风险评估分析与实践.doc

风险评估分析与实践 [摘要] 风险评估的极端重要性已经越来越被用户认同。在四年多的风险评估实践中，在从覆盖政府，以及电信、金融等众多行业的逾百个大小用户的风险评估实践中，我们可以清晰地感受到用户安全意识的提高，以及安全需求的不断明确。 　　一、 前言 　　风险评估的极端重要性已经越来越被用户认同。在四年多的风险评估实践中，在从覆盖政府，以及电信、金融等众多行业的逾百个大小用户的风险评估实践中，我们可以清晰地感受到用户安全意识的提高，以及安全需求的不断明确。在2000－2001年，大多数用户的安全评估需求主要集中于系统脆弱性评估和渗透性测试；在2001－2002年，多数用户的安全评估需求已经侧重于整个管理体系的评估和对特定应用系统的评估；从2002年开始，许多行业用户对全面风险评估和等级化评估提出了要求。 　　二、 标准与理论 　　我们在风险评估实践中，主要参考了BS 7799（ISO/IEC 17799）、ISO/IEC 15408-1999（等同GB/T 18336-2001）、ISO/IEC 13335、SSE-CMM等标准。另外，我们也参考了GB 17859-1999《计算机信息系统安全保护等级划分准则》、中国信息安全产品测评认证中心《信息系统安全保障等级评估准则》、公安部《信息系统安全等级保护评估指南》、GB9361-88《计算机场地安全要求》，以及CAV公共漏洞和暴露标准、Cramm/Octave/ …等标准和法规。 　　信息安全管理标准BS 7799（ISO/IEC 17799） 　　BS 7799是国内外现在比较流行的信息安全管理标准，其安全模型主要是建立在风险管理的基础上，通过风险分析的方法，使信息风险的发生概率和后果降低到可接受水平，并采取相应措施保证业务不会因安全事件的发生而中断。BS 7799给出了10类需要进行控制的部分：安全策略、安全组织、资产分类与控制、个人信息安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、商业持续规划、合法性要求等方面的安全风险评估和控制，以及127项控制细则。 　　BS 7799中关于风险管理框架的构建过程对我们进行安全风险评估给予了宏观上的指导。 　　信息安全通用准则ISO/IEC 15408-1999 　　信息技术安全性评估通用准则ISO/IEC 15408-1999（等同GB/T 18336-2001），即通用准则CC，是评估信息技术产品和系统安全性的基础准则。该标准针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求，使各种相对独立的安全性评估结果具有可比性。 　　ISO/IEC 15408对确定安全风险评估模型及关键风险因素具有指导意义，但更重要的是它能比较好的指导我们对系统安全功能的各方面进行安全检查和分析，保证了安全风险评估的全面性和完整性，也使得信息系统在技术上能够符合国家安全测评认证的要求。最后，我们可以根据这个标准生成针对信息系统安全的规范化的安全评估方案，或者更确切叫信息系统安全规范。 　　系统安全工程能力成熟模型SSE-CMM 　　SSE-CMM是“系统安全工程能力成熟模型”的缩写。系统安全工程旨在了解用户单位存在的安全风险，建立符合实际的安全需求，将安全需求转换为贯穿安全系统工程的实施指南。系统安全工程需要对安全机制的正确性和有效性做出验证，证明系统安全的信任度能够达到用户要求，以及未在安全基线内仍存在的安全问题连带的风险在用户可容许、或可控范围内。 　　SSE-CMM针对风险评估过程提供了影响、风险、威胁和脆弱性的具体评估方法和过程，进一步为安全风险评估的实施提供了指导。 　　应用SSE-CMM模型，我们在实践中，将整个安全风险评估工程划分为以下几个阶段：安全需求分析阶段、安全系统规划阶段、安全系统实施阶段、安全系统确认阶段和安全需求验证阶段，并在安全工程的整个生命周期过程中，严格按照SSE-CMM的要求进行实施，以保证整个项目工程的质量。 　　信息安全管理指南ISO/IEC 13335 　　ISO/IEC 13335是信息安全管理方面的规范，给出了如何有效地实施IT安全管理的建议和指南。 　　ISO/IEC 13335为风险评估提供了方法上的支持，它所定义的安全概念全面覆盖了安全风险评估需要考虑的问题，使得最终生成的安全评估方案不但能够保证技术方面的完整，而且能够满足安全管理的要求。 　　三、 风险评估模型 　　资产由于自身的脆弱性，使得威胁的发生成为可能，从而造成了不同的影响，形成了风险。换句话说，风险分析的过程实际上就是对影响、威胁和脆弱性进行分析的过程，而且都紧紧围绕着资产。在风险评估中，资产的价值、资产被破坏后造成的影响