風(fēng)險(xiǎn)評(píng)估工具

1、.：.； HYPERLINK /netapp/evaluate/index1/13.htm /netapp/evaluate/index1/13.htm風(fēng)險(xiǎn)評(píng)價(jià)工具 風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程中，可以利用一些輔助性的工具和方法來(lái)采集數(shù)據(jù)，包括：調(diào)查詢卷 風(fēng)險(xiǎn)評(píng)價(jià)者經(jīng)過(guò)問(wèn)卷方式對(duì)組織信息平安的各個(gè)方面進(jìn)展調(diào)查，問(wèn)卷解答可以進(jìn)展手工分析，也可以輸入自動(dòng)化評(píng)價(jià)工具進(jìn)展分析。從問(wèn)卷調(diào)查中，評(píng)價(jià)者可以了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要要挾、管理上的缺陷、采用的控制措施和平安戰(zhàn)略的執(zhí)行情況。 檢查列表 檢查列表通常是基于特定規(guī)范或基線建立的，對(duì)特定系統(tǒng)進(jìn)展審查的工程條款，經(jīng)過(guò)檢查列表，操作者可以快速定位系統(tǒng)目前的平安

2、情況與基線要求之間的差距。人員訪談 風(fēng)險(xiǎn)評(píng)價(jià)者經(jīng)過(guò)與組織內(nèi)關(guān)鍵人員的訪談，可以了解到組織的平安認(rèn)識(shí)、業(yè)務(wù)操作、管理程序等重要信息。破綻掃描器 破綻掃描器包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)可以對(duì)信息系統(tǒng)中存在的技術(shù)性破綻弱點(diǎn)進(jìn)展評(píng)價(jià)。許多掃描器都會(huì)列出已發(fā)現(xiàn)破綻的嚴(yán)重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCop Scanner 等。浸透測(cè)試 這是一種模擬黑客行為的破綻探測(cè)活動(dòng)，它不但要掃描目的系統(tǒng)的破綻，還會(huì)經(jīng)過(guò)破綻利用來(lái)驗(yàn)證此種要挾場(chǎng)景。除了這些方法和工具外，風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程最常用的還是一些公用的自動(dòng)化的風(fēng)險(xiǎn)評(píng)價(jià)工具，無(wú)論是商用的還是免費(fèi)的，此類工具都可以有效地經(jīng)過(guò)輸入數(shù)據(jù)來(lái)

3、分析風(fēng)險(xiǎn)，最終給出對(duì)風(fēng)險(xiǎn)的評(píng)價(jià)并引薦相應(yīng)的平安措施。目前常見(jiàn)的自動(dòng)化風(fēng)險(xiǎn)評(píng)價(jià)工具包括：COBRA COBRAConsultative, Objective and Bi-functional Risk Analysis是英國(guó)的C&A 系統(tǒng)平安公司推出的一套風(fēng)險(xiǎn)分析工具軟件，它經(jīng)過(guò)問(wèn)卷的方式來(lái)采集和分析數(shù)據(jù)，并對(duì)組織的風(fēng)險(xiǎn)進(jìn)展定性分析，最終的評(píng)價(jià)報(bào)告中包含已識(shí)別風(fēng)險(xiǎn)的程度和引薦措施。此外，COBRA 還支持基于知識(shí)的評(píng)價(jià)方法，可以將組織的平安現(xiàn)狀與ISO 17799 規(guī)范相比較，從中找出差距，提出彌補(bǔ)措施。C&A 公司提供了COBRA 試用版下載： HYPERLINK security-risk

4、-analysis/cobdown.htm security-risk-analysis/cobdown.htm。(COBRA can be purchased instantly via credit card. Simply proceed to the secure server as follows: HYPERLINK httpssecure.shareit/shareit/checkout.html?productid=173117&language=English The Full COBRA Suite* - Special Offer. Only $US 1995 HYPER

5、LINK httpssecure.shareit/shareit/checkout.html?productid=173118&language=English COBRA for ISO17799 Only - $US 895)CRAMM CRAMMCCTA Risk Analysis and Management Method是由英國(guó)政府的中央計(jì)算機(jī)與電信局Central Computer and Telecommunications Agency，CCTA于1985 年開(kāi)發(fā)的一種定量風(fēng)險(xiǎn)分析工具，同時(shí)支持定性分析。經(jīng)過(guò)多次版本更新如今是第四版，目前由 Insight 咨詢公司擔(dān)任管理和授

6、權(quán)。CRAMM 是一種可以評(píng)價(jià)信息系統(tǒng)風(fēng)險(xiǎn)并確定恰當(dāng)對(duì)策的構(gòu)造化方法，適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò)，也可以在信息系統(tǒng)生命周期的各個(gè)階段運(yùn)用。CRAMM 的平安模型數(shù)據(jù)庫(kù)基于著名的“資產(chǎn)/要挾/弱點(diǎn)模型，評(píng)價(jià)過(guò)程經(jīng)過(guò)資產(chǎn)識(shí)別與評(píng)價(jià)、要挾和弱點(diǎn)評(píng)價(jià)、選擇適宜的引薦對(duì)策這三個(gè)階段。CRAMM 與BS 7799 規(guī)范堅(jiān)持一致，它提供的可供選擇的平安控制多達(dá)3000 個(gè)。除了風(fēng)險(xiǎn)評(píng)價(jià)，CRAMM 還可以對(duì)符合ITILIT Infrastructure Library指南的業(yè)務(wù)延續(xù)性管理提供支持。ASSET ASSETAutomated Security Self-Evaluation Tool是美國(guó)國(guó)

7、家規(guī)范技術(shù)協(xié)會(huì)National Institute of Standard and Technology，NIST發(fā)布的一個(gè)可用來(lái)進(jìn)展平安風(fēng)險(xiǎn)自我評(píng)價(jià)的自動(dòng)化工具，它采用典型的基于知識(shí)的分析方法，利用問(wèn)卷方式來(lái)評(píng)價(jià)系統(tǒng)平安現(xiàn)狀與NIST SP 800-26 指南之間的差距。NIST SpecialPublication 800-26，即信息技術(shù)系統(tǒng)平安自我評(píng)價(jià)指南Security Self-AssessmentGuide for Information Technology Systems，為組織進(jìn)展IT 系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)提供了眾多控制目的和建議技術(shù)。ASSET 是一個(gè)免費(fèi)工具，可以在NIST 的

8、網(wǎng)站下載：。CORA CORACost-of-Risk Analysis是由國(guó)際平安技術(shù)公司InternationalSecurity Technology, Inc. ist-usa開(kāi)發(fā)的一種風(fēng)險(xiǎn)管理決策支持系統(tǒng)，它采用典型的定量分析方法，可以方便地采集、組織、分析并存儲(chǔ)風(fēng)險(xiǎn)數(shù)據(jù)，為組織的風(fēng)險(xiǎn)管理決策支持提供準(zhǔn)確的根據(jù)。 HYPERLINK blog.donews/keanke/archive/2005/05/31/406615.aspx 信息平安評(píng)價(jià)方法面對(duì)信息平安問(wèn)題時(shí)，需求從組織的角度去評(píng)價(jià)他們實(shí)踐上需求維護(hù)什么及其需求的緣由。大多數(shù)平安問(wèn)題深深的根植在一個(gè)或者多個(gè)組織和業(yè)務(wù)問(wèn)題中。在

9、實(shí)施平安方案之前，該當(dāng)經(jīng)過(guò)在業(yè)務(wù)環(huán)境中評(píng)價(jià)平安需求和風(fēng)險(xiǎn)，描寫出根本問(wèn)題的真實(shí)本質(zhì)，決議需求維護(hù)哪些對(duì)象，為什么要維護(hù)這些對(duì)象，需求從哪些方面進(jìn)展維護(hù)，如何在生存期內(nèi)進(jìn)展維護(hù)。下面將從不同的角度比較現(xiàn)有的信息平安風(fēng)險(xiǎn)評(píng)價(jià)方法。手動(dòng)評(píng)價(jià)和工具輔助評(píng)價(jià) 在各種信息平安風(fēng)險(xiǎn)評(píng)價(jià)工具出現(xiàn)以前，對(duì)信息系統(tǒng)進(jìn)展平安管理，一切任務(wù)都只能手工進(jìn)展。對(duì)于平安風(fēng)險(xiǎn)分析人員而言，這些任務(wù)包括識(shí)別重要資產(chǎn)、平安需求分析、當(dāng)前平安實(shí)際分析、要挾和弱點(diǎn)發(fā)現(xiàn)、基于資產(chǎn)的風(fēng)險(xiǎn)分析和評(píng)價(jià)等。對(duì)于平安決策者而言，這些任務(wù)包括資產(chǎn)估價(jià)、平安投資本錢以及風(fēng)險(xiǎn)效益之間的平衡決策等。對(duì)于系統(tǒng)管理員而言，這些任務(wù)包括基于風(fēng)險(xiǎn)評(píng)價(jià)的風(fēng)險(xiǎn)管理

