・108・计算机应用研究2005年
企业信息安全风险的自评估及其流程设计
许 诚
心, 北京100039)
1, 2
3
, 张玉清, 雷震甲
21
(1. 西安电子科技大学经济管理学院, 陕西西安710071; 2. 中国科学院研究生院国家计算机网络入侵防范中
摘 要:首先分析了企业信息安全风险评估的两种模式, 即自评估和他评估, 指出了它们的优缺点, 然后讨论企业自评估的评估要素和评估原则, 最后为企业自评估设计了一个实施流程, 对该流程的各个环节进行了较为深入的分析, 同时对该流程进行评价。关键词:自评估; 风险; 风险评估
中图法分类号:TP309 文献标识码:A 文章编号:100123695(2005) 0720108203
Self 2assess ment of I nfor mati on Security
R isks in Enterp rises and Design of Its Pr ocedure
XU Cheng , ZHANG Yu 2qing , LE I Zhen 2jia
Center , GSCAS, B eijing 100039, China )
1, 2
2
1
(1. School of Econo m y &M anage m ent, X idian U niversity, X i ’an Shanxi 710071, China; 2. N ational Co m puter N ork Intrusion P rotection
Abstract:Firstly, t w o kinds of modes of inf or mati on the 2assess ment and other 2assess ment are analyzed, their and . assess ment fact ors and p rinci 2p les of self 2assess ment are . i m p le p self 2assess ment of enter p rises is designed, and each link of r on at the sa me ti m e, this p r ocedure is app raised . Key words:2R isk ssess ment
企业的信息安全风险评估工作是企业信息安全策略的主要组成部分, 也是企业风险管理的关键环节, 其评估结果的准确程度直接影响到风险管理的成败。目前, 国内外企业的信息安全风险评估大致有两种模式, 即自评估和他评估。在一般情况下, 企业只有在发生较大变化时, 如企业刚刚建立、主要业务系统发生重大改变时才进行他评估, 而在大多数情况下, 企业只进行自评估, 以此作为信息安全管理的一项重要工作。因此, 自评估已经成为企业信息安全风险评估的基本模式。国外许多企业已经把风险评估的一些理论、方法和流程应用于自评估领域内, 而我国在这一方面起步较晚, 到目前为止还没有对企业自评估形成统一、清楚的认识, 在自评估具体的实施过程中还存在着许许多多的问题。
而自评估是指企业自身利用最小的资源(人力、物力、资金等) 消耗来了解当前企业的安全状态以及安全流程和控制措施的有效性, 以便对企业本身进行综合的判断和投资来减小风险使它尽快达到一个可被接受的水平。对于企业来说, 信息安全风险的自评估和他评估各有自己的优缺点。下面, 我们就主要通过企业自评估的优缺点来分析企业信息安全的这两种风险评估模式。
首先, 自评估由于其资源、评估人员水平等的限制, 存在着一些固有缺点, 当然它们的相反面也正是他评估的优势所在, 这些内容包括:
(1) 不深入、不规范、不到位。由于自评估人员主要由企
业内部人员组成, 他们可能并不是专门从事这项活动, 所以在评估的能力上有所欠缺, 进而导致了评估的不深入、不规范和不到位。
(2) 工具缺乏。目前, 进行风险评估工作需要许多辅助工
1 企业信息安全风险评估的模式分析
我们知道企业的信息安全风险评估分为自评估和他评估两种模式, 这主要根据评估方和被评估方的关系以及他们与信息资产之间的关系来确定的。其中, 他评估是指企业为了全面了解其面临的信息安全风险而委托具有风险评估能力的专业评估机构或上级主管部门为了检查颁布的政策、标准的实施情况而进行的风险评估活动, 企业本身并不需要做太多的工作。收稿日期:2004207209; 修返日期:2004209222
基金项目:国家“863”计划资助项目(2002AA142151) ; 国家计算机网络与信息安全管理中心资助项目(20022研212A 2007)
具, 如漏洞扫描、系统测试工具等, 但企业自身不可能额外地开发这些工具, 即使从市场上购买这些工具, 也不能完全满足整个评估工作的需要。
(3) 主观因素较多。由于主要是由企业内部人员进行评
估, 所以在评估过程中不可避免地增加了主观因素, 不能客观地看待评估过程中遇到的问题。
(4) 权威性小。由于评估是由企业内部人员完成的, 它所
产生的结果可能并不会被其他企业或机构承认和接受。
其次, 在其他方面企业自评估展现出越来越多的优点, 其
第7期许 诚等:企业信息安全风险的自评估及其流程设计 ・109・
中包括:
