網(wǎng)絡(luò)安全是信息化持續(xù)發(fā)展的根本保障,,網(wǎng)絡(luò)安全中的安全風(fēng)險(xiǎn)評(píng)估則是網(wǎng)絡(luò)安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié),。本文將從目前應(yīng)用較成熟的安全風(fēng)險(xiǎn)評(píng)估方法出發(fā),梳理探討其他的可行的風(fēng)險(xiǎn)評(píng)估方法,并從資源能力,、不確定性,、復(fù)雜性,、能否提供定量結(jié)果等方面進(jìn)行對(duì)比,,為企業(yè)選擇和優(yōu)化安全風(fēng)險(xiǎn)評(píng)估方法提供進(jìn)一步改進(jìn)的思路。
基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估
基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估方法是指在風(fēng)險(xiǎn)分析中,,識(shí)別信息資產(chǎn),、威脅,、脆弱性三要素,在此基礎(chǔ)上,,分別對(duì)資產(chǎn),、威脅、和脆弱性及其關(guān)聯(lián)進(jìn)行分析和賦值,,采用選定的風(fēng)險(xiǎn)評(píng)估模型進(jìn)行計(jì)算,,由此得出安全事件發(fā)生的可能性和損失,及其對(duì)組織的影響(即安全風(fēng)險(xiǎn)值),。
理論上講,,基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估方法可以對(duì)資產(chǎn)進(jìn)行全面梳理,較全面地識(shí)別風(fēng)險(xiǎn),,并可以識(shí)別重要資產(chǎn)與風(fēng)險(xiǎn)的關(guān)系,,對(duì)重要資產(chǎn)進(jìn)行重點(diǎn)保護(hù)。在實(shí)際應(yīng)用中,,基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估基本要素是資產(chǎn),、威脅和脆弱性,資產(chǎn)清單的識(shí)別和賦值準(zhǔn)確性很重要,,一旦識(shí)別出現(xiàn)遺漏或者賦值不準(zhǔn)確,,則會(huì)造成風(fēng)險(xiǎn)結(jié)論的遺漏或不正確,。
根據(jù)以往的實(shí)際項(xiàng)目經(jīng)驗(yàn)總結(jié)發(fā)現(xiàn),,企業(yè)在使用基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估方法時(shí),經(jīng)常會(huì)遇到如下問(wèn)題:
由于通過(guò)人工梳理信息資產(chǎn)工作量較大,,而且資產(chǎn)自動(dòng)化工具的應(yīng)用尚不完善,,導(dǎo)致在組織中維護(hù)一份有效的信息資產(chǎn)清單是一個(gè)較困難的工作。實(shí)際情況中企業(yè)的資產(chǎn)不是固定不變的,,基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估方法是在能準(zhǔn)確識(shí)別資產(chǎn)和變更的基礎(chǔ)上,,建立包括信息、硬件,、軟件,、虛擬機(jī)、環(huán)境設(shè)施,、人員等內(nèi)容的資產(chǎn)清單,,動(dòng)態(tài)記錄資產(chǎn)全生命周期的維護(hù),并應(yīng)進(jìn)行定期審查和自動(dòng)更新,。
雖然許多企業(yè)在建立IT服務(wù)管理體系時(shí),,建立了CMDB庫(kù)(Configuration Management Database, 配置管理數(shù)據(jù)庫(kù)),但這些企業(yè)的CMDB往往不能及時(shí)更新,,其準(zhǔn)確性和及時(shí)性并不能完全滿(mǎn)足信息資產(chǎn)的梳理要求,;同時(shí)IT服務(wù)管理中的IT資產(chǎn)的概念與安全管理體系中的信息資產(chǎn)并不完全相同,。因此,參考CMDB庫(kù)中IT資產(chǎn)清單來(lái)建立信息資產(chǎn)清單也有較大的局限性,。