10、等?？偠灾?，其勞動(dòng)量宏大，容易出現(xiàn)疏漏，而且，他們都是根據(jù)各自的閱歷，進(jìn)展與平安風(fēng)險(xiǎn)相關(guān)的任務(wù)。風(fēng)險(xiǎn)評(píng)價(jià)工具的出如今一定程度上處理了手動(dòng)評(píng)價(jià)的局限性。1985年，英國(guó)CCTA開(kāi)發(fā)了CRAMM風(fēng)險(xiǎn)評(píng)價(jià)工具。CRAMM包括全面的風(fēng)險(xiǎn)評(píng)價(jià)工具，并且完全遵照BS 7799規(guī)范，包括依托資產(chǎn)的建模、商業(yè)影響評(píng)價(jià)、識(shí)別和評(píng)價(jià)要挾和弱點(diǎn)、評(píng)價(jià)風(fēng)險(xiǎn)等級(jí)、識(shí)別需求和基于風(fēng)險(xiǎn)評(píng)價(jià)調(diào)整控制等。CRAMM評(píng)價(jià)風(fēng)險(xiǎn)依托資產(chǎn)價(jià)值、要挾和脆弱點(diǎn)，這些參數(shù)值是經(jīng)過(guò)CRAMM評(píng)價(jià)者與資產(chǎn)一切者、系統(tǒng)運(yùn)用者、技術(shù)支持人員和平安部門人員一同的交互活動(dòng)得到，最后給出一套平安處理方案 。1991年，C&A System Securi

11、ty公司推出了COBRA工具，用來(lái)進(jìn)展信息平安風(fēng)險(xiǎn)評(píng)價(jià)。COBRA由一系列風(fēng)險(xiǎn)分析、咨詢和平安評(píng)價(jià)工具組成，它改動(dòng)了傳統(tǒng)的風(fēng)險(xiǎn)管理方法，提供了一個(gè)完好的風(fēng)險(xiǎn)分析效力，并且兼允許多風(fēng)險(xiǎn)評(píng)價(jià)方法學(xué)如定性分析和定量分析等。它可以看作一個(gè)基于專家系統(tǒng)和擴(kuò)展知識(shí)庫(kù)的問(wèn)卷系統(tǒng)，對(duì)一切的要挾和脆弱點(diǎn)評(píng)價(jià)其相對(duì)重要性，并且給出適宜的建議和處理方案。此外，它還對(duì)每個(gè)風(fēng)險(xiǎn)類別提供風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)值或風(fēng)險(xiǎn)等級(jí)。信息平安風(fēng)險(xiǎn)評(píng)價(jià)工具的出現(xiàn)，大大縮短了評(píng)價(jià)所破費(fèi)的時(shí)間。在系統(tǒng)運(yùn)用和配置不斷改動(dòng)的情況，組織可以經(jīng)過(guò)執(zhí)行另外一次評(píng)價(jià)重新設(shè)置風(fēng)險(xiǎn)基線。兩次評(píng)價(jià)的時(shí)間間隔可以預(yù)先確定例如，以月為單位或者由主要的事件觸發(fā)例如，

12、企業(yè)重組、組織的計(jì)算根底構(gòu)造重新設(shè)計(jì)等。 技術(shù)評(píng)價(jià)和整體評(píng)價(jià) 技術(shù)評(píng)價(jià)是指對(duì)組織的技術(shù)根底構(gòu)造和程序進(jìn)展系統(tǒng)的、及時(shí)的檢查，包括對(duì)組織內(nèi)部計(jì)算環(huán)境的平安性及其對(duì)內(nèi)外攻擊脆弱性的完好性攻擊。這些技術(shù)驅(qū)動(dòng)的評(píng)價(jià)通常包括：1評(píng)價(jià)整個(gè)計(jì)算根底構(gòu)造。2運(yùn)用擁有的軟件工具分析根底構(gòu)造及其全部組件。3提供詳細(xì)的分析報(bào)告，闡明檢測(cè)到的技術(shù)弱點(diǎn)，并且能夠?yàn)樘幚磉@些弱點(diǎn)建議詳細(xì)的措施。技術(shù)評(píng)價(jià)是通常意義上所講的技術(shù)脆弱性評(píng)價(jià)，強(qiáng)調(diào)組織的技術(shù)脆弱性。但是組織的平安性遵照“木桶原那么，僅僅與組織內(nèi)最薄弱的環(huán)節(jié)相當(dāng)，而這一環(huán)節(jié)多半是組織中的某個(gè)人。 整體風(fēng)險(xiǎn)評(píng)價(jià)擴(kuò)展了上述技術(shù)評(píng)價(jià)的范圍，著眼于分析組織內(nèi)部與平安相關(guān)的風(fēng)

13、險(xiǎn)，包括內(nèi)部和外部的風(fēng)險(xiǎn)源、技術(shù)根底和組織構(gòu)造以及基于電子的和基于人的風(fēng)險(xiǎn)。這些多角度的評(píng)價(jià)試圖按照業(yè)務(wù)驅(qū)動(dòng)程序或者目的對(duì)平安風(fēng)險(xiǎn)進(jìn)展陳列，關(guān)注的焦點(diǎn)主要集中在平安的以下4個(gè)方面：1檢查與平安相關(guān)的組織實(shí)際，標(biāo)識(shí)當(dāng)前平安實(shí)際的優(yōu)點(diǎn)和弱點(diǎn)。這一程序能夠包括對(duì)信息進(jìn)展比較分析，根據(jù)工業(yè)規(guī)范和最正確實(shí)際對(duì)信息進(jìn)展等級(jí)評(píng)定。2包括對(duì)系統(tǒng)進(jìn)展技術(shù)分析、對(duì)政策進(jìn)展評(píng)審，以及對(duì)物理平安進(jìn)展審查。3檢查IT的根底構(gòu)造，以確定技術(shù)上的弱點(diǎn)。包括惡意代碼的入侵、數(shù)據(jù)的破壞或者消滅、信息喪失、回絕效力、訪問(wèn)權(quán)限和特權(quán)的未授權(quán)變卦等。4協(xié)助 決策制定者綜合平衡風(fēng)險(xiǎn)以選擇本錢效益對(duì)策。1999年，卡內(nèi)基梅隆大學(xué)的SEI

14、發(fā)布了OCTAVE框架，這是一種自主型信息平安風(fēng)險(xiǎn)評(píng)價(jià)方法。OCTAVE方法是一種從系統(tǒng)的、組織的角度開(kāi)發(fā)的新型信息平安維護(hù)方法，主要針對(duì)大型組織，中小型組織也可以對(duì)其適當(dāng)裁剪，以滿足本身需求。它的實(shí)施分為三個(gè)階段：1建立基于資產(chǎn)的要挾配置文件。這是從組織的角度進(jìn)展的評(píng)價(jià)。組織的全體員工論述他們的看法，如什么對(duì)組織重要與信息相關(guān)的資產(chǎn)，該當(dāng)采取什么樣的措施維護(hù)這些資產(chǎn)等。分析團(tuán)隊(duì)整理這些信息，確定對(duì)組織最重要的資產(chǎn)關(guān)鍵資產(chǎn)并標(biāo)識(shí)對(duì)這些資產(chǎn)的要挾。2標(biāo)識(shí)根底構(gòu)造的弱點(diǎn)。對(duì)計(jì)算根底構(gòu)造進(jìn)展的評(píng)價(jià)。分析團(tuán)隊(duì)標(biāo)識(shí)出與每種關(guān)鍵資產(chǎn)相關(guān)的關(guān)鍵信息技術(shù)系統(tǒng)和組件，然后對(duì)這些關(guān)鍵組件進(jìn)展分析，找出導(dǎo)致對(duì)關(guān)鍵資

15、產(chǎn)產(chǎn)生未授權(quán)行為的弱點(diǎn)技術(shù)弱點(diǎn)。3開(kāi)發(fā)平安戰(zhàn)略和方案。分析團(tuán)隊(duì)標(biāo)識(shí)出組織關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)，并確定要采取的措施。根據(jù)對(duì)搜集到的信息所做的分析，為組織開(kāi)發(fā)維護(hù)戰(zhàn)略和緩和方案，以處理關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)。 定性評(píng)價(jià)和定量評(píng)價(jià) 定性分析方法是最廣泛運(yùn)用的風(fēng)險(xiǎn)分析方法。該方法通常只關(guān)注要挾事件所帶來(lái)的損失Loss，而忽略事件發(fā)生的概率Probability。多數(shù)定性風(fēng)險(xiǎn)分析方法根據(jù)組織面臨的要挾、脆弱點(diǎn)以及控制措施等元素來(lái)決議平安風(fēng)險(xiǎn)等級(jí)。在定性評(píng)價(jià)時(shí)并不運(yùn)用詳細(xì)的數(shù)據(jù)，而是指定期望值，如設(shè)定每種風(fēng)險(xiǎn)的影響值和概率值為“高、“中、“低。有時(shí)單純運(yùn)用期望值，并不能明顯區(qū)別風(fēng)險(xiǎn)值之間的差別?？梢运妓鳛槎ㄐ詳?shù)據(jù)指定數(shù)

