信息安全风险评估

面对信息安全问题时，需要从组织的角度去评估他们实际上需要保护什么及其需求的原因。大多数安全问题深深的根植在一个或者多个组织和业务问题中。在实施安全方案之前，应当通过在业务环境中评估安全需求和风险，刻画出基本问题的真实本质，决定需要保护哪些对象，为什么要保护这些对象，需要从哪些方面进行保护，如何在生存期内进行保护。下面将从不同的角度比较现有的信息安全风险评估方法。

1. 手动评估和工具辅助评估

在各种信息安全风险评估工具出现以前，对信息系统进行安全管理，一切工作都只能手工进行。对于安全风险分析人员而言，这些工作包括识别重要资产、安全需求分析、当前安全实践分析、威胁和弱点发现、基于资产的风险分析和评估等。对于安全决策者而言，这些工作包括资产估价、安全投资成本以及风险效益之间的平衡决策等。对于系统管理员而言，这些工作包括基于风险评估的风险管理等。总而言之，其劳动量巨大，容易出现疏漏，而且，他们都是依据各自的经验，进行与安全风险相关的工作。
风险评估工具的出现在一定程度上解决了手动评估的局限性。1985年，英国CCTA开发了CRAMM风险评估工具。CRAMM包括全面的风险评估工具，并且完全遵循BS 7799规范，包括依靠资产的建模、商业影响评估、识别和评估威胁和弱点、评估风险等级、识别需求和基于风险评估调整控制等。CRAMM评估风险依靠资产价值、威胁和脆弱点，这些参数值是通过CRAMM评估者与资产所有者、系统使用者、技术支持人员和安全部门人员一起的交互活动得到，最后给出一套安全解决方案。1991年，C&A System Security公司推出了COBRA工具，用来进行信息安全风险评估。COBRA由一系列风险分析、咨询和安全评价工具组成，它改变了传统的风险管理方法，提供了一个完整的风险分析服务，并且兼容许多风险评估方法学（如定性分析和定量分析等）。它可以看作一个基于专家系统和扩展知识库的问卷系统，对所有的威胁和脆弱点评估其相对重要性，并且给出合适的建议和解决方案。此外，它还对每个风险类别提供风险分析报告和风险值（或风险等级）。
信息安全风险评估工具的出现，大大缩短了评估所花费的时间。在系统应用和配置不断改变的情况，组织可以通过执行另外一次评估重新设置风险基线。两次评估的时间间隔可以预先确定（例如，以月为单位）或者由主要的事件触发（例如，企业重组、组织的计算基础结构重新设计等）。

2. 技术评估和整体评估

技术评估是指对组织的技术基础结构和程序进行系统的、及时的检查，包括对组织内部计算环境的安全性及其对内外攻击脆弱性的完整性攻击。这些技术驱动的评估通常包括：（1）评估整个计算基础结构。（2）使用拥有的软件工具分析基础结构及其全部组件。（3）提供详细的分析报告，说明检测到的技术弱点，并且可能为解决这些弱点建议具体的措施。技术评估是通常意义上所讲的技术脆弱性评估，强调组织的技术脆弱性。但是组织的安全性遵循“木桶原则”，仅仅与组织内最薄弱的环节相当，而这一环节多半是组织中的某个人。
整体风险评估扩展了上述技术评估的范围，着眼于分析组织内部与安全相关的风险，包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。这些多角度的评估试图按照业务驱动程序或者目标对安全风险进行排列，关注的焦点主要集中在安全的以下4个方面：（1）检查与安全相关的组织实践，标识当前安全实践的优点和弱点。这一程序可能包括对信息进行比较分析，根据工业标准和最佳实践对信息进行等级评定。（2）包括对系统进行技术分析、对政策进行评审，以及对物理安全进行审查。（3）检查IT的基础结构，以确定技术上的弱点。包括恶意代码的入侵、数据的破坏或者毁灭、信息丢失、拒绝服务、访问权限和特权的未授权变更等。（4）帮助决策制订者综合平衡风险以选择成本效益对策。
1999年，卡内基·梅隆大学的SEI发布了OCTAVE框架，这是一种自主型信息安全风险评估方法[3]。OCTAVE方法是Alberts和Dorofee共同研究的成果，这是一种从系统的、组织的角度开发的新型信息安全保护方法，主要针对大型组织，中小型组织也可以对其适当裁剪，以满足自身需要。它的实施分为三个阶段：（1）建立基于资产的威胁配置文件（Threat Profile）。这是从组织的角度进行的评估。组织的全体员工阐述他们的看法，如什么对组织重要（与信息相关的资产），应当采取什么样的措施保护这些资产等。分析团队整理这些信息，确定对组织最重要的资产（关键资产）并标识对这些资产的威胁。（2）标识基础结构的弱点。对计算基础结构进行的评估。分析团队标识出与每种关键资产相关的关键信息技术系统和组件，然后对这些关键组件进行分析，找出导致对关键资产产生未授权行为的弱点（技术弱点）。（3）开发安全策略和计划。分析团队标识出组织关键资产的风险，并确定要采取的措施。根据对收集到的信息所做的分析，为组织开发保护策略和缓和计划，以解决关键资产的风险。

