-
(风险管理)风险评估工
具
http:///
。
(proceedtothesecureserverasf
ollows:
TheFullCOBRASuite
*
-SpecialOffer...Only$$US1995
C
O
BRAforISO17799Only-$$US895
)
?
CRAMM
——
CRAMM
(
CCTARisk
AnalysisandManagementMethod
)是由英国
政
府
的
中
央
计
算
机
与
电
信
局
(<
/p>
CentralComputerandTelecommunicationsAgen
cy
,
CCTA
)于
< br>1985
年开发的一种定量风险分析工具,同时支持定性分析。经过多次版本更新
(现在是第四版),目前由
Insight
咨询公司负责管理和授权。
CRAMM
是一种可以评估
信息系统风险并确定恰当对策的结构化方法,适用于各种类型的信息系统和网络,也可以
在信息系统生命周期的各个阶段使用。
CRAMM
< br>的安全模型数据库基于著名的“资产
/
威胁
/
弱点”模型,评估过程经过资产识别与评价、威胁和弱点评估、选择合适的
推荐对策这三
个阶段。
CRAMM
与<
/p>
BS7799
标准保持一致,
它提供的可
供选择的安全控制多达
3000
个。
除
了风险评估,
CRAMM
还可以对符合
ITIL
(
ITInfrastructureLibrary
)
指南的业务连续性
管理提供支持。<
/p>
?
ASSE
T
——
ASSET
(
< br>AutomatedSecuritySelf-EvaluationTool
)
是美国国家标准技
术协会(
Nati
onalInstituteofStandardandTechnology
,
NIST
)发布的一个可用来进行
安全风险
自我评估的自动化工具,它采用典型的基于知识的分析方法,利用问卷方式来评
估系统安
全现状与
NISTSP800-26
指南之间的差距。
NISTSpecialPublication800-26
,
即
信
息
技
术
系
统
安
全
自
我
评
估
指
南
(
SecuritySelf-AssessmentGuideforInformationTechnolo
gySystems
),为组织进行
IT
系统风险评估提供了众多控制目标和建议技术。
ASSET
是
一个免费工具,可以在
NIST
的网站下载:
< br>
。
?
CORA
——
CORA
(
Cost-of-RiskAnalysis
)
是
由
国
际
安
全
技
术
公
司
(
Internati
onalSecurityTechnology,Inc.
)开发的一种风险管理决策
支持系统,它采用典
型的定量分析方法,可以方便地采集、组织、分析并存储风险数据,
为组织的风险管理决
策支持提供准确的依据。
信息安全评估方法
面对信息安全问题
时,需要从组织的角度去评估他们实际上需要保护什么及其需求的原因。大多数
安全问题
深深的根植在一个或者多个组织和业务问题中。在实施安全方案之前,应当通过在业务环
境中评估安全需求和风险,刻画出基本问题的真实本质,决定需要保护哪些对象,为什么要保护这
些对象,需要从哪些方面进行保护,如何在生存期内进行保护。下面将从不同的角度比较现有的信
息安全风险评估方法。
1)手动评估和工具辅助评估
在各种
信息安全风险评估工具出现以前,对信息系统进行安全管理,一切工作都只能手工进行。对
于安全风险分析人员而言,这些工作包括识别重要资产、安全需求分析、当前安全实践分析、威胁