16、值。如，設(shè)“高的值為3，“中的值為2，“低的值為1。但是要留意的是，這里思索的只是風(fēng)險(xiǎn)的相對(duì)等級(jí)，并不能闡明該風(fēng)險(xiǎn)究竟有多大。所以，不要賦予相對(duì)等級(jí)太多的意義，否那么，將會(huì)導(dǎo)致錯(cuò)誤的決策。 定量分析方法利用兩個(gè)根本的元素：要挾事件發(fā)生的概率和能夠呵斥的損失。把這兩個(gè)元素簡(jiǎn)單相乘的結(jié)果稱為ALEAnnual Loss Expectancy或EACEstimated Annual Cost。實(shí)際上可以根據(jù)ALE計(jì)算要挾事件的風(fēng)險(xiǎn)等級(jí)，并且做出相應(yīng)的決策。定量風(fēng)險(xiǎn)評(píng)價(jià)方法首先評(píng)價(jià)特定資產(chǎn)的價(jià)值V，把信息系統(tǒng)分解成各個(gè)組件可更加有利于整個(gè)系統(tǒng)的定價(jià)，普通按功能單元進(jìn)展分解；然后根據(jù)客觀數(shù)據(jù)計(jì)算要挾的頻

17、率P；最后計(jì)算要挾影響系數(shù)?，由于對(duì)于每一個(gè)風(fēng)險(xiǎn)，并不是一切的資產(chǎn)所蒙受的危害程度都是一樣的，程度的范圍能夠從無(wú)危害到徹底危害即完全破壞。根據(jù)上述三個(gè)參數(shù)，計(jì)算ALE：ALE V P ? 定量風(fēng)險(xiǎn)分析方法要求特別關(guān)注資產(chǎn)的價(jià)值和要挾的量化數(shù)據(jù)，但是這種方法存在一個(gè)問(wèn)題，就是數(shù)據(jù)的不可靠和不準(zhǔn)確。對(duì)于某些類型的平安要挾，存在可用的信息。例如，可以根據(jù)頻率數(shù)據(jù)估計(jì)人們所處區(qū)域的自然災(zāi)禍發(fā)生的能夠性如洪水和地震。也可以用事件發(fā)生的頻率估計(jì)一些系統(tǒng)問(wèn)題的概率，例如系統(tǒng)解體和感染病毒。但是，對(duì)于一些其他類型的要挾來(lái)說(shuō)，不存在頻率數(shù)據(jù)，影響和概率很難是準(zhǔn)確的。此外，控制和對(duì)策措施可以減小要挾事件發(fā)生的能夠

18、性，而這些要挾事件之間又是相互關(guān)聯(lián)的。這將使定量評(píng)價(jià)過(guò)程非常耗時(shí)和困難。 鑒于以上難點(diǎn)，可以轉(zhuǎn)用客觀概率和客觀概率相結(jié)合的方法。運(yùn)用于沒(méi)有直接根據(jù)的情形，能夠只能思索一些間接信息、有根據(jù)的猜測(cè)、直覺(jué)或者其他客觀要素，稱為客觀概率。運(yùn)用客觀概率估計(jì)由人為攻擊產(chǎn)生的要挾需求思索一些附加的要挾屬性，如動(dòng)機(jī)、手段和時(shí)機(jī)等。 基于知識(shí)的評(píng)價(jià)和基于模型的評(píng)價(jià)基于知識(shí)的風(fēng)險(xiǎn)評(píng)價(jià)方法主要是依托閱歷進(jìn)展的，閱歷從平安專家處獲取并憑此來(lái)處理類似場(chǎng)景的風(fēng)險(xiǎn)評(píng)價(jià)問(wèn)題。這種方法的優(yōu)越性在于可以直接提供引薦的維護(hù)措施、構(gòu)造框架和實(shí)施方案。“良好實(shí)際的知識(shí)評(píng)價(jià)方法。該方法提出重器具有類似性組織主要從組織的大小、范圍以及市場(chǎng)

19、來(lái)判別組織能否類似的“良好實(shí)際。為了可以較好地處置要挾和脆弱性分析，該方法開(kāi)發(fā)了一個(gè)濫用和誤用報(bào)告數(shù)據(jù)庫(kù)，存儲(chǔ)了30年來(lái)的上千個(gè)事例。同時(shí)也開(kāi)發(fā)了一個(gè)擴(kuò)展的信息平安框架，以輔助用戶制定全面的、正確的組織平安戰(zhàn)略?；谥R(shí)的風(fēng)險(xiǎn)評(píng)價(jià)方法充分利用多年來(lái)開(kāi)發(fā)的維護(hù)措施和平安實(shí)際，按照組織的類似性程度進(jìn)展快速的平安實(shí)施和包裝，以減少組織的平安風(fēng)險(xiǎn)。然而，組織類似性的斷定、被評(píng)價(jià)組織的平安需求分析以及關(guān)鍵資產(chǎn)確實(shí)定都是該方法的制約點(diǎn)。平安風(fēng)險(xiǎn)評(píng)價(jià)是一個(gè)非常復(fù)雜的義務(wù)，這要求存在一個(gè)方法既能描畫系統(tǒng)的細(xì)節(jié)又能描畫系統(tǒng)的整體?；谀Ｐ偷脑u(píng)價(jià)可以分析出系統(tǒng)本身內(nèi)部機(jī)制中存在的危險(xiǎn)性要素，同時(shí)又可以發(fā)現(xiàn)系統(tǒng)與外

20、界環(huán)境交互中的不正常并有害的行為，從而完成系統(tǒng)脆弱點(diǎn)和平安要挾的定性分析。如UML建模言語(yǔ)可以用來(lái)詳細(xì)闡明信息系統(tǒng)的各個(gè)方面：不同組件之間關(guān)系的靜態(tài)圖用class diagrams來(lái)表示；用來(lái)詳細(xì)闡明系統(tǒng)的行動(dòng)這和功能的動(dòng)態(tài)圖用use case diagrams和sequence diagrams來(lái)表示；完好的系統(tǒng)運(yùn)用UML diagrams來(lái)闡明，它是系統(tǒng)體系構(gòu)造的描畫。 2001年，BITD開(kāi)場(chǎng)了CORAS工程平安危急系統(tǒng)的風(fēng)險(xiǎn)分析平臺(tái)。該工程旨在開(kāi)發(fā)一個(gè)基于面向?qū)ο蠼＜夹g(shù)的風(fēng)險(xiǎn)評(píng)價(jià)框架，特別指出運(yùn)用UML建模技術(shù)。利用建模技術(shù)在此主要有三個(gè)目的：第一，在適宜的籠統(tǒng)層次描畫評(píng)價(jià)目的；第二

21、，在風(fēng)險(xiǎn)評(píng)價(jià)的不同群組中作為通訊和交互的媒介；第三：記錄風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果和這些結(jié)果依賴的假設(shè)。 準(zhǔn)那么和CORAS方法都運(yùn)用了半方式化和方式化規(guī)范。CC準(zhǔn)那么是通用的，并不為風(fēng)險(xiǎn)評(píng)價(jià)提供方法學(xué)。然后，相對(duì)于CC準(zhǔn)那么而言，CORAS為風(fēng)險(xiǎn)評(píng)價(jià)提供方法學(xué)，開(kāi)發(fā)了詳細(xì)的技術(shù)規(guī)范來(lái)進(jìn)展平安風(fēng)險(xiǎn)評(píng)價(jià)。風(fēng)險(xiǎn)評(píng)價(jià)的根本過(guò)程-識(shí)別并評(píng)價(jià)弱點(diǎn)風(fēng)險(xiǎn)評(píng)價(jià)的根本過(guò)程-識(shí)別并評(píng)價(jià)弱點(diǎn) 光有要挾還構(gòu)不成風(fēng)險(xiǎn)，要挾只需利用了特定的弱點(diǎn)才能夠?qū)Y產(chǎn)呵斥影響，所以，組織應(yīng)該針對(duì)每一項(xiàng)需求維護(hù)的信息資產(chǎn)，找到可被要挾利用的弱點(diǎn)。常見(jiàn)的弱點(diǎn)有三類： 技術(shù)性弱點(diǎn) 系統(tǒng)、程序、設(shè)備中存在的破綻或缺陷，比如構(gòu)造設(shè)計(jì)問(wèn)題和編程破綻。操作性弱

