网络安全层次化风险评估基础的方法.doc

网络安全层次化风险评估基础的方法 曾 焰 随着网络技术的发展和黑客水平的提高,导致网络被恶意或非恶意入侵的机会越来越多。近年来发生在网上的安全事件不胜枚举,且逐年呈递增趋势。因此对网络的安全管理提出了更高的要求。事先对系统和网络进行安全风险评估,已经成为安全管理人员的迫切需要。作者个人对国内安全风险评估操作的一些评价，并试图阐述作者所理解的，可裁剪、易操作的风险评估方式。 一、 什么是风险评估 说起风险评估，大家脑海中首先浮现的可能是：风险、资产、影响、威胁、弱点等一连串的术语，这些术语看起来并不难理解，但一旦综合考虑就会象绕口令般组合。比如风险，用ISO/IEC TR 13335-1:1996中的定义可以解释为： 特定威胁利用某个(些)资产的弱点，造成资产损失或破坏的潜在可能性。 为了帮助理解，我们举一个例子：我口袋里有100块钱，因为打瞌睡，被小偷偷走了，搞得晚上没饭吃。那么用风险评估的观点来描述这个案例，我们可以对这些概念作如下理解： 风险 = 钱被偷走 资产 = 100块钱 影响 = 晚上没饭吃 威胁 = 小偷 弱点 = 打瞌睡 回到正题来，假设这么个案例：某证券公司的数据库服务器因为存在RPC DCOM的漏洞，遭到入侵者攻击，被迫中断3天。 让我们尝试做一道小学时常做的连线题，把左右两边相对应的内容用线段连接起来： 风险 RPC DCOM漏洞 资产 服务器遭到入侵, 影响交易资金近三亿元 影响 数据库服务器 威胁 入侵者 弱点 中断三天，. 如果这道题对你没什么难度，那么恭喜你，你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。 二、风险评估层次评估模型 风险评估层次评估模型目前国水、国外的方法也都有很多种，只是测重点不同而易。以我们系统的启明星辰为例：启明星辰在2002年之前始终比较低调，但风险评估项目从最初对某证券公司进行的纯粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用BS7799到采用OCTAVE方法再到最终形成自己的网络安全风险评估的方法论、操作模型，有很多专业人员付出了大量劳动。而在业务参与性弱、解决方案可操作性差往往也是高要求的用户对风险评估队伍批评较多的地方，但从启明星辰近期在几家大型客户那里的操作来看，较受客户好评。启明星辰有较多在风险评估中可以应用的工具： 天镜评估版：扫描器，有专门用于风险评估的版本。 天清：又名SRC，指Security Risk Manage，基于ISO17799的量化、可视化的评估工具。 信息库：名称不详，能够直接导入天镜、Nessus、ISS等扫描器的扫描结果并生成报告。据说是较好的安全评估过程辅助工具。 本地评估软件包。 我理解的启明星辰风险评估特点为： 博采众长：这一方面与启明星辰参与部份安全行业国家标准的制订有关，另一方面则是他们有着较多高学历员工，对高端咨询类型的提炼、深化抓得比较好，对评估要求看得透彻，写得清楚。 变化较快：这可以说既是优点，也是缺点。在每次较大的评估项目中他们一般都要求有所突破。这逼着他们去创新，但同时也导致评估的方法论很容易有变动。 当然还有其它公司的一些模型，这些大部份是实力较强的企业，如联想之流，介入安全行业并凭借良好的渠道和合作伙伴关系，打开一定的局面者。需要指出的是安络科技，公司不大，但历经风雨，还能够在行业中有一定位置。但是对于风险评估，则归类到这里的企业多数缺乏自己的风格，甚至评估只是他们很小的“副业”，因此在他们的方案常见到的是各种标准的流程、关系图等等,这里不再讨论了。 几乎在所有企业的风险评估方案中，我都看到上面的那副安全风险关系图，当然有些公司做了某些修改、美化以强调自己的理解、突出自己评估方法中的核心部份 三、风险评估的层次体系结构 风险评估的层次体系结构 网络安全是一个多层面的问题,同样其安全评估体系也是一个多层次多角度的立体结构。因此,我们从安全体系的可实施、动态性角度,建立起一种多层次安全评估体系结构。以动态模型中安全的层次理论模型为基础,从安全层次出发,对网络进行详细的安全分析,再从每一个层次中分离出若干子系统,比较完整地将网络的各种安全因素都考虑在内,可以保证不会遗漏大的安全问题和安全隐患。 网络安全评估方案必须架构在科学的安全体系和安全框架之上,安全评估框架是安全评估方案设计和分析的基础。为了系统地评估安全问题,从系统层次结构的角度展开,分析各个层次可能存在的安全风险。 网络结构的最上层为系统网络层。网络层的下一层是网络结构中对应的各个网络设备,称之为主机层。而对主机层的评估主要包括操作系统层的安全、数据等要素。 下面我们来看一个网络的构架模型，它的拓扑结构如下： 其分析要素我们从下表入手：进行风险分析 与创建威胁统计中的威胁