信息安全风险评估技术

信息安全风险评估技术手段综述

王英梅1

（北京科技大学信息工程学院 北京 100101）

摘要：信息安全成为国家安全的重要组成部分，因此为保证信息安全，建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础，在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具，本文在对风险评估工具进行分类的基础上，探讨了目前主要的风险评估工具的研究现状及发展方向。

关键词：风险评估 综合风险评估 信息基础设施 工具 引言

当今时代，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十一世纪国力的象征，以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式，没有各种信息的支持，企业的生存和发展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战，因此，需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说：“没有安全的工程就是豆腐渣工程”。信息同样需要安全工程。而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。

如何保证组织一直保持一个比较安全的状态，保证企业的信息安全管理手段和安全技术发挥最大的作用，是企业最关心的问题。同时企业高层开始意识到信息安全策略的重要性。突然间，IT专业人员发现自己面临着挑战：设计信息安全政策该从何处着手？如何拟订具有约束力的安全政策？如何让公司员工真正接受安全策略并在日常工作中执行？借助于信息安全风险评估和风险评估工具，能够回答以上的问题。 一. 信息安全风险评估与评估工具

风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，即利用定性或定量的方法，借助于风险评估工具，确定信息资产的风险等级和优先风险控制。

风险评估是风险管理的最根本依据，是对现有网络的安全性进行分析的第一手资料，也 1

作者介绍：王英梅(1974-)，博士研究生，研究方向为信息安全、风险评估。国家信息中心《信息安

全风险评估指南》编写小组成员。

1

是网络安全领域内最重要的内容之一。企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前，进行风险评估会帮助组织在一个安全的框架下进行组织活动。它通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。

信息安全风险评估经历了很长一段的发展时期。风险评估的重点也从操作系统、网络环境发展到整个管理体系。西方国家在实践中不断发现，风险评估作为保证信息安全的重要基石发挥的关键的作用。在信息安全、安全技术的相关标准中，风险评估均作为关键步骤进行阐述，如ISO13335、FIPS-30、BS7799-2等。风险评估模型也从借鉴其他领域的模型发展到开发出适用于风险评估的模型。风险评估方法的定性分析和定量分析不断被学者和安全分析人员完善与扩充。

最主要的是，风险评估的过程逐渐转向自动化和标准化。应用于风险评估的工具层出不穷，越来越多的科研人员发现，自动化的风险评估工具不仅可以将分析人员从繁重的手工劳动中解脱出来，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛的应用。 二. 风险评估工具的分类

目前对风险评估工具的分类还没有一个统一的理解。文献[1]将风险评估工具被分为三类：预防、相应和检测。通常情况下技术人员会把漏洞扫描工具称为风险评估工具，文献[2]提到的风险评估工具就是漏洞评估扫描器。确实在对信息基础设施进行风险评估过程中，漏洞扫描工具发挥着不可替代的作用，通过漏洞扫描工具发现系统存在的漏洞、不合理配置等问题，根据漏洞扫描结果提供的线索，利用渗透性测试分析系统存在的风险。随着人们对信息资产的深入理解，发现信息资产不只包括存在于计算机环境中的数据、文档，信息在组织中的各种载体中传播，包括纸质载体、人员等，因此信息安全包括更广泛的范围。同时，信息安全管理者发现解决信息安全的问题在于预防。在此基础上，许多国家和组织都建立了针对于预防安全事件发生的风险评估指南和方法。基于这些方法，开发出了一些工具，如CRAMM、RA等，这些工具统称为风险评估工具。这些工具主要从管理的层面上，考虑包括信息安全技术在内的一系列与信息安全有关的问题，如安全规定、人员管理、通信保障、业务连续性以及法律法规等各方面的因素，对信息安全有一个整体宏观的评价。其实，一个完整的风险评估所考虑的问题不只关键资产在是某个时间状态下的威胁、脆弱点情况，以往一段时间内的攻击情况和安全事故都是风险分析过程中用于确定风险的客观支持。那么对这些攻击事件的检测和记录工具也是风险评估过程中不可缺少的工具。因此，文献[1]中将入侵监测系统也作为风险评估工具的一种。可见，对风险评估工具的类型划分是人们在对信息安全风险评估不断认识、以及对评估过程不断完善的过程中逐渐形成的。本文根据在风险评估过程中的主要任务和作用原理的不同，将风险评分为三类：综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。