22、點(diǎn) 軟件和系統(tǒng)在配置、操作、運(yùn)用中的缺陷，包括人員日常任務(wù)中的不良習(xí)慣，審計(jì)或備份的缺乏。管理性弱點(diǎn) 戰(zhàn)略、程序、規(guī)章制度、人員認(rèn)識(shí)、組織構(gòu)造等方面的缺乏。識(shí)別弱點(diǎn)的途徑有很多，包括各種審計(jì)報(bào)告、事件報(bào)告、平安復(fù)查報(bào)告、系統(tǒng)測(cè)試及評(píng)價(jià)報(bào)告等，還可以利用專業(yè)機(jī)構(gòu)發(fā)布的列表信息，當(dāng)然，許多技術(shù)性和操作性弱點(diǎn)，可以借助自動(dòng)化的破綻掃描工具和浸透測(cè)試等方法來(lái)識(shí)別和評(píng)價(jià)。評(píng)價(jià)弱點(diǎn)時(shí)需求思索兩個(gè)要素，一個(gè)是弱點(diǎn)的嚴(yán)重程度Severity，另一個(gè)是弱點(diǎn)的暴露程度Exposure，即被利用的容易程度，當(dāng)然，這兩個(gè)要素也可以用“高、“中、“低三個(gè)等級(jí)來(lái)衡量。需求留意的是，弱點(diǎn)是要挾發(fā)生的直接條件，假設(shè)資產(chǎn)沒(méi)有弱

23、點(diǎn)或者弱點(diǎn)很細(xì)微，要挾源就很難利用其損害資產(chǎn)，哪怕它的才干多高動(dòng)機(jī)多么劇烈。信息平安評(píng)價(jià)規(guī)范的開(kāi)展企業(yè)的網(wǎng)絡(luò)環(huán)境和運(yùn)用系統(tǒng)愈來(lái)愈復(fù)雜，每個(gè)企業(yè)都有這樣的疑惑：本人的網(wǎng)絡(luò)和運(yùn)用系統(tǒng)有哪些平安破綻？應(yīng)該怎樣處理？如何規(guī)劃企業(yè)的平安建立？信息平安評(píng)價(jià)回答了這些問(wèn)題。什么是信息平安評(píng)價(jià)？關(guān)于這個(gè)問(wèn)題，由于每個(gè)人的了解不同，能夠有不同的答案。但比較流行的一種看法是：信息平安評(píng)價(jià)是信息平安生命周期中的一個(gè)重要環(huán)節(jié)，是對(duì)企業(yè)的網(wǎng)絡(luò)拓?fù)錁?gòu)造、重要效力器的位置、帶寬、協(xié)議、硬件、與Internet的接口、防火墻的配置、平安管理措施及運(yùn)用流程等進(jìn)展全面的平安分析，并提出平安風(fēng)險(xiǎn)分析報(bào)告和改良建議書。信息平安評(píng)價(jià)的

24、作用信息平安評(píng)價(jià)具有如下作用：(1)明確企業(yè)信息系統(tǒng)的平安現(xiàn)狀。進(jìn)展信息平安評(píng)價(jià)后，可以讓企業(yè)準(zhǔn)確地了解本身的網(wǎng)絡(luò)、各種運(yùn)用系統(tǒng)以及管理制度規(guī)范的平安現(xiàn)狀，從而明晰企業(yè)的平安需求。(2)確定企業(yè)信息系統(tǒng)的主要平安風(fēng)險(xiǎn)。在對(duì)網(wǎng)絡(luò)和運(yùn)用系統(tǒng)進(jìn)展信息平安評(píng)價(jià)并進(jìn)展風(fēng)險(xiǎn)分級(jí)后，可以確定企業(yè)信息系統(tǒng)的主要平安風(fēng)險(xiǎn)，并讓企業(yè)選擇防止、降低、接受等風(fēng)險(xiǎn)處置措施。(3)指點(diǎn)企業(yè)信息系統(tǒng)平安技術(shù)體系與管理體系的建立。對(duì)企業(yè)進(jìn)展信息平安評(píng)價(jià)后，可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的平安戰(zhàn)略及平安處理方案，從而指點(diǎn)企業(yè)信息系統(tǒng)平安技術(shù)體系如部署防火墻、入侵檢測(cè)與破綻掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰根底設(shè)備PKI等與管

25、理體系平安組織保證、平安管理制度及平安培訓(xùn)機(jī)制等的建立。主要的信息平安評(píng)價(jià)規(guī)范信息平安評(píng)價(jià)規(guī)范是信息平安評(píng)價(jià)的行動(dòng)指南?？尚诺挠?jì)算機(jī)系統(tǒng)平安評(píng)價(jià)規(guī)范TCSEC，從橘皮書到彩虹系列由美國(guó)國(guó)防部于1985年公布的，是計(jì)算機(jī)系統(tǒng)信息平安評(píng)價(jià)的第一個(gè)正式規(guī)范。它把計(jì)算機(jī)系統(tǒng)的平安分為4類、7個(gè)級(jí)別，對(duì)用戶登錄、授權(quán)管理、訪問(wèn)控制、審計(jì)跟蹤、隱蔽通道分析、可信通道建立、平安檢測(cè)、生命周期保證、文檔寫作、用戶指南等內(nèi)容提出了規(guī)范性要求。信息技術(shù)平安評(píng)價(jià)規(guī)范ITSEC，歐洲百皮書是由法、英、荷、德歐洲四國(guó)90年代初結(jié)合發(fā)布的，它提出了信息平安的性、完好性、可用性的平安屬性。性就是保證沒(méi)有經(jīng)過(guò)授權(quán)的用戶、實(shí)體

26、或進(jìn)程無(wú)法竊取信息；完好性就是保證沒(méi)有經(jīng)過(guò)授權(quán)的用戶不能改動(dòng)或者刪除信息，從而信息在傳送的過(guò)程中不會(huì)被偶爾或故意破壞，堅(jiān)持信息的完好、一致；可用性是指合法用戶的正常懇求能及時(shí)、正確、平安地得到效力或回應(yīng)。ITSEC把可信計(jì)算機(jī)的概念提高到可信信息技術(shù)的高度上來(lái)認(rèn)識(shí)，對(duì)國(guó)際信息平安的研討、實(shí)施產(chǎn)生了深化的影響。信息技術(shù)平安評(píng)價(jià)的通用規(guī)范CC由六個(gè)國(guó)家美、加、英、法、德、荷于1996年結(jié)合提出的，并逐漸構(gòu)成國(guó)際規(guī)范ISO15408。該規(guī)范定義了評(píng)價(jià)信息技術(shù)產(chǎn)品和系統(tǒng)平安性的根本準(zhǔn)那么，提出了目前國(guó)際上公認(rèn)的表述信息技術(shù)平安性的構(gòu)造，即把平安要求分為規(guī)范產(chǎn)品和系統(tǒng)平安行為的功能要求以及處理如何正確有

27、效地實(shí)施這些功能的保證要求。CC規(guī)范是第一個(gè)信息技術(shù)平安評(píng)價(jià)國(guó)際規(guī)范，它的發(fā)布對(duì)信息平安具有重要意義，是信息技術(shù)平安評(píng)價(jià)規(guī)范以及信息平安技術(shù)開(kāi)展的一個(gè)重要里程碑。ISO13335規(guī)范初次給出了關(guān)于IT平安的嚴(yán)密性、完好性、可用性、審計(jì)性、認(rèn)證性、可靠性6個(gè)方面含義，并提出了以風(fēng)險(xiǎn)為中心的平安模型：企業(yè)的資產(chǎn)面臨很多要挾包括內(nèi)部的要挾和外部的要挾；要挾利用信息系統(tǒng)存在的各種破綻如：物理環(huán)境、網(wǎng)絡(luò)效力、主機(jī)系統(tǒng)、運(yùn)用系統(tǒng)、相關(guān)人員、平安戰(zhàn)略等，對(duì)信息系統(tǒng)進(jìn)展浸透和攻擊。假設(shè)浸透和攻擊勝利，將導(dǎo)致企業(yè)資產(chǎn)的暴露；資產(chǎn)的暴露如系統(tǒng)高級(jí)管理人員由于不小心而導(dǎo)致重要信息的泄露，會(huì)對(duì)資產(chǎn)的價(jià)值產(chǎn)生影響包括直