和弱点发现、基于资产的风险分析和评估等。对于安全决策者而言,这些工作包括资产估价、安全
投资成本以及风险效益之间的平衡决策等。对于系统管理员而言,这些工作包括基于风险评估
的风
险管理等。总而言之,其劳动量巨大,容易出现疏漏,而且,他们都是依据各自的经
验,进行与安
全风险相关的工作。
风
险评估工具的出现在一定程度上解决了手动评估的局限性。
1985
年,
英国
CCTA
开发了
CRAMM
风险评估工具。
CRAMM
包括全面的风险评估工具,并且完全遵循
BS7799
< br>规范,
包括依靠资产的
建模、商业影响评估、识别和评估
威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制
等。
CRAMM
评估风险依靠资产价值、威胁和脆弱点,这些参数值是通过
CRAMM
评估者与资产
所有者、系统使用者、技术
支持人员和安全部门人员一起的交互活动得到,最后给出一套安全解决
方案。
1991
年,
C&ASystemSecurit
y
公司推出了
COBRA
工具,用来进
行信息安全风险评估。
COBRA
由一系列风险分析、咨询和安
全评价工具组成,它改变了传统的风险管理方法,提供了一
个完整的风险分析服务,并且
兼容许多风险评估方法学(如定性分析和定量分析等)。它可以看作
一个基于专家系统和
扩展知识库的问卷系统,对所有的威胁和脆弱点评估其相对重要性,并且给出
合适的建议
和解决方案。此外,它还对每个风险类别提供风险分析报告和风险值(或风险等级)。
信息安全风险评估工具的出现,
大大缩短了评估所花费的时间。
在系统应用和配置不断改变的情况,
组织可以通过执行另外一次
评估重新设置风险基线。两次评估的时间间隔可以预先确定(例如,以
月为单位)或者由
主要的事件触发(例如,企业重组、组织的计算基础结构重新设计等)。
2)技术评估和整体评估
技术评估是
指对组织的技术基础结构和程序进行系统的、及时的检查,包括对组织内部计算环境的
安
全性及其对内外攻击脆弱性的完整性攻击。这些技术驱动的评估通常包括:(
1
)评估整个计算
基础结构。(
2
)使用拥有的软件工具分析基础结构及其全部组件。(
3
)提供详细的分析报告,说
明检测到的技术弱点,并且可能为解决这些弱点建议具体的
措施。技术评估是通常意义上所讲的技
术脆弱性评估,强调组织的技术脆弱性。但是组织
的安全性遵循“木桶原则”,仅仅与组织内最薄
弱的环节相当,而这一环节多半是组织中
的某个人。
整体风险评估扩展了上述技术评估的范围,着眼于
分析组织内部与安全相关的风险,包括内部和外
部的风险源、技术基础和组织结构以及基
于电子的和基于人的风险。这些多角度的评估试图按照业
务驱动程序或者目标对安全风险
进行排列,关注的焦点主要集中在安全的以下
4
个方面:(
1
)检
查与安全相关的组织实践,标识当前
安全实践的优点和弱点。这一程序可能包括对信息进行比较分
析,根据工业标准和最佳实
践对信息进行等级评定。(
2
)包括对系统进行技术分析、对政
策进行
评审,以及对物理安全进行审查。(
3
< br>)检查
IT
的基础结构,以确定技术上的弱点。包括恶意
代码
的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更
等。(
4
)帮
助决策制订者综合平衡风
险以选择成本效益对策。
1999
年
,卡内基?梅隆大学的
SEI
发布了
O
CTAVE
框架,这是一种自主型信息安全风险评估方法。
OC
TAVE
方法是一种从系统的、
组织的角度开发的新型信息安全
保护方法,主要针对大型组织,
中
小型组织也可以对其适当裁剪
,以满足自身需要。它的实施分为三个阶段:(
1
)建立基于资
产的
威胁配置文件。这是从组织的角度进行的评估。组织的全体员工阐述他们的看法,如
什么对组织重
要(与信息相关的资产),应当采取什么样的措施保护这些资产等。分析团
队整理这些信息,确定
对组织最重要的资产(关键资产)并标识对这些资产的威胁。(<
/p>
2
)标识基础结构的弱点。对计算
基础结
构进行的评估。分析团队标识出与每种关键资产相关的关键信息技术系统和组件,然后对这
些关键组件进行分析,找出导致对关键资产产生未授权行为的弱点(技术弱点)。(
3
)开发安全
策略和计划。分析团队标识出组织关键资产的风险,
并确定要采取的措施。根据对收集到的信息所
做的分析,为组织开发保护策略和缓和计划
,以解决关键资产的风险。
3)定性评估和定量评估
定性分析方
法是最广泛使用的风险分析方法。该方法通常只关注威胁事件所带来的损失(
Loss<
/p>
),
而忽略事件发生的概率(
Proba
bility
)。多数定性风险分析方法依据组织面临的威胁、脆弱点以及
控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据,而是指定期望值,如设
定每种风险的影响值和概率值为“高”、“中”、“低”。有时单纯使用期望值,并不能明显
区别
风险值之间的差别。
可以考虑为定性数据指定数值。
如,
设“高”的值为
3
,
“中”的值为
2
,
“低”
的值为
1
。但是要注意
的是,这里考虑的只是风险的相对等级,并不能说明该风险到底有多大。所
以,不要赋予
相对等级太多的意义,否则,将会导致错误的决策。
定量分析
方法利用两个基本的元素:威胁事件发生的概率和可能造成的损失。把这两个元素简单相
乘的结果称为
ALE
(
AnnualL
ossExpectancy
)或
EAC
(
EstimatedAnnualCost
)。理论上可以
依
据
ALE
计算威胁事件的风险等级,
并且做出相应的决策。
定量风险评估方法首先评估特定资产的价
值
V
,把信息系统分解成各个组件可更
加有利于整个系统的定价,一般按功能单元进行分解;然后
根据客观数据计算威胁的频率
P
;
最后计算威胁影响系数
?
,
因为对于每一个风险,
并不是所有的资
产所遭受的危害程度都是一样的,程度的范围可能从无危害到彻底危害
(即完全破坏)。根据上述
三个参数,
计算
ALE
:
ALE
=V×P×?定量
风险分析方法要求特别关注资产的价值和威胁的量化数据,
但是这种方法存在一个问题,
就是数据的不可靠和不精确。对于某些类型的安全威胁,存在可用的
信息。例如,可以根
据频率数据估计人们所处区域的自然灾害发生的可能性(如洪水和地震)。也
可以用事件
发生的频率估计一些系统问题的概率,例如系统崩溃和感染病毒。但是,对于一些其他
类
型的威胁来说,不存在频率数据,影响和概率很难是精确的。此外,控制和对策措施可以减小威
< br>胁事件发生的可能性,
而这些威胁事件之间又是相互关联的。
这将使定量评估过程非常耗时和困难。
鉴于以上难点,可
以转用客观概率和主观概率相结合的方法。应用于没有直接根据的情形,可能只
能考虑一
些间接信息、有根据的猜测、直觉或者其他主观因素,称为主观概率。应用主观概率估计
由人为攻击产生的威胁需要考虑一些附加的威胁属性,如动机、手段和机会等。
4)基于知识的评估和基于模型的评估
基于知识的风险评估方法主要是依靠经验进行的,经验从安全专家处获取并凭此来解决相似场景的
风险评估问题。这种方法的优越性在于能够直接提供推荐的保护措施、结构框架和实施计划。
