信息安全風險評估分析方法簡述

摘要:隨著信息化的發展，信息系統依賴程度日益增強，采用風險管理的理念去識別安全風險，解決信息安全問題得到了廣泛的認識和應用。該文首先介紹了風險評估工作的操作模式，指出了風險評估的實施過程階段，簡要闡述了信息安全風險評估的主要分析方法。

關鍵詞:信息安全;風險;評估;分析方法;預防

中圖分類號:TP311 文獻標識碼:A文章編號:1009-3044(2010)05-1208-02

Information Security Risk Assessment Analysis Description

SHEN Ji-feng， ZHONG Yong-zhi， PAN Jun

(Bengbu Tank College， Bengbu 233050， China)

Abstract: Along with the development of information technology， information systems increases dependence， with the concept of risk management to identify security risks and resolve information security problem. This paper describes the operation mode of risk assessment， and points out the implementation phase of the risk assessment， briefly describes the major methods information security risk assessment analysis.

Key words: information security; risk; assessment; analysis method; preventability

1 風險評估概述

近些年，信息安全事故時有發生，如何預防信息風險、避免信息風險成為了一個廣泛討論的話題，不少企業團體、商業機構、政府組織都請了專業公司進行了風險評估。

1.1 什么是風險評估

織機構目標的實現和完成也越來越依賴于信息的機密性、完整性以及可用性。能夠引起信息“三性”損失或損害的任何事件發生的可能性我們稱之為風險。由于風險是潛在的、可能發生的損失或損害，所以對風險的起因、數量、危害性等做出評定，然后制定相應的緩解措施是非常必要的。那么，風險評估就是確定與組織機構目標及關鍵資產相關聯的風險，并對風險的大小進行識別的過程。

1.2 信息安全風險評估發展概要

在國際上，美國一直主導信息技術和信息安全的發展，信息安全風險評估在美國的發展實際上也代表了風險評估的國際發展，風險評估已經成為一種通用的方法學和基礎理論，應用到了廣泛的信息安全實踐工作之中，風險評估的發展主要分為三個階段:以計算機為對象的信息保密階段;以計算機和網絡為對象的信息系統安全保護階段;以信息系統為對象的信息保障階段。

2 信息安全風險評估操作模式

風險評估是一個復雜的綜合過程，主要分為評估目標、評估范圍與內容、評估原則和評估實施階段。

2.1 評估目標

風險評估所評估的目標分為安全手段評估和實際安全效果評估兩個方面。安全手段包括技術體系、組織體系、管理體系等。安全效果包括了物理安全、網絡安全、系統安全、數據安全、內容安全等。

2.2 評估范圍

針對具體的組織機構確定安全評估的范圍可以有效幫助評估目標的實現。一般情況下應該從下面三個方面進行評估:組織層次、管理層次以及信息技術層次。具體如下:

1) 組織層次:各組織機構的安全重視情況;信息技術機構的安全意識、關鍵資產理解情況;當前組織策略和執行的缺陷;組織脆弱點等。

2) 管理層次:人員安全管理;安全環境管理; 軟件安全管理;運行安全管理;設備安全管理;介質安全管理;文檔安全管理。

3) 信息技術層次:硬件設備;系統軟件;網絡結構; 數據備份/恢復。

2.3 風險評估原則

標準性原則:風險評估理論模型的設計和具體實施應該依據國內外相關的標準進行。

規范性原則:風險評估的過程以及過程中涉及到的文檔應該具有很好的規范性，以便于項目的跟蹤和控制。

可控性原則:在風險評估項目實施過程中，應該按照標準的項目管理方法對人員、組織、項目進行風險控制管理，以保證風險評估在實施過程中的可控性。

整體性原則:從管理(組織)和技術兩個角度對系統進行評估，保證評估的全面性。

最小影響原則:評估工作應盡可能小的影響組織機構系統和網絡的正常運行。

保密性原則:評估過程應該與組織機構簽訂相關的保密協議，以承諾對組織機構內部信息的保密。

2.4 風險評估實施過程

2.4.1 定義階段

定義階段即明確項目范圍，清晰界定用戶的需求。

2.4.2 藍圖階段

雙方擬定項目的詳細進度計劃，建議在計劃過程中至少要包含下面幾部份內容:問題描述、目標和范圍、SWOT分析、工作分解、里程碑和進度計劃、雙方資源需求、變更控制方法。

2.4.3 執行階段

這是最關鍵的階段，絕大多數操作都在這一階段完成，我們可以再將這一階段細分為四個環節，分別如下:資產評估、威脅評估、弱點評估、風險分析和控制。

2.4.4 報告階段

在報告階段，所有的現場工作和大部份文檔工作已經完成，這時的關鍵任務是:讓用戶真正理解并且認可我們的工作成績。

2.4.5 維護階段

按照Octave評估方法的觀點，用戶在完成一次安全評估之后，相當于獲取了其當前風險的快照(Snapshot)，同時也就完成了對其信息安全風險基線的設置。之后，組織必須解決或管理評估過程中標識的優先級最高的風險，并按照開發的解決方案進行風險的控制和消除。

