6.3 定性與定量相結(jié)合的綜合評(píng)估方法

    系統(tǒng)風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜的過(guò)程，需要考慮的因素很多，有些評(píng)估要素是可以用量化的形式來(lái)表達(dá)，而對(duì)有些要素的量化又是很困難甚至是不可能的，所以我們不主張?jiān)陲L(fēng)險(xiǎn)評(píng)估過(guò)程中一味地追求量化，也不認(rèn)為一切都是量化的風(fēng)險(xiǎn)評(píng)估過(guò)程是科學(xué)、準(zhǔn)確的。我們認(rèn)為定量分析是定性分析的基礎(chǔ)和前提，定性分析應(yīng)建立在定量分析的基礎(chǔ)上才能揭示客觀事物的內(nèi)在規(guī)律。定性分析則是靈魂，是形成概念、觀點(diǎn)，做出判斷，得出結(jié)論所必須依靠的，在復(fù)雜的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估過(guò)程中，不能將定性分析和定量分析兩種方法簡(jiǎn)單的割裂開(kāi)來(lái)。而是應(yīng)該將這兩種方法融合起來(lái)，采用綜合的評(píng)估方法。

    6.4 典型的風(fēng)險(xiǎn)評(píng)估方法

    在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估過(guò)程中，層次分析法 (AHP)經(jīng)常被用到，它是一種綜合的評(píng)估方法。該方法是由美國(guó)著名的運(yùn)籌學(xué)專家薩蒂TL 于20 世紀(jì)70 年代提出來(lái)的，是一種定性與定量相結(jié)合的多目標(biāo)決策分析方法。這一方法的核心是將決策者的經(jīng)驗(yàn)判斷給予量化，從而為決策者提供定量形式的決策依據(jù)。目前該方法已被廣泛地應(yīng)用于尚無(wú)統(tǒng)一度量標(biāo)尺的復(fù)雜問(wèn)題的分析，解決用純參數(shù)數(shù)學(xué)模型方法難以解決的決策分析問(wèn)題。該方法對(duì)系統(tǒng)進(jìn)行分層次、擬定量、規(guī)范化處理，在評(píng)估過(guò)程中經(jīng)歷系統(tǒng)分解、安全性判斷和綜合判斷三個(gè)階段。它的基本步驟是：

    1) 系統(tǒng)分解，建立層次結(jié)構(gòu)模型：層次模型的構(gòu)造是基于分解法的思想，進(jìn)行對(duì)象的系統(tǒng)分解。它的基本層次有三類：目標(biāo)層、準(zhǔn)則層和指標(biāo)層，目的是基于系統(tǒng)基本特征建立系統(tǒng)的評(píng)估指標(biāo)體系。

    2) 構(gòu)造判斷矩陣，通過(guò)單層次計(jì)算進(jìn)行安全性判斷：判斷矩陣的作用是在上一層某一元素約束條件下，對(duì)同層次的元素之間相對(duì)重要性進(jìn)行比較，根據(jù)心理學(xué)家提出的“人區(qū)分信息等級(jí)的極限能力為7±2”的研究結(jié)論，AHP 方法在對(duì)評(píng)估指標(biāo)的相對(duì)重要程度進(jìn)行測(cè)量時(shí)，引入了九分位的相對(duì)重要的比例標(biāo)度，構(gòu)成判斷矩陣。計(jì)算的中心問(wèn)題是求解判斷矩陣的最大特征根及其對(duì)應(yīng)的特征向量；通過(guò)判斷矩陣及矩陣運(yùn)算的數(shù)學(xué)方法，確定對(duì)于上一層次的某個(gè)元素而言，本層次中與其相關(guān)元素的相對(duì)風(fēng)險(xiǎn)權(quán)值。

