信息安全风险评估与管理工具研究

 

北京时代新威信息技术有限公司 仲维国

coolweis@timeboat.cn

 

摘要：信息安全风险评估的理论研究，实施方法研究，信息安全风险评估管理工具设计研究。

关键词：信息、信息安全、风险评估、风险管理

 

前言

       信息，这个词语在Google上搜索英文可以搜索到587,000,000条，就算错误的拼写成Infomation搜索也能搜索到987,000多条，可见，信息这个词是经常被谈论到的。从人类的角度来讲，从人类出现意识的时候开始就应该有信息的存在了，在文字出现之前，信息只是存在于人类的脑袋里并通过手势、肢体语言或语言来传递，出现文字后就以文字的形式储存下来，文字只是作为信息存储的形式，而信息的存储介质当时恐怕还只是些石头之类的东西，随着时间的推移，文字发生了比较大的进展，存储介质也发生了比较大的变化，从石头到竹简，到布，到造纸术发明，到现在的电子存储方式，存储形式也发生了较大的变化，从当初的文字，到图画，到现在的声音，影像等等。这些存储形式、存储介质乃至信息处理的方法的变化都可以认为是信息技术的发展。随着信息技术的发展，信息越来越多，信息技术越来越复杂，我们所面临的各种问题也越多。

       在我们谈信息安全之前，我们先考虑下面这些问题：

l         当年秦始皇焚书坑儒，秦以前的古典文献，尽皆化为灰烬，中国古代思想文化遭到了前所未有的摧残

l         云南丽江纳西族东巴经濒临失传

l         北京国家图书馆馆藏孤本书籍被撕页

l         日本修改教科书，篡改历史

……

       这些都可以认为是信息安全问题，这些问题自古就存在，并且范围要比我们想象的要大得多，只是我们现在更多的是在谈信息系统，信息网络的安全。虽然我们重点还是研究信息系统，信息网络的安全问题，但是我们应该认识到信息安全的概念是个广义的概念，并不完全是我们经常提到的黑客攻击，病毒入侵等等。正确认识这一点对信息安全风险评估工作很有帮助。

术语与定义

信息

在ISO17799中被看作一种资产，以各种形式存在，可以是打印或写在纸上、可以在交谈中存在、可以在电影、电视等媒体中存在、可以是电子的，存储在各种存储介质中，有多种方式的传播途径。

信息安全

对信息的可用性、完整性、保密性的保障。

信息安全风险评估

对信息的可用性、完整性、保密性遭到破坏的概率和对特定系统产生的影响的综合评价。

可用性

信息或者相关资产能够被授权或者适当的用户访问。

完整性

信息和处理方法的准确和完整。

保密性

信息和相关资产只能由被授权的人访问。

脆弱性

脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。

威胁

威胁是可能导致信息安全事故和组织信息资产损失的活动或能力。威胁是利用脆弱性来造成后果的。

风险

威胁利用脆弱性造成的后果。

可能性

用作对几率或频率的定性描述。

信息安全风险评估理论模型

在讨论信息安全风险评估理论模型之前，我们先研究一下信息安全风险模型，即信息和风险之间的关系。信息存在保密性、完整性、可用性三个安全属性，而信息并不是孤立存在的，总是依托于信息的产生、存储、传递和加工处理等过程，而这些过程又依赖于存储介质、传输媒体、信息处理设施等。信息安全风险是指信息的保密性、完整性、可用性遭到破坏，实际上就是信息在产生、存储、传递或加工处理的过程中的某些环节出了问题，某些过程或者资产遭到破坏。之所以会这样，是因为这些资产或者过程本身存在脆弱性，而由于自然或非自然的因素总是存在潜在的威胁，在某种情况下，威胁利用了脆弱性造成了资产或过程的破坏，从而信息的保密性、完整性、可用性遭到了破坏。

