计算机风险评估体系思考.docxVIP

PAGE 1 PAGE 1 计算机风险评估体系思考  风险评估所评估的目标分为安全手段评估和实际安全效果评估两个方面。安全手段包括技术体系、组织体系、管理体系等。安全效果包括了物理安全、网络安全、系统安全、数据安全、内容安全等。为了达到这些评估目标，采取了一系列的数据采集手段，包括安全扫描、手工检查、渗透测试、安全审计、安全策略评估等。  一、计算机风险评估体系的反思  现有的风险评估机制已经构成了一个纷繁复杂的体系，由许多环境和层面构成，有其成熟的模型和标准，这使得整个风险机构的实施必需依靠于一个系统的专家团队和一个系统的方法来运行。  风险评估所评估的目标分为安全手段评估和实际安全效果评估两个方面。安全手段包括技术体系、组织体系、管理体系等。安全效果包括了物理安全、网络安全、系统安全、数据安全、内容安全等。为了达到这些评估目标，采取了一系列的数据采集手段，包括安全扫描、手工检查、渗透测试、安全审计、安全策略评估等。  那么，这样一个复杂的模型是放之四海而皆准的，具备可操作和可实施性么?相关的评估目标有效的达成了吗?相关手段能满意要求吗?  针对目前的两个趋势，现有风险评估体系已经开始显得鞭长莫及：一方面是安全机构目前受整个国家等级保护政策和法律的推动，要进行大面积的普及，这样就势必带来了更大的精度和更快的检测速度的压力，同时，需要快速的向它的基层和分支机构来普及，那么一个复杂的模型是这些基层的技术人员能够把握的吗?面对如此大规模的检测对象，传统的工具加人工操作的检测方式能否满意现实中高效检测的这种需要呢?同时，这种依靠于操作人员技术水平和问卷问询对象反馈结果的评估结论又能多少真实的反映了系统的实际安全状况呢?  另一方面则是大量用户的现状，我们国家有大量的中小企业，大量的地方基层部门，其现状犹如IBM的广告语说的，“就这么几个人，就这么点钱，就这么一个懂电脑的”，那么这样的现状，能否承受得住这种需要大笔资金投入、大量技术力气参与的评估模式?他们能够应用这样的一个复杂体系去衡量自己的信息系统吗?  二、主机安全检测的挑战  上述的质疑主要是从其模型和实施难度角度，现在我们从风险评估的采集手段角度拿主机的安全检查来说明一下问题。在信息系统中，其根本中枢就是一台台主机，包括服务器工作站节点，在其上运行的数据是信息系统的核心资产，是信息威逼的主要侵害对象，也应当是风险评估的主要的研究目标。主机上的状况实际上要复杂许多，从归纳的角度可以划分成了系统和应用两个部分，在上面真实的规律存在，包括了引导、驱动、服务、进程，配置、主机、端口各种数据等，同时又进行了各种受访、外联等相应的操作。这种状况将会受到本地攻击、远程攻击、对外访问引入攻击、恶意代码、有害网络内容等综合威逼，主机在受到攻击的同时，也保留着部分各种攻击所遗留下来的痕迹和相应的后果。  面对这样一个麻雀虽小、五脏俱全的体系，现有的评估手段能满意要求吗?我们目前有两个最典型的手段，一个是扫描器，扫描器实际上是通过远程发包，通过对应答状况和内容来判定主机的隐患。它是以主机的开放网络服务和端口角度入手工作的。对整个这样一个纷繁复杂的主机状况，能够获取的数据特别有限，扫描器当然有它的优点，如能够真实推断主机上漏洞的可利用性、单点部署扫描全网等，但由于它没有主机权限，它检测不到主机许多的脆弱点。比如最典型的用户是否会因插入U盘感染熊猫烧香这样的病毒、用户访问恶意网页是否会被木马注入等，都是扫描器无法判定的。  针对主机另一种常用的风险评估方法就是问卷调查，问卷的典型性就是把网内过去发生过的事件通过人工应答的方式体现，它的优点就是不与主机接触，可以避免本身带来安全隐患。但是这种方法简单产生偏差，在风险评估实践中，有两种状况是无法避免的。一种是故意缩小风险，主要担忧担当责任，另外一种就是故意夸大风险，目的是为了增加一些安全选购。  另外，问卷本身也会存在问题，就是会有很多专业概念，很多是用户无法正确理解的，假如用户不理解，就不可能填写正确，但假如为了让用户理解，我们需要特别巨大的教育成本。因此，问卷调查本身是一种不牢靠而低效的方式。  还有一个问题，就是现有的评估主要是侧重于手段的体系的合理性和完备性。像安全审计，它是考量体系的实施状况，比如它用“是否安装反病毒软件”来替代对机器上是否有病毒的真实检查，用“用户是否安装了防火墙”来替代是否有网络攻击危急。  这种评估核心是一种对手段的评估，而不是对当前信息系统的一个真实状况的评估。它在一定程度上解决了物理安全和内容安全问题，但是对于运行安全和数据安全的实际状况则没有形成一个测试评价体系。而安全扫描，则是对主机系统仅仅进