(1) 对外依赖少。当企业的某信息系统发生改变的时候, 该企业的领导者可能就需要对企业进行风险评估, 而且这种情况经常发生, 如果每次都进行风险的他评估肯定是不现实的。一方面, 评估机构可能暂时无法受理该评估而延误评估的时机; 另一方面, 评估方的效率较低, 可能过多地影响企业的正常业务。此时, 企业依靠自身的力量, 从有关部门挑选相关的人员来完成风险评估工作, 这样会极大地减小对外的依赖程度, 提高了企业的效率。
(2) 费用低廉。由于自评估人员基本上是企业自身的员工, 所以在人员方面基本上不会增加额外的投资, 所需要的费用主要用于购买部分评估工具、配置评估环境等, 而这样的投资在随后的评估中仍然可以继续发挥作用。所以, 从总体上讲, 企业进行自评估能够利用最小的费用来获得尽可能多的安全方面的信息。
(3) 周期短。企业在进行自评估初期不需要像他评估那样同评估方进行相关事宜的协商以及对企业的先期调研, 这样减少了评估的额外时间。而且, 自评估只是对企业比较重要的资产进行评估而不需要像他评估那样进行过于详细的评估, 这也极大地缩短了整个评估活动的周期。
(4) 额外风险小。企业在进行他评估的时候不可避免地把企业的信息暴露给评估方, 这就增加了风险评估工作本身的额外风险, 很少出现。
(5) 企业无意识地忽视, , 从而提高他们对信息安全的认识程度。
正是上面分析的优点使企业越来越重视自评估, 并且投入了很多的资源从事这项工作来帮助企业进行信息安全的管理。
完善、错误的控制措施带来的损失; 另一方面用来减少资产本身存在的脆弱点; 再者用来抵抗外界环境, 如威胁源的破坏。在威胁源找到了资产存在的脆弱点, 并且该脆弱点还未被相应控制措施保护时, 此威胁源就有可能产生一个风险, 这就暗示了一个安全需求的产生, 企业就需要采取一定的控制措施来满足这个安全需求, 既而控制产生该风险的威胁源。
2. 2 企业自评估的评估原则
企业在进行自身风险评估的时候必须遵循一定的原则来指导整个评估活动。根据相关知识和经验, 我们归纳并总结出下面这些原则:
(1) 标准化指导原则。企业的自评估应该在国家或国际的相关标准下进行, 这样得到的评估结果才有可能得到国家和其他企业或机构的承认和接受。
(2) 评估人员的多样化原则。企业领导者在准备对企业进行风险评估之前应该仔细地考虑评估小组的人员组成。除了包含日常的信息安全部门的人员外, 还应该有其他部门专家或负责人的配合, 并且要求他们积极地配合评估人员的工作。
(3) 管理与技术评估相结合原则。目前, “三分技术, 七分管理”认同, 所以, , 更应该了, 。(。由于本身在风险, 企业不可能对所有方面都能考虑周到, , 这样才能集中精力完成重点评估。当然, 企业也应该在条件允许的情况下尽可能多地评估它所处的安全状态、安全流程和控制措施等。
(5) 企业效益与评估效率综合考虑原则。企业进行风险评估必然会对它的正常生产活动产生影响, 此时评估人员就应该综合考虑一下企业效益与评估的效率, 根据考虑的结果来确定是放缓评估, 还是加快评估。
(6) 与他评估相辅相成原则。企业的自评估和他评估本身就是相辅相成的。当企业出现重大变化的时候, 依靠自评估并不是好的方法, 它所评估出来的结果并不全面, 不能为以后的评估提供很好的参考依据, 这时就需要寻求他评估的帮助。同样, 自评估的结果应该能以规范化的形式保留下来, 以供进行他评估时参考。
2 企业自评估的评估要素与原则
企业的自评估包含许多方面的内容。在这里, 我们只探讨对随后设计的自评估实施流程密切相关的两个方面, 即评估要素和评估原则, 对它们的讨论有助于对流程的理解。
2. 1 企业自评估的评估要素
企业信息安全风险的自评估贯穿于企业发展的每一个阶段, 而且不管在企业发展到什么阶段, 也不管在什么条件下进行自评估, 它都会涉及到许许多多的评估要素, 对此我们作了归纳。主要包括了风险本身、企业资产、企业的脆弱点、威胁源、控制措施和企业的安全需求等。图1是我们给出的一个各评估要素之间的关系图
。
3 企业自评估的流程设计
为了使企业自评估工作更具科学性和合理性, 同时也为了提高整个评估的效率, 我们有必要在进行评估前确定一个评估实施流程, 让企业每一次评估都能按照相对比较规范的方式进行, 这样也使每次的评估结果具有一定的可比性, 方便为下一次评估提供参考依据。
3. 1 企业自评估的流程设计
在本节中, 我们为企业的自评估设计了一套实施流程, 共分为七个阶段, 如图2所示。
其中, 企业和威胁源是两个对立的实体, 正是因为它们之间的这种关系才导致整个评估要素的各种复杂联系。企业拥有资产, 并采取相应的控制措施, 一方面用来直接弥补企业不
・110・计算机应用研究
息资产的依赖程度;
●
2005年
整个评估过程应该在2. 2节讨论的企业自评估的评估原则指导下实施。下面, 我们对该流程具体实施的各个环节进行分析。
(1) 计划评估。主要涉及到自评估时机的选择, 确定企业在什么情况下进行自评估应该是整个评估过程的出发点, 只有在确定需要进行自评估以后才能开展随后的一系列评估活动。有时候在确定是否进行自评估或选择进行自评估还是进行他评估是很困难的。一般情况下, 只有当企业发生重大变化或某些重要业务系统发生改变的时候才进行他评估。而当企业正在正常运行或只是发生了较小变化的时候, 企业领导者为了了解当前的安全状态就可以进行自评估。而且, 这样的自评估可以定期地进行而不管企业是否发生了变化。
