信息安全风险评估方法与工具研究.docVIP

信息安全风险评估方法与工具研究 范红 冯登国 吴亚非 王英梅 国务院信息化工作办公室信息安全风险评估课题组 中科院研究生院信息安全国家重点实验室 国家信息中心信息安全研究与服务中心 摘要： 作为信息安全中一项重要的内容，信息安全风险评估是一个完整的信息系统安全工程体系的重要环节，信息安全的内涵的不断延伸使风险评估成为建立信息安全保障体系的重要一环。本文根据目前的风险评估方式详细讨论的定性的风险评估的方法及分类，目的是提出供信息安全人员参考的可操作的风险评估方法。同时对风险评估工具进行研究，讨论了评估工具的分类方式及其运用。 关键词： 信息系统 风险评估 评估方法 评估工具 引言 当今时代，信息成为一个国家最重要的资源之一，以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式，对企业有用的信息成为企业生存和发展的重要支柱。但无论是从国家竞争力、组织再造或是国防战备来说，信息正面临着层出不穷的事件的挑战。信息系统自身以及与信息系统相连的网络环境的特点与局限性决定了信息系统的发展和应用将遭受木马、病毒、恶意代码、物理故障、人为破坏等各方面的威胁。尽管，人们不断研制杀病毒软件、防火墙和入侵检测系统等技术手段，试图组织信息的破坏，但这方面还远远不够。信息系统已经从单纯的计算机环境扩展成包括所有信息载体的广义的大系统，对于信息的威胁更加多样化和隐蔽化。随着信息技术的发展与应用，信息安全的内涵也在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。突然间，IT专业人员发现自己面临着挑战：设计信息安全政策该从何处着手？如何拟订具有约束力的安全政策？如何让员工真正接受安全策略并在日常工作中执行？借助于信息安全风险评估，能够回答以上的问题。 信息安全风险评估 信息安全风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，通过定性或定量的方法，利用适当的风险评估工具作为辅助，确定信息资产的风险等级和优先风险控制顺序。信息安全风险评估涉及5个主要因素：资产、脆弱点、威胁以及威胁发生的可能性和造成的影响。资产是对组织有价值的东西。许多标准都对信息资产进行了适当的分类比如在OCTAVE风险评估方法[ Alberts, Christopher J. and Dorofee, Audrey J. OCTAVE Method Implementation Guide, v2.0. Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 2001.] Alberts, Christopher J. and Dorofee, Audrey J. OCTAVE Method Implementation Guide, v2.0. Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, 2001. 风险评估是风险管理的最根本依据，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一。信息系统安全人员在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前，进行风险评估会帮助组织在一个安全的框架下进行组织活动。基于风险的管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程,它通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。 信息安全风险评估经历了很长一段的发展时期。风险评估的重点也从操作系统、网络环境发展到整个管理体系。人们在实践中不断发现，风险评估作为保证信息安全的重要基石发挥着关键的作用。在信息安全、安全技术的相关标准中，风险评估均作为关键步骤进行阐述。如ISO13335[ ISO/IEC JTC 1/SC 27 Information technology-Security techniques,2002-04-07]、美国联邦信息技术系统认证指南[ NIST Guidelines for the Security Certification and Accreditation of Federal Information Technology Systems,Version 1.0]等。风险评估模型也从借鉴其他领域的模型发展到开发出适用