[转载]如何提高安全风险评估的生产力
文章作者:刘 恒文章来源:启明星辰
摘要:安全风险评估面临的最大挑战,已经不再是通用的理论方法和技术规范,而是评
估结果的有效性和可操作性。“如何提高安全风险评估的生产力”至关重要,本议题主要是
在综述通用的模型方法的基础上,总结了几十个具体评估经验,从实践的角度,提出一种“
安全风险评估生产力”(Security Risk Assessment Productivity)的概念,结合包括电信
用户在内的多达几十项的实际评估经验,总结出如何提高SRAP的具体方法措施。对行业用户
和安全服务企业具有一定的指导作用。
1. 前言
“安全是个过程”已经成为业界和国内各行业对于信息网络安全的共识之一,它要求安全
建设也要随着安全技术和业务的发展与时俱进。随着近年来国内各行业对信息安全的重视,
信息系统风险评估已经得到普遍认可。
目前国内众多部门和行业都开始投入精力进行风险评估或者风险评估规范的制定。对于
一个企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和
影响,将是企业实施安全建设必须首先解决的问题,也是制定安全策略的基础与依据。
在经过近几年的研究和积累后,信息产业部、公安部等都推出了各自的风险评估规范,
而电信、金融等行业则已经开始进行风险评估工作,将评估推向了实践。在经历了电信行业
的几次大规模风险评估服务项目后,本文试图从安全实践的角度探讨一下对安全风险评估的
认识,供各行业和业内同行参考。
2. 安全风险评估发展
2.1. 安全风险评估背景
针对未来的网络发展,Gartner进行了展望,主要体现在:关键资产数字化、高速无线网
络、高技术犯罪和恐怖活动、网络空间取证、量子密码、生物访问控制技术、复杂巨系统、
软件易用但复杂、分布系统网络互联、开发“新”核心系统,安全性不够、网络零件,全球
化生产等方面。针对未来的安全挑战,对于信息安全保障与评估而言,重点在于如何评估复
杂的分布式系统和如何保障复杂巨系统的安全两个方面。
从国内目前的发展看,复杂巨系统已经初步呈现,许多核心系统安全性极差,且网络建
设与安全建设不协调,已经给我们带来了极大的挑战。针对这些挑战,启明星辰结合多年在
安全领域的探索,提出了如下图所示的动态安全架构。
即针对现有安全需求进行评估和分析,定义安全策略,建立安全框架,实施安全方案,
得出合规性报告,确定目前的安全基线,并随着业务的发展,进行周期性的再评估,保障信
息系统的安全。
2.2. 通用安全评估方法
关于风险评估理论标准,国际上较为认可的有ISO/IEC 13335IT安全管理指南、AS/NZS
4360风险管理标准、BS7799-1( ISO/IEC 17799)基于风险管理的信息安全管理体系等几种,
他们均对风险评估给予了明确的定义和指导。最近,COBIT、ITIL等逐渐引起人们的关注。与
风险评估相关的标准还有NIST SP800,其中,NIST SP800-53,SP800-60描述了信息系统与安
全目标及风险级别对应指南,NIST SP800-26,SP800-30分别描述了自评估指南和风险管理指
南。目前业内使用的评估方法,基本是由这几个标准演化而来。
风险评估方法,主要分定性、定量、半定量、定性定量混合等几种,典型代表有HAZOP(
Hazard and Operability)、FMEA/FMECA(Failure Mode and Effects Analysis)、FTA(Faul
t Tree Analysis)、ETA(Event Tree Analysis)、CCA(Cause-Consequence Analysis)、Mar
kov Analysis等方法。除了这些方法,基于实践角度,又分为基于模型、基于过程、基于规
则、基于目标的评估方法,如CORAS,CRAMM,FODA等等。
针对风险评估的工程实现,SSE-CMM、OCTAVE等标准和方法对评估过程给予了较好的指导
。常规的风险评估方法包括以下阶段:项目准备阶段、项目执行阶段、项目维护阶段。项目
准备阶段主要包括:蓝图会议确定评估目标、评估范围、评估目的。资料准备主要确立评估
手册、项目管理、网络拓扑、业务流程、管理文档。人员准备主要确定项目中的行业专家、
技术专家、管理专家。项目执行阶段主要包括数据收集、数据分析、风险评估和控制。项目