(2) 确定评估小组成员。与他评估不同, 企业的自评估主要由企业内部人员来完成。当然, 在评估的过程中, 企业可以邀请某些专家对评估活动进行指导。企业进行自评估时评估小组的成员组成如图3所示
。
资产的损毁对企业形象的负面影响, 即包括信誉、名声资产的损毁对企业长期规划的影响。
等;
●
在资产评估完成之前, 评估人员应该对资产划分为若干等级并赋值, 如从0~4等, 以此来表明资产对企业业务的重要程度。依靠此等级, 评估人员可以根据需要只评估对企业业务来说最重要的若干种资产。
②威胁的评估。在企业自评估的过程中, 评估人员应该更加强调威胁与资产之间的对应关系, 把精力集中在重要资产的威胁上来。首先, 评估人员应该把这些威胁源识别出来, 并把它们进行分类; 其次, 评估人员应该考虑这些威胁源的动机以及实施威胁时的行为; 再次, 评估人员应该考虑这些威胁源的能力, 其中, 能力因素应该包含威胁源施展攻击的知识和能力以及发生威胁时必要资源的可用性等; 最后, 评估人员应该根据威胁源的动机、行为和能力对威胁源划分等级, 并对这些等级赋值, 如从0~4等。
③脆弱点和控制措施评估的同步实施。评估人员在进行脆弱点评估的时候必然要考虑已实施的控制措施, 因为即使某, , 。评估人员
其中, 在具体评估过程中, , 非常熟悉的人员, 甚至会引起误解。
(3) 准备评估一个周密的计划, 虽然不需要像他评估那样同评估方协商, 如费用等问题。但是, 其他方面的准备还是很有必要的, 如明确本次风险评估的目标、确定评估的范围、具体的结果保存形式, 同时也应该明确评估周期, 以及其他与实施相关的工作等。
(4) 获取企业相关信息。自评估一般采用问卷调查表、现
:先前的企业风险评估文档
) 等; 企业的审计报告、异常事故报告、安全检查报告、系统测试和评估报告等; 网上漏洞数据库, 如CVE 数据库等; 厂商公告; 权威部门的安全公告; 系统软件的安全分析报告。
④可能性的分析。企业安全事件发生的可能性与威胁源的动机和能力、系统脆弱点的性质以及企业已有的控制措施的有效性有关。因此, 对企业危害发生的可能性分析必须对这三个方面进行综合考虑。最后, 评估人员对这种可能性划分等级, 并赋给它们相应的值。
⑤危害性的分析。评估企业发生安全事件的影响程度应该从信息的三性, 即机密性、完整性和可用性出发, 以此来确定危害性的等级, 并赋予相应的值。
⑥风险的计算。企业的风险可以通过多种计算方法得到, 但通常资产的风险值可以定义为:风险值=f (安全事件发生的可能性, 安全事件发生的危害性) =g (资产, 威胁, 脆弱性, 已实施的控制措施) 。自评估人员根据这样的函数形式, 可以采用一种类似5×5形式的矩阵来计算风险, 其中行和列分别代表了安全事件发生的可能性或发生的危害性等级。当然, 评估人员为了细化这些风险可以采用维数更多(更细) 的矩阵。
(6) 建议控制措施。在评估出企业面临的风险以后, 评估
场面谈和查阅文档等方法来获得企业的相关信息。自评估应该充分发挥评估人员对企业了解比较全面的优势, 对企业信息进行分类, 确定出那些对企业本身有重大作用的信息, 进而让这些信息所属部门的人员(最好是主管) 能够参与到本次评估, 以便让这次评估能够更具有针对性。另外, 利用自动检测工具来获取信息的方法可能由于企业本身工具的缺乏而无法采用, 但企业可发挥前三种方法的优势来弥补这方面的不足。
(5) 分析与计算风险。目前, 风险分析有定量和定性两种方法, 而定量方法在具体的风险分析中并不能很好地运用, 而且掌握这样的方法也有一定的难度。对于企业的自评估来说, 由于评估人员评估能力的欠缺, 定性的分析方法应该被优先考虑。在这里, 风险分析分为资产、威胁、脆弱点、控制措施、可能性和危害性的评估, 下面逐一分析其各步骤实施的要点:
①资产价值的考虑因素。资产的评估是整个风险分析工作中最困难的一步, 主要在于资产价值的估算。而其价值的确定需要综合考虑以下四个方面:
●
人员就可以对这些风险进行分级。如果是高风险或中风险, 评估人员就应该考虑对相关资产实施额外的控制措施, 以此来减少这些风险, 使它达到企业可以接受的水平。当然, 这些建议性的控制措施应该记录到最后的评估报告中。
(7) 记录风险评估结果。除了上述的建议性控制措施以外, 评估报告中还应该记录上述每一步的评估结果, 如资产的分类与赋值、威胁源的行为与能力等级划分、脆弱点的识别和严重程度等级划分、已实施的控制措施列表等。(下转第118页)
资产的购买价值, 即若该资产完全损毁后重新购置需资产的损毁对企业业务的影响, 即企业的业务对该信
要花费的资金;
●
・118・
的约束规则以保证内容结构的完整一致。
计算机应用研究2005年
面要将已有模型标准化、应用化和工程化, 并与其他技术相结合, 如神经网络、遗传算法、模糊技术、专家系统等, 以向自动化、智能化方向发展。尽管在技术上有许多未克服的难题, 但正如攻击技术不断发展一样, 攻击模型的研究也将会不断完善成熟。参考文献:
[1]O leg Sheyner, Somesh Jha, Joshua Haines, et al . Tools f or Genera 2
ting and Analyzing A ttack Graphs [C ].Oakland, CA:Pr oceedings of the I EEE Sy mposium on Security and Privacy, 2002.
