管理信息系统的风险评估

文：鼎捷ERP

作者：鼎捷数智 | 发布时间：2012-11-30 14:50:34

4．4 风险评估
识别了机构的信息资产及其威胁和漏洞后，就可以评估每个漏洞的相关风险了。这是通过风险评估过程来完成的。风险评估给每项信息资产分配一个风险等级或者分数。此数字在绝对术语中没有任何意义，但可用于评估每项易受攻击的信息资产的相关风险，并在风险控制过程中，促进比较等级的发展。
4．4．1 风险评估概述
图4-5描述了评估每个漏洞的风险等级的因子。

    注意，此时的目标是指出一种方法来评估列表中每个漏洞的相关风险。第5章提出了一些方法，更准确、更详细地确定每个漏洞的开销，以及为减小每个漏洞的风险而采取的各种控制措施的计划开销。现在，使用如图4-5所示的简单风险模型，评估每项信息资产的风险。下一节介绍用来计算每个漏洞的相关风险的因子。
4．4．2 可能性
    可能性是指成功攻击机构内某个漏洞的概率。在风险评估中，要给成功攻击漏洞的可能性指定一个数值。国家标准与技术协会在Special Publication 800-30中推荐，这个可能性应指定为0．1到1．0之间的一个值。比如，在室内被陨石击中的可能性是0．1。另一方面，明年收到至少一封带有病毒或蠕虫的电子邮件的可能性是1．0。还可以选择使用1~100中的数字，但是不能使用0，因为可能性为0的漏洞已经从资产／漏洞列表中删除。在指定可能性的数值时，无论使用什么样等级的管理信息系统，专业技能、经验以及判断力都是非常重要的，而且应坚持使用自己选择的等级模型。只要有可能，都应使用已通过检查的可能性值，作为外部参考，并根据具体的环境进行调整。许多资产／漏洞的组合都有可能性的数值，例如：
    ．每种建筑物发生火灾的可能性。
    ．任何给定的电子邮件带有病毒或者蠕虫的可能性。
        根据机构分配的网络地址数，来预测网络遭到攻击的次数。
4．4．3信息资产评估
    使用在信息资产的识别过程中得到的信息，就可以为机构中每项信息资产的价值指定权重分数。根据机构的需要，使用的数字可以不同。一些团体使用1~100的权重分数，其中100代表在几分钟内就会使公司停止运转的信息资产。另外，NISTSP 800-30建议，在各种类别中都可以使用指定的权重，给重要的资产指定值100，给危险程度较低的资产指定值1，给其他资产指定中间值50。还有的团体使用1～10的权重分数，或者使用1、3和5代表低、中和高价值的资产。也可以根据自己的需要建立权重值。为了使这些数值有效，必须回答4．3，10一节中提出的问题，如下所示：
    ● 在给定的环境中，哪一种威胁对机构的资产而言是较危险的?
    ● 哪一种威胁对机构的信息而言是较危险的?
    ● 从成功的攻击中恢复需要多少费用?
    ● 防范哪一种威胁的花费较大?
    再次审查这些问题后，必须使用风险识别过程的背景信息，再回答一个问题来说明这些信息。
    ● 上面关于每项信息资产的哪个问题对机构信息的保护是较重要的?
    这个问题在评估漏洞时有助于设定优先次序。对机构而言，哪一个是较重要的，是从成功的攻击中恢复需要的费用，还是防范一次攻击的开销?通俗说，就是哪一个威胁演变成成功攻击的可能性较高?还有可能提出其他问题。再看看机构当前面临的威胁；但是，在开始策划较后的安全解决方案时，这个信息是非常有价值的。回答了这些问题后，就可以开始该过程的下一步：调查当前的控制如何减小特定漏洞所面临的风险。
    如果现有的控制手段完全控制了漏洞，就不再需要对它进行其他控制，而是搁置在一边。如果只是部分地控制漏洞，则评估这个漏洞被控制的百分比。
    了解漏洞的每个方面是不可能的，比如它发生的可能性，或者一次成功的攻击会有多大的影响。当前控减少风险的能力也用于评估错误。现在必须在等式中加入判断力因子，来评估信息的不确定性。
4．4．4风险的确定
    为了评估相关的风险，风险=漏洞出现的可能性X价值(或者影响)一已控制的风险比例+不确定因素，如图4-5所示。例如：
   ● 信息资产A的价值是50，有1个漏洞，漏洞1出现的可能性是1．0，当前没有控制风险：估计该假设和数据的准确率为90％。
