全評估體系所應包括的相應組織架構、業務、標準和技術體系還不完善。

    第二，不能簡單的將系統風險評估理解為是一個具體的產品、工具，系統的風險評估更應該是一個過程，是一個體系。完善的系統風險評估體系應包括相應的組織架構、業務體系、標準體系和技術體系。

    第三，在評估標準的采用上，沒有統一的標準，由于各種標準的側重點不同，導致評估結果沒有可比性，甚至會出現較大的差異，而且目前國內還缺乏具有自主知識產權、比較系統的信息系統評估標準。

    第四，評估過程的主觀性也是影響評估結果的一個相當重要而又是最難解決的方面，在信息系統風險評估中，主觀性是不可避免的，我們所要做的是盡量減少人為主觀性，目前在該領域利用神經網絡、專家系統、分類樹等人工智能技術進行的研究比較活躍。

    第五，風險評估工具比較缺乏，市場上關于漏洞掃描、防火墻等都有比較成熟的產品，但與信息系統風險評估相關的工具卻很匱乏。

11 結束語

    安全評估作為信息系統安全工程重要組成部分，已經不僅僅是個別企業的問題，而是關系到國民經濟的每一方面的重大問題，它將逐漸走上規范化和法制化的軌道上來，國家對各種配套的安全標準和法規的制定將會更加健全，評估模型、評估方法、評估工具的研究、開發將更加活躍，信息系統及相關產品的風險評估認證將成為必需環節。 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：信息安全風險評估綜述(下)

本文網址：http://m.hanmeixuan.com/html/support/1112158396.html