文档介绍:风险评估定量与定性的分析方法
姓名:杨泉
单位:上海三零卫士信息安全有限公司
摘要:风险评估是信息系统安全建设的关键步骤,也是进行信息安全规划、实施与管理的基础。本文结合应用实例阐述了定性与定量的分析方法在风险评估过程中的应用,提出了定量与定性相结合的风险评估方法。
关键词:信息安全、风险评估、评估模型、定量分析、定性分析
随着信息技术在社会各个领域的广泛应用,业务应用对信息系统依赖程度的加强,对信息的安全性要求也越来越高,安全已经成为信息系统中最重要的组成部分之一。 信息同其他商务资产一样,对企业和组织而言也是一种重要的资产,一旦信息资产遭到泄漏、修改、破坏,无论从经济上还是声誉上都会对组织造成很大的损害。
什么是风险评估
在BSI《BS7799》中将信息安全定义为:信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。而对于上述信息的CIA属性造成不期望出现的事件的主体则是信息资产所面临的威胁,如信息被非法访问;数据遭到破坏;水、火、雷电自然灾害等。威胁事件可能会导致系统或组织以及组织资产受到损害,造成资产价值的降低。脆弱性是与组织资产相关联的弱点,可以是技术上的也可以是组织上的。安全风险是指威胁利用系统或资产的脆弱性从而对组织资产造成直接或间接损害的可能性。
上述关系可用图1进行描述:
图1 分析评估中各组成单元关系
风险评估的目标是核实和评定一个组织及其资产所面临的风险,以核实并选择证明是正确的相应的安全控制系统。风险评估的成果体现为将测得的风险按照对组织资产的破坏列出清单,为安全规划、管理控制提供事实依据。
风险评估过程
在整个风险评估过程中,我们主要参考可操作性关键威胁评估和脆弱性评估OCTAVE(Operationally Critical Threat,Asset,and Vulnerability)进行实施。
OCTAVE是确认、管理信息安全性风险的框架体系,定义了全面评估过程。利用OCTAVE可以确认组织业务的关键性资产、对于这些资产的威胁以及可能为威胁所利用的资产脆弱性。通过将这些单一组件进行汇总整理,可以了解哪些信息资产存在安全风险,进而制定保护措施,以降低信息资产的风险性。
风险评估实施流程如图2所示
图2 风险评估流程
在前期准备阶段主要进行系统资料收集、确定评估范围、撰写调查提纲、制定实施计划等准备工作。
现场调查阶段的任务主要是完成对现有信息系统情况的调查工作。包括对系统资产情况的数据收集;对现有技术措施、信息系统安全配置、组织管理措施的调查等。采用的主要调查方式为人员问卷调查和技术手段分析。
风险分析阶段是整个风险评估过程的重点。根据上一阶段的调查结果,分析出系统主要面临的威胁因素;信息系统关键资产组件的构成情况;系统关键资产存在的脆弱性(包括技术措施和组织措施);从信息的机密性、完整性和可用性综合分析威胁因素对系统的影响。根据下面的公式计算出系统的安全风险:
风险= 威胁事件发生频度╳利用系统脆弱性的可能性╳对系统的综合影响
风险分析模型描述如图3
图3 风险分析模型
风险管理阶段根据对系统风险分析的结论,明确系统最终的安全需求,核实并选择适当的安全措施、策略将风险控制在可以接受的范