风险评估过程主要包括:“数据采集、安全评测、安全分析、报告处理”
一、数据采集方法有:问卷调查、人员访谈、漏洞扫描、渗透性测试等
1、问卷调查:下图是微软的Microsoft Security Aement Tool一款风险评估应用程序,目的是提供一些与信息技术 (IT) 基础架构中的安全最佳经验有关的信息和建议。此应用程序是专为拥有 50 到 500 台台式机和(或)100 到 1,000 名员工的组织设计的。它首先采集一些信息(已问卷调查的形式),如下图所示。通过填写一些配置信息(图左上),然后通过它的一套算法最后生成一个报告。
产生的分析报表:
2、人员访谈也可以以调查问卷的形式作为系统参数的输入配置
3、漏洞扫描、渗透性测试等数据可以通过漏洞扫描器等检测工具获得,输入本系统
二、安全评测、安全分析、报告处理等都属于本系统的功能,并采用前面数据采集得到的数据
目前常见的自动化风险评估工具还包括:
CORA —— CORA(Cost-of-Risk Analysis)是由国际安全技术公司(International Security Technology, Inc.www.daodoc.com)开发的一种风险管理决策支持系统,它采用典型的定量分析方法,可以方便地采集、组织、分析并存储风险数据,为组织的风险管理决策支持提供准确的依据。
ASSET —— ASSET(Automated Security Self-Evaluation Tool)是美国国家标准技术协会(National Institute of Standard and Technology,NIST)发布的一个可用来进行安全风险自我评估的自动化工具,它采用典型的基于知识的分析方法,利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST SpecialPublication 800-26,即信息技术系统安全自我评估指南(Security Self-AementGuide for Information Technology Systems),为组织进行IT 系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具,可以在NIST 的网站下载:http://icat.nist.gov。
CRAMM —— CRAMM(CCTA Risk Analysis and Management Method)是由英国 政府的中央计算机与电信局(Central Computer and Telecommunications Agency,CCTA)于1985 年开发的一种定量风险分析工具,同时支持定性分析。经过多次 版本更新(现在是第四版),目前由 Insight 咨询公司负责管理和授权。CRAMM 是一种可以评估信息系统风险并确定恰当对策的结构化方法,适用于各种类型的信息系统和网络,也可以在信息系统生命周期的各个阶段使用。CRAMM 的安全模型数据库基于著名的“资产/威胁/弱点”模型,评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM 与BS 7799 标准保持一致,它提供的可供选择的安全控制多达3000 个。除了风险评估,CRAMM 还可以对符合ITIL(IT Infrastructure Library)指南的业务连续性管理提供支持。 COBRA —— COBRA(Consultative, Objective and Bi-functional Risk Analysis)是英国的C&A 系统安全公司推出的一套风险分析工具软件,它通过问卷的方式来采集和分析数据,并对组织的风险进行定性分析,最终的评估报告中包含已识别风险的水平和推荐措施。此外,COBRA 还支持基于知识的评估方法,可以将组织的安全现状与ISO 17799 标准相比较,从中找出差距,提出弥补措施。C&A 公司提供了COBRA 试用版下载:http://www.daodoc.com/cobdown.htm。
术语简称:
可以用微软的那种方式采集得到,下面简称micro-style
下面是我们产生的评估报告大体的初步的框架
风险评估报告
1.1工程项目概况(micro-style) 1.1.1建设项目基本信息 1.1.2建设单位基本信息
一、风险评估项目概述
二、风险评估的目标
三、风险评估的依据(技术标准及相关法规文件)
四、风险评估的范围(评估对象)
3.1评估对象构成及定级
3.1.1网络结构(micro-style) 3.2.2业务应用(micro-style)
3.3.3子系统构成及定级(在3.1.1和3.2.2基础上根据国家标准对该系统安全等级定级,不同的等级采用不同的安全评估方法,最后采取的措施也不一样) 3.2评估对象等级保护措施(已采取的安全措施)(micro-style)
五、风险评估的内容
3.1资产识别(对组织有价值的信息或资源)
3.1.1资产种类(micro-style)
3.1.1.1数据(保存在信息媒介上的各种数据资料)
3.1.1.2软件(系统软件、应用软件、源程序) 3.1.1.3硬件(网络设备、计算机设备、存储设备、安全设备、其他)
3.1.1.4服务(信息服务、网络服务、办公服务) 3.1.1.5人员(掌握重要信息和核心业务的人员) 3.1.1.6其它
3.1.2资产赋值(最终得到一个资产赋值列表)通过一定的算法
3.1.2.1资产完整性赋值 3.1.2.2资产可用性赋值 3.1.2.3资产保密性赋值
3.1.3关键资产说明(得出关键资产列表) 3.2威胁识别
3.2.1威胁来源(micro-style)
3.2.1.1环境因素(环境危害或自然灾害、软硬件通信线路方面的故障等)
3.2.1.2人为因素(恶意人员、非恶意人员)
3.2.3威胁源描述与分析
3.2.3.1威胁源分析(软硬件故障、物理环境影
响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改抵赖)(威胁源分析表)(micro-style)
3.2.3.2威胁行为分析(威胁行为分析表)
3.2.2威胁赋值(通过一定的算法) 3.3脆弱性识别
3.3.1技术脆弱性(漏洞扫描器、渗透性工具等得到的数据->micro-style)
3.3.1.1物理环境的脆弱性 3.3.1.2网络结构 3.3.1.3系统软件 3.3.1.4应用中间件 3.3.1.5应用系统
3.3.2管理脆弱性(micro-style) 3.3.2.1技术管理 3.3.2.2组织管理 3.3.3脆弱性赋值
六、风险分析
4.1风险评估模型(通过不同的风险评估模型得到的系统安全等级是不一样的)
4.2风险结果判断(等级评定,采用中国标准)
七、风险导致的可能事件(可以涵盖在威胁、脆弱性章节中)
八、风险补救措施(处理计划,依据是中国国家标准)
九、附录
统计图表等信息(柱形图等)
本系统采用典型的基于知识的分析方法和定量、定性分析方法
图表生成、趋势分析„„ 简单报告的生成 详细报告的生成