“良好实践”的知识评估方法。该方法提出重用具有相似性组织(主要
从组织的大小、范围以及市
场来判断组织是否相似)的“良好实践”。为了能够较好地处
理威胁和脆弱性分析,该方法开发了
一个滥用和误用报告数据库,存储了
30
年来的上千个事例。同时也开发了一个扩展的信息安全框
< br>架,以辅助用户制定全面的、正确的组织安全策略。基于知识的风险评估方法充分利用多年来开发
的保护措施和安全实践,依照组织的相似性程度进行快速的安全实施和包装,以减少组织的安全风
险。然而,组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方
法的制约
点。安全风险评估是一个非常复杂的任务,这要求存在一个方法既能描述系统的
细节又能描述系统
的整体。
基于模型
的评估可以分析出系统自身内部机制中存在的危险性因素,同时又可以发现系统与外界环
境交互中的不正常并有害的行为,从而完成系统脆弱点和安全威胁的定性分析。如
UML
建模语言
可以用来详细说明信息系统的各个方面:
不同组件之间关系的静态图用
classdiagrams
< br>来表示;
用
来详细说明系统的行动这和功能的动态图用<
/p>
usecasediagrams
和
se
quencediagrams
来表示;
完
整的系统使用
UMLdiagrams
来说明,它是系统体
系结构的描述。
2001
年,
BITD
开始了
CORAS
< br>工程——安全危急系统的风险分析平台。
该工程旨在开发一个基于
面向对象建模技术的风险评估框架,特别指出使用
UML
建模技术。利用建模技术在此主要有三个
目的:第一,在合适的抽象层次描述评估目标
;第二,在风险评估的不同群组中作为通信和交互的
媒介;第三:记录风险评估结果和这
些结果依赖的假设。
准则和
CORA
S
方法都使用了半形式化和形式化规范。
CC
< br>准则是通用的,并不为风险评估提供方
法学。然后,相对于
CC
准则而言,
CORAS
为风险评
估提供方法学,开发了具体的技术规范来进
行安全风险评估。
风险评估的基本过程
-
识别并评估弱点
风险评估的基本过程
-
识别并评估弱点
光有威胁还构不成风险,威胁只有
利用了特定的弱点才可能对资产造成影响,所以,组织
应该针对每一项需要保护的信息资
产,找到可被威胁利用的弱点。常见的弱点有三类:
?
技术性弱点——系统、程序、设备
中存在的漏洞或缺陷,比如结构设计问题和编程
漏洞。
?
操作性弱点——软件和系统在配置
、操作、使用中的缺陷,包括人员日常工作中的
不良习惯,审计或备份的缺乏。
?
管理性弱点——
策略、程序、规章制度、人员意识、组织结构等方面的不足。
识别弱点的途径有很多,包括各种审计报告、事件报告、安全复查报告、系统测试及评估
报告等,还可以利用专业机构发布的列表信息,当然,许多技术性和操作性弱点,可以借
助自动化的漏洞扫描工具和渗透测试等方法来识别和评估。
评
估弱点时需要考虑两个因素,一个是弱点的严重程度(
Severity
)
,另一个是弱点的暴露
程度(
Exposure
),即被利用的容易程度,当然,这两个因素也可以用“高”、“中
”、
“低”三个等级来衡量。
需要注
意的是,弱点是威胁发生的直接条件,如果资产没有弱点或者弱点很轻微,威胁源
就很难
利用其损害资产,哪怕它的能力多高动机多么强烈。
信息安全评估标准的发展
企业的网络
环境和应用系统愈来愈复杂,每个企业都有这样的疑惑:自己的网络和应用系统有哪些安全
漏洞?应该怎样解决?如何规划企业的安全建设?信息安全评估回答了这些问题。
什么是信息安全评估?