    ● 信息资产B的价值是100，有2个漏洞：漏洞2出现的可能性是0．5，当前已控制的风险比例是50％：漏洞3出现的可能性是0．1，当前没有控制风险。估计该假设和数据的准确率为80％。
    这三个漏洞的风险等级为：
    ● 资产A：漏洞1的风险等级55=(50X1．0)一0％十10％，其中
    55=(50X1．0)一((50X1．0)X0．0)十((50X1．0)X0．1)
    55=50—0+5
    ● 资产B：漏洞2的风险等级35=(100X0．5)一50％+20％
    35=(10X0．5)一((100X0．5)X0．5)+((100X0．5)X0．2)
    35=50—25+10
    ● 资产B：漏洞3的风险等级12=(100X0．1)一0％+20％
    12=(100X0．”一((100X0．”X0．0)+((100X0．1)X0．2)
    12=10—0+2
4．4．5 识别可能的控制
    对于每一个威胁及其有残留风险的相关漏洞而言，应该建立一份控制计划的初步列表。残留风险是指使用了现有的控制方法后信息资产残留的风险。
    如第1章所述，控制、安全措施以及对策都是用来表示安全机制、政策及过程的术语。这些安全机制、政策和过程对攻击进行反击，减少风险，堵住漏洞，改进机构内部的一般安全状态。
    如第1章的NSTISSC模型所述，控制一般有3类：政策、计划和技术。政策指的是详细说明机构的防御方法的公文。安全政策有4种类型：一般安全政策、计划安全政策、针对具体问题的政策和针对具体OA系统的政策。这些政策将在本节略述，在第5章详细论述。一般安全政策是一种行政文件，说明机构对信息安全的方法和态度，叙述信息安全在机构内部的战略价值。这个文件一般由CIO、CEO和CISO共同起草，为后续的安全措施定下了基调。计划安全政策是一种规划文件，概述了实现机构安全的过程。这项政策是分析、设计及实现安全的蓝本。针对具体问题的政策指出了用户应意识到的特定措施或应用。这些政策一般用来提供与安全问题相关的详细指导和限制，例如因特网使用政策、电子邮件政策、进入大厦的政策等。较后，针对具体系统的政策指出了某些系统的特定用法，这包括防火墙配置政策、系统访问政策和其他的技术配置政策。计划指的是机构内部为提高安全性而进行的活动，包括安全教育、培训及认识计划。第5章详细介绍了这些类型的计划。安全技术指的是机构所定义的政策的技术实现。
4．4．6 访问控制
    控制的一种特殊应用是访问控制，它主要控制用户进入机构信任区域。这些区域包括信息管理系统、物理限制的区域，如机房，甚至整个机构。访问控制通常由政策、计划和技术组成。
    访问控制的类型
    控制访问有许多方法。访问控制可以是强制的、非任意的和任意的。每种方法都针对一组控制，以管理对某类信息或信息集合的访问。
    强制访问控制(MAC)：MAC用一个数据分类方案来结构化和协调。强制访问控制给用户和数据所有者提供访问信息资源的有限访问权。在数据分类方案中，每个信息集合都要分等级。其次，每个用户也要分等级，指定用户可以访问的信息级别。这些等级常称为敏感级别，表示信息要求的机密级别。这种访问控制的一种变体称为基于格子(1attice-based)的访问控制，在这种访问控制中，为用户访问特定区域指定了一个授权矩阵。授权级别可以根据每个人对每组信息或者资源拥有的分类授权而变化。这种格子结构包含主体和客体，每对主体和客体之间划出分界线。基于格子的控制指明了每个主体拥有对每个客体的访问级别。通过这个类型的控制，与某个客体(如打印机)相关的属性列称为访问控制列表(ACL)。与某个主体(如用户)相关的属性行称为功能表。
    非任意控制：由机构内的中心授权组来决定，可根据个人的角色(基于角色的控制)或者分配给个人的一组特定任务(基于任务的控制)来决定。基于任务的控制也可以根据主体和客体的列表来决定。基于角色的控制依赖机构中用户所扮演的角色，基于任务的控制依赖特定的任务或责任。角色和任务控制很容易维护与角色或任务相关的控制和限制，在扮演这个角色或者承担这个任务的人员经常变化时，就更是如此。管理员不是给不同的人不断地赋予或取消某种特权，而只是将相关的访问权分配给角色或