[2]T Tidwell, et al . Modeling I nternetA ttacks [C ].W est Point, NY:Pr o 2
ceedings of the 2001I EEE Workshop on I nf or mati on A ssurance and Security, United StatesM ilitary Acade my , 2001. 526.
[3]Andre w P Moore, Robert J Ellis on, R ichard C L inger . A ttack Mode 2
ling for I nfor mati on Security and Survivability[R ].C MU /SEI 220012T N 2001, Soft w are Engineering I nstitute, 2001. [4]Jan Steffan, Markus Schumacher .
Collaborative A ttack Modeling
[C ].Ne w York, US A:AC M Press, Pr oceedings of the 2002AC M Sy mposium on App lied Computing (S AC ) ,Madrid, Spain, 2002. 2532259.
A ttack Tree 和A ttack Net 都侧重于描述攻击过程所包含的
各种攻击行为之间的联系, 没有将攻击行为和对系统状态所造成的影响区分开, 也没有将攻击的危害与系统的安全要求结合起来, 而安全预警是与具体系统的安全需求紧密相关的。因此
A ttack Tree 和A ttack Net 不能直接应用于攻击检测和预警系
统, 需与其他技术相结合。基于系统状态集合的攻击模型则是针对攻击检测和安全预警的要求设计的, 用系统状态集合改变的序列来表示攻击过程, 有足够的能力描述攻击。通过上节的分析可知, 当I D S 检测到攻击行为后, 利用基于系统状态集合的攻击模型, 可以预测将会发生的攻击行为。同时, 模型中系统状态的取值将系统安全需求考虑在内, 为实现准确的安全预警提供了可能。
5 结束语
攻击模型帮助我们结构化描述攻击过程, 利用已有的攻击行为研究结果, 指导我们分析、识别攻击, 进一步进行攻击过程检测和安全预警。
攻击模型的研究是一个较新的领域, 本文介绍的几个现有攻击模型大多也处在理论研究阶段或试验阶段, 还远未达到成熟和实用化的程度。一方面要继续研究新的攻击模型, 另一方
(上接第110页)
作者简介:
陈春霞(19792) , 女, 硕士, ; 黄皓, 教授, , 。
。当然, 风险评估本身存在一些问, 如评估方法的选择、风险计算采用的方式、资产价值的估算等在自评估中仍然会存在, 这些都需要我们进行进一步的分析与研究。参考文献:
[1]Code of Practice for I nf or mati on Security Manage ment[S ].I S O /I EC
17799, 2000. [2][3]
I nf or mati on Technol ogy 2Guidelines f or the Manage ment of I T Security [S].I S O /I EC 13335, 1997.
I nf or mati on Security R isk A ssess ment 2Practices of Leading O rganiza 2ti ons[R ].U. S . General Accounting Office, 1999.
[4]Christ opher A lberts, Audrey Dor ofee . Managing I nfor mati on Security
R isks:The OCT AVE App r oach[M].Addis on W esley I nc . , 2002. [5]
Thomas R Pelitier .
I nf or mati on Security R isk Analysis [M].Roth 2
stein A ss ociates I nc . , 2001.
[6]Yacov Y Hai m es . R isk Modeling, A ssess ment and Manage ment[M].
W iley &Sons I nc . , 2002.
[7]Gary St oneburner, A lice Goguen, A lexis Feringa . R isk Manage ment
Guide for I nfor mati on Technol ogy Syste m s [R ].N I ST SP800230, 2001.
[8]Mariane W ans on .
Security Self 2A ssess ment Guide f or I nf or mati on
Technol ogy Syste m [R ].N I ST SP800226, 2001.
[9]科飞管理咨询公司. 信息安全管理概论———BS7799理解与实施
[M].北京:机械工业出版社, 2002.
。当再次进行自评估的时候, 评估的起始点, 这些结果具有重要的参考价值, 可以提高下次评估的效率。
3. 2 该流程的评价
在第3. 1节里, 我们对该流程具体实施的一些要点进行了分析。与他评估相比, 企业的信息安全风险的自评估在具体的应用过程中增加了一些额外的实施内容, 如评估时机的选择、评估人员的确定等。同时, 考虑到企业自身评估能力的欠缺, 在某些步骤如资产、威胁、脆弱点的评估上进行了简化, 提高了评估的效率, 但是, 这并不会过分地降低评估的效果。这些都充分地考虑了企业自评估的实际情况, 为该流程的实际应用打下了坚实的基础。而且该流程符合通常的评估习惯, 步骤比较清晰, 容易被企业接受, 内部人员能够较快地理解该流程, 进而尽早地入手评估工作。