    3) 層次總排序，完成綜合判斷：計(jì)算各層元素對(duì)系統(tǒng)目標(biāo)的合成權(quán)重，完成綜合判斷，進(jìn)行總排序，以確定遞階結(jié)構(gòu)圖中最底層各個(gè)元素在總目標(biāo)中的風(fēng)險(xiǎn)程度。

7 風(fēng)險(xiǎn)評(píng)估工具

    在進(jìn)行安全模型、評(píng)估標(biāo)準(zhǔn)、評(píng)估方法研究的同時(shí)，各大安全公司也相應(yīng)推出自己的評(píng)估工具來(lái)體現(xiàn)以上的研究成果。下面介紹幾個(gè)典型的評(píng)估工具。

    7.1 SAFESuite 套件

    SAFESuite 套件是Internet Security Systems（簡(jiǎn)稱ISS）公司開(kāi)發(fā)的網(wǎng)絡(luò)脆弱點(diǎn)檢測(cè)軟件，它由Internet 掃描器、系統(tǒng)掃描器、數(shù)據(jù)庫(kù)掃描器、實(shí)時(shí)監(jiān)控和SAFESuite 套件決策軟件構(gòu)成，是一個(gè)完整的信息系統(tǒng)評(píng)估系統(tǒng)。

    7.2 WebTrends Security Analyzer 套件

    WebTrends Security Analyzer 套件主要針對(duì)Web 站點(diǎn)安全的檢測(cè)和分析軟件，它是NetIQ-WebTrends 公司的系列產(chǎn)品。其系列產(chǎn)品為企業(yè)提供一套完整的、可升級(jí)的、模塊式的、易于使用的解決方案。產(chǎn)品系列包括: WebTrends Reporting Center、Analysis Suite、WebTrends Log Analyzer、Security Analyzer、WebTrends、Firewall Suite and WebTrends Live等，它可以找出大量隱藏在Linux 和Windows 服務(wù)器、防火墻、路由器等軟件中的威脅和脆弱點(diǎn)，并可針對(duì)Web 和防火墻日志進(jìn)行分析，由它生成的HTML 格式的報(bào)告被認(rèn)為是目前市場(chǎng)上做得最好的。報(bào)告里對(duì)找到的每個(gè)脆弱點(diǎn)進(jìn)行了說(shuō)明，并根據(jù)脆弱點(diǎn)的優(yōu)先級(jí)進(jìn)行了分類，還包括一些消除風(fēng)險(xiǎn)、保護(hù)系統(tǒng)的建議。

    7.3 Cobra

    Cobra 是一套專門用于進(jìn)行風(fēng)險(xiǎn)分析的工具軟件，其中也包含促進(jìn)安全策略執(zhí)行、外部安全標(biāo)準(zhǔn)（ISO 17799）評(píng)定的功能模塊。

    用Cobra 進(jìn)行風(fēng)險(xiǎn)分析時(shí)，分3 個(gè)步驟：調(diào)查表生成、風(fēng)險(xiǎn)調(diào)查、報(bào)告生成。

    Cobra 的操作過(guò)程簡(jiǎn)單而靈活，安全分析人員只需要清楚當(dāng)前的信息系統(tǒng)狀況，并對(duì)之作出正確的解釋即可，所有繁瑣的分析工作都交由Cobra 來(lái)自動(dòng)完成。

    7.4 CC tools

    CC tools 是針對(duì)CC 開(kāi)發(fā)的工具，它幫助用戶按照CC 標(biāo)準(zhǔn)自動(dòng)生成PP(保護(hù)輪廓)和ST（安全目標(biāo)）報(bào)告。

    以上這些工具有的是通過(guò)技術(shù)手段，如漏洞掃描、入侵檢測(cè)等來(lái)維護(hù)信息系統(tǒng)的安全；有的是依據(jù)評(píng)估標(biāo)準(zhǔn)而開(kāi)發(fā)的，如Cobra。不可否認(rèn)，這些工具的使用會(huì)豐富評(píng)估所需的系統(tǒng)脆弱、威脅信息、簡(jiǎn)化評(píng)估的工作量，減少評(píng)估過(guò)程中的主觀性，但無(wú)論這些工具功能多么強(qiáng)大，由于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的復(fù)雜性，它在信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估過(guò)程中也只能作為輔助手段，代替不了整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程。

8 風(fēng)險(xiǎn)評(píng)估過(guò)程

    風(fēng)險(xiǎn)評(píng)估過(guò)程就是在評(píng)估標(biāo)準(zhǔn)的指導(dǎo)下，綜合利用相關(guān)評(píng)估技術(shù)、評(píng)估方法、評(píng)估工具，針對(duì)信息系統(tǒng)展開(kāi)全方位的評(píng)估工作的完整歷程。對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，首先應(yīng)確保風(fēng)險(xiǎn)分析的內(nèi)容與范圍應(yīng)該覆蓋信息系統(tǒng)的整個(gè)體系，應(yīng)包括：系統(tǒng)基本情況分析、信息系統(tǒng)基本安全狀況調(diào)查、信息系統(tǒng)安全組織、政策情況分析、信息系統(tǒng)弱點(diǎn)漏洞分析等。風(fēng)險(xiǎn)評(píng)估具體評(píng)估過(guò)程如下：

    8.1 確定資產(chǎn)

    安全評(píng)估的第一步是確定信息系統(tǒng)的資產(chǎn)，并明確資產(chǎn)的價(jià)值，資產(chǎn)的價(jià)值是由對(duì)組織、供應(yīng)商、合作伙伴、客戶和其他利益相關(guān)方在安全事件中對(duì)保密性、完整性和可用性的影響來(lái)衡量的。資產(chǎn)的范圍很廣，一切需要加以保護(hù)的東西都算作資產(chǎn)，包括：信息資產(chǎn)、紙質(zhì)文件、軟件資產(chǎn)、物理資產(chǎn)、人員、公司形象和聲譽(yù)、服務(wù)等。資產(chǎn)的評(píng)估應(yīng)當(dāng)從關(guān)鍵業(yè)務(wù)開(kāi)始，最終覆蓋所有的關(guān)鍵資產(chǎn)。

    8.2 脆弱性和威脅分析

    對(duì)資產(chǎn)進(jìn)行細(xì)致周密的分析，發(fā)現(xiàn)它的脆弱點(diǎn)及由脆弱點(diǎn)所引發(fā)的威脅，統(tǒng)計(jì)分析發(fā)生概率、被利用后所造成的損失等。

    8.3 制定及評(píng)估控制措施

    在分析各種威脅及它們發(fā)生可能性基礎(chǔ)上，研究消除/減輕/轉(zhuǎn)移威脅風(fēng)險(xiǎn)的手段。這一階段不需要做出什么決策，主要是考慮可能采取的各種安全防范措施和它們的實(shí)施成本。制定出的控制措施應(yīng)當(dāng)全面，在有針對(duì)性的同時(shí)，要考慮系統(tǒng)地、根本性的解決方法，為下一階段的決策作充足的準(zhǔn)備，同時(shí)將風(fēng)險(xiǎn)和措施文檔化。

    8.4 決策

    這一階段包括評(píng)估影響，排列風(fēng)險(xiǎn)，制定決策。應(yīng)當(dāng)從3 個(gè)方面來(lái)考慮最終的決策：接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)。對(duì)安全風(fēng)險(xiǎn)決策后，明確信息系統(tǒng)所要接受的殘余風(fēng)險(xiǎn)。在分析和決策過(guò)程中，要盡可能多地讓更多的人參與進(jìn)來(lái)，從管理層的代表到業(yè)務(wù)部門的主管，從技術(shù)人員到非技術(shù)人員。

    8.5 溝通與交流

    由上一階段所做出的決策，必須經(jīng)過(guò)領(lǐng)導(dǎo)層的簽字和批準(zhǔn)，并與各方面就決策結(jié)論進(jìn)行溝通。這是很重要的一個(gè)過(guò)程，溝通能確保所有人員對(duì)風(fēng)險(xiǎn)有清醒地認(rèn)識(shí)，并有可能在發(fā)現(xiàn)一些以前沒(méi)有注意到的脆弱點(diǎn)。

    8.6 監(jiān)督實(shí)施

    最后的步驟是安全措施的實(shí)施。實(shí)施過(guò)程要始終在監(jiān)督下進(jìn)行，以確保決策能夠貫穿于工作之中。在實(shí)施的同時(shí)，要密切注意和分析新的威脅并對(duì)控制措施進(jìn)行必要的修改。另外，由于信息系統(tǒng)及其所在環(huán)境的不斷變化，在信息系統(tǒng)的運(yùn)行過(guò)程中，絕對(duì)安全的措施是不存在的：攻擊者不斷有新的方法繞過(guò)或擾亂系統(tǒng)中的安全措施；系統(tǒng)的變化會(huì)帶來(lái)新的脆弱點(diǎn)；實(shí)施的安全措施會(huì)隨著時(shí)間而過(guò)時(shí)等等，所有這些表明，信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估過(guò)程是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，應(yīng)周期性的對(duì)信息系統(tǒng)安全進(jìn)行重評(píng)估。

9 各國(guó)測(cè)評(píng)認(rèn)證體系

    測(cè)評(píng)認(rèn)證是現(xiàn)代質(zhì)量認(rèn)證制度的重要內(nèi)容。其實(shí)質(zhì)，是由一個(gè)中立的權(quán)威機(jī)構(gòu)，依據(jù)國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)或認(rèn)證機(jī)構(gòu)確認(rèn)的技術(shù)規(guī)范，通過(guò)科學(xué)、規(guī)范、公正的測(cè)試對(duì)產(chǎn)品、系統(tǒng)的質(zhì)量保障能力進(jìn)行檢查評(píng)審，以及事后定期監(jiān)督；它的性質(zhì)是由具有檢驗(yàn)技術(shù)能力和政府授權(quán)認(rèn)證資格的權(quán)威機(jī)構(gòu)，按照嚴(yán)格程序進(jìn)行的科學(xué)公正的評(píng)價(jià)活動(dòng)；它的表示方式是頒發(fā)認(rèn)證證書和認(rèn)證標(biāo)志。

    隨著信息技術(shù)應(yīng)用與發(fā)展，各國(guó)政府對(duì)信息安全測(cè)評(píng)認(rèn)證十分重視，將信息安全列為其國(guó)家安全的重要內(nèi)容之一，建立了與自身的信息化發(fā)展相適應(yīng)的測(cè)評(píng)認(rèn)證體系，從事信息安全產(chǎn)品的測(cè)評(píng)認(rèn)證工作。信息安全的評(píng)估認(rèn)證已成為信息化進(jìn)程中的一個(gè)重要領(lǐng)域，受到廣泛關(guān)注。

    英國(guó)安全評(píng)估認(rèn)證體系（CB）是1991 年由商業(yè)工業(yè)部和通信電子安全小組共同建立的；德國(guó)于1991 年建立德國(guó)信息安全局(BSI)，主要進(jìn)行安全風(fēng)險(xiǎn)、開(kāi)發(fā)準(zhǔn)則、評(píng)估技術(shù)的研究，并負(fù)責(zé)頒發(fā)安全證書；日本1998 年在信息推進(jìn)局建立CC 特種部，開(kāi)發(fā)新的安全評(píng)估方法、評(píng)估工具，研究安全評(píng)估機(jī)制。

    美國(guó)于1997 年由國(guó)家標(biāo)準(zhǔn)技術(shù)研究所和國(guó)家安全局共同組建了國(guó)家信息保證伙伴（NIAP），負(fù)責(zé)基于CC 信息安全測(cè)試和評(píng)估，圖2 為美國(guó)評(píng)估認(rèn)證體系結(jié)構(gòu)。