2

综合风险评估与管理工具。这种工具根据信息所面临的威胁的不同分布进行全面考虑，在风险评估的同时根据面临的风险提供相应的控制措施和解决办法。这种风险评估工具通常建立在一定的算法之上，风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点三者来确定，如RA。也有通过建立专家系统，利用专家经验进行风险分析，给出专家结论，这种评估工具需要不断进行知识库的扩充，以适应不同的需要，如COBRA。

信息基础设施风险评估工具。包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器，评估网络或主机系统的安全性并且报告系统脆弱点。这些工具能够扫描网络、服务器、防火墙、路由器和应用程序发现其中的漏洞。通常情况下，这些工具能够发现软件和硬件中已知的安全漏洞，以决定系统是否易受已知攻击的影响，并且寻找系统脆弱点，比如安装方面与建立的安全策略相悖等。渗透性测试工具是根据漏洞扫描工具提供的漏洞，进行模拟黑客测试，判断是否这些漏洞能够被他人利用。这种工具通常包括一些黑客工具，也可以是一些脚本文件。

风险评估辅助工具。这种工具在风险评估过程中不可缺少，它用来收集评估所需要的数据和资料，帮助完成现状分析和趋势分析。如入侵监测系统，帮助检测各种攻击试探和误造作，它可以作为一个警报器，提醒管理员发生的安全状况。同时安全漏洞库、知识库都是风险评估不可或缺的支持手段。

从风险评估工具的分类来看，风险评估辅助工具涉及到信息安全的其他技术体系，因此这里只分析综合风险评估与管理工具和脆弱点评估工具，他们构成了风险评估工具的主体部分。

三. 综合风险评估与管理工具的研究与开发现状

下面从不同角度比较综合风险评估与管理工具的研究现状。

1、 基于国家或政府颁布的信息安全管理标准或指南建立风险评估工具。

目前世界上存在多种不同的风险分析指南和方法。如，NIST(National Institute of standards and Technology)的FIPS 65[3]；DoJ（Department of Justice）的SRAG和GAO(Government Accounting Office)[4]的信息安全管理的实施指南。针对这些方法，由美国开发了自动的风险评估工具[5][6]。英国推行基于BS7799的认证产业，BS7799是一个信息安全管理标准与规定[7]，在建立信息安全管理体系过程中要进行风险评估，根据PD3000中提供风险评估的方法，建立了的CRAMM[8]、RA等风险分析工具。许多国家也在使用或发展国际标准化组织的ISO/IEC，JTC/SC27信息技术安全管理指南的基础上建立自己的风险评估工具[9]。

2、 基于专家系统的风险评估工具。

这种方法经常利用专家系统建立规则和外部知识库，通过调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估，产生专家推荐的安全控制措施。这种工具通常会自动形成风险评估报告，安全风险的严重程度提供风险指数，同时分析可能存

3

在的问题，以及处理办法。如COBRA（Consultative,Objective and Bi-functional Risk Analysis）

[10]

是一个基于专家系统的风险评估工具，它是一个问卷调查形式的风险分析工具，有三个

部分组成：问卷建立器、风险测量器和结果产生器。问卷测量器有四个独立的知识库支持分析工作，这四个知识库分别是：IT安全知识库、操作风险知识库和高风险知识库。除此以外，还有@RISK[11]、BDSS(The Bayesian Decision Support System)[12]等工具。

