风险评估是开发适当的保护轮廓和安全规范的基础,可以帮助实现更为精确的安全方案。在安全方案花费和安全提升带来的资产获益之间取得平衡。

  安全水平的提升和相应的开销不是线性的关系,在较高的安全水平上面,获得微小的提高可能需要巨大的投入,甚至投入超出了所保护资产的价值。经过精细的资产评估和风险评估,企业就可以在投资提升安全、承受风险、投资保险转移风险等作出正确的选择。

但是,风险的量化是一件非常复杂的工作,风险的来源、表现形式、造成的后果、出现的概率千差万别,需要非常精细的考虑和数学模型。

  一个资产(评估对象)可能有多个系统或组件构成,每个系统组件存在各种各样的多个风险,每个风险具有多个不同的属性值(例如:威胁的可能性、损失以及弱点等,参见后面的描述),该属性值可能存在复杂的依赖关系,可能与时间有关,可能与资产的配置环境密切相关(例如:安全控制、策略和实际的运行情况等)。所以,将所有因素综合考虑在一起,科学地反映资产当前面临的实际风险是一件非常复杂的工作。接下来将描述、定义适用于信息系统的理论和使用的模型。

  根据国际通行的有关信息安全管理与评估标准,笔者给出如下图所示的资产风险评估及量化计算的关系模型。

信息安全评估的模型和方法研究

  资产风险评估及量化计算的关系模型图

  一般来说,风险评估是对信息资产进行的,该信息资产最终的风险状况与该资产的价值,现存的弱点,现有的安全措施,所面对的威胁,威胁发生的概率及风险发生的可能性及预计产生的后果都有关系。

  2 资产评估

  2.1 资产

  资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有形的,有硬件,有软件,有文档、代码,也有服务、企业形象等。它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。

  由于资产在企业信息系统中的角色不同,完成使命的重要程度不同,信息资产价值的概念应该更偏重于资产对于企业完成使命的重要程度,而并不是仅仅考虑其设备价值。

2.2 资产属性

  信息系统信息资产分别具有不同的安全属性,机密性、完整性和可用性分别反映了资产在3个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察3种不同安全属性,可以得出一个能够基本反映资产价值的数值。对信息系统信息资产进行赋值的目的是为了更好地反映资产的价值,以便于进一步考察资产相关的弱点、威胁和风险属性,并进行量化。

  3 威胁评估

  3.1威胁

  威胁是对信息系统的资产引起不期望事件而造成的损害的潜在可能性。威胁可能源于对信息系统直接或间接的攻击,例如:非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的或蓄意的事件。一般来说,威胁总是要利用信息系统中的系统、应用或服务的弱点才可能成功地对资产造成伤害。

  从宏观上讲,威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误以及设施# 设备错误等。

  3.2 威胁属性

  威胁具有两个属性即可能性(Likelihood)、影响(Impact)。进一步,可能性和损失可以被赋予一个数值,来表示该属性。分别是:很高(VH)、高(H)、中等(M)、低(L)、可忽略(N),并且从高到低分别赋值为4-0。

  可能性属性非常难以度量,它依赖于具体的资产、弱点和影响。该属性还和时间有关系。所以,在威胁评估中,评估者的专家经验非常重要。

  最终表现出来的威胁是两个属性的共同作用。

  4 弱点评估

  4.1弱点

  弱点和资产紧密相连,它可能被威胁利用、引起信息系统资产损失或伤害。值得注意的是,弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。

  弱点的出现有各种原因,例如:可能是软件开发过程中的质量问题,也可能是系统管理员配置方面的,也可能是管理方面的。但是,它们的共同特性就是给攻击者提供了机会。

4.2 弱点分类

  对弱点进行分类的方式有多种多样,最主要的是根据弱点产生的来源和原因。

  4.3 弱点属性

  参照国际通行做法和专家经验,将资产存在的弱点分为5个等级,分别是很高(VH)、高(H)、中等(M)、低(L)、可忽略(N),并且从高到低分别赋值4-0。

  4.4 获取弱点

  弱点的获取可以有多种方式,例如:扫描工具扫描(Sacanning)、白客测试(Penetration)、管理规范文件审核、人员面谈审核等。评审员(专家)可以根据具体的评估对象、评估目的选择具体的弱点获取方式。

  5 资产识别和赋值

  企业中的资产类别不同,资产在企业中所担负的使命不同,不同的资产存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对企业、机构中的信息资产进行科学分类,以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。

  资产还具有很强的时间特性,它的价值和安全属性都会随着时间的推移发生变化,所以应该根据时间变化的频度制定资产相关的评估和安全策略的频度。例如:某公司重要的市场活动策划方案(数据资产),在活动开始之前,为达成市场目标,需要对该数据资产进行机密性、完整性和可用性方面的保护。但是在该活动之后,策划已经基本上都传达给了大众,所以资产价值已经大部分消失,相关的安全属性也失去保护意义。

  5.1 信息资产分类

  参照ISO027001对信息资产的描述和定义,将信息相关资产分为:服务(Service)、数据(Data)、软件(Software)、硬件(Hardware)、文档(Document)、设备(Facility)、人员(HR)、其他(Other)