圖2 美國(guó)評(píng)估認(rèn)證體系結(jié)構(gòu)

    我國(guó)的國(guó)家信息安全測(cè)評(píng)認(rèn)證體系正處于建設(shè)和發(fā)展階段。

10 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估發(fā)展存在的問(wèn)題

    目前“信息系統(tǒng)安全是一項(xiàng)系統(tǒng)工程”的觀點(diǎn)已得到廣泛的認(rèn)可、接受，作為該工程的基礎(chǔ)和前提的風(fēng)險(xiǎn)評(píng)估也越來(lái)越受到大家的重視，但在該領(lǐng)域的研究、發(fā)展過(guò)程中還需要糾正和解決一些模糊概念和問(wèn)題：

    第一，安全評(píng)估體系所應(yīng)包括的相應(yīng)組織架構(gòu)、業(yè)務(wù)、標(biāo)準(zhǔn)和技術(shù)體系還不完善。

    第二，不能簡(jiǎn)單的將系統(tǒng)風(fēng)險(xiǎn)評(píng)估理解為是一個(gè)具體的產(chǎn)品、工具，系統(tǒng)的風(fēng)險(xiǎn)評(píng)估更應(yīng)該是一個(gè)過(guò)程，是一個(gè)體系。完善的系統(tǒng)風(fēng)險(xiǎn)評(píng)估體系應(yīng)包括相應(yīng)的組織架構(gòu)、業(yè)務(wù)體系、標(biāo)準(zhǔn)體系和技術(shù)體系。

    第三，在評(píng)估標(biāo)準(zhǔn)的采用上，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，由于各種標(biāo)準(zhǔn)的側(cè)重點(diǎn)不同，導(dǎo)致評(píng)估結(jié)果沒(méi)有可比性，甚至?xí)�出現(xiàn)較大的差異，而且目前國(guó)內(nèi)還缺乏具有自主知識(shí)產(chǎn)權(quán)、比較系統(tǒng)的信息系統(tǒng)評(píng)估標(biāo)準(zhǔn)。

    第四，評(píng)估過(guò)程的主觀性也是影響評(píng)估結(jié)果的一個(gè)相當(dāng)重要而又是最難解決的方面，在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中，主觀性是不可避免的，我們所要做的是盡量減少人為主觀性，目前在該領(lǐng)域利用神經(jīng)網(wǎng)絡(luò)、專家系統(tǒng)、分類樹(shù)等人工智能技術(shù)進(jìn)行的研究比較活躍。

    第五，風(fēng)險(xiǎn)評(píng)估工具比較缺乏，市場(chǎng)上關(guān)于漏洞掃描、防火墻等都有比較成熟的產(chǎn)品，但與信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估相關(guān)的工具卻很匱乏。

11 結(jié)束語(yǔ)

    安全評(píng)估作為信息系統(tǒng)安全工程重要組成部分，已經(jīng)不僅僅是個(gè)別企業(yè)的問(wèn)題，而是關(guān)系到國(guó)民經(jīng)濟(jì)的每一方面的重大問(wèn)題，它將逐漸走上規(guī)范化和法制化的軌道上來(lái)，國(guó)家對(duì)各種配套的安全標(biāo)準(zhǔn)和法規(guī)的制定將會(huì)更加健全，評(píng)估模型、評(píng)估方法、評(píng)估工具的研究、開(kāi)發(fā)將更加活躍，信息系統(tǒng)及相關(guān)產(chǎn)品的風(fēng)險(xiǎn)評(píng)估認(rèn)證將成為必需環(huán)節(jié)。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：信息安全風(fēng)險(xiǎn)評(píng)估綜述(下)

本文網(wǎng)址：http://www.oesoe.com/html/support/1112158396.html