3、 基于定性或定量算法的风险分析工具。

风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险分析工具。风险分析作为重要的信息安全保障原则已经很长时间。信息安全风险分析算法在很久以前就提出来，而且一些算法被作为正式的信息安全标准。这些标准大部分是定性的——也就是，他们对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式，而不是准确的可能性和损失量。随着人们对信息安全风险了解的不断深入，获得了更多的经验数据，因此人们越来越希望用定量的风险分析方法反映事故方式的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191，提供定量风险分析技术的手册包括GAO和新版的NISTRMG。好的数据是采用定量风险分析的先决条件。但是“可靠的评估信息安全风险比其他种类的风险更难，因为信息安全风险因素的可能数据经常是非常有限的，因为风险因素持续改变”[13]。但无论如何，目前产生的一些列风险评估工具都在定量和定性方面各有侧重。如CONTROL-IT、Definitive Scenario、JANBER都是定性的风险评估工具。而@RISK、The Buddy System、RiskCALC、CORA(Cost-of-Risk Analysis)是半定量（定性与定量方法相结合）的风险评估工具。目前还没有完全定量的风险评估工具，因为对于信息安全风险因素的数据的获得还存在很大问题。

此外，根据风险评估工具体系结构不同，风险评估工具还包括基于客户机/服务器模式以及单机版风险评估工具。如COBRA就是基于C/S模式，而目前大多数的风险评估工具识基于单机版的。另外基于安全因素调查方式的不同，风险评估工具还包括文件式或过程式，如RA就是过程式风险评估工具。

根据以上对综合风险评估与管理工具的分析，笔者对目前比较流行的工具进行了对比：

工具名称 国家/组织 COBRA RA BSI/Britain CRAMM CCTA/Britain @RISK Palisade/ America 体系结构 客户机/服务器模式 采用方法 定性/定量算法 数据采集形式 对使用人员的要求

不需要有风险评估依靠评估人员的知识与经验 依靠评估人员的知识与经验 不需要有风险评估不需要有风险评估的专业知识 4

专家系统 定性/定量结合 调查文件 过程 过程 过程式算法 定性/定量结合 过程式算法 定性/定量结合 专家系统 定性/定量结合 调查文件 调查问卷 专家系统 定性/定量结合 单机版 单机版 单机版 BDSS The Integrated Risk Management Group/American 单机版 的专业知识 结果输出形式 结果报告：风险等基于控制措施 风险等级与控制措施（基于BS7799提供的控制措施） 风险等级与控制措施（基于BS7799提供的控制措施） 的专业知识 决策支持信息 安全防护措施列表 四. 信息基础设施风险评估工具的研究与开发现状

目前，每年有数以百计的新的安全漏洞被发现，每月都会发布一打新的补丁。对于系统和网络管理原来说评估和管理网络系统潜在的安全风险变得越来越重要。主动的漏洞扫描能够在证明危险发生前帮助识别不需要的服务或安全漏洞。信息基础设施风险评估工具的研发现状主要分析漏洞扫描工具。漏洞扫描工具是提供网络或主机系统安全漏洞监测和分析的软件。漏洞扫描器扫描网络或主机的安全漏洞，并发布扫描结果使用户对关键漏洞迅速响应。

目前对漏洞扫描工具的研发主要分为以下几种类型。

1、基于网络的扫描器：在网络中运行。能够监测如防火墙错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞。

2、基于主机的扫描器：发现主机的操作系统、特殊服务和配置的细节。能够发现潜在的用户行为风险，比如密码强度不够。对于文件系统的检查也是一个很好的工具。

3、战争拨号器（wardialer）：通过拨打一系列号码或简单的随机号码能够找到响应的调制解调器。这样用于检查未授权的或不安全的调制解调器，这些调制解调器一旦被渗透将使攻击者越过防火墙进入用户网络。安全专家和系统管理员可以通过战争拨号器评估和测量调制解调器安全策略的有效性。

4、数据库漏洞扫描：对数据库的授权，认证和完整性进行详细的分析。也可以识别数据库系统中潜在的安全漏洞。

5、分布式网络扫描器：用于企业级网络的漏洞评估，广泛地分布和位于不同的位置，城市甚至不同的国家。通常分布式网络扫描器由远程扫描代理、对这些代理的即插即用更新机制和中心管理点构成。这样漏洞评估可以从一个地方对多个地理分布的网络进行。

