信息安全風(fēng)險(xiǎn)評估實(shí)踐與思考張建軍

1、信息安全風(fēng)險(xiǎn)評估實(shí)踐與思考張建軍【摘 要】 本文對作者的風(fēng)險(xiǎn)評估實(shí)踐情況進(jìn)行了總結(jié)和分析。文中描述了風(fēng)險(xiǎn)分析程序和基于“威脅樹”和“威脅路徑”的評估方法，并對它們的適用性和特點(diǎn)進(jìn)行了分析，最后對風(fēng)險(xiǎn)評估結(jié)論的可比性和風(fēng)險(xiǎn)分析方法的要求兩個(gè)方面進(jìn)行了分析。 【關(guān)鍵詞】 信息安全 風(fēng)險(xiǎn)分析 威脅樹 威脅路徑1 引言信息安全的重要性已經(jīng)成為人們的共識，但如何實(shí)施信息安全工作卻一直是一個(gè)極富挑戰(zhàn)性的工作，尤其是在如何回答“投資與回報(bào)”以

2、及“系統(tǒng)是否安全”這兩個(gè)問題上。如果從用戶投資的角度來看，投資信息安全，就是投資在避免一個(gè)永遠(yuǎn)不希望發(fā)生的事件。從直觀上來說，如果不希望發(fā)生的信息安全事件發(fā)生了，會(huì)對信息安全設(shè)施的投資發(fā)生懷疑，懷疑信息安全設(shè)施是否在發(fā)揮作用；如果一直沒有發(fā)生所期望的信息安全事件，則又會(huì)懷疑投資是否值得，是否過度。風(fēng)險(xiǎn)評估是回答信息安全“投資與回報(bào)”問題的一個(gè)好方法，投資信息安全就是降低信息系統(tǒng)安全風(fēng)險(xiǎn)，投資的回報(bào)就是信息安全風(fēng)險(xiǎn)的降低程度。對于“信息系

3、統(tǒng)是否安全”這樣的問題，常見的回答就是“沒有絕對”的安全，那么“相對”的安全就是相對“信息安全風(fēng)險(xiǎn)”而言的，即：信息系統(tǒng)的潛在損失——信息安全風(fēng)險(xiǎn)處在信息系統(tǒng)擁有者可以承受的范圍之內(nèi)。通過風(fēng)險(xiǎn)評估確定信息系統(tǒng)可能給擁有者造成的“損失” ，還可以明確信息系統(tǒng)擁有者可以承受的損失，這是判斷信息系統(tǒng)是否安全的基礎(chǔ)。正是基于這樣一個(gè)出發(fā)點(diǎn)，我們從 2000 年開始，對風(fēng)險(xiǎn)評估相關(guān)的理論、方法進(jìn)行了研究，并進(jìn)行了相應(yīng)的工程實(shí)踐。經(jīng)過 5 年多的研

4、究和實(shí)踐，已經(jīng)積累了一些成果，本文扼要將這些成果進(jìn)行介紹。5 年的實(shí)踐，也使我們對風(fēng)險(xiǎn)分析的認(rèn)識進(jìn)一步深入，因此提出了本文最后一節(jié)的問題，這些問題將使今后風(fēng)險(xiǎn)分析研究的重點(diǎn)。2 風(fēng)險(xiǎn)評估的定義、目的和意義2.1 定義我們將風(fēng)險(xiǎn)評估定義為：按照一定的工作程序，使用嚴(yán)格定義的工具和方法，通過分析信息系 按照一定的工作程序，使用嚴(yán)格定義的工具和方法，通過分析信息系統(tǒng)的資產(chǎn)、面臨的安全威脅和信息系統(tǒng)的脆弱性，對信息系統(tǒng)可能造成的潛在損失作出定性

5、或定量 統(tǒng)的資產(chǎn)、面臨的安全威脅和信息系統(tǒng)的脆弱性，對信息系統(tǒng)可能造成的潛在損失作出定性或定量的結(jié)論。 的結(jié)論。從定義中可以看出，風(fēng)險(xiǎn)評估主要涉及到兩個(gè)方面的內(nèi)容，即：評估程序（在第 3 節(jié)中介紹） 、風(fēng)險(xiǎn)的分析工具與方法（在第 4 節(jié)中會(huì)描述） 。風(fēng)險(xiǎn)評估對信息系統(tǒng)生命周期的支持生命周期階段 生命周期階段 階段特征 階段特征 風(fēng)險(xiǎn)評估活動(dòng)的作用 風(fēng)險(xiǎn)評估活動(dòng)的作用階段 1——規(guī)劃和啟動(dòng)提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。? 確定

6、信息系統(tǒng)安全需求。階段 2——設(shè)計(jì)開發(fā)或采購信息系統(tǒng)設(shè)計(jì)、購買、開發(fā)或建造。? 標(biāo)識出風(fēng)險(xiǎn)，以支持信息系統(tǒng)的安全分析。? 評估結(jié)果會(huì)影響到體系結(jié)構(gòu)和設(shè)計(jì)方案的權(quán)衡。階段 3——集成實(shí)現(xiàn)信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測試并得到驗(yàn)證。? 風(fēng)險(xiǎn)評估可支持對系統(tǒng)實(shí)現(xiàn)效果的評價(jià)，考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。階段 4——運(yùn)行和維護(hù)信息系統(tǒng)開始執(zhí)行其功能，系統(tǒng)會(huì)被不斷修改，改變機(jī)構(gòu)的運(yùn)行規(guī)則、策略或流程等。? 定期的評估，監(jiān)控系統(tǒng)安全

7、風(fēng)險(xiǎn)的變化，為信息安全相關(guān)決策提供依據(jù)。階段 5——廢棄 對信息、硬件和軟件的廢棄，包括信息的轉(zhuǎn)移、備份、丟棄、銷毀以及對軟硬件進(jìn)行的密級處理。? 風(fēng)險(xiǎn)評估可以確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置，殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理。2.3 風(fēng)險(xiǎn)評估的意義風(fēng)險(xiǎn)評估的最終目的是為制定風(fēng)險(xiǎn)控制計(jì)劃提供依據(jù)，為實(shí)施風(fēng)險(xiǎn)管理服務(wù)。風(fēng)險(xiǎn)評估具有如下意義和作用：(1) 明確信息系統(tǒng)的安全現(xiàn)狀。通過風(fēng)險(xiǎn)評估，可以讓信息系統(tǒng)擁有者準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用

8、系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰信息安全需求。(2) 確定信息系統(tǒng)的主要安全風(fēng)險(xiǎn)。在評估并進(jìn)行風(fēng)險(xiǎn)分級后，可以確定信息系統(tǒng)的主要安全風(fēng)險(xiǎn)，并讓系統(tǒng)擁有者選擇規(guī)避、降低、轉(zhuǎn)移、接受等風(fēng)險(xiǎn)處置措施。(3) 指導(dǎo)信息系統(tǒng)安全技術(shù)體系與管理體系的建設(shè)。評估后，可以根據(jù)所識別出的風(fēng)險(xiǎn)情況，制定信息系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施 P