4 结束语
风险评估作为企业信息安全管理的第一步, 它的评估结果直接影响着整个安全管理的质量。由于评估的各个要素又是处于不断变化之中, 所以及时了解企业的安全状态是十分必要的, 而定期的自评估是达到目的的必不可少的手段。本文首先分析企业信息安全风险评估的两种模式, 即自评估和他评估, 指出了它们的优缺点; 然后讨论企业自评估的评估要素和评估原则; 最后为企业自评估设计了一个实施流程, 对该流程的各个环节进行了较为深入的分析, 并对该流程进行评价, 希望对
作者简介:
许诚(19792) , 男, 安徽宿州人, 硕士研究生, 主要研究方向为网络管理与安全、信息安全; 张玉清(19662) , 男, 副研究员, 主要研究方向为信息与网络安全; 雷震甲(19442) , 男, 副教授, 主要研究方向为网络管理与安全。
・108・计算机应用研究2005年
企业信息安全风险的自评估及其流程设计
许 诚
心, 北京100039)
1, 2
3
, 张玉清, 雷震甲
21
(1. 西安电子科技大学经济管理学院, 陕西西安710071; 2. 中国科学院研究生院国家计算机网络入侵防范中
摘 要:首先分析了企业信息安全风险评估的两种模式, 即自评估和他评估, 指出了它们的优缺点, 然后讨论企业自评估的评估要素和评估原则, 最后为企业自评估设计了一个实施流程, 对该流程的各个环节进行了较为深入的分析, 同时对该流程进行评价。关键词:自评估; 风险; 风险评估
中图法分类号:TP309 文献标识码:A 文章编号:100123695(2005) 0720108203
Self 2assess ment of I nfor mati on Security
R isks in Enterp rises and Design of Its Pr ocedure
XU Cheng , ZHANG Yu 2qing , LE I Zhen 2jia
Center , GSCAS, B eijing 100039, China )
1, 2
2
1
(1. School of Econo m y &M anage m ent, X idian U niversity, X i ’an Shanxi 710071, China; 2. N ational Co m puter N ork Intrusion P rotection
Abstract:Firstly, t w o kinds of modes of inf or mati on the 2assess ment and other 2assess ment are analyzed, their and . assess ment fact ors and p rinci 2p les of self 2assess ment are . i m p le p self 2assess ment of enter p rises is designed, and each link of r on at the sa me ti m e, this p r ocedure is app raised . Key words:2R isk ssess ment
企业的信息安全风险评估工作是企业信息安全策略的主要组成部分, 也是企业风险管理的关键环节, 其评估结果的准确程度直接影响到风险管理的成败。目前, 国内外企业的信息安全风险评估大致有两种模式, 即自评估和他评估。在一般情况下, 企业只有在发生较大变化时, 如企业刚刚建立、主要业务系统发生重大改变时才进行他评估, 而在大多数情况下, 企业只进行自评估, 以此作为信息安全管理的一项重要工作。因此, 自评估已经成为企业信息安全风险评估的基本模式。国外许多企业已经把风险评估的一些理论、方法和流程应用于自评估领域内, 而我国在这一方面起步较晚, 到目前为止还没有对企业自评估形成统一、清楚的认识, 在自评估具体的实施过程中还存在着许许多多的问题。
而自评估是指企业自身利用最小的资源(人力、物力、资金等) 消耗来了解当前企业的安全状态以及安全流程和控制措施的有效性, 以便对企业本身进行综合的判断和投资来减小风险使它尽快达到一个可被接受的水平。对于企业来说, 信息安全风险的自评估和他评估各有自己的优缺点。下面, 我们就主要通过企业自评估的优缺点来分析企业信息安全的这两种风险评估模式。
首先, 自评估由于其资源、评估人员水平等的限制, 存在着一些固有缺点, 当然它们的相反面也正是他评估的优势所在, 这些内容包括:
(1) 不深入、不规范、不到位。由于自评估人员主要由企
业内部人员组成, 他们可能并不是专门从事这项活动, 所以在评估的能力上有所欠缺, 进而导致了评估的不深入、不规范和不到位。
(2) 工具缺乏。目前, 进行风险评估工作需要许多辅助工
1 企业信息安全风险评估的模式分析
我们知道企业的信息安全风险评估分为自评估和他评估两种模式, 这主要根据评估方和被评估方的关系以及他们与信息资产之间的关系来确定的。其中, 他评估是指企业为了全面了解其面临的信息安全风险而委托具有风险评估能力的专业评估机构或上级主管部门为了检查颁布的政策、标准的实施情况而进行的风险评估活动, 企业本身并不需要做太多的工作。收稿日期:2004207209; 修返日期:2004209222
基金项目:国家“863”计划资助项目(2002AA142151) ; 国家计算机网络与信息安全管理中心资助项目(20022研212A 2007)