目前对漏洞扫描工具衡量标准是：监测到主要漏洞的准确性。过去，对漏洞扫描工具的宣传和开发似乎成了玩弄数字的游戏。厂商经常以能够检测到的漏洞的数量来宣传他们的产平。而纯粹数量计算在很多时候都会给人以误导。比如，入侵监测系统的厂商当提到他们的产品所采用的入侵特征时会强调采用特征的数量。病毒扫描软件厂商也通过强调数量来支持他们监测恶意代码的有效性。漏洞扫描也不例外，也会强调它们产品嵌入的漏洞检测的数量。也许很多人认为数量越多越好，但事实上我们需要的不止这些。我们需要的是能够准确的识别并对紧急漏洞进行报告，而不是不正确报告结论却要经过上亿次扫描的工具。

一个好的漏洞扫描工具应包括以下几个特性：

●最新的漏洞检测库，为此工具开发上应各有不同的办法监控新发现的漏洞。漏洞库的

5

更新不能在一个重大漏洞发现一个月后才进行。

●扫描工具必须准确并使误报率减少到最小。在小范围的漏洞扫描报告中存在几个不确定的警告是一回事，经过大范围的扫描后出现成百上千的不确定警报是另外一回事。如果在扫描既有十台机器的环境下的误报率是3%，那么依据此情况类推在大型网络环境下回是什么结果呢?

●扫描器有某种可升级的后端，能够存储多个扫描结果并提供趋势分析的手段。比如Internet Scanner[14]能够将过去扫描的结果调出与本次扫描地进行比较，而eEye’s Retina[15] 没有管理多组扫描数据的功能。

●理想的扫描工具应包括清晰的且准确地提供弥补发现问题的信息。如Axent's NetRecon，Internet Scanner能够提供漏洞修复信息，而SAINT和SARA在这方面有所欠缺。

漏洞扫描工具是风险评估人员、系统工程师和网络管理员经常使用的工具，大家对它并不陌生，这里对几种常用的漏洞扫描工具进行分析比较。

NetRecon BindView HarkerShield 操作系统 内建的自动更新特征 能够自动更新（从网络下载） 能够自动更新 能够自动更新 能够自动更新 能够自动更新（从网络下载） 扫描类型 基于网络的扫描 基于主机的扫描 基于主机的扫描 基于主机的扫描 CVE对照 没有对应CVE列表 否 对应CVE列表 没有对应CVE列表 能够 对表 是否能够对选点的漏洞进行修复 软件开放类型 表现形式 用户界面 用户界面 用户界面 命令行 命令行 命令行 命令行 命令行 购买 购买 购买 购买 开源 购买 开源 开源 能够 否 应基于网络的扫描 对表 否 能够 应没有对应CVE列表 基于主机的扫描 基于网络的扫描 对表 否 否 应对应CVE列表 基于网络的扫描 能够自动更新 无此功能 无此功能 Windows Windows EEye Digital Security Retina Windows Windows Unix ISS Internet Scanner Nessus Security Network Associates CyberCop Scanner Windows Unix SARA World Wide Digital Security SAINT Unix CVE列CVE列CVE列五. 信息安全风险评估工具的研究发展方向

随着人们对信息安全风险评估重要性的认识，风险评估工具也慢慢得到广泛的应用。同

6

时也对风险评估工具的发展提出新的要求。

1、风险评估工具应整合多种安全技术。风险评估过程中要用到多种技术手段，如入侵检测、系统审计、漏洞扫描等，将这些技术整合到一起，提供综合的风险分析工具，不仅解决了数据的多元获取问题，而且为整个信息安全管理创造良好的条件。

2、风险评估工具应实现功能的集成。风险评估工具应具有状态分析、趋势分析和预见性分析等功能。同时，风险评估工具应提供对系统及管理方面漏洞的修复和补偿办法。可以调动其他安全设施如，防火墙、IDS等配功能，使网络安全设备可以联动。风险分析是动态的分析过程，又是管理人员进行控制措施选择的决策支持手段，因此全面完备的风险分析功能是避免安全事件的前提条件。