28、接和間接的影響；風(fēng)險(xiǎn)就是要挾利用破綻使資產(chǎn)暴露而產(chǎn)生的影響的大小，這可以為資產(chǎn)的重要性和價(jià)值所決議；對(duì)企業(yè)信息系統(tǒng)平安風(fēng)險(xiǎn)的分析，就得出了系統(tǒng)的防護(hù)需求；根據(jù)防護(hù)需求的不同制定系統(tǒng)的平安處理方案，選擇適當(dāng)?shù)姆雷o(hù)措施，進(jìn)而降低平安風(fēng)險(xiǎn)，并抗擊要挾。該模型論述了信息平安評(píng)價(jià)的思緒，對(duì)企業(yè)的信息平安評(píng)價(jià)任務(wù)具有指點(diǎn)意義。BS7799是英國(guó)的工業(yè)、政府和商業(yè)共同需求而開(kāi)展的一個(gè)規(guī)范，它分兩部分：第一部分為“信息平安管理事務(wù)準(zhǔn)那么；第二部分為“信息平安管理系統(tǒng)的規(guī)范。目前此規(guī)范曾經(jīng)被很多國(guó)家采用，并已成為國(guó)際規(guī)范ISO17799。 BS7799包含10個(gè)控制大項(xiàng)、36個(gè)控制目的和127個(gè)控制措施。BS7

29、799/ISO17799主要提供了有效地實(shí)施信息系統(tǒng)風(fēng)險(xiǎn)管理的建議，并引見(jiàn)了風(fēng)險(xiǎn)管理的方法和過(guò)程。企業(yè)可以參照該規(guī)范制定出本人的平安戰(zhàn)略和風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施步驟。AS/NZS 4360：1999是澳大利亞和新西蘭結(jié)合開(kāi)發(fā)的風(fēng)險(xiǎn)管理規(guī)范，第一版于1995年發(fā)布。在AS/NZS 4360:1999中，風(fēng)險(xiǎn)管理分為建立環(huán)境、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)監(jiān)控與回想、通訊和咨詢七個(gè)步驟。AS/NZS 4360:1999是風(fēng)險(xiǎn)管理的通用指南，它給出了一整套風(fēng)險(xiǎn)管理的流程，對(duì)信息平安風(fēng)險(xiǎn)評(píng)價(jià)具有指點(diǎn)作用。目前該規(guī)范已廣泛運(yùn)用于新南威爾士洲、澳大利亞政府、英聯(lián)邦衛(wèi)生組織等機(jī)構(gòu)。OCTAVEOpera

30、tionally Critical Threat, Asset, and Vulnerability Evaluation是可操作的關(guān)鍵要挾、資產(chǎn)和弱點(diǎn)評(píng)價(jià)方法和流程。OCTAVE首先強(qiáng)調(diào)的是O可操作性，其次是C關(guān)鍵系統(tǒng)，也就是說(shuō)，它最注重可操作性，其次對(duì)關(guān)鍵性很關(guān)注。OCTAVE將信息平安風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程分為三個(gè)階段：階段一，建立基于資產(chǎn)的要挾配置文件；階段二，標(biāo)識(shí)根底構(gòu)造的弱點(diǎn)；階段三，確定平安戰(zhàn)略和方案。國(guó)內(nèi)主要是等同采用國(guó)際規(guī)范。公安部主持制定、國(guó)家質(zhì)量技術(shù)監(jiān)視局發(fā)布的中華人民共和國(guó)國(guó)家規(guī)范GB17895-1999已正式公布并實(shí)施。該準(zhǔn)那么將信息系統(tǒng)平安分為5個(gè)等級(jí)：自主維護(hù)級(jí)、系統(tǒng)審計(jì)維

31、護(hù)級(jí)、平安標(biāo)志維護(hù)級(jí)、構(gòu)造化維護(hù)級(jí)和訪問(wèn)驗(yàn)證維護(hù)級(jí)。主要的平安考核目的有身份認(rèn)證、自主訪問(wèn)控制、數(shù)據(jù)完好性、審計(jì)等，這些目的涵蓋了不同級(jí)別的平安要求。GB18336也是等同采用ISO 15408規(guī)范?，F(xiàn)有信息平安評(píng)價(jià)規(guī)范的局限性風(fēng)險(xiǎn)分析的方法有定性分析、半定量分析和定量分析?，F(xiàn)有的信息平安評(píng)價(jià)規(guī)范主要采用定性分析法對(duì)風(fēng)險(xiǎn)進(jìn)展分析，即通常采取平安事件發(fā)生的概率來(lái)計(jì)算風(fēng)險(xiǎn)。 然而，在平安評(píng)價(jià)過(guò)程中，評(píng)價(jià)人員經(jīng)常面臨的問(wèn)題是：信息資產(chǎn)的重要性如何度量？資產(chǎn)如何分級(jí)？什么樣的系統(tǒng)損失能夠構(gòu)成什么樣的經(jīng)濟(jì)損失？如何構(gòu)建技術(shù)體系和管理體系到達(dá)預(yù)定的平安等級(jí)？一個(gè)由病毒中斷了的郵件系統(tǒng)，企業(yè)因此呵斥的經(jīng)濟(jì)損

32、失和社會(huì)影響如何計(jì)算？假設(shè)黑客入侵，雖然沒(méi)有呵斥較大的經(jīng)濟(jì)損失，但企業(yè)的聲譽(yù)損失又該如何衡量？另外，對(duì)企業(yè)的管理人員而言：哪些風(fēng)險(xiǎn)在企業(yè)可接受的范圍內(nèi)？這些問(wèn)題從不同角度決議了一個(gè)信息系統(tǒng)平安評(píng)價(jià)的結(jié)果。目前的信息平安評(píng)價(jià)規(guī)范都不能對(duì)這些問(wèn)題進(jìn)展定量分析，在沒(méi)有一個(gè)一致的信息平安評(píng)價(jià)規(guī)范的情況下，各家專業(yè)評(píng)價(jià)公司大多數(shù)是憑仗各自積累的閱歷來(lái)處理。因此，這就需求一致的信息平安評(píng)價(jià)規(guī)范的出臺(tái)。信息平安評(píng)價(jià)的市場(chǎng)前景隨著業(yè)界對(duì)于信息平安問(wèn)題認(rèn)識(shí)的不斷深化，隨著信息平安體系的不斷實(shí)際，越來(lái)越多的人發(fā)現(xiàn)信息平安問(wèn)題最終都?xì)w結(jié)為一個(gè)風(fēng)險(xiǎn)管理問(wèn)題。據(jù)統(tǒng)計(jì)，國(guó)外興隆國(guó)家用在信息平安評(píng)價(jià)上的投資能占企業(yè)總投資的

33、1%5%，電信和金融行業(yè)能到達(dá)3%5%。照此計(jì)算，每年僅銀行的平安評(píng)價(jià)費(fèi)用就超越幾個(gè)億。而且，企業(yè)的平安風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的，只需動(dòng)態(tài)的信息平安評(píng)價(jià)才干發(fā)現(xiàn)和跟蹤最新的平安風(fēng)險(xiǎn)。所以企業(yè)的信息平安評(píng)價(jià)是一個(gè)長(zhǎng)期繼續(xù)的任務(wù)，通常應(yīng)該每隔1-3年就進(jìn)展一次平安風(fēng)險(xiǎn)評(píng)價(jià)。因此，信息平安評(píng)價(jià)有著寬廣的市場(chǎng)前景。FRAP方法與風(fēng)險(xiǎn)管理文章董永樂(lè)文章來(lái)源：?jiǎn)⒚餍浅叫畔⒓夹g(shù)1引言網(wǎng)絡(luò)使本來(lái)獨(dú)立的計(jì)算機(jī)系統(tǒng)相互銜接構(gòu)成了全球網(wǎng)絡(luò)空間(CyberSpace)。這一方面整合了計(jì)算機(jī)資源與數(shù)據(jù)資源，另一方面也引入了新的風(fēng)險(xiǎn)-信息平安風(fēng)險(xiǎn)。信息資產(chǎn)的一切者關(guān)懷的是如何以合理的投入獲得足夠的平安，或者，如何把信息平安風(fēng)

34、險(xiǎn)控制在可接受的范圍內(nèi)。信息平安風(fēng)險(xiǎn)管理針對(duì)信息平安風(fēng)險(xiǎn)的三個(gè)關(guān)鍵元素：資產(chǎn)、脆弱性與要挾，從信息平安風(fēng)險(xiǎn)的角度來(lái)衡量并保證銜接在網(wǎng)絡(luò)上的信息系統(tǒng)的平安性。信息平安風(fēng)險(xiǎn)評(píng)價(jià)以下簡(jiǎn)稱風(fēng)險(xiǎn)評(píng)價(jià)正是從這三個(gè)關(guān)鍵元素分別入手來(lái)分析信息資產(chǎn)面臨的風(fēng)險(xiǎn)。可以以為風(fēng)險(xiǎn)評(píng)價(jià)在風(fēng)險(xiǎn)管理過(guò)程的起點(diǎn)。信息平安風(fēng)險(xiǎn)分析方法可以分為兩大類：定性分析方法與定量分析方法。FRAP方法是一種基于信息資產(chǎn)的半定量風(fēng)險(xiǎn)分析方法。在本文提到的案例中采用了經(jīng)過(guò)剪裁并改良的FRAP方法(TailoredFRAP，簡(jiǎn)稱T-FRAP)。本文分為5個(gè)部分。除了引言之外，第2小節(jié)簡(jiǎn)單引見(jiàn)了用到的案例工程的背景信息；第3小節(jié)簡(jiǎn)要引見(jiàn)FRAP和O

