6.3 定性與定量相結(jié)合的綜合評估方法
系統(tǒng)風(fēng)險評估是一個復(fù)雜的過程,需要考慮的因素很多,有些評估要素是可以用量化的形式來表達,而對有些要素的量化又是很困難甚至是不可能的,所以我們不主張在風(fēng)險評估過程中一味地追求量化,也不認為一切都是量化的風(fēng)險評估過程是科學(xué)、準確的。我們認為定量分析是定性分析的基礎(chǔ)和前提,定性分析應(yīng)建立在定量分析的基礎(chǔ)上才能揭示客觀事物的內(nèi)在規(guī)律。定性分析則是靈魂,是形成概念、觀點,做出判斷,得出結(jié)論所必須依靠的,在復(fù)雜的信息系統(tǒng)風(fēng)險評估過程中,不能將定性分析和定量分析兩種方法簡單的割裂開來。而是應(yīng)該將這兩種方法融合起來,采用綜合的評估方法。
6.4 典型的風(fēng)險評估方法
在信息系統(tǒng)風(fēng)險評估過程中,層次分析法 (AHP)經(jīng)常被用到,它是一種綜合的評估方法。該方法是由美國著名的運籌學(xué)專家薩蒂TL 于20 世紀70 年代提出來的,是一種定性與定量相結(jié)合的多目標決策分析方法。這一方法的核心是將決策者的經(jīng)驗判斷給予量化,從而為決策者提供定量形式的決策依據(jù)。目前該方法已被廣泛地應(yīng)用于尚無統(tǒng)一度量標尺的復(fù)雜問題的分析,解決用純參數(shù)數(shù)學(xué)模型方法難以解決的決策分析問題。該方法對系統(tǒng)進行分層次、擬定量、規(guī)范化處理,在評估過程中經(jīng)歷系統(tǒng)分解、安全性判斷和綜合判斷三個階段。它的基本步驟是:
1) 系統(tǒng)分解,建立層次結(jié)構(gòu)模型:層次模型的構(gòu)造是基于分解法的思想,進行對象的系統(tǒng)分解。它的基本層次有三類:目標層、準則層和指標層,目的是基于系統(tǒng)基本特征建立系統(tǒng)的評估指標體系。
2) 構(gòu)造判斷矩陣,通過單層次計算進行安全性判斷:判斷矩陣的作用是在上一層某一元素約束條件下,對同層次的元素之間相對重要性進行比較,根據(jù)心理學(xué)家提出的“人區(qū)分信息等級的極限能力為7±2”的研究結(jié)論,AHP 方法在對評估指標的相對重要程度進行測量時,引入了九分位的相對重要的比例標度,構(gòu)成判斷矩陣。計算的中心問題是求解判斷矩陣的最大特征根及其對應(yīng)的特征向量;通過判斷矩陣及矩陣運算的數(shù)學(xué)方法,確定對于上一層次的某個元素而言,本層次中與其相關(guān)元素的相對風(fēng)險權(quán)值。
3) 層次總排序,完成綜合判斷:計算各層元素對系統(tǒng)目標的合成權(quán)重,完成綜合判斷,進行總排序,以確定遞階結(jié)構(gòu)圖中最底層各個元素在總目標中的風(fēng)險程度。
7 風(fēng)險評估工具
在進行安全模型、評估標準、評估方法研究的同時,各大安全公司也相應(yīng)推出自己的評估工具來體現(xiàn)以上的研究成果。下面介紹幾個典型的評估工具。
7.1 SAFESuite 套件
SAFESuite 套件是Internet Security Systems(簡稱ISS)公司開發(fā)的網(wǎng)絡(luò)脆弱點檢測軟件,它由Internet 掃描器、系統(tǒng)掃描器、數(shù)據(jù)庫掃描器、實時監(jiān)控和SAFESuite 套件決策軟件構(gòu)成,是一個完整的信息系統(tǒng)評估系統(tǒng)。
7.2 WebTrends Security Analyzer 套件
WebTrends Security Analyzer 套件主要針對Web 站點安全的檢測和分析軟件,它是NetIQ-WebTrends 公司的系列產(chǎn)品。其系列產(chǎn)品為企業(yè)提供一套完整的、可升級的、模塊式的、易于使用的解決方案。產(chǎn)品系列包括: WebTrends Reporting Center、Analysis Suite、WebTrends Log Analyzer、Security Analyzer、WebTrends、Firewall Suite and WebTrends Live等,它可以找出大量隱藏在Linux 和Windows 服務(wù)器、防火墻、路由器等軟件中的威脅和脆弱點,并可針對Web 和防火墻日志進行分析,由它生成的HTML 格式的報告被認為是目前市場上做得最好的。報告里對找到的每個脆弱點進行了說明,并根據(jù)脆弱點的優(yōu)先級進行了分類,還包括一些消除風(fēng)險、保護系統(tǒng)的建議。
7.3 Cobra