3、风险评估工具逐步向智能化的决策支持系统发展。专家系统、神经网络等技术的引入使风险评估工具不是单纯的按照定制的控制措施为用户提供解决方案，而是根据专家经验，进行推理分析后给出最佳的、具有创新性质的控制方法。智能化的风险评估工具具有学习能力，可以在不断地使用中产生新的知识，面对不断出现的新的问题。智能化的决策支持能够为普通用户在面对各种安全现状的情况下提供专家级的解决方案。

4、风险分析工具向定量化方向发展。目前的风险分析工具主要通过对风险的排序，来提示用户重大风险需要首先处理，而没有计算出重大风险会给组织带来多大的经济损失。而组织管理人员所关心的正是经济损失的问题，因为他们要把有限的资金用于信息安全管理，同时权衡费用与价值比。因此，人们越来越倾向于一个量化的风险预测。

总之，人们对风险评估工具的期望不断提高，希望他在风险评估过程中能够发挥更大的作用。 结束语:

风险评估工作是一项费时、需要人力支持以及相关专业或业务知识支持的工作。通常，这项工作由专业的顾问来完成，这些顾问可以是来自被评估的组织也可以来自顾问公司，这些具有专业素质的顾问在风险评估中发挥重要的作用。为了是风险评估工作能够在各行各业中广泛开展，风险评估工具称为不可或缺的技术支持手段。目前，许多组织根据一些安全管理指南和标注开发出风险评估工具，为风险评估的进行提供了便利条件。通过本文的分析，可以看出风险评估工具经过一段时间的发展，从基于安全标准到基于专家系统，从定性分析到半定量决策，不断的满足人们的需要。但风险评估工具的完善还需要很长一段时间，综观这些工具的现状，还存在许多问题，如工具运用的结果如何能够反映客观实质、如何有效度量、工具的使用如何能够综合协调等。同时，我国在风险评估工具的开发方面还处于萌芽阶段，没有成型的风险评估工具。因此我们应在加强风险评估理论的基础上，可发出具有自主知识产权的风险评估工具。

参考文献：

7

1. 2. 3. 4. 5. 6. 7. 8. 9.

10. 11. 12. 13. 14. 15.

Federal Deposit Insurance Corpaoration,Risk Assessment Tools and Practices for Information System Security,http://www.fdic.gov

Jeff Forristal , Greg Shipley , Vulnerability Assessment Scanners , Network Computing ,January 8,2001

FIPS-65, “Guidelines for Automatic Data Processing Risk Analysis` , NIST, 1975

GAO, “Information Security Risk Assessment - Practices of Leading Organizations”,- Case Study 3, GAO/AIMD-00-33, 1999. 11

NIST, “Risk Management Guide for Information Technology Systems”, NIST-SP-800-30, 2001.10

GAO, Information Security Risk Assessment - Practices of Leading Organizations,Exposure Draft, U.S. General Accounting Office, August 1999

BSI, BS7799 - Code of Practice for Information Security Management, British Standards Institute, 1999.

CRAMM, “A Practitioner's View of CRAMM” , http://www.gammassl.co.uk/

ISO/IEC JTC 1/SC27, Information technology - Security technique – Guidelines for the management of IT security (GMITS) - Part 3: Techniques for the management of IT security, ISO/IEC JTC1/SC27 N1845, 1997. 12. 1. [7] CSE,“A Guide to Security Risk Management for IT Systems` , Government of Canada,Communications Security Establishment(CSE)” , 1996.

Introduction to Security Risk Analysis , http://www.security-risk-analysis.com/introcob.htm Risk analysis in @RISK , http://www.palisade.com/html/risk.asp

Will Ozier , Information Risk Analysis , Assessment and Management , http://www.theiia.org/itauidit

Thomas R. Peltier , Information Security Risk Analysis , New York: Auerbach Publications Internet Scanner, http://www.iss.net/products_services/enterprise_protection/ Network Security Scanner , http://www.eeye.com/html/Products/Retina/

8

本文来源：https://www.bwwdw.com/article/yoio.html