35、CTAVE，并引入T-FRAP方法；第4小節(jié)論述T-FRAP方法相對(duì)于FRAP方法所做的改良以及如何利用T-FRAP將信息系統(tǒng)生命周期與風(fēng)險(xiǎn)管理過(guò)程結(jié)合在一同；最后給出了本文的結(jié)論。2案例分析本文所用的案例一個(gè)實(shí)踐工程P。工程的甲方是客戶C，風(fēng)險(xiǎn)評(píng)價(jià)的對(duì)象是客戶的運(yùn)用系統(tǒng)A，分布在全國(guó)各地。工程P的范圍是從系統(tǒng)A中抽取了5個(gè)節(jié)點(diǎn)，合計(jì)1,500臺(tái)主機(jī)與網(wǎng)絡(luò)設(shè)備進(jìn)展信息采集和分析，利用T-FRAP方法進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)，最后給出綜合風(fēng)險(xiǎn)分析報(bào)告和風(fēng)險(xiǎn)控制建議。2.1目的系統(tǒng)簡(jiǎn)介在工程P中，運(yùn)用系統(tǒng)A包括16個(gè)子系統(tǒng)，主機(jī)操作系統(tǒng)類型主要有Windows系列、UNIX類操作系統(tǒng)RedHatLinux，T

36、urboLinux，SCOUnixware，數(shù)據(jù)庫(kù)管理系統(tǒng)包括Oracle、SQLServer，HTTP效力主要由MSIIS提供。系統(tǒng)A中的16個(gè)子系統(tǒng)由不同的軟件開(kāi)發(fā)商開(kāi)發(fā)，最后由一個(gè)總集成商集成在一同。網(wǎng)絡(luò)方面，同樣采用了多種網(wǎng)絡(luò)設(shè)備；平安方面那么利用防火墻、IDS、VPN、反病毒軟件等產(chǎn)品構(gòu)成網(wǎng)絡(luò)平安保證子系統(tǒng)。這是一個(gè)典型的企業(yè)網(wǎng)絡(luò)。2.2用戶需求分析客戶C對(duì)本工程提出了如下要求：僅從技術(shù)上進(jìn)展風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析時(shí)不涉及詳細(xì)業(yè)務(wù)系統(tǒng)對(duì)于信息平安風(fēng)險(xiǎn)評(píng)價(jià)工程來(lái)說(shuō)，不結(jié)合資產(chǎn)，不結(jié)合詳細(xì)業(yè)務(wù)系統(tǒng)進(jìn)展分析而得出的結(jié)論與實(shí)踐情況的偏向很能夠會(huì)比較大。為了保證在這種約束條件下，評(píng)價(jià)結(jié)果能盡能夠真實(shí)

37、地反映目的系統(tǒng)所面臨的風(fēng)險(xiǎn)，需求改良現(xiàn)有的方法。其中有兩個(gè)關(guān)鍵問(wèn)題：要挾分析的結(jié)果偏向大，而且難以預(yù)測(cè)根據(jù)風(fēng)險(xiǎn)分析的結(jié)果采取技術(shù)保證措施來(lái)控制風(fēng)險(xiǎn)的原那么3評(píng)價(jià)方法：T-FRAP3.1方法對(duì)比與選擇思索到P工程的特點(diǎn)，我們需求選擇一種恰當(dāng)?shù)姆椒?。信息平安風(fēng)險(xiǎn)評(píng)價(jià)方法的根本實(shí)際與模型是從業(yè)務(wù)風(fēng)險(xiǎn)評(píng)價(jià)的實(shí)際與模型衍生而來(lái)。如今較為流行的是FRAP與OCTAVE。下面簡(jiǎn)要引見(jiàn)兩種方法。3.1.1OCTAVE簡(jiǎn)介典型的OCTAVE過(guò)程包括3大步驟，8個(gè)階段：步驟1:提取基于資產(chǎn)的要挾概略P1:確定高級(jí)管理層的認(rèn)識(shí)P2:確定運(yùn)作管理層的認(rèn)識(shí)P3:確定全體職員的認(rèn)識(shí)P4:建立要挾輪廓步驟2:確定根底設(shè)備破

38、綻P5:確定關(guān)鍵組件P6:評(píng)價(jià)選擇的組件步驟3:制定平安戰(zhàn)略和方案P7:實(shí)施風(fēng)險(xiǎn)分析P8:制定維護(hù)戰(zhàn)略3.1.2FRAP簡(jiǎn)介FRAP是便利的風(fēng)險(xiǎn)分析過(guò)程FacilitatedRiskAnalysisProcess的縮寫。這是一種高效的，嚴(yán)厲的過(guò)程方法，主要為了保證業(yè)務(wù)運(yùn)營(yíng)的信息平安相關(guān)風(fēng)險(xiǎn)能得到思索并歸檔。FRAP的主要過(guò)程包括：信息搜集談判，自動(dòng)化工具，交互操作等方式，信息整理，信息分析，風(fēng)險(xiǎn)計(jì)算。整個(gè)過(guò)程涵蓋技術(shù)、管理、運(yùn)轉(zhuǎn)三個(gè)方面的內(nèi)容。3.2T-FRAP從上面的簡(jiǎn)介可以看出，OCTAVE并不適宜這個(gè)工程的要求。相對(duì)而言，F(xiàn)RAP方法更接近工程的要求。為理處理風(fēng)險(xiǎn)評(píng)價(jià)中較難抑制的兩個(gè)關(guān)鍵

39、問(wèn)題要挾評(píng)價(jià)的偏向與控制措施缺乏針對(duì)性，我們?cè)谶x用FRAP方法的同時(shí)思索對(duì)它進(jìn)展適當(dāng)?shù)募舨门c改良。3.2.1技術(shù)層面的風(fēng)險(xiǎn)分析由于本工程要求僅從技術(shù)層面分析信息平安風(fēng)險(xiǎn)，因此T-FRAP略去了管理評(píng)價(jià)。在技術(shù)層面的風(fēng)險(xiǎn)評(píng)價(jià)中，工程也明確要求不對(duì)曾經(jīng)非常完好的物理平安措施做任何評(píng)價(jià)，因此T-FRAP主要集中在評(píng)價(jià)網(wǎng)絡(luò)構(gòu)造和主機(jī)系統(tǒng)方面存在的脆弱性和面臨的要挾。3.2.2簡(jiǎn)化的風(fēng)險(xiǎn)計(jì)算方法由于本工程沒(méi)有定義信息資產(chǎn)價(jià)值，因此一切的信息資產(chǎn)被以為是同等重要，這大大簡(jiǎn)化了風(fēng)險(xiǎn)計(jì)算方法。另外，在網(wǎng)絡(luò)構(gòu)造與主機(jī)系統(tǒng)的風(fēng)險(xiǎn)分析中用事件分析替代要挾分析，這樣就防止了要挾分析呵斥的難以預(yù)測(cè)的偏向，同時(shí)也使風(fēng)險(xiǎn)控

40、制措施有很強(qiáng)的針對(duì)性。4方法的改良在簡(jiǎn)要引見(jiàn)了FRAP方法與OCTAVE過(guò)程后，我們結(jié)合風(fēng)險(xiǎn)管理的過(guò)程簡(jiǎn)單地分析一下T-FRAP對(duì)FRAP的主要改良。4.1引入事件分析在FRAP方法中，大致的流程如以下圖所示：圖1.FRAP風(fēng)險(xiǎn)分析方法簡(jiǎn)要流程如圖1所示，要挾分析直接影響風(fēng)險(xiǎn)分析的最終結(jié)果。因此，要挾分析能否準(zhǔn)確直接影響到風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果能否準(zhǔn)確。4.1.1要挾分析的缺乏FRAP方法面臨的最大問(wèn)題就是難以控制要挾分析的結(jié)果與實(shí)踐情況之間的偏向，顯然，這削減了基于資產(chǎn)、脆弱性、要挾三個(gè)關(guān)鍵元素進(jìn)展風(fēng)險(xiǎn)綜合分析的結(jié)果的參考價(jià)值。通常在風(fēng)險(xiǎn)評(píng)價(jià)的相關(guān)文獻(xiàn)中都會(huì)給出幾大類一百多項(xiàng)能夠的要挾。如何從大量的要