Cobra 是一套專門用于進行風(fēng)險分析的工具軟件,其中也包含促進安全策略執(zhí)行、外部安全標準(ISO 17799)評定的功能模塊。
用Cobra 進行風(fēng)險分析時,分3 個步驟:調(diào)查表生成、風(fēng)險調(diào)查、報告生成。
Cobra 的操作過程簡單而靈活,安全分析人員只需要清楚當前的信息系統(tǒng)狀況,并對之作出正確的解釋即可,所有繁瑣的分析工作都交由Cobra 來自動完成。
7.4 CC tools
CC tools 是針對CC 開發(fā)的工具,它幫助用戶按照CC 標準自動生成PP(保護輪廓)和ST(安全目標)報告。
以上這些工具有的是通過技術(shù)手段,如漏洞掃描、入侵檢測等來維護信息系統(tǒng)的安全;有的是依據(jù)評估標準而開發(fā)的,如Cobra。不可否認,這些工具的使用會豐富評估所需的系統(tǒng)脆弱、威脅信息、簡化評估的工作量,減少評估過程中的主觀性,但無論這些工具功能多么強大,由于信息系統(tǒng)風(fēng)險評估的復(fù)雜性,它在信息系統(tǒng)的風(fēng)險評估過程中也只能作為輔助手段,代替不了整個風(fēng)險評估過程。
8 風(fēng)險評估過程
風(fēng)險評估過程就是在評估標準的指導(dǎo)下,綜合利用相關(guān)評估技術(shù)、評估方法、評估工具,針對信息系統(tǒng)展開全方位的評估工作的完整歷程。對信息系統(tǒng)進行風(fēng)險評估,首先應(yīng)確保風(fēng)險分析的內(nèi)容與范圍應(yīng)該覆蓋信息系統(tǒng)的整個體系,應(yīng)包括:系統(tǒng)基本情況分析、信息系統(tǒng)基本安全狀況調(diào)查、信息系統(tǒng)安全組織、政策情況分析、信息系統(tǒng)弱點漏洞分析等。風(fēng)險評估具體評估過程如下:
8.1 確定資產(chǎn)
安全評估的第一步是確定信息系統(tǒng)的資產(chǎn),并明確資產(chǎn)的價值,資產(chǎn)的價值是由對組織、供應(yīng)商、合作伙伴、客戶和其他利益相關(guān)方在安全事件中對保密性、完整性和可用性的影響來衡量的。資產(chǎn)的范圍很廣,一切需要加以保護的東西都算作資產(chǎn),包括:信息資產(chǎn)、紙質(zhì)文件、軟件資產(chǎn)、物理資產(chǎn)、人員、公司形象和聲譽、服務(wù)等。資產(chǎn)的評估應(yīng)當從關(guān)鍵業(yè)務(wù)開始,最終覆蓋所有的關(guān)鍵資產(chǎn)。
8.2 脆弱性和威脅分析
對資產(chǎn)進行細致周密的分析,發(fā)現(xiàn)它的脆弱點及由脆弱點所引發(fā)的威脅,統(tǒng)計分析發(fā)生概率、被利用后所造成的損失等。
8.3 制定及評估控制措施
在分析各種威脅及它們發(fā)生可能性基礎(chǔ)上,研究消除/減輕/轉(zhuǎn)移威脅風(fēng)險的手段。這一階段不需要做出什么決策,主要是考慮可能采取的各種安全防范措施和它們的實施成本。制定出的控制措施應(yīng)當全面,在有針對性的同時,要考慮系統(tǒng)地、根本性的解決方法,為下一階段的決策作充足的準備,同時將風(fēng)險和措施文檔化。
8.4 決策
這一階段包括評估影響,排列風(fēng)險,制定決策。應(yīng)當從3 個方面來考慮最終的決策:接受風(fēng)險、避免風(fēng)險、轉(zhuǎn)移風(fēng)險。對安全風(fēng)險決策后,明確信息系統(tǒng)所要接受的殘余風(fēng)險。在分析和決策過程中,要盡可能多地讓更多的人參與進來,從管理層的代表到業(yè)務(wù)部門的主管,從技術(shù)人員到非技術(shù)人員。
8.5 溝通與交流
由上一階段所做出的決策,必須經(jīng)過領(lǐng)導(dǎo)層的簽字和批準,并與各方面就決策結(jié)論進行溝通。這是很重要的一個過程,溝通能確保所有人員對風(fēng)險有清醒地認識,并有可能在發(fā)現(xiàn)一些以前沒有注意到的脆弱點。
8.6 監(jiān)督實施
最后的步驟是安全措施的實施。實施過程要始終在監(jiān)督下進行,以確保決策能夠貫穿于工作之中。在實施的同時,要密切注意和分析新的威脅并對控制措施進行必要的修改。另外,由于信息系統(tǒng)及其所在環(huán)境的不斷變化,在信息系統(tǒng)的運行過程中,絕對安全的措施是不存在的:攻擊者不斷有新的方法繞過或擾亂系統(tǒng)中的安全措施;系統(tǒng)的變化會帶來新的脆弱點;實施的安全措施會隨著時間而過時等等,所有這些表明,信息系統(tǒng)的風(fēng)險評估過程是一個動態(tài)循環(huán)的過程,應(yīng)周期性的對信息系統(tǒng)安全進行重評估。