通俗一点的例子，就拿秦始皇焚书坑儒来讲，当时的诸子百家各种文献都是以竹简的形式存储的，当然在一些人的大脑里也同样存在，这些信息的传递一般通过读者阅读或者口传，这就存在几个脆弱性，竹简具有可燃性，传递过程输入为竹简，输出为储存在人脑中，这一过程需要有人能够正常处理信息的能力，有竹简的存在，这就是传递过程存在的脆弱性。再来看威胁，威胁很简单，火烧竹简，活埋人。那么威胁是如何发生的呢？秦始皇为了达到巩固皇帝宝座的政治目的，要打击和消灭诸子百家中不利于秦始皇统治的声音，必须要使这些信息的可用性和完整性遭到破坏，因此便有了利用这些信息及其产生、存储、传递过程的脆弱性的残暴手段——焚书坑儒，潜在威胁发生了。

信息安全风险模型图如下：

信息安全风险模型图显示了信息和风险之间的关系，自然（火灾、地震、水灾等非主观人为原因）或非自然（由于政治、经济利益、宗教等原因）的因素诱发、引发或者导致了潜在的威胁利用信息及其在产生、存储、传递或加工处理中存在的脆弱性，导致了信息的保密性、完整性、可用性遭到破坏，从而对系统（可以是组织、公司、政府部门、国家…..）产生某种程度的危害。

信息安全风险评估就是对信息在产生、存储、传输等过程中其保密性、完整性、可用性遭到破坏的可能性以及由此产生的后果的一个估计或评价。因此进行信息安全风险评估必须抓住这些特点进行，必须识别出信息、信息的存在方式、信息的传递过程、加工处理过程以及相关资产的情况；还要识别出信息对保密性、完整性、可用性的要求；还要识别出信息及相关资产的脆弱性、潜在的威胁、潜在威胁发生的可能性；最后还要识别威胁利用脆弱性对信息及相关资产进行破坏所造成的后果，这里的后果针对于风险评估的对象，也就是系统、组织、企业、政府部门或者国家，这一损害后果可以是定量的按价值来测量，也可以定性的测量。这依赖于采用哪种风险评估的方法。

不伦采用定量还是定性的分析方法，都必须识别出以上各点内容才能正确地评价信息安全风险。

威胁所对应的某一风险和信息及其相关资产的脆弱性、威胁、威胁发生的可能性、威胁发生所造成的后果有关，因此风险的计算应该是这样的一个函数：

R=f(V, T, Tp, I)

其中，

R为风险

V为脆弱性

      T为威胁

      Tp为威胁发生的可能性

      I为威胁发生的后果

实际上，Tp、I和V、T都有关系，因此只需考虑Tp和I即可。也就是说风险和威胁发生的可能性和一旦威胁发生以后对系统造成的影响。因此评估风险就是要评估威胁发生的后果及威胁发生的可能性，而脆弱性、威胁等识别只是评估的基础，是作为后果和可能性的参考。因此实际风险计算函数应该是这样即可：

R=f(Tp , I)

Tp与脆弱性、威胁有关，具体的计算或者说定义依赖于实际系统和经验，Tp还与采用的控制措施有关系，适当的控制措施可以降低Tp值或者等级，即：

Tp=f(V, T, Ct)

Ct为控制措施。

而威胁发生的后果与脆弱性、威胁以及信息的保密性、完整性、可用性的破坏程度有关。具体的后果赋值或者或者定义依赖于实际的系统和经验，同样，I还与采用的控制措施有关系，有效地控制措施可以减少或者降低I值或者等级，即：

I=f(V, T, Cx, Ix , Ax)

其中，

Cx为保密性遭到破坏的程度及造成的后果

Ix为完整性遭到破坏的程度及造成的后果

Ax为可用性遭到破坏的程度及造成的后果

在进行风险评估之前必须确定选用定性评估还是定量评估，并且还应该确定各计算函数的计算公式和各参数的赋值定义或者分级定义。

信息安全风险评估实施方法

       上面的模型还只是理论模型，实际上进行信息安全风险评估工作还需要认真研究具体的实施方法。目前比较流行的有遵循OCTAVE方法进行的，有基于资产进行评估的，还有各种方法结合进行的，不同的方法所依据的风险评估理论模型也不完全相同。不同提供风险评估服务的网络安全公司也根据公司自身的技术特点提出了有各自技术烙印的风险评估模型和实施操作方法。一般来讲，这些方法要么大而全，过分细致，软件、操作系统的脆弱性评估与风险评估提到相同层次，结构层次比较混乱；要么比较片面，只侧重脆弱性评估；还有些公司将安全策略、控制措施等内容加入到风险评估项目中，也许是市场化的需要。