41、挾中選出真正能對(duì)目的系統(tǒng)產(chǎn)生影響的要挾非常困難。4.1.2事件分析的作用與要挾親密相關(guān)的是事件。事件的參考定義如下：event:=表示事件是針對(duì)目的的行為，意在導(dǎo)致目的的形狀變化。attack:=表示攻擊是借助于工具，利用系統(tǒng)弱點(diǎn)，得到未授權(quán)結(jié)果的一同事件。incident:=表示事故是攻擊者執(zhí)行攻擊行為到達(dá)目的。圖2.icident,attack,andevent在T-FRAP中，事件分析的作用主要在于可視化并量化要挾，以及加強(qiáng)風(fēng)險(xiǎn)控制措施的針對(duì)性。要挾可視化從圖2中可知，事件分析的作用之一是把本來(lái)具有潛在性的要挾用可以察看、可以比較的事件來(lái)表現(xiàn)。目前，察看、比較與統(tǒng)計(jì)事件都有成熟易用的工具

42、。要挾量化同樣，從圖2中可知，事件分析的作用之二是把本來(lái)不可量化的要挾用可以統(tǒng)計(jì)的事件來(lái)表現(xiàn)。事件的數(shù)量，危害級(jí)別正好也是針對(duì)要挾的模糊性提出來(lái)的。加強(qiáng)風(fēng)險(xiǎn)控制措施的針對(duì)性同樣，從圖2中可知，事件分析的作用之三是使風(fēng)險(xiǎn)控制措施不再針對(duì)潛在的、難以量化的要挾，而是針對(duì)可以察看、可以比較、可以量化的事件。4.2風(fēng)險(xiǎn)控制措施的選擇原那么在風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果中，綜合風(fēng)險(xiǎn)決議了選擇風(fēng)險(xiǎn)控制措施的總原那么。此外，事件的級(jí)別與數(shù)量，弱點(diǎn)的嚴(yán)重程度與可達(dá)性都是影響風(fēng)險(xiǎn)控制措施的關(guān)鍵要素。4.2.1事件級(jí)別與數(shù)量事件級(jí)別與數(shù)量在一定程度上反映了要挾勝利的能夠性與影響的大小。從這個(gè)角度來(lái)看，風(fēng)險(xiǎn)控制措施的力度應(yīng)該和事

43、件的級(jí)別與數(shù)量成正比。4.2.2弱點(diǎn)的嚴(yán)重程度與可達(dá)性弱點(diǎn)的嚴(yán)重程度與可達(dá)性主要思索信息系統(tǒng)的環(huán)境要素。它同樣在一定程度上反映了風(fēng)險(xiǎn)的能夠性與大小。從這個(gè)角度來(lái)看，風(fēng)險(xiǎn)控制措施的力度應(yīng)該和弱點(diǎn)的嚴(yán)重程度與可達(dá)性成正比。4.3信息系統(tǒng)建立過(guò)程中的風(fēng)險(xiǎn)管理引入事件分析的另一個(gè)益處是很容易把風(fēng)險(xiǎn)管理拓展到信息系統(tǒng)建立過(guò)程中，而非僅僅對(duì)曾經(jīng)建好的信息系統(tǒng)進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)與控制。4.3.1信息系統(tǒng)生命周期信息系統(tǒng)的生命周期包括需求分析，系統(tǒng)設(shè)計(jì)，系統(tǒng)運(yùn)轉(zhuǎn)與維護(hù)3大階段。這3個(gè)階段之外還有系統(tǒng)的檢查與改良。4.3.2需求分析vs.風(fēng)險(xiǎn)分析通常，信息系統(tǒng)從可行性論證開(kāi)場(chǎng)就曾經(jīng)著手進(jìn)展風(fēng)險(xiǎn)分析。然而，在可靠性論證

44、階段的風(fēng)險(xiǎn)分析并不是信息系統(tǒng)本身要面臨的風(fēng)險(xiǎn)。因此，在信息系統(tǒng)建立的生命周期中，需求分析是一個(gè)適于引入風(fēng)險(xiǎn)分析的階段。在需求分析階段需求思索如下幾方面：信息系統(tǒng)能夠存在的缺陷或瑕疵引起的平安問(wèn)題；信息系統(tǒng)的運(yùn)用環(huán)境中能夠存在的要挾；信息系統(tǒng)的運(yùn)用者在平安認(rèn)識(shí)方面能夠存在缺乏；能夠出現(xiàn)與信息系統(tǒng)相關(guān)的緊急事故。這樣，需求分析不僅要輸出信息系統(tǒng)本身的功能需求，而且要給出信息系統(tǒng)的平安需求。包括但不限于如下幾方面：平安功能需求平安管理需求平安效力需求4.3.3系統(tǒng)設(shè)計(jì)vs.風(fēng)險(xiǎn)控制根據(jù)在需求分析階段得出的平安需求，在系統(tǒng)設(shè)計(jì)階段除了設(shè)計(jì)信息系統(tǒng)本身的構(gòu)造、系統(tǒng)硬件平臺(tái)架構(gòu)、協(xié)議體系、操作系統(tǒng)平臺(tái)、運(yùn)

45、用軟件框架、業(yè)務(wù)模型之外，還要設(shè)計(jì)風(fēng)險(xiǎn)控制措施。也就是用詳細(xì)的控制措施搭建信息平安保證系統(tǒng)。4.3.4系統(tǒng)實(shí)現(xiàn)vs.風(fēng)險(xiǎn)控制措施實(shí)現(xiàn)在系統(tǒng)實(shí)現(xiàn)階段需求并行完成信息系統(tǒng)本身的實(shí)現(xiàn)和信息平安保證系統(tǒng)的實(shí)現(xiàn)。由于兩者相互影響，關(guān)系親密，所以需求同步開(kāi)發(fā)、調(diào)試、測(cè)試與發(fā)布。4.3.5運(yùn)轉(zhuǎn)與維護(hù)vs.修補(bǔ)加固運(yùn)轉(zhuǎn)與維護(hù)階段開(kāi)場(chǎng)之前必需檢查信息系統(tǒng)采用的軟、硬件系統(tǒng)的脆弱性并及時(shí)修補(bǔ)加固。以確保信息系統(tǒng)的脆弱性在實(shí)踐投入運(yùn)轉(zhuǎn)之前曾經(jīng)充分暴露并盡能夠補(bǔ)救。在遇到?jīng)]有相應(yīng)的成熟加固方案或者由于其它緣由呵斥信息系統(tǒng)依然存在脆弱性時(shí)，需求采取其它風(fēng)險(xiǎn)防備措施。例如：分析脆弱性的相關(guān)事件，針對(duì)事件進(jìn)展防備；分析脆弱

46、性的相關(guān)資產(chǎn)，在風(fēng)險(xiǎn)可接受時(shí)思索隔離存在脆弱性的部分；5結(jié)論信息系統(tǒng)的風(fēng)險(xiǎn)管理是信息平安的靈魂。風(fēng)險(xiǎn)評(píng)價(jià)那么是風(fēng)險(xiǎn)管理的起點(diǎn)和根底。FRAP是一種簡(jiǎn)便的風(fēng)險(xiǎn)評(píng)價(jià)方法，T-FRAP在FRAP的根底上作了適當(dāng)剪裁與改良，使之更加適宜偏向技術(shù)層面的信息平安風(fēng)險(xiǎn)評(píng)價(jià)。詳細(xì)來(lái)說(shuō)，T-FRAP相對(duì)于FRAP的主要改良表達(dá)在：1、減小要挾評(píng)價(jià)的偏向；2、根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果引入風(fēng)險(xiǎn)控制措施的決策原那么；3、將風(fēng)險(xiǎn)管理過(guò)程映射到信息系統(tǒng)生命周期的不同階段。天闐入侵風(fēng)險(xiǎn)評(píng)價(jià)系統(tǒng)發(fā)布時(shí)間：2005-5-2222:09:45文章來(lái)源：?jiǎn)⒚餍浅教礻D入侵風(fēng)險(xiǎn)評(píng)價(jià)系統(tǒng)經(jīng)過(guò)分布式的網(wǎng)絡(luò)掃描引擎定期對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)展掃描，建立資

47、產(chǎn)脆弱性分析數(shù)據(jù)庫(kù)，采用協(xié)同關(guān)聯(lián)分析技術(shù)，對(duì)入侵檢測(cè)系統(tǒng)實(shí)時(shí)報(bào)警事件進(jìn)展對(duì)應(yīng)性校驗(yàn)，顯示入侵事件的風(fēng)險(xiǎn)分析和評(píng)價(jià)結(jié)果。評(píng)價(jià)過(guò)程：天闐入侵風(fēng)險(xiǎn)評(píng)價(jià)系統(tǒng)是獨(dú)立的軟件系統(tǒng)，其作用發(fā)揚(yáng)依賴如下系統(tǒng)的前期部署：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：報(bào)告入侵事件和攻擊目的，反映資產(chǎn)面臨的要挾網(wǎng)絡(luò)破綻掃描系統(tǒng)：報(bào)告主機(jī)形狀和破綻分布，反映資產(chǎn)的脆弱性天闐入侵風(fēng)險(xiǎn)評(píng)價(jià)系統(tǒng)采用如下的分析過(guò)程：判別入侵事件中的攻擊對(duì)象能否落入所關(guān)懷的資產(chǎn)范圍之內(nèi)。判別該入侵事件影響的系統(tǒng)和目的資產(chǎn)的實(shí)踐系統(tǒng)能否有對(duì)應(yīng)性。判別入侵事件針對(duì)的端口在目的資產(chǎn)上能否曾經(jīng)翻開(kāi)。判別目的資產(chǎn)上能否具有入侵事件所針對(duì)的破綻。根據(jù)以上的分析，給出入侵事件的風(fēng)險(xiǎn)分析