由于信息資產(chǎn)與業(yè)務(wù)關(guān)聯(lián)困難,,導(dǎo)致信息資產(chǎn)過(guò)度保護(hù)或保護(hù)不當(dāng)。企業(yè)部分信息資產(chǎn)(如IT基礎(chǔ)設(shè)施,、安全設(shè)備,、虛擬機(jī)、中間件,、各類(lèi)數(shù)據(jù)等)很難與重要業(yè)務(wù)進(jìn)行充分關(guān)聯(lián),。主要原因在于將信息資產(chǎn)與業(yè)務(wù)關(guān)聯(lián)需要安全人員既要熟悉組織的業(yè)務(wù)流程,又要對(duì)組織的IT架構(gòu),、信息系統(tǒng)有著深入的了解,。這樣才能確保將業(yè)務(wù)與IT基礎(chǔ)設(shè)施、安全設(shè)備,、虛擬機(jī),、中間件、數(shù)據(jù)等信息資產(chǎn)進(jìn)行有效關(guān)聯(lián),。如果安全人員在實(shí)操中與業(yè)務(wù)脫離,,會(huì)影響資產(chǎn)賦值的準(zhǔn)確性,資產(chǎn)賦值的偏差會(huì)導(dǎo)致需要保護(hù)的重要資產(chǎn)未得到保護(hù),,或者不重要資產(chǎn)受到過(guò)度保護(hù)導(dǎo)致資源浪費(fèi),。
資產(chǎn)與風(fēng)險(xiǎn)相關(guān)因素對(duì)應(yīng)困難,導(dǎo)致識(shí)別新風(fēng)險(xiǎn)困難,。風(fēng)險(xiǎn)相關(guān)因素變化(如用戶(hù)新業(yè)務(wù)不斷發(fā)展,,國(guó)家法律法規(guī)要求越來(lái)越嚴(yán)格等)帶來(lái)的新安全需求很難直接與資產(chǎn)進(jìn)行直接對(duì)應(yīng),無(wú)法通過(guò)資產(chǎn)發(fā)現(xiàn)新環(huán)境下的新威脅和脆弱性,,導(dǎo)致識(shí)別無(wú)法識(shí)別新風(fēng)險(xiǎn)從而失去對(duì)新風(fēng)險(xiǎn)的控制等,。
基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估方法根據(jù)現(xiàn)有理論設(shè)計(jì),設(shè)計(jì)比較簡(jiǎn)單,,但是在實(shí)施過(guò)程中,,資產(chǎn)威脅脆弱性比較抽象,因此實(shí)施分析和賦值相對(duì)復(fù)雜,。
其他風(fēng)險(xiǎn)評(píng)估方法的探索
目前,,企業(yè)在開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估時(shí),大多是通過(guò)基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估這一較成熟的方法來(lái)應(yīng)用實(shí)施,。但是這種方法在實(shí)施過(guò)程中會(huì)遇到資產(chǎn)梳理繁瑣,、時(shí)間成本高、不易發(fā)現(xiàn)風(fēng)險(xiǎn)相關(guān)因素變化帶來(lái)的新風(fēng)險(xiǎn)等問(wèn)題,,業(yè)界正在積極嘗試探索新的風(fēng)險(xiǎn)評(píng)估方法,。我們也對(duì)其中較典型的3種方法,,進(jìn)行了探索和研究,并與基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估方法進(jìn)行了對(duì)比分析,。
1 基于風(fēng)險(xiǎn)目錄的檢查表評(píng)估方法
基于風(fēng)險(xiǎn)目錄的檢查表評(píng)估是指基于一定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范或按照業(yè)內(nèi)普遍認(rèn)可的安全體系架構(gòu),,把網(wǎng)絡(luò)安全各個(gè)層次和領(lǐng)域可以產(chǎn)生的重要安全風(fēng)險(xiǎn)盡可能列出,并結(jié)合組織所處行業(yè)或組織內(nèi)部歷史上曾經(jīng)發(fā)生過(guò)的網(wǎng)絡(luò)安全事件及產(chǎn)生的風(fēng)險(xiǎn),,建立一份網(wǎng)絡(luò)安全風(fēng)險(xiǎn)目錄清單,。基于這樣的風(fēng)險(xiǎn)目錄來(lái)進(jìn)行安全檢查表評(píng)估,,是一種較實(shí)用的安全風(fēng)險(xiǎn)評(píng)估方法,。