维护阶段主要进行结果利用和后续跟踪。
为保障评估的规范性、一致性,降低人工成本,目前国内外普遍开发了一系列的评估工具。
其中,网络评估工具主要有nessus、retina、天镜、ISS等漏洞扫描工具,依托这些网络扫描
工具,可以对网络设备、主机进行漏洞扫描,给出技术层面存在的安全漏洞、等级和解决方
案建议;管理评估工具主要有以BS7799-1( ISO/IEC 17799)为基础的COBRA、天清等,借助管
理评估工具,结合问卷式调查访谈,可以给出不同安全管理域在安全管理方面存在的脆弱性
和各领域的安全等级,给出基于标准的策略建议。
2.3. 国内研究现状
国内的安全评估技术经过近5年的发展,可以划分为四个阶段,即以资产、标准和定量分
析为基础的第一代技术;以工程、成熟度和规范为基础的第二代技术;以过程、应用和管理
为基础的第三代技术;以系统方法与实践为基础的第四代技术,如下图所示。
3. 安全风险评估生产力
综观国内外安全风险评估实践,最大的问题是风险评估的实际效果。为此,本文提出利
用安全风险评估生产力SRAP(Security Risk Assessment Productivity)这一指标,来衡量风
险评估的实际效果。
关于生产力,一个适用于个人与企业的简单定义是:生产力衡量产品和服务的效率。生
产力表示以现有的资源可以制造出更多的东西,它与做事的整体效率密切关联。
SRAP=(风险标识+风险表达+风险控制)/(劳力+资本+工具+知识)
SRAP Factor ={
战略环境、组织环境、风险感知环境、风险管理环境、评价准则
资产分析、脆弱性分析、威胁分析、风险分析、影响分析、安全防护、约束、安全管理模型
时间管理、行为管理、沟通管理、团队管理、知识管理
}
一般的风险评估,关注于风险标识、分析、控制,SRAP关注的是风险评估的效果,所以
除了分析层所包涵的八个要素外,它对风险评估的要素进行了拓展。SRAP的要素分为三个层
次:环境层、分析层、管理层。环境层要素主要针对风险评估目标、要求、原则、组织、评
价准则等,包含战略环境、组织环境、风险感知环境、风险管理环境、评价准则,它们直接
与风险评估的结果相关,但往往被忽视。管理层要素主要针对风险评估项目过程,高效的管
理,才能产生高回报,它包含时间管理、行为管理、沟通管理、团队管理、知识管理。三个
层次要素互相影响、互相关联。提高安全风险评估生产力SRAP,即处理好这些要素以及它们
之间的关系。
4. 如何提高安全风险评估生产力
4.1. 了解风险评估的基础环境,进行GAP分析
风险评估作用无须质疑,但是基础环境的不同,对风险评估项目的成败影响非常大。基
础环境初步可分为5个等级:
第一级:对安全开始实施产品控制,但没有专人负责处理安全事务
第二级:有专人负责安全,并进行计划跟踪,保证安全措施的有效性
第三级:安全责任明确,有周密的业务连续性计划和安全事件管理机制,并实施了一系列的
安全管理控制措施
第四级:对目前企业中的各种安全问题明确定义等级
第五级:企业安全操作,管理,决策一体化的信息安全管理体系
从目前企业的风险评估现状来看,多数企业还处在第一级和第二级之间。通过Gap(差距
)分析,使企业能够更好的了解目前安全管理的现状,同时也可以有选择的确定需用哪种类
型的风险评估。许多客户没有进行Gap分析,直接套搬评估标准和规范,事实证明收效甚微。
4.2. 高级管理层沟通
与高级管理层进行沟通至关重要,因为他们具有远见、整体观非常强、又掌握非常丰富
的信息、同时具有指挥执行的权利,因此在评估工作中必不可少。但是,由于管理层可能不
熟悉安全、不关心安全、或仅仅停留在概念阶段等诸多原因,也会导致难以取得好的效果。
成功评估的关键在于精心策划、认真准备高层访谈内容,利用有效的发问,更多地从业务角
度出发,梳理出他们的“关”点。其记录结果,及时反馈作为整个评估的重要参考依据和指
南。
4.3. 强化业务需求分析
提高SRAP环境层的因素至关重要,将信息网络安全与业务进行联系,是非常关键、非常
困难的事,需要综合的业务和安全知识,同时也要求具有强大的逻辑思维能力。具体的方法
是专门制订一个可行的安全业务联系过程,进行评估,包括相应的组织、流程、方法的建立
。
4.4. 重视安全管理评估
安全管理评估是目前评估工作中的难点,也是评估的重点。现在虽然已经有许多标准可
参考,但是关于如何进行安全管理评估实践的资料较少,同时加上不同的企业对安全管理采
用的方式也不一样,给这部分评估带来了很多不确定性。
做好管理评估需要考虑以下三个方面的内容:期望或需求,管理规范或标准,执行情况
。在评估中充分考虑三个方面的关系和程度,就可以确认企业的管理现状,管理风险等问题
。
4.5. 深入进行威胁评估
现有的威胁评估,大都是基于常识、事件触发、由脆弱性倒推的方法,整体评估效果不
够深入,与业务关联不够。最理想的方法是寻找最为了解威胁的人进行沟通交流,特别是对
业务系统影响。从业务和安全两个方面,结合安全事件、安全趋势、业务需求,对每种威胁
进行细致的描述,形成威胁分析报告。威胁分析报告是风险评估前期最为重要的分析报告,
也是其他阶段的基础。
4.6. 定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷
贝,而是以他们作为参考,根据用户的特点及安全风险评估的能力,进行“基因”重组,定
制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体企业评估
、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评
估等。
比如,有的客户急需展示大量的漏洞,作为评估的成果,以引起大家的安全意识,评估
就可能以技术为主,重点以漏洞分析为主。如果客户需要将安全问题的“具体化”,可能以
渗透性测试为主,直观展示结果,促进SRAP。这样做的前提是,安全风险评估服务的精细化
、组件化。
4.7. 安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评
估直接输出,用于进行风险管理的安全整体框架,至少应该明确。但是由于不同客户环境差
异、需求差异,加上在操作层面可参考的模板很少,使得整体框架绝大多数停留在学术书本
层面。但是,至少应该完成近期1-2年内框架,它是安全具体工作的指南。
4.8. 多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评
估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极
大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体
的流程和方法。
4.9. 敏感性分析
由于现有系统越来越复杂,而且互相关联,使得风险越来越隐蔽。要提高SRAP必须进行
深入关联分析,比如对一个老漏洞,不是简单的分析它的影响和解决措施,而是要推断出可
能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经
验知识库支撑,同时要求评估者具有敏锐的分析能力。
4.10. 评估集中化决策
由于安全风险评估,需要具备多种能力和多种知识的人参与,这些能力和知识的管理,
对于提高SRAP具有非常大的影响。集中化决策管理,是评估项目成功的保障条件之一,它不
仅是项目管理的问题,更多的是知识/能力等“基因”的组合运用。必须选用具有特殊技能的
人,去执行相应的关键任务。如控制台审计和渗透性测试,由不具备攻防经验和知识的人执
行,就根本达不到任何效果。
4.11. 提升安全意识培训的地位
安全风险评估,不仅需要人员参与,更重要的是让人们认识风险,以便最终能够管理风
险。所以我们提出将安全培训本身作为评估的一项必不可少的内容,使其贯穿整个评估工程
,以提高SRAP。
4.12. 整个评估结果可管理
安全风险评估的输出,不应仅是文档的堆砌,而应该是一套能够进行记录、管理的系统
。这个系统可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述
系统。我们根据多年的评估经验,已经开发出了这样的评估管理系统,使用它不仅能够指导
评估过程,而且能够管理评估结果,从而在管理层面大大提高了SRAP。
5. 结束语
风险评估从理论到实践,再从实践到理论,在不断的往复循环中得以逐步完善。本文只
是从实践的角度,分析了风险评估本身存在的风险,提出关键指标SRAP,同时结合实际经验
,对如何提高SRAP进行了探讨,提出了一些方法,希望能够对对行业用户和安全服务企业有
所帮助。
页:
[1]