3. 定性评估和定量评估

定性分析方法是最广泛使用的风险分析方法。该方法通常只关注威胁事件所带来的损失（Loss），而忽略事件发生的概率（Probability）。多数定性风险分析方法依据组织面临的威胁、脆弱点以及控制措施等元素来决定安全风险等级。在定性评估时并不使用具体的数据，而是指定期望值，如设定每种风险的影响值和概率值为“高”、“中”、“低”。有时单纯使用期望值，并不能明显区别风险值之间的差别。可以考虑为定性数据指定数值。例如，设“高”的值为3，“中”的值为2，“低”的值为1。但是要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。所以，不要赋予相对等级太多的意义，否则，将会导致错误的决策。
定量分析方法利用两个基本的元素：威胁事件发生的概率和可能造成的损失。把这两个元素简单相乘的结果称为ALE（Annual Loss Expectancy）或EAC（Estimated Annual Cost）[2]。理论上可以依据ALE计算威胁事件的风险等级，并且做出相应的决策。文献[11]提出了一种定量风险评估方法。该方法首先评估特定资产的价值V，把信息系统分解成各个组件可能更加有利于整个系统的定价，一般按功能单元进行分解；然后根据客观数据计算威胁的频率P；最后计算威胁影响系数μ，因为对于每一个风险，并不是所有的资产所遭受的危害程度都是一样的，程度的范围可能从无危害到彻底危害（即完全破坏）。根据上述三个参数，计算ALE：
ALE ＝ V × P × μ
定量风险分析方法要求特别关注资产的价值和威胁的量化数据，但是这种方法存在一个问题，就是数据的不可靠和不精确。对于某些类型的安全威胁，存在可用的信息。例如，可以根据频率数据估计人们所处区域的自然灾害发生的可能性（如洪水和地震）。也可以用事件发生的频率估计一些系统问题的概率，例如系统崩溃和感染病毒。但是，对于一些其他类型的威胁来说，不存在频率数据，影响和概率很难是精确的。此外，控制和对策措施可以减小威胁事件发生的可能性，而这些威胁事件之间又是相互关联的。这将使定量评估过程非常耗时和困难。
鉴于以上难点，可以转用客观概率和主观概率相结合的方法。应用于没有直接根据的情形，可能只能考虑一些间接信息、有根据的猜测、直觉或者其他主观因素，称为主观概率[12]。应用主观概率估计由人为攻击产生的威胁需要考虑一些附加的威胁属性，如动机、手段和机会等。

4. 基于知识的评估和基于模型的评估

基于知识的风险评估方法主要是依靠经验进行的，经验从安全专家处获取并凭此来解决相似场景的风险评估问题。这种方法的优越性在于能够直接提供推荐的保护措施、结构框架和实施计划。
文献[13]提出了一种基于“良好实践”的知识评估方法。该方法提出重用具有相似性组织（主要从组织的大小、范围以及市场来判断组织是否相似）的“良好实践”。为了能够较好地处理威胁和脆弱性分析，该方法开发了一个滥用和误用报告数据库，存储了30年来的上千个事例。同时也开发了一个扩展的信息安全框架，以辅助用户制定全面的、正确的组织安全策略。基于知识的风险评估方法充分利用多年来开发的保护措施和安全实践，依照组织的相似性程度进行快速的安全实施和包装，以减少组织的安全风险。然而，组织相似性的判定、被评估组织的安全需求分析以及关键资产的确定都是该方法的制约点。安全风险评估是一个非常复杂的任务，这要求存在一个方法既能描述系统的细节又能描述系统的整体。
基于模型的评估可以分析出系统自身内部机制中存在的危险性因素，同时又可以发现系统与外界环境交互中的不正常并有害的行为，从而完成系统脆弱点和安全威胁的定性分析。