软讯网络 > 软件时空 > 软件相