  5.1.1 服务

  服务在信息资产中占有非常重要的地位,通常作为企业运行管理、商业业务实现等形式存在。属于需要重点评估、保护的对象。

通常服务类资产最为需要保护的安全属性是可用性。但是,对于某些服务资产,完整性和机密性也可能成为重要的保护对象。例如:通常的门户站点的新闻浏览、计算环境等的可用性最为重要。但是,完整性也同样重要,门户站点的主页被修改,造成的损失也可能是灾难性的。

  另外,对于重要的软件下载服务,完整性也同样重要。例如:着名安全软件TCP Wapper 作者的站点被入侵,软件被植入木马程序后被广泛下载使用,造成非常重大的影响和损失。

  服务分为NT操作系统、Unix 操作系统、数据库、Domino服务、通用服务、MIS、网络服务、安全服务等。

  5.1.2 数据

  数据在信息资产中占有非常重要的地位,通常作为企业知识产权、竞争优势、商业秘密的载体。属于需要重点评估、保护的对象。

  通常,数据类资产需要保护的安全属性是机密性。例如:公司的财务信息和薪酬数据就是属于高度机密性的数据。但是,完整性的重要性会随着机密性的提高而提高。

  企业内部对于数据类资产的分类方法通常根据数据的敏感性(Sensitivity)来进行,与机密性非常类似。例如:常用的一种数据分类方法为:公开、内部、秘密、机密、绝密。

  5.1.3 软件

  软件是现代企业中最为重要的固定资产之一,与硬件资产一起构成了企业的服务资产以及整个的IT信息环境。一般情况下,软件资产与所在媒体的硬件的价值,也不依赖于媒体而存在,而是经常体现在软件本身的许可证、序列号、软件伴随的服务等无形资产上面。

  按照软件所处的层次和功能,可以将软件资产分为系统、应用软件、开发环境、数据库、工具类。

  5.2 信息资产赋值

  信息资产分别具有不同的安全属性,而机密性、完整性和可用性分别反映了资产在3个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同,通过考察3 种不同安全属性,可以得出一个能够基本反映资产价值的数值。

对信息资产进行赋值的目的是为了更好地反映资产的价值,以便于进一步考察资产相关的弱点、威胁和风险属性,并进行量化。

  5.2.1 机密性(Confidentiality)

  根据资产机密性属性的不同,将它分为5 个不同的等级,分别对应资产在机密性方面的价值或者在机密性方面受到损失时对资产价值的影响,分别是很高(VH)、高(H)、中等(M)、低(L)、可忽略(N),并且从高到低分别赋值4-0。

  5.2.2 完整性(Integrity)

  根据资产完整性属性的不同,将它分为5个不同的等级,分别对应资产在完整性方面的价值或者在完整性方面受到损失时对资产价值的影响,分别是很高(VH)、高(H)、中等(M)、低(L)、可忽略(N),并且从高到低分别赋值4-0。

  5.2.3 可用性(Availability)

  根据资产可用性属性的不同,将它分为5 个不同的等级,分别对应资产在可用性方面的价值或者在可用性方面受到损失时对资产价值的影响。分别很高(VH)、高(H)、中等(M)、低(L)、可忽略(N),并且从高到低分别赋值4-0。

  5.2.4 资产价值(Asset Value)

  资产价值用于反映某个资产作为一个整体的价值,综合了机密性、完整性和可用性3 个属性。

  通常,考察实际经验,3个安全属性中最高的一个对最终的资产价值影响最大。换而言之,整体安全属性的赋值并不随着3个属性值的增加而线性增加,较高的属性值具有较大的权重。

  为此,用以下公式来计算资产价值赋值:

信息安全评估的模型和方法研究

  上述算式表达的背后含义是:3个属性值每相差一,则影响相差两倍,以差异来体现最高赋值属性的主导作用。

需要声明的是:该算式属于经验算式,使用与否、使用的方式都由评估者根据经验来决定。

  6 弱点管理信息的管理

  根据资产使用,价值,弱点情况,周期性地更新资产弱点信息库,是安全评估的一个重要目标,也是企业风险管理的一个基础,因此,采用适当的技术手段,维护一个完整,准确,及时的弱点信息库,是安全评估的一个重要工作内容。

  资产弱点信息库应该包含(但不限于如下内容):

  1)资产的自然属性:①资产编号;②资产描述(CPU、内存、外存、网卡、操作系统、数据库、应用软件等);③资产的价值;④资产管理责任人;⑤其他资产的自然属性。

  资产的自然属性可以从企业的资产管理系统中获取,或由专门的系统建立或者维护,采用目录系统或数据库系统管理均可。

  2)资产的安全属性:①资产弱点标号;②弱点发现时间;③资产各种安全属性的赋值;④弱点描述;⑤威胁编号;⑥威胁描述;⑦弱点相关的知识信息。

  资产的安全属性信息需要采用专门的工具(扫描器,评估系统)辅以人工手段建立和维护。

  7 结论

  1)风险的评估模型:首先评估构成风险的5 个方面,即威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度,然后综合这5方面的评估结果,最后得出风险的级别。笔者采用图示和公式两种方式给出了模型。

  2)弱点(风险)信息的管理:风险评估和弱点管理应该日常化、制度化、流程化,应该通过专门的信息系统实施管理,笔者给出了通常的资产风险评估及弱点管理系统的数据格式。

  3)风险评估的理论模型不限于评估模型,还应包括概念模型、过程模型、数据模型、计算模型、数据管理模型等。

  4)风险评估的理论模型需要在实践中得到检验和完善。笔者希望能与各位信息安全领域的专家,学者共同研究。