       实际上多数的信息安全风险评估项目的实施方法和项目的具体要求有关，多数服务商会针对不同的项目提供不同的实施方法，甚至有可能和他们提出的模型有很大的偏离。

       在实际进行风险评估工作中，经常会遇到评估的主观性因素的困扰，以至于不同的公司或者不同的评估者得出不同的评估结果的情况经常发生，这是人工评估所不可避免的，但是，如果风险评估模型作的越细，评价标准等制定的更严格，评估结果偏差将越小。所以，评估前的准备工作很重要，模型、评价标准、各种评价参考、标准定义，定量分析的还要确定赋值和相关定义。评估前还应该对参与评估的人员进行充分的培训。

在完成了这些评估前期工作之后就要做具体的评估工作了，要想完成这么复杂，涉及范围这么广泛的信息安全风险评估工作，必须进行详细周密的计划。计划应该包括评估范围、内容、组织安排与实施、进度计划等等。

理论上讲，评估应该首先识别信息、然后识别信息所依赖的相关资产和环境，在识别这些相关资产和环境所存在的脆弱性、威胁、威胁发生的可能性、威胁发生造成的后果等。但在实际操作中首先识别信息可能比较困难，建议将评估范围按照某种定义进行划分，比如按照应用系统或者组织结构或者两者结合进行划分，然后再对划分后的部分进行分别的资产识别和评估。而评估小组也可以按照上述划分进行分组，每个评估小组内应该包含信息安全风险评估顾问，系统管理员，系统开发人员、系统使用者等，还应有1~2个对划分范围内的信息及相关资产以及所在的系统非常了解的人员。资产识别和评估应该由评估小组共同完成，以自评估为主进行。

       风险评估工作示意图如下：

信息安全风险评估管理工具设计

信息安全风险评估工作是个极复杂又具有挑战性的工作，需要细致的工作，大量的支持性的专业知识的支撑，项目管理也比较复杂，因此如果要更好的完成信息安全风险评估工作就必须有一套非常实用的信息安全风险评估管理工具。一套使用的风险评估管理工具将极大地提高信息安全风险评估工作的效率和结果的正确性。

目前，各信息安全风险评估服务厂商也有根据自身特点设计开发的评估工具或者管理工具，但是，功能都比较单一或者各功能模块比较孤立，不能称之为一个完整的信息安全风险评估管理工具。

信息安全风险评估管理工具的设计必须考虑到参考模型可能存在的变化，或者计算方法发生变化而导致的工具适应性的问题，还应该具有项目管理功能，统计分析，报表，辅助评估专家系统，查询，资产管理，更应该加入风险管理与控制模块，如果能提供与其他资产管理软件的接口就更好了。

为了适应评估工作模式，信息安全风险评估工具的架构应该选择B/S结构，评估小组和评估人是最终用户，系统管理员对信息安全风险评估工具进行维护和管理。系统架构如下：

信息安全风险评估工具中应该包含威胁参考库、脆弱性参考库、资产分类库、可能性定义库，后果定义库、控制措施库等评估辅助专家系统库。这些库都可以自己定义，便于使用。评估小组可以在评估的各个时期都能够得到帮助。

资产管理模块应该包含资产的各种基本信息，包括位置、责任人、所属系统以及各种相关信息。根据不同资产的分类，相关信息也不同，这些相关信息都是有助于系统安全的相关信息。如资产的生命周期、系统补丁信息等。

信息安全风险评估工具需要实际使用的检验，将在不断满足客户的需要的同时逐渐发展、成熟。通过不断的改进和发展，相信信息安全风险评估工具将极大地推动信息安全风险评估工作的进行。

结束语

信息安全风险评估研究还在不断的深入，国内实际进行的信息安全风险评估工作才刚刚开始，信息安全风险评估的理论也在不断的进步中，随着越来越多的企业、组织等进行信息安全风险评估工作，各种实用信息安全风险评估工具的使用和改进，国内政府、企业、厂商都开始认识到信息安全风险评估工作的重要性，相信信息安全风险评估将迎来新的发展！

参考文献

1、ISO17799

2、ISO13335

3、OCTAVE^® (Operationally Critical Threat, Asset, and Vulnerability Evaluation^SM)