基于風(fēng)險(xiǎn)目錄的檢查表評(píng)估方法需要在專(zhuān)家的指導(dǎo)下建立目錄列表,設(shè)計(jì)比較復(fù)雜,,但是在實(shí)施階段只需要根據(jù)列表逐條檢查即可,,因此執(zhí)行起來(lái)較為簡(jiǎn)單。
優(yōu)點(diǎn):
a) 非專(zhuān)業(yè)人士可以使用,,降低工作難度和實(shí)施成本,;
b) 可以將新環(huán)境納入其中以實(shí)現(xiàn)擴(kuò)展性;
c) 可以確保常見(jiàn)問(wèn)題都被考慮到,。
缺點(diǎn):
a) 限制風(fēng)險(xiǎn)識(shí)別過(guò)程中對(duì)風(fēng)險(xiǎn)的判斷,;
b) 往往基于已觀察到的情況,論證了“已知的已知因素”,,而不是“已知的未知因素”或是“未知的未知因素”,,
會(huì)錯(cuò)過(guò)還沒(méi)有被觀察到的問(wèn)題;
c) 使安全人員產(chǎn)生依賴(lài)列表的習(xí)慣,。
2 基于場(chǎng)景的信息安全風(fēng)險(xiǎn)評(píng)估方法
基于場(chǎng)景的風(fēng)險(xiǎn)評(píng)估,,是通過(guò)對(duì)現(xiàn)有系統(tǒng),、過(guò)程或程序的設(shè)計(jì),、操作等進(jìn)行系統(tǒng)性分析(包括組件、環(huán)境,、操作步驟,、操作人員等),以識(shí)別出危險(xiǎn)以及可能帶來(lái)的危害等,。主要包括識(shí)別系統(tǒng)的設(shè)計(jì)意圖,、故障模式的原因和后果、操作人員的人為錯(cuò)誤,、系統(tǒng)質(zhì)量的可靠性和安全性等方面,。
優(yōu)點(diǎn):
a)徹底地分析系統(tǒng)、過(guò)程或程序,;
b)涉及多個(gè)專(zhuān)業(yè)團(tuán)隊(duì),,包括有實(shí)際操作經(jīng)驗(yàn)的人員以及那些必須采取行動(dòng)的人員,;
c)形成了解決方案和風(fēng)險(xiǎn)應(yīng)對(duì)行動(dòng)方案;
d)對(duì)錯(cuò)誤的原因及結(jié)果進(jìn)行清晰地分析,。
缺點(diǎn):
a)很耗時(shí),,實(shí)施成本較高;
b)對(duì)文件或系統(tǒng)過(guò)程以及程序規(guī)范的要求較高,;
c)注重找到解決方案,,而不是質(zhì)疑基本假設(shè),這可以減輕分階段的辦法,;
d)討論可能會(huì)集中在設(shè)計(jì)細(xì)節(jié)上,,而不是在更寬泛或外部問(wèn)題上;
e)受制于已有設(shè)計(jì)草案及設(shè)計(jì)意圖,,以及傳遞給團(tuán)隊(duì)的范圍及目標(biāo),;
f)對(duì)設(shè)計(jì)人員的業(yè)務(wù)和安全專(zhuān)業(yè)知識(shí)要求很高。
3 德?tīng)柗品ǎ▽?zhuān)家法)
德?tīng)柗品ǎ―elphi)是在一組專(zhuān)家中取得可靠共識(shí)的程序,。刺激并鼓勵(lì)專(zhuān)家暢所欲言,,激發(fā)其在風(fēng)險(xiǎn)管理過(guò)程及系統(tǒng)生命周期中,發(fā)現(xiàn)潛在的失效模式及相關(guān)危險(xiǎn),、風(fēng)險(xiǎn),、決策標(biāo)準(zhǔn)及/或處理辦法。德?tīng)柗品ㄊ前l(fā)現(xiàn)問(wèn)題的高層次討論,,也可以用作更細(xì)致的評(píng)審或特殊問(wèn)題的細(xì)節(jié)討論,。
資源與能力
優(yōu)點(diǎn):
a)可以激發(fā)專(zhuān)家的想象力,有助于發(fā)現(xiàn)新的風(fēng)險(xiǎn)并找到全新解決方案,;
b)讓主要的利益相關(guān)者參與,,有助于進(jìn)行全面溝通;
c)速度較快并易于開(kāi)展,。
缺點(diǎn):
a)需要必要的技術(shù)及知識(shí),,否則無(wú)法提出有效的建議;
b)相對(duì)松散,,因此較難保證過(guò)程的全面性,,不能識(shí)別全部的潛在風(fēng)險(xiǎn);
c)在部分項(xiàng)目應(yīng)用時(shí)會(huì)存在費(fèi)力,、耗時(shí)的情況,。
因此,組織在選擇安全風(fēng)險(xiǎn)評(píng)估方法時(shí),,可以根據(jù)自身的實(shí)際情況,,對(duì)以上分析的方法加以選擇與應(yīng)用。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<