具, 如漏洞扫描、系统测试工具等, 但企业自身不可能额外地开发这些工具, 即使从市场上购买这些工具, 也不能完全满足整个评估工作的需要。
(3) 主观因素较多。由于主要是由企业内部人员进行评
估, 所以在评估过程中不可避免地增加了主观因素, 不能客观地看待评估过程中遇到的问题。
(4) 权威性小。由于评估是由企业内部人员完成的, 它所
产生的结果可能并不会被其他企业或机构承认和接受。
其次, 在其他方面企业自评估展现出越来越多的优点, 其
第7期许 诚等:企业信息安全风险的自评估及其流程设计 ・109・
中包括:
(1) 对外依赖少。当企业的某信息系统发生改变的时候, 该企业的领导者可能就需要对企业进行风险评估, 而且这种情况经常发生, 如果每次都进行风险的他评估肯定是不现实的。一方面, 评估机构可能暂时无法受理该评估而延误评估的时机; 另一方面, 评估方的效率较低, 可能过多地影响企业的正常业务。此时, 企业依靠自身的力量, 从有关部门挑选相关的人员来完成风险评估工作, 这样会极大地减小对外的依赖程度, 提高了企业的效率。
(2) 费用低廉。由于自评估人员基本上是企业自身的员工, 所以在人员方面基本上不会增加额外的投资, 所需要的费用主要用于购买部分评估工具、配置评估环境等, 而这样的投资在随后的评估中仍然可以继续发挥作用。所以, 从总体上讲, 企业进行自评估能够利用最小的费用来获得尽可能多的安全方面的信息。
(3) 周期短。企业在进行自评估初期不需要像他评估那样同评估方进行相关事宜的协商以及对企业的先期调研, 这样减少了评估的额外时间。而且, 自评估只是对企业比较重要的资产进行评估而不需要像他评估那样进行过于详细的评估, 这也极大地缩短了整个评估活动的周期。
(4) 额外风险小。企业在进行他评估的时候不可避免地把企业的信息暴露给评估方, 这就增加了风险评估工作本身的额外风险, 很少出现。
(5) 企业无意识地忽视, , 从而提高他们对信息安全的认识程度。
正是上面分析的优点使企业越来越重视自评估, 并且投入了很多的资源从事这项工作来帮助企业进行信息安全的管理。
完善、错误的控制措施带来的损失; 另一方面用来减少资产本身存在的脆弱点; 再者用来抵抗外界环境, 如威胁源的破坏。在威胁源找到了资产存在的脆弱点, 并且该脆弱点还未被相应控制措施保护时, 此威胁源就有可能产生一个风险, 这就暗示了一个安全需求的产生, 企业就需要采取一定的控制措施来满足这个安全需求, 既而控制产生该风险的威胁源。
2. 2 企业自评估的评估原则
企业在进行自身风险评估的时候必须遵循一定的原则来指导整个评估活动。根据相关知识和经验, 我们归纳并总结出下面这些原则:
(1) 标准化指导原则。企业的自评估应该在国家或国际的相关标准下进行, 这样得到的评估结果才有可能得到国家和其他企业或机构的承认和接受。
(2) 评估人员的多样化原则。企业领导者在准备对企业进行风险评估之前应该仔细地考虑评估小组的人员组成。除了包含日常的信息安全部门的人员外, 还应该有其他部门专家或负责人的配合, 并且要求他们积极地配合评估人员的工作。
(3) 管理与技术评估相结合原则。目前, “三分技术, 七分管理”认同, 所以, , 更应该了, 。(。由于本身在风险, 企业不可能对所有方面都能考虑周到, , 这样才能集中精力完成重点评估。当然, 企业也应该在条件允许的情况下尽可能多地评估它所处的安全状态、安全流程和控制措施等。
(5) 企业效益与评估效率综合考虑原则。企业进行风险评估必然会对它的正常生产活动产生影响, 此时评估人员就应该综合考虑一下企业效益与评估的效率, 根据考虑的结果来确定是放缓评估, 还是加快评估。
(6) 与他评估相辅相成原则。企业的自评估和他评估本身就是相辅相成的。当企业出现重大变化的时候, 依靠自评估并不是好的方法, 它所评估出来的结果并不全面, 不能为以后的评估提供很好的参考依据, 这时就需要寻求他评估的帮助。同样, 自评估的结果应该能以规范化的形式保留下来, 以供进行他评估时参考。
2 企业自评估的评估要素与原则
企业的自评估包含许多方面的内容。在这里, 我们只探讨对随后设计的自评估实施流程密切相关的两个方面, 即评估要素和评估原则, 对它们的讨论有助于对流程的理解。
2. 1 企业自评估的评估要素
企业信息安全风险的自评估贯穿于企业发展的每一个阶段, 而且不管在企业发展到什么阶段, 也不管在什么条件下进行自评估, 它都会涉及到许许多多的评估要素, 对此我们作了归纳。主要包括了风险本身、企业资产、企业的脆弱点、威胁源、控制措施和企业的安全需求等。图1是我们给出的一个各评估要素之间的关系图
。
3 企业自评估的流程设计
为了使企业自评估工作更具科学性和合理性, 同时也为了提高整个评估的效率, 我们有必要在进行评估前确定一个评估实施流程, 让企业每一次评估都能按照相对比较规范的方式进行, 这样也使每次的评估结果具有一定的可比性, 方便为下一次评估提供参考依据。
3. 1 企业自评估的流程设计
在本节中, 我们为企业的自评估设计了一套实施流程, 共分为七个阶段, 如图2所示。
其中, 企业和威胁源是两个对立的实体, 正是因为它们之间的这种关系才导致整个评估要素的各种复杂联系。企业拥有资产, 并采取相应的控制措施, 一方面用来直接弥补企业不
・110・计算机应用研究
息资产的依赖程度;
●
2005年
整个评估过程应该在2. 2节讨论的企业自评估的评估原则指导下实施。下面, 我们对该流程具体实施的各个环节进行分析。
