信息安全风险评估实践与思考-张建军.doc

论文集──安全必威体育官网网址 信息安全风险评估实践与思考 张建军 本文对作者的风险评估实践情况进行了总结和分析。文中描述了风险分析程序和基于“威胁树”和“威胁路径”的评估方法，并对它们的适用性和特点进行了分析，最后对风险评估结论的可比性和风险分析方法的要求两个方面进行了分析。 信息安全 风险分析 威胁树 威胁路径 引言 信息安全的重要性已经成为人们的共识，但如何实施信息安全工作却一直是一个极富挑战性的工作，尤其是在如何回答“投资与回报”以及“系统是否安全”这两个问题上。 如果从用户投资的角度来看，投资信息安全，就是投资在避免一个永远不希望发生的事件。从直观上来说，如果不希望发生的信息安全事件发生了，会对信息安全设施的投资发生怀疑，怀疑信息安全设施是否在发挥作用；如果一直没有发生所期望的信息安全事件，则又会怀疑投资是否值得，是否过度。风险评估是回答信息安全“投资与回报”问题的一个好方法，投资信息安全就是降低信息系统安全风险，投资的回报就是信息安全风险的降低程度。 对于“信息系统是否安全”这样的问题，常见的回答就是“没有绝对”的安全，那么“相对”的安全就是相对“信息安全风险”而言的，即：信息系统的潜在损失——信息安全风险处在信息系统拥有者可以承受的范围之内。通过风险评估确定信息系统可能给拥有者造成的“损失”，还可以明确信息系统拥有者可以承受的损失，这是判断信息系统是否安全的基础。 正是基于这样一个出发点，我们从2000年开始，对风险评估相关的理论、方法进行了研究，并进行了相应的工程实践。 经过5年多的研究和实践，已经积累了一些成果，本文扼要将这些成果进行介绍。5年的实践，也使我们对风险分析的认识进一步深入，因此提出了本文最后一节的问题，这些问题将使今后风险分析研究的重点。 风险评估的定义、目的和意义 定义 我们将风险评估定义为：按照一定的工作程序，使用严格定义的工具和方法，通过分析信息系统的资产、面临的安全威胁和信息系统的脆弱性，对信息系统可能造成的潜在损失作出定性或定量的结论。 从定义中可以看出，风险评估主要涉及到两个方面的内容，即：评估程序（在第3节中介绍）、风险的分析工具与方法（在第4节中会描述）。 如果按照评估主体可以将风险评估划分可以分为自评估、检查评估、第三方评估三类。各类评估方式的优缺点如下表： 评估方式比较 评估方式 评估主体 优点 缺点 自评估 组织自身 熟悉系统，了解组织内部存在的问题 专业性不够，容易受到干扰 检查评估 上级单位，或主管部门 易于开展工作，高效，组织风险得到一定的转移 对于组织的需求考虑不足 第三方评估 专业机构或商业组织 专业，权威性 时间、经费限制，评估可能不够深入 从评估的范围划分可以分为综合评估，技术评估，管理评估，专项评估。各类评估方式的关注内容如下表： 评估内容比较 评估方式 评估内容 关注焦点 应用 综合评估 综合评估环境，信息系统，管理体系与组织的要求的差距 风险控制能力对组织需求的满足程度 系统设计阶段，系统开通前，系统或组织发生重大变更 技术评估 针对信息系统，安全设施进行全面分析评估，评价技术能力与组织要求的差距 技术体系 信息系统设计，系统开通前，系统发生较大变更 管理评估 针对信息安全管理的组织，人员，操作进行评估，评价管理体系与组织要求的差距 管理体系 系统运行过程中，新系统上线前 专项评估 针对特定的问题，如病毒，邮件系统等进行综合深入地评估分析，评价与组织要求的差距 特定问题 系统运行过程中，新系统上线前 风险评估与风险管理 BS7799将风险管理定义为“在可接受的成本下，标识、控制和尽量减少（或消除）可能影响信息系统的安全风险的过程”。风险评估作为其中的一个过程，主要作用是标识、分析安全风险，制定相应的风险控制计划，作为实施风险控制措施、监控风险变化、改进风险控制措施的依据。 以风险评估为核心的风险管理是一个可以在信息系统生命周期各主要阶段实施的重复过程。通常信息系统生命周期包括了五个阶段：系统规划和启动、设计开发或采购、集成实现、运行和维护、废弃。信息系统在设计阶段要进行风险评估以确定系统的安全目标；在建设验收阶段要进行风险评估以确定系统的安全目标达到与否；在运行维护阶段要不断进行风险评估以确定系统安全措施的有效性，确保安全保障目标始终如一得以坚持。 下表描述了每个系统生命周期阶段的特征，并说明了风险评估如何对这些阶段提供支持： 风险评估对信息系统生命周期的支持 生命周期阶段 阶段特征 风险评估活动的作用 阶段1——规划和启动 提出信息系统的目的、需求、规模和安全要求。 确定信息系统安全需求。 阶段2——设计开发或采购 信息系统设计、购买、开发或建造。 标识出风险，以支持信息系统的安全分析。 评估结果会影响到体系结构和设计方案的权衡。 阶段3——集成实现 信息