48、和評(píng)價(jià)結(jié)果。功能特點(diǎn)：關(guān)聯(lián)分析條件設(shè)置：關(guān)聯(lián)分析條件包括指定關(guān)聯(lián)分析對(duì)象、關(guān)聯(lián)分析掃描戰(zhàn)略、資產(chǎn)對(duì)象管理。經(jīng)過(guò)設(shè)置，預(yù)先建立對(duì)資產(chǎn)主機(jī)、效力、系統(tǒng)信息和破綻分布情況的資料庫(kù)，為進(jìn)展入侵事件的校驗(yàn)做好預(yù)備。入侵風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果顯示：經(jīng)過(guò)一系列實(shí)時(shí)關(guān)聯(lián)分析判別，可以得出全面的風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果，對(duì)于入侵事件和破綻信息相對(duì)應(yīng)的高風(fēng)險(xiǎn)隱患給出明確的警示，作為管理人員處置的有效根據(jù)。支持掃描戰(zhàn)略靈敏調(diào)整和擴(kuò)展：提供強(qiáng)大的掃描戰(zhàn)略編輯功能，對(duì)關(guān)聯(lián)分析掃描戰(zhàn)略進(jìn)展順應(yīng)性調(diào)整。支持資產(chǎn)脆弱性資料庫(kù)的定期更新：由于實(shí)踐環(huán)境的動(dòng)態(tài)變化，為了保證風(fēng)險(xiǎn)分析的準(zhǔn)確性，可以制定定時(shí)的掃描方案義務(wù)，更新資產(chǎn)脆弱性分析資料庫(kù)。入侵風(fēng)險(xiǎn)

49、評(píng)價(jià)報(bào)告：經(jīng)過(guò)報(bào)告明確給出詳細(xì)的入侵檢測(cè)事件信息、破綻信息以及相應(yīng)的關(guān)聯(lián)分析結(jié)果，報(bào)告可以輸出多種格式，如：WORD、PDF、HTML等。經(jīng)過(guò)7+7屬性中的7個(gè)信息平安管理屬性分析等級(jí)維護(hù)任務(wù)在中辦發(fā)【2003】27號(hào)文和公通字【2004】66號(hào)文中，都明確將信息平安等級(jí)維護(hù)制度確定為我國(guó)開(kāi)展信息平安保證任務(wù)的一項(xiàng)根本制度。在有關(guān)等級(jí)維護(hù)的相關(guān)文件、規(guī)范、規(guī)范和指南中，指出了實(shí)施等級(jí)維護(hù)的一些根本原那么和關(guān)鍵要素。本文提出了信息平安保證任務(wù)的7+7平安屬性，并經(jīng)過(guò)對(duì)于其中的7個(gè)信息平安管理屬性來(lái)分析等級(jí)維護(hù)任務(wù)的實(shí)現(xiàn)思緒。本文以為信息平安的屬性實(shí)踐上是信息平安目的的籠統(tǒng)表達(dá)，而相關(guān)的信息平安措

50、施的籠統(tǒng)表達(dá)就是信息平安機(jī)制。比如，加密技術(shù)算法是一個(gè)信息平安機(jī)制，這個(gè)機(jī)制的不同實(shí)現(xiàn)方式，可以滿足不同的信息平安屬性；加密技術(shù)用在數(shù)據(jù)的存儲(chǔ)和傳輸上，可以滿足數(shù)據(jù)的嚴(yán)密性和完好性的要求；加密技術(shù)用在數(shù)字簽名的機(jī)制上，可以滿足對(duì)于一個(gè)過(guò)程和操作的不可否認(rèn)性要求?；\統(tǒng)的屬性附著在詳細(xì)的系統(tǒng)或者實(shí)體上的時(shí)候，就成為一個(gè)詳細(xì)系統(tǒng)的平安目的；而籠統(tǒng)的機(jī)制以某種方式詳細(xì)實(shí)現(xiàn)，那么就是一個(gè)信息平安產(chǎn)品或者措施了。7+7平安屬性是對(duì)于CIA嚴(yán)密性、完好性、可用性三性的擴(kuò)展。將CIA三性擴(kuò)展為：嚴(yán)密性、完好性、可用性、真實(shí)性、不可否認(rèn)性、可清查性、可控性等7個(gè)信息平安技術(shù)屬性目的。其中所添加的真實(shí)性、不可否認(rèn)

51、性、可清查性、可控性可以以為是完好性的擴(kuò)展和細(xì)化。同時(shí)，從管理的角度看，還該當(dāng)存在一些純管理的屬性，可以作為實(shí)施信息平安管理任務(wù)，實(shí)現(xiàn)“技術(shù)與管理并重要求的參考目的。我們把信息平安管理屬性歸納為：目的性、執(zhí)行性、效益性、時(shí)效性、順應(yīng)性、整體性和符合性等7個(gè)屬性。同樣，各種各樣的管理措施或者技術(shù)措施也會(huì)對(duì)于達(dá)成信息平安管理的屬性目的有協(xié)助 。比如：一個(gè)應(yīng)急呼應(yīng)體系，作為一個(gè)機(jī)制措施，可以滿足管理上的時(shí)效性和順應(yīng)性的要求；再比如構(gòu)建一個(gè)符合等級(jí)維護(hù)指南要求的信息平安管理體系，作為一些機(jī)制的組合，可以滿足管理上的符合性等要求。下面結(jié)合等級(jí)維護(hù)任務(wù)，來(lái)分析論述這些與信息平安管理屬性親密相關(guān)的原那么、方

52、法和建議。一、目的性原那么信息平安要到達(dá)一個(gè)機(jī)構(gòu)、一個(gè)單位、一個(gè)地域、一個(gè)行業(yè)乃至我國(guó)整體的信息平安保證目的，各項(xiàng)平安任務(wù)要有很好的針對(duì)性和目的性。由于信息平安任務(wù)非常復(fù)雜，經(jīng)過(guò)等級(jí)維護(hù)的思緒，可以協(xié)助 機(jī)構(gòu)明確維護(hù)的重點(diǎn)和適當(dāng)?shù)膹?qiáng)度。因此，在實(shí)施等級(jí)維護(hù)中，并不是為了等級(jí)而等級(jí)，而是可以促進(jìn)將本身業(yè)務(wù)任務(wù)的、真正的平安要求明確出來(lái)。為了明確恰當(dāng)?shù)钠桨材康?，運(yùn)用風(fēng)險(xiǎn)評(píng)價(jià)的方法是一個(gè)比較可行的途徑。風(fēng)險(xiǎn)評(píng)價(jià)方法的根本要義，實(shí)踐上就是將平安問(wèn)題和實(shí)踐業(yè)務(wù)相結(jié)合，將業(yè)務(wù)及承載它的系統(tǒng)的風(fēng)險(xiǎn)識(shí)別出來(lái)，進(jìn)而制定出等級(jí)。二、執(zhí)行性原那么也可稱為實(shí)效性原那么。等級(jí)維護(hù)任務(wù)的實(shí)施中，要可以真實(shí)協(xié)助 達(dá)成信息平

53、安目的。因此，等級(jí)維護(hù)任務(wù)并不是要將信息平安保證任務(wù)變得復(fù)雜，而是力圖將整個(gè)任務(wù)變得簡(jiǎn)單明確，提高可操作性。要想提高整體的可操作性，就要遵照任務(wù)的執(zhí)行規(guī)律。用三觀論宏觀、中觀、微觀的思緒分析整個(gè)任務(wù)的可執(zhí)行性是非常好的思緒之一，也就是等級(jí)維護(hù)任務(wù)要貫穿宏觀的業(yè)務(wù)/價(jià)值層面、微觀的技術(shù)/實(shí)現(xiàn)產(chǎn)品和效力層面，以及中觀的管理/運(yùn)營(yíng)層面。使得等級(jí)維護(hù)任務(wù)不是一個(gè)籠統(tǒng)工程或者單純的政策，而是可以自上而下推進(jìn)和自下而上貫徹的實(shí)效任務(wù)。三、效益性原那么信息平安任務(wù)是做不到100%的。假設(shè)要過(guò)度地追求接近100%的絕對(duì)平安，會(huì)導(dǎo)致信息平安任務(wù)的本錢急劇地升高。假設(shè)可以適宜地把握這個(gè)度，就需求等級(jí)維護(hù)任務(wù)中的“級(jí)別來(lái)協(xié)助