(1) 计划评估。主要涉及到自评估时机的选择, 确定企业在什么情况下进行自评估应该是整个评估过程的出发点, 只有在确定需要进行自评估以后才能开展随后的一系列评估活动。有时候在确定是否进行自评估或选择进行自评估还是进行他评估是很困难的。一般情况下, 只有当企业发生重大变化或某些重要业务系统发生改变的时候才进行他评估。而当企业正在正常运行或只是发生了较小变化的时候, 企业领导者为了了解当前的安全状态就可以进行自评估。而且, 这样的自评估可以定期地进行而不管企业是否发生了变化。
(2) 确定评估小组成员。与他评估不同, 企业的自评估主要由企业内部人员来完成。当然, 在评估的过程中, 企业可以邀请某些专家对评估活动进行指导。企业进行自评估时评估小组的成员组成如图3所示
。
资产的损毁对企业形象的负面影响, 即包括信誉、名声资产的损毁对企业长期规划的影响。
等;
●
在资产评估完成之前, 评估人员应该对资产划分为若干等级并赋值, 如从0~4等, 以此来表明资产对企业业务的重要程度。依靠此等级, 评估人员可以根据需要只评估对企业业务来说最重要的若干种资产。
②威胁的评估。在企业自评估的过程中, 评估人员应该更加强调威胁与资产之间的对应关系, 把精力集中在重要资产的威胁上来。首先, 评估人员应该把这些威胁源识别出来, 并把它们进行分类; 其次, 评估人员应该考虑这些威胁源的动机以及实施威胁时的行为; 再次, 评估人员应该考虑这些威胁源的能力, 其中, 能力因素应该包含威胁源施展攻击的知识和能力以及发生威胁时必要资源的可用性等; 最后, 评估人员应该根据威胁源的动机、行为和能力对威胁源划分等级, 并对这些等级赋值, 如从0~4等。
③脆弱点和控制措施评估的同步实施。评估人员在进行脆弱点评估的时候必然要考虑已实施的控制措施, 因为即使某, , 。评估人员
其中, 在具体评估过程中, , 非常熟悉的人员, 甚至会引起误解。
(3) 准备评估一个周密的计划, 虽然不需要像他评估那样同评估方协商, 如费用等问题。但是, 其他方面的准备还是很有必要的, 如明确本次风险评估的目标、确定评估的范围、具体的结果保存形式, 同时也应该明确评估周期, 以及其他与实施相关的工作等。
(4) 获取企业相关信息。自评估一般采用问卷调查表、现
:先前的企业风险评估文档
) 等; 企业的审计报告、异常事故报告、安全检查报告、系统测试和评估报告等; 网上漏洞数据库, 如CVE 数据库等; 厂商公告; 权威部门的安全公告; 系统软件的安全分析报告。
④可能性的分析。企业安全事件发生的可能性与威胁源的动机和能力、系统脆弱点的性质以及企业已有的控制措施的有效性有关。因此, 对企业危害发生的可能性分析必须对这三个方面进行综合考虑。最后, 评估人员对这种可能性划分等级, 并赋给它们相应的值。
⑤危害性的分析。评估企业发生安全事件的影响程度应该从信息的三性, 即机密性、完整性和可用性出发, 以此来确定危害性的等级, 并赋予相应的值。
⑥风险的计算。企业的风险可以通过多种计算方法得到, 但通常资产的风险值可以定义为:风险值=f (安全事件发生的可能性, 安全事件发生的危害性) =g (资产, 威胁, 脆弱性, 已实施的控制措施) 。自评估人员根据这样的函数形式, 可以采用一种类似5×5形式的矩阵来计算风险, 其中行和列分别代表了安全事件发生的可能性或发生的危害性等级。当然, 评估人员为了细化这些风险可以采用维数更多(更细) 的矩阵。
(6) 建议控制措施。在评估出企业面临的风险以后, 评估
场面谈和查阅文档等方法来获得企业的相关信息。自评估应该充分发挥评估人员对企业了解比较全面的优势, 对企业信息进行分类, 确定出那些对企业本身有重大作用的信息, 进而让这些信息所属部门的人员(最好是主管) 能够参与到本次评估, 以便让这次评估能够更具有针对性。另外, 利用自动检测工具来获取信息的方法可能由于企业本身工具的缺乏而无法采用, 但企业可发挥前三种方法的优势来弥补这方面的不足。
(5) 分析与计算风险。目前, 风险分析有定量和定性两种方法, 而定量方法在具体的风险分析中并不能很好地运用, 而且掌握这样的方法也有一定的难度。对于企业的自评估来说, 由于评估人员评估能力的欠缺, 定性的分析方法应该被优先考虑。在这里, 风险分析分为资产、威胁、脆弱点、控制措施、可能性和危害性的评估, 下面逐一分析其各步骤实施的要点:
①资产价值的考虑因素。资产的评估是整个风险分析工作中最困难的一步, 主要在于资产价值的估算。而其价值的确定需要综合考虑以下四个方面:
●
人员就可以对这些风险进行分级。如果是高风险或中风险, 评估人员就应该考虑对相关资产实施额外的控制措施, 以此来减少这些风险, 使它达到企业可以接受的水平。当然, 这些建议性的控制措施应该记录到最后的评估报告中。
(7) 记录风险评估结果。除了上述的建议性控制措施以外, 评估报告中还应该记录上述每一步的评估结果, 如资产的分类与赋值、威胁源的行为与能力等级划分、脆弱点的识别和严重程度等级划分、已实施的控制措施列表等。(下转第118页)
资产的购买价值, 即若该资产完全损毁后重新购置需资产的损毁对企业业务的影响, 即企业的业务对该信
要花费的资金;
●
・118・
的约束规则以保证内容结构的完整一致。
计算机应用研究2005年
面要将已有模型标准化、应用化和工程化, 并与其他技术相结合, 如神经网络、遗传算法、模糊技术、专家系统等, 以向自动化、智能化方向发展。尽管在技术上有许多未克服的难题, 但正如攻击技术不断发展一样, 攻击模型的研究也将会不断完善成熟。参考文献:
[1]O leg Sheyner, Somesh Jha, Joshua Haines, et al . Tools f or Genera 2
ting and Analyzing A ttack Graphs [C ].Oakland, CA:Pr oceedings of the I EEE Sy mposium on Security and Privacy, 2002.