关于这个问题
,由于每个人的理解不同,可能有不同的答案。但比较流行的一种看法是:信息安全评估
是信息安全生命周期中的一个重要环节,是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、
硬件、与
Internet
的接口、防火墙的配置
、安全管理措施及应用流程等进行全面的安全分析,并提出安
全风险分析报告和改进建议
书。
信息安全评估的作用
信息安全评估具有如下作用:
(1)
明确企业信息系统的安全现状。进行信息安全评估后,可以让企业准确地了解自身的网络
、各种应用
系统以及管理制度规范的安全现状,从而明晰企业的安全需求。
(2)
确定企业信息系统的主要安全风险。
在对网络和应用系统进行信息安全评估并进行风险分级后,
可以
确定企业信息系统的主要安全风险,并让企业选择避免、降低、接受等风险处置措施。
(3)
指导企业信息系统安全技术体系与管理
体系的建设。
对企业进行信息安全评估后,
可以制定企业网络<
/p>
和系统的安全策略及安全解决方案,从而指导企业信息系统安全技术体系(如部署防火墙、
入侵检测与
漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施
PKI
等)与管理体系(安全组织保证、
安全管理制
度及安全培训机制等)的建设。
主要的信息安全评估标准
信息安全评
估标准是信息安全评估的行动指南。可信的计算机系统安全评估标准(
TCSEC
,从橘皮书到
彩虹系列)由美国国防部于
19
85
年公布的,是计算机系统信息安全评估的第一个正式标准。它把计算
机系统的安全分为
4
类、
7<
/p>
个级别,对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可
信通道建立、安全检测、生命周期保障、文档写作、用户指南等内容提出了规范性要求。
信息技术安全评估标准(
ITSEC
,欧洲百皮书)是由法、英、荷、德欧洲四国
90
年代
初联合发布的,它
提出了信息安全的机密性、完整性、可用性的安全属性。机密性就是保
证没有经过授权的用户、实体或
进程无法窃取信息;完整性就是保证没有经过授权的用户
不能改变或者删除信息,从而信息在传送的过
程中不会被偶然或故意破坏,保持信息的完
整、统一;可用性是指合法用户的正常请求能及时、正确、
安全地得到服务或回应。
ITSEC
把可信计算机的概念提高到可信信息技术的高度上来认识
,对国际信息
安全的研究、实施产生了深刻的影响。
信息技术安全评价的通用标准(
CC
)由六个国
家(美、加、英、法、德、荷)于
1996
年联合提出的,
并逐渐形成国际标准
ISO15408
。该
标准定义了评价信息技术产品和系统安全性的基本准则,提出了目
前国际上公认的表述信
息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以
及解决如
何正确有效地实施这些功能的保证要求。
CC
标准是第一个信息
技术安全评价国际标准,它的
发布对信息安全具有重要意义,是信息技术安全评价标准以
及信息安全技术发展的一个重要里程碑。
ISO13335<
/p>
标准首次给出了关于
IT
安全的保密性、
完整性、可用性、审计性、认证性、可靠性
6
个方面
含义,并提出了以风险为核心的安全模型:企业的资产面临很多威胁(包括来自内部的威胁和来自外 部
的威胁)
;威胁利用信息系统存在的各种漏洞(如:物理环境
、网络服务、主机系统、应用系统、相关
人员、安全策略等)
,
对信息系统进行渗透和攻击。如果渗透和攻击成功,将导致企业资产的暴露;资
产的暴露
(如系统高级管理人员由于不小心而导致重要机密信息的泄露)
,
会对资产的价值产生影响
(包
括直接
和间接的影响)
;风险就是威胁利用漏洞使资产暴露而产生的影响的大小,这可以为资产
的重要
性和价值所决定;对企业信息系统安全风险的分析,就得出了系统的防护需求;根
据防护需求的不同制
定系统的安全解决方案,选择适当的防护措施,进而降低安全风险,
并抗击威胁。该模型阐述了信息安
全评估的思路,对企业的信息安全评估工作具有指导意
义。
BS7799
是英国的工业、政
府和商业共同需求而发展的一个标准,它分两部分:第一部分为“信息安全
管理事务准则
”;第二部分为“信息安全管理系统的规范”。目前此标准已经被很多国家采用,并已成
为国际标准
ISO17799
。
BS7
799
包含
10
个控制大项、
36
个控制目标和
127
个控制措施。
BS7799/ISO17799
主要提供了有
效地实施信息系统风险管理的建议,
并介绍了风险管理的方法和过程。
< br>企业可以参照该标准制定出自己的安全策略和风险评估实施步骤。
AS/NZS4360
:
1999
< br>是澳大利亚和新西兰联合开发的风险管理标准,第一版于
1995
年发布。在
AS/NZS4360:1999
中,风险
管理分为建立环境、风险识别、风险分析、风险评价、风险处置、风险监
-
-
-
-
-
-
-
-
-
上一篇:男女英文名字
下一篇:第五章幼儿英语教学原则