风险评估中的信息获取.doc

风险评估中的信息获取* * 基金项目：①国家高技术研究发展计划（863计划）项目（课题编号：2002AA142151）②国家计算机网络与信息安全管理中心项目（课题编号：2002-研 1-A-007） 作者简介：韩权印，（1980－），男，硕士研究生，主要研究方向为：计算机系统结构、网络与信息安全。张玉清，男，副研究员，主要研究领域为网络与信息安全。 韩权印1, 2 张玉清1 (1 中科院研究生院国家计算机网络入侵防范中心， 北京 100039) （2 西安电子科技大学计算机学院，西安 710071） E-mail:hanqy@ 摘要：本文根据风险评估所需信息的需要，提出了信息系统风险评估所需评估信息的获取准则和获取方式，说明了评估相关信息点的信息获取方法和手段，提出了了威胁和漏洞信息的一个分类，介绍了若干进行风险数据收集的辅助软件工具。 关键字：BS7799，风险评估信息收集，威胁分类，信息收集辅助工具 一 引言 信息系统的风险评估是指确定在计算机系统和网络中每一种资源的缺失或遭到破坏对整个系统造成的预计损失数量，即对威胁、脆弱点以及由此带来的风险大小的评估。信息系统风险评估是一个复杂的过程，涉及系统中包括物理环境、管理体系、主机安全、网络安全和应急体系等方面，要在这么广泛的范围内对一个复杂的系统进行一个全面的风险评估，就需要对系统的方方面面非常的了解，对系统构架和运行模式有一个清醒的认识。要做到这一点，就需要进行广泛的调研和实践调查，深入系统内部，运用多种科学手段来获得信息。只有这样，才能够为有效实施风险评估奠定坚实的基础。 本文根据风险评估的需要，从风险评估的信息点出发，结合实际，提出了风险评估所需信息的获取原则与方式，从资产识别、威胁、漏洞，控制措施等方面阐述了有关评估信息获取的方法，并分析了各种方法的优缺点。而且还根据目前的实际，提出了威胁和漏洞信息的一个分类，将安全威胁分为物理、主机、网络和管理四个方面，进行了说明。最后还介绍了相关的一些信息获取辅助工具，以帮助快速准确的收集系统信息。 二 风险评估信息获取的原则与方式 信息获取是指通过各种方式获取风险评估所需要的信息。信息获取是保证风险评估得以正常运行的基础和前提。信息获取的成功与否，直接关系到整个风险评估工作和安全信息管理工作的质量。为了保证所获取的信息的质量，应坚持以下原则： 　　（1）准确性原则 该原则要求所收集到的信息要真实，可靠，是信息收集工作的最基本要求。为达到这样的要求，信息收集者就必须对收集到的信息反复核实，不断检验，力求把误差减少到最低限度。同时，要尽量减少所收集的信息中的虚假信息和模糊信息，否则，会造成评估结果有很大的误差，造成巨大的人力和财力的浪费，甚至会使评估结果失去科学性或导致错误的评估结果，给信息安全管理带来损失和灾难。 　　（2）全面性原则 该原则要求所搜集到的信息要广泛，全面完整。只有广泛、全面地搜集信息，才能完整地反映信息系统的物理状况、组织状况和网络安全等安全方面，为风险评估结果的正确性提供基础。一般情况下，实际所收集到的信息不可能做到绝对的全面和完整，但主要的评估信息点不能有遗漏和疏忽。 　　（3）时效性原则 信息的利用价值取决于该信息是否能及时地提供，即它的时效性。信息只有及时、迅速地提供给风险评估的实施者才能有效地发挥作用。同时，信息系统是一个动态的不断变化的系统，系统的一些网络安全要素和人员管理要素随时在发生着变化，这也要求信息的获取和收集要适应信息的动态变化要求，更新后的信息能及时得到获取和反馈，为安全系统风险评估和分析提供动态的最新的信息支撑基础。 　　根据风险评估的目的和信息获取的原则，安全系统信息收集主要有以下方式： 　　（1）参与系统实践。系统实践是获得信息系统的真实可靠信息的最重要手段。系统实践是指深入信息系统内部，亲自参与系统的运行，并运用观察、操作等方法直接从信息系统中了解情况，收集资料和数据的活动。利用实践调查收集到的信息是最符合实践情况的，因而比较接近系统，容易做到真实、可靠，但是耗费较高，需要的周期长，花费的时间比较多，而且有时的信息涉及技术机密或是由于其他安全的需要，操作起来有一定的困难和复杂度。 　　（2）建立问卷调查表。问卷调查表是通过问题表的形式，事先将需要了解的问题列举出来，通过让信息系统相关人员回答相关问题而获取信息的一种有效的获取方式。现在的信息获取经常利用这种方式，它具有实施方便，操作方便，所需费用少，分析简介明快等特点，所以得到了广泛的应用。但是它的灵活性较少，得到的信息有时不太清楚，具有一定的模糊性，信息深度不够等，还需要其他的方式作为配合和补充。 　　（3）实用辅助工具的使用。在信息系统中，网络安全状况、主机安全状况等难以用眼睛观察出来，需要借助优秀的网络和系统检测工具