[2]T Tidwell, et al . Modeling I nternetA ttacks [C ].W est Point, NY:Pr o 2
ceedings of the 2001I EEE Workshop on I nf or mati on A ssurance and Security, United StatesM ilitary Acade my , 2001. 526.
[3]Andre w P Moore, Robert J Ellis on, R ichard C L inger . A ttack Mode 2
ling for I nfor mati on Security and Survivability[R ].C MU /SEI 220012T N 2001, Soft w are Engineering I nstitute, 2001. [4]Jan Steffan, Markus Schumacher .
Collaborative A ttack Modeling
[C ].Ne w York, US A:AC M Press, Pr oceedings of the 2002AC M Sy mposium on App lied Computing (S AC ) ,Madrid, Spain, 2002. 2532259.
A ttack Tree 和A ttack Net 都侧重于描述攻击过程所包含的
各种攻击行为之间的联系, 没有将攻击行为和对系统状态所造成的影响区分开, 也没有将攻击的危害与系统的安全要求结合起来, 而安全预警是与具体系统的安全需求紧密相关的。因此
A ttack Tree 和A ttack Net 不能直接应用于攻击检测和预警系
统, 需与其他技术相结合。基于系统状态集合的攻击模型则是针对攻击检测和安全预警的要求设计的, 用系统状态集合改变的序列来表示攻击过程, 有足够的能力描述攻击。通过上节的分析可知, 当I D S 检测到攻击行为后, 利用基于系统状态集合的攻击模型, 可以预测将会发生的攻击行为。同时, 模型中系统状态的取值将系统安全需求考虑在内, 为实现准确的安全预警提供了可能。
5 结束语
攻击模型帮助我们结构化描述攻击过程, 利用已有的攻击行为研究结果, 指导我们分析、识别攻击, 进一步进行攻击过程检测和安全预警。
攻击模型的研究是一个较新的领域, 本文介绍的几个现有攻击模型大多也处在理论研究阶段或试验阶段, 还远未达到成熟和实用化的程度。一方面要继续研究新的攻击模型, 另一方
(上接第110页)
作者简介:
陈春霞(19792) , 女, 硕士, ; 黄皓, 教授, , 。
。当然, 风险评估本身存在一些问, 如评估方法的选择、风险计算采用的方式、资产价值的估算等在自评估中仍然会存在, 这些都需要我们进行进一步的分析与研究。参考文献:
[1]Code of Practice for I nf or mati on Security Manage ment[S ].I S O /I EC
17799, 2000. [2][3]
I nf or mati on Technol ogy 2Guidelines f or the Manage ment of I T Security [S].I S O /I EC 13335, 1997.
I nf or mati on Security R isk A ssess ment 2Practices of Leading O rganiza 2ti ons[R ].U. S . General Accounting Office, 1999.
[4]Christ opher A lberts, Audrey Dor ofee . Managing I nfor mati on Security
R isks:The OCT AVE App r oach[M].Addis on W esley I nc . , 2002. [5]
Thomas R Pelitier .
I nf or mati on Security R isk Analysis [M].Roth 2
stein A ss ociates I nc . , 2001.
[6]Yacov Y Hai m es . R isk Modeling, A ssess ment and Manage ment[M].
W iley &Sons I nc . , 2002.
[7]Gary St oneburner, A lice Goguen, A lexis Feringa . R isk Manage ment
Guide for I nfor mati on Technol ogy Syste m s [R ].N I ST SP800230, 2001.
[8]Mariane W ans on .
Security Self 2A ssess ment Guide f or I nf or mati on
Technol ogy Syste m [R ].N I ST SP800226, 2001.
[9]科飞管理咨询公司. 信息安全管理概论———BS7799理解与实施
[M].北京:机械工业出版社, 2002.
。当再次进行自评估的时候, 评估的起始点, 这些结果具有重要的参考价值, 可以提高下次评估的效率。
3. 2 该流程的评价
在第3. 1节里, 我们对该流程具体实施的一些要点进行了分析。与他评估相比, 企业的信息安全风险的自评估在具体的应用过程中增加了一些额外的实施内容, 如评估时机的选择、评估人员的确定等。同时, 考虑到企业自身评估能力的欠缺, 在某些步骤如资产、威胁、脆弱点的评估上进行了简化, 提高了评估的效率, 但是, 这并不会过分地降低评估的效果。这些都充分地考虑了企业自评估的实际情况, 为该流程的实际应用打下了坚实的基础。而且该流程符合通常的评估习惯, 步骤比较清晰, 容易被企业接受, 内部人员能够较快地理解该流程, 进而尽早地入手评估工作。
4 结束语
风险评估作为企业信息安全管理的第一步, 它的评估结果直接影响着整个安全管理的质量。由于评估的各个要素又是处于不断变化之中, 所以及时了解企业的安全状态是十分必要的, 而定期的自评估是达到目的的必不可少的手段。本文首先分析企业信息安全风险评估的两种模式, 即自评估和他评估, 指出了它们的优缺点; 然后讨论企业自评估的评估要素和评估原则; 最后为企业自评估设计了一个实施流程, 对该流程的各个环节进行了较为深入的分析, 并对该流程进行评价, 希望对
作者简介:
许诚(19792) , 男, 安徽宿州人, 硕士研究生, 主要研究方向为网络管理与安全、信息安全; 张玉清(19662) , 男, 副研究员, 主要研究方向为信息与网络安全; 雷震甲(19442) , 男, 副教授, 主要研究方向为网络管理与安全。