9 各國測評認證體系
測評認證是現(xiàn)代質(zhì)量認證制度的重要內(nèi)容。其實質(zhì),是由一個中立的權(quán)威機構(gòu),依據(jù)國際、國內(nèi)標準、行業(yè)標準或認證機構(gòu)確認的技術(shù)規(guī)范,通過科學(xué)、規(guī)范、公正的測試對產(chǎn)品、系統(tǒng)的質(zhì)量保障能力進行檢查評審,以及事后定期監(jiān)督;它的性質(zhì)是由具有檢驗技術(shù)能力和政府授權(quán)認證資格的權(quán)威機構(gòu),按照嚴格程序進行的科學(xué)公正的評價活動;它的表示方式是頒發(fā)認證證書和認證標志。
隨著信息技術(shù)應(yīng)用與發(fā)展,各國政府對信息安全測評認證十分重視,將信息安全列為其國家安全的重要內(nèi)容之一,建立了與自身的信息化發(fā)展相適應(yīng)的測評認證體系,從事信息安全產(chǎn)品的測評認證工作。信息安全的評估認證已成為信息化進程中的一個重要領(lǐng)域,受到廣泛關(guān)注。
英國安全評估認證體系(CB)是1991 年由商業(yè)工業(yè)部和通信電子安全小組共同建立的;德國于1991 年建立德國信息安全局(BSI),主要進行安全風(fēng)險、開發(fā)準則、評估技術(shù)的研究,并負責(zé)頒發(fā)安全證書;日本1998 年在信息推進局建立CC 特種部,開發(fā)新的安全評估方法、評估工具,研究安全評估機制。
美國于1997 年由國家標準技術(shù)研究所和國家安全局共同組建了國家信息保證伙伴(NIAP),負責(zé)基于CC 信息安全測試和評估,圖2 為美國評估認證體系結(jié)構(gòu)。
圖2 美國評估認證體系結(jié)構(gòu)
我國的國家信息安全測評認證體系正處于建設(shè)和發(fā)展階段。
10 信息系統(tǒng)風(fēng)險評估發(fā)展存在的問題
目前“信息系統(tǒng)安全是一項系統(tǒng)工程”的觀點已得到廣泛的認可、接受,作為該工程的基礎(chǔ)和前提的風(fēng)險評估也越來越受到大家的重視,但在該領(lǐng)域的研究、發(fā)展過程中還需要糾正和解決一些模糊概念和問題:
第一,安全評估體系所應(yīng)包括的相應(yīng)組織架構(gòu)、業(yè)務(wù)、標準和技術(shù)體系還不完善。
第二,不能簡單的將系統(tǒng)風(fēng)險評估理解為是一個具體的產(chǎn)品、工具,系統(tǒng)的風(fēng)險評估更應(yīng)該是一個過程,是一個體系。完善的系統(tǒng)風(fēng)險評估體系應(yīng)包括相應(yīng)的組織架構(gòu)、業(yè)務(wù)體系、標準體系和技術(shù)體系。
第三,在評估標準的采用上,沒有統(tǒng)一的標準,由于各種標準的側(cè)重點不同,導(dǎo)致評估結(jié)果沒有可比性,甚至?xí)霈F(xiàn)較大的差異,而且目前國內(nèi)還缺乏具有自主知識產(chǎn)權(quán)、比較系統(tǒng)的信息系統(tǒng)評估標準。
第四,評估過程的主觀性也是影響評估結(jié)果的一個相當重要而又是最難解決的方面,在信息系統(tǒng)風(fēng)險評估中,主觀性是不可避免的,我們所要做的是盡量減少人為主觀性,目前在該領(lǐng)域利用神經(jīng)網(wǎng)絡(luò)、專家系統(tǒng)、分類樹等人工智能技術(shù)進行的研究比較活躍。
第五,風(fēng)險評估工具比較缺乏,市場上關(guān)于漏洞掃描、防火墻等都有比較成熟的產(chǎn)品,但與信息系統(tǒng)風(fēng)險評估相關(guān)的工具卻很匱乏。
11 結(jié)束語
安全評估作為信息系統(tǒng)安全工程重要組成部分,已經(jīng)不僅僅是個別企業(yè)的問題,而是關(guān)系到國民經(jīng)濟的每一方面的重大問題,它將逐漸走上規(guī)范化和法制化的軌道上來,國家對各種配套的安全標準和法規(guī)的制定將會更加健全,評估模型、評估方法、評估工具的研究、開發(fā)將更加活躍,信息系統(tǒng)及相關(guān)產(chǎn)品的風(fēng)險評估認證將成為必需環(huán)節(jié)。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:信息安全風(fēng)險評估綜述(下)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112158396.html