当前位置: 首页 > >

第12讲风险评估的常用方法

发布时间:

第十二讲风险评估的常用方法 在风险评估过程中,可以采用多种操作方法,包括基于知识 (Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性 (Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目 标都是找出组织信息资产面临的风险及其影响, 以及目前安全水*与组织安全需 求之间的差距。 基于知识的分析方法 在基线风险评估时, 组织可以采用基于知识的分析方法来找出目前的安全状况和 基线安全标准之间的差距。 基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商 务目标和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团。 采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多 种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或 最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择 安全措施,最终达到消减和控制风险的目的。 基于知识的分析方法,最重要的还在于评估信息的采集,信息源包括: 会议讨论; 对当前的信息安全策略和相关文档进行复查; 制作问卷,进行调查; 对相关人员进行访谈; 进行实地考察。

为了简化评估工作,组织可以采用一些辅助性的自动化工具,这些工具可以帮助 组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标 准比较之后给出最终的推荐报告。市场上可选的此类工具有多种,Cobra 就是典 型的一种。 基于模型的分析方法 2001 年 1 月,由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同 组织开发了一个名为 CORAS 的项目, Platform for Risk Analysis of Security 即 Critical Systems。该项目的目的是开发一个基于面向对象建模特别是 UML 技 术的风险评估框架,它的评估对象是对安全要求很高的一般性的系统,特别是 IT 系统的安全。CORAS 考虑到技术、人员以及所有与组织安全相关的方面,通 过 CORAS 风险评估,组织可以定义、获取并维护 IT 系统的保密性、完整性、可 用性、抗抵赖性、可追溯性、真实性和可靠性。 与传统的定性和定量分析类似,CORAS 风险评估沿用了识别风险、分析风险、评 价并处理风险这样的过程,但其度量风险的方法则完全不同,所有的分析过程都 是基于面向对象的模型来进行的。CORAS 的优点在于:提高了对安全相关特性描 述的精确性,改善了分析结果的质量;图形化的建模机制便于沟通,减少了理解 上的偏差;加强了不同评估方法互操作的效率;等等。

目前 CORAS 还处于实验阶段,相关信息可以参见: http://www.bitd.clrc.ac.uk/Activity/CORAS 定量分析 进行详细风险分析时,除了可以使用基于知识的评估方法外,最传统的还是定量 和定性分析的方法。 定量分析方法的思想很明确: 对构成风险的各个要素和潜在损失的水*赋予数值 或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安 全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化 了。 简单说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。 定量风险分析中有几个重要的概念: 暴露因子(Exposure Factor,EF)—— 特定威胁对特定资产造成损失的百 分比,或者说损失的程度。 单一损失期望(Single Loss Expectancy,SLE)—— 或者称作 SOC(Single OccuranceCosts),即特定威胁可能造成的潜在损失总量。 年度发生率(Annualized Rate of Occurrence,ARO)—— 即威胁在一年内 估计会发生的频率。 年度损失期望(Annualized Loss Expectancy,ALE)—— 或者称作 EAC (EstimatedAnnual Cost),表示特定资产在一年内遭受损失的预期值。 考察定量分析的过程,从中就能看到这几个概念之间的关系: (1) 首先,识别资产并为资产赋值; (2) 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即 EF(取值在 0%~100%之间); (3) 计算特定威胁发生的频率,即 ARO; (4) 计算资产的 SLE: SLE = Asset Value × EF (5) 计算资产的 ALE: ALE = SLE × ARO 这里举个例子:假定某公司投资 500,000 美元建了一个网络运营中心,其最大 的威胁是火灾,一旦火灾发生,网络运营中心的估计损失程度是 45%。根据消 防部门推断,该网络运营中心所在的地区每 5 年会发生一次火灾,于是我们得 出了 ARO 为 0.20 的结果。基于以上数据,该公司网络运营中心的 ALE 将是 45,000 美元。 我们可以看到,对定量分析来说,有两个指标是最为关键的,一个是事件发生的 可能性(可以用 ARO 表示),另一个就是威胁事件可能引起的损失(用 EF 来表 示)。 理论上讲,通过定量分析可以对安全风险进行准确的分级,但这有个前提,那就 是可供参考的数据指标是准确的,可事实上,在信息系统日益复杂多变的今天, 定量分析所依据的数据的可靠性是很难保证的,再加上数据统计缺乏长期性,计 算过程又极易出错,这就给分析的细化带来了很大困难,所以,目前的信息安全 风险分析,采用定量分析或者纯定量分析方法的已经比较少了。

定性分析 定性分析方法是目前采用最为广泛的一种方法,它带有很强的主观性,往往需要 凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价 值,威胁的可能性,弱点被利用的容易度,现有控制措施的效力等)的大小或高 低程度定性分级,例如“高”、“中”、“低”三级。 定性分析的操作方法可以多种多样,包括小组讨论(例如 Delphi 方法)、检查 列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查 (Survey)等。定性分析操作起来相对容易,但也可能因为操作者经验和直觉的 偏差而使分析结果失准。 与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定 性分析没有定量分析那样繁多的计算负担, 但却要求分析者具备一定的经验和能 力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较 为主观,定量分析基于客观;此外,定量分析的结果很直观,容易理解,而定性 分析的结果则很难有统一的解释。 组织可以根据具体的情况来选择定性或定量的分析方法。




友情链接: