6.3 定性与定量相结合的综合评估方法
系统风险评估是一个复杂的过程,需要考虑的因素很多,有些评估要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的,所以我们不主张在风险评估过程中一味地追求量化,也不认为一切都是量化的风险评估过程是科学、准确的。我们认为定量分析是定性分析的基础和前提,定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂,是形成概念、观点,做出判断,得出结论所必须依靠的,在复杂的信息系统风险评估过程中,不能将定性分析和定量分析两种方法简单的割裂开来。而是应该将这两种方法融合起来,采用综合的评估方法。
6.4 典型的风险评估方法
在信息系统风险评估过程中,层次分析法 (AHP)经常被用到,它是一种综合的评估方法。该方法是由美国著名的运筹学专家萨蒂TL 于20 世纪70 年代提出来的,是一种定性与定量相结合的多目标决策分析方法。这一方法的核心是将决策者的经验判断给予量化,从而为决策者提供定量形式的决策依据。目前该方法已被广泛地应用于尚无统一度量标尺的复杂问题的分析,解决用纯参数数学模型方法难以解决的决策分析问题。该方法对系统进行分层次、拟定量、规范化处理,在评估过程中经历系统分解、安全性判断和综合判断三个阶段。它的基本步骤是:
1) 系统分解,建立层次结构模型:层次模型的构造是基于分解法的思想,进行对象的系统分解。它的基本层次有三类:目标层、准则层和指标层,目的是基于系统基本特征建立系统的评估指标体系。
2) 构造判断矩阵,通过单层次计算进行安全性判断:判断矩阵的作用是在上一层某一元素约束条件下,对同层次的元素之间相对重要性进行比较,根据心理学家提出的“人区分信息等级的极限能力为7±2”的研究结论,AHP 方法在对评估指标的相对重要程度进行测量时,引入了九分位的相对重要的比例标度,构成判断矩阵。计算的中心问题是求解判断矩阵的最大特征根及其对应的特征向量;通过判断矩阵及矩阵运算的数学方法,确定对于上一层次的某个元素而言,本层次中与其相关元素的相对风险权值。
3) 层次总排序,完成综合判断:计算各层元素对系统目标的合成权重,完成综合判断,进行总排序,以确定递阶结构图中最底层各个元素在总目标中的风险程度。
7 风险评估工具
在进行安全模型、评估标准、评估方法研究的同时,各大安全公司也相应推出自己的评估工具来体现以上的研究成果。下面介绍几个典型的评估工具。
7.1 SAFESuite 套件
SAFESuite 套件是Internet Security Systems(简称ISS)公司开发的网络脆弱点检测软件,它由Internet 扫描器、系统扫描器、数据库扫描器、实时监控和SAFESuite 套件决策软件构成,是一个完整的信息系统评估系统。
7.2 WebTrends Security Analyzer 套件
WebTrends Security Analyzer 套件主要针对Web 站点安全的检测和分析软件,它是NetIQ-WebTrends 公司的系列产品。其系列产品为企业提供一套完整的、可升级的、模块式的、易于使用的解决方案。产品系列包括: WebTrends Reporting Center、Analysis Suite、WebTrends Log Analyzer、Security Analyzer、WebTrends、Firewall Suite and WebTrends Live等,它可以找出大量隐藏在Linux 和Windows 服务器、防火墙、路由器等软件中的威胁和脆弱点,并可针对Web 和防火墙日志进行分析,由它生成的HTML 格式的报告被认为是目前市场上做得最好的。报告里对找到的每个脆弱点进行了说明,并根据脆弱点的优先级进行了分类,还包括一些消除风险、保护系统的建议。
7.3 Cobra
Cobra 是一套专门用于进行风险分析的工具软件,其中也包含促进安全策略执行、外部安全标准(ISO 17799)评定的功能模块。
用Cobra 进行风险分析时,分3 个步骤:调查表生成、风险调查、报告生成。
Cobra 的操作过程简单而灵活,安全分析人员只需要清楚当前的信息系统状况,并对之作出正确的解释即可,所有繁琐的分析工作都交由Cobra 来自动完成。
7.4 CC tools
CC tools 是针对CC 开发的工具,它帮助用户按照CC 标准自动生成PP(保护轮廓)和ST(安全目标)报告。
以上这些工具有的是通过技术手段,如漏洞扫描、入侵检测等来维护信息系统的安全;有的是依据评估标准而开发的,如Cobra。不可否认,这些工具的使用会丰富评估所需的系统脆弱、威胁信息、简化评估的工作量,减少评估过程中的主观性,但无论这些工具功能多么强大,由于信息系统风险评估的复杂性,它在信息系统的风险评估过程中也只能作为辅助手段,代替不了整个风险评估过程。
8 风险评估过程
风险评估过程就是在评估标准的指导下,综合利用相关评估技术、评估方法、评估工具,针对信息系统展开全方位的评估工作的完整历程。对信息系统进行风险评估,首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系,应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。风险评估具体评估过程如下:
8.1 确定资产
安全评估的第一步是确定信息系统的资产,并明确资产的价值,资产的价值是由对组织、供应商、合作伙伴、客户和其他利益相关方在安全事件中对保密性、完整性和可用性的影响来衡量的。资产的范围很广,一切需要加以保护的东西都算作资产,包括:信息资产、纸质文件、软件资产、物理资产、人员、公司形象和声誉、服务等。资产的评估应当从关键业务开始,最终覆盖所有的关键资产。
8.2 脆弱性和威胁分析
对资产进行细致周密的分析,发现它的脆弱点及由脆弱点所引发的威胁,统计分析发生概率、被利用后所造成的损失等。
8.3 制定及评估控制措施
在分析各种威胁及它们发生可能性基础上,研究消除/减轻/转移威胁风险的手段。这一阶段不需要做出什么决策,主要是考虑可能采取的各种安全防范措施和它们的实施成本。制定出的控制措施应当全面,在有针对性的同时,要考虑系统地、根本性的解决方法,为下一阶段的决策作充足的准备,同时将风险和措施文档化。
8.4 决策
这一阶段包括评估影响,排列风险,制定决策。应当从3 个方面来考虑最终的决策:接受风险、避免风险、转移风险。对安全风险决策后,明确信息系统所要接受的残余风险。在分析和决策过程中,要尽可能多地让更多的人参与进来,从管理层的代表到业务部门的主管,从技术人员到非技术人员。
8.5 沟通与交流
由上一阶段所做出的决策,必须经过领导层的签字和批准,并与各方面就决策结论进行沟通。这是很重要的一个过程,沟通能确保所有人员对风险有清醒地认识,并有可能在发现一些以前没有注意到的脆弱点。
8.6 监督实施
最后的步骤是安全措施的实施。实施过程要始终在监督下进行,以确保决策能够贯穿于工作之中。在实施的同时,要密切注意和分析新的威胁并对控制措施进行必要的修改。另外,由于信息系统及其所在环境的不断变化,在信息系统的运行过程中,绝对安全的措施是不存在的:攻击者不断有新的方法绕过或扰乱系统中的安全措施;系统的变化会带来新的脆弱点;实施的安全措施会随着时间而过时等等,所有这些表明,信息系统的风险评估过程是一个动态循环的过程,应周期性的对信息系统安全进行重评估。
9 各国测评认证体系
测评认证是现代质量认证制度的重要内容。其实质,是由一个中立的权威机构,依据国际、国内标准、行业标准或认证机构确认的技术规范,通过科学、规范、公正的测试对产品、系统的质量保障能力进行检查评审,以及事后定期监督;它的性质是由具有检验技术能力和政府授权认证资格的权威机构,按照严格程序进行的科学公正的评价活动;它的表示方式是颁发认证证书和认证标志。
随着信息技术应用与发展,各国政府对信息安全测评认证十分重视,将信息安全列为其国家安全的重要内容之一,建立了与自身的信息化发展相适应的测评认证体系,从事信息安全产品的测评认证工作。信息安全的评估认证已成为信息化进程中的一个重要领域,受到广泛关注。
英国安全评估认证体系(CB)是1991 年由商业工业部和通信电子安全小组共同建立的;德国于1991 年建立德国信息安全局(BSI),主要进行安全风险、开发准则、评估技术的研究,并负责颁发安全证书;日本1998 年在信息推进局建立CC 特种部,开发新的安全评估方法、评估工具,研究安全评估机制。
美国于1997 年由国家标准技术研究所和国家安全局共同组建了国家信息保证伙伴(NIAP),负责基于CC 信息安全测试和评估,图2 为美国评估认证体系结构。
图2 美国评估认证体系结构
我国的国家信息安全测评认证体系正处于建设和发展阶段。
10 信息系统风险评估发展存在的问题
目前“信息系统安全是一项系统工程”的观点已得到广泛的认可、接受,作为该工程的基础和前提的风险评估也越来越受到大家的重视,但在该领域的研究、发展过程中还需要纠正和解决一些模糊概念和问题:
第一,安全评估体系所应包括的相应组织架构、业务、标准和技术体系还不完善。
第二,不能简单的将系统风险评估理解为是一个具体的产品、工具,系统的风险评估更应该是一个过程,是一个体系。完善的系统风险评估体系应包括相应的组织架构、业务体系、标准体系和技术体系。
第三,在评估标准的采用上,没有统一的标准,由于各种标准的侧重点不同,导致评估结果没有可比性,甚至会出现较大的差异,而且目前国内还缺乏具有自主知识产权、比较系统的信息系统评估标准。
第四,评估过程的主观性也是影响评估结果的一个相当重要而又是最难解决的方面,在信息系统风险评估中,主观性是不可避免的,我们所要做的是尽量减少人为主观性,目前在该领域利用神经网络、专家系统、分类树等人工智能技术进行的研究比较活跃。
第五,风险评估工具比较缺乏,市场上关于漏洞扫描、防火墙等都有比较成熟的产品,但与信息系统风险评估相关的工具却很匮乏。
11 结束语
安全评估作为信息系统安全工程重要组成部分,已经不仅仅是个别企业的问题,而是关系到国民经济的每一方面的重大问题,它将逐渐走上规范化和法制化的轨道上来,国家对各种配套的安全标准和法规的制定将会更加健全,评估模型、评估方法、评估工具的研究、开发将更加活跃,信息系统及相关产品的风险评估认证将成为必需环节。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:信息安全风险评估综述(下)