2.5 風險評估管理模式

同的組織機構其業務目標會不同，也就使得關鍵資產不同，那在作風險評估的時候真正分析的重點就由區別，同時不同的組織機構其組織層次及其運作方式也是由區別的，這也使得針對組織層次的評估分析具有差異性。所以，作為一個通用的風險評估的運營模式，針對客體的這些差異性，必須建立一套科學的項目管理模式，使對整個的評估過程具有可控性。

3 風險評估常用分析方法

在上面的論述中，闡述了信息風險評估是什么、做什么及其過程，那么風險評估要采用何種方法呢?在風險評估過程中，可以采用多種操作方法，包括基于知識(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析，無論何種方法，共同的目標都是找出組織信息資產面臨的風險及其影響，以及目前安全水平與組織安全需求之間的差距。

3.1 基于知識的分析方法

在基線風險評估時，組織可以采用基于知識的分析方法來找出目前的安全狀況和基線安全標準之間的差距。基于知識的分析方法又稱作經驗方法，它牽涉到對來自類似組織(包括規模、商務目標和市場等)的“最佳慣例”的重用，適合一般性的信息安全組織。

采用基于知識的分析方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關信息，識別組織的風險所在和當前的安全措施，與特定的標準或最佳慣例進行比較，從中找出不符合的地方，并按照標準或最佳慣例的推薦選擇安全措施，最終達到消減和控制風險的目的。

基于知識的分析方法，最重要的還在于評估信息的采集，信息源包括:1)會議討論;2)對當前的信息安全策略和相關文檔進行復查;3)制作問卷，進行調查;4)對相關人員進行訪談;5)進行實地考察。

3.2 基于模型的分析方法

2001 年1 月，由希臘、德國、英國、挪威等國的多家商業公司和研究機構共同組織開發了一個名為CORAS 的項目，即Platform for Risk Analysis of Security Critical Systems。該項目的目的是開發一個基于面向對象建模特別是UML 技術的風險評估框架，它的評估對象是對安全要求很高的一般性的系統，特別是IT 系統的安全。

與傳統的定性和定量分析類似，CORAS 風險評估沿用了識別風險、分析風險、評價并處理風險這樣的過程，但其度量風險的方法則完全不同，所有的分析過程都是基于面向對象的模型來進行的。

CORAS 的優點在于:提高了對安全相關特性描述的精確性，改善了分析結果的質量;圖形化的建模機制便于溝通，減少了理解上的偏差;加強了不同評估方法互操作的效率。

3.3 定量分析

進行詳細風險分析時，除了可以使用基于知識的評估方法外，最傳統的還是定量和定性分析的方法。定量分析方法的思想很明確:對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額，當度量風險的所有要素(資產價值、威脅頻率、弱點利用程度、安全措施的效率和成本等)都被賦值，風險評估的整個過程和結果就都可以被量化了。

定量分析試圖從數字上對安全風險進行分析評估，對安全風險進行準確的分級，其前提條件是可供參考的數據指標必須是準確的。

3.4 定性分析

定性分析方法是目前采用最為廣泛的一種方法，它帶有很強的主觀性，往往需要憑借分析者的經驗和直覺，或者業界的標準和慣例，為風險管理諸要素(資產價值，威脅的可能性，弱點被利用的容易度，現有控制措施的效力等)的大小或高低程度定性分級，例如“高”、“中”、“低”三級。

定性分析的操作方法可以多種多樣，包括小組討論、檢查列表、問卷、人員訪談、調查等。定性分析操作起來相對容易，但也可能因為操作者經驗和直覺的偏差而使分析結果失準。與定量分析相比較，定性分析的準確性稍好但也不夠十分精確;定性分析沒有定量分析那樣繁多的計算負擔，但卻要求分析者具備一定的經驗和能力;定量分析依賴大量的統計數據，而定性分析沒有這方面的要求;定性分析較為主觀，定量分析基于客觀;此外，定量分析的結果很直觀，容易理解，而定性分析的結果則很難有統一的解釋。組織可以根據具體的情況來選擇定性或定量的分析方法。

4 小結

在今天高速的信息化環境中，信息的安全性越發顯示出其重要性。本文闡述了信息安全風險評估過程中四種基本的風險分析方法，希望對具體的風險評估能過有所幫助。

參考文獻:

[1] 黃傳河.網絡安全[M].武漢:武漢大學出版社，2004.

[2] 黃明祥，林詠章.信息與網絡安全概論[M].3版.北京:清華大學出版社，2010.

[3] 謝希仁.計算機網絡[M].5版.北京:電子工業出版社，2008.

[4] 信息安全標準化委員會.信息安全風險評估指南(試用稿)[S].2004.

[5] 陳光.信息系統安全風險評估研究[J].南開大學，2004(7).

[6] 張秀梅.目前國際網絡信息安全的研究進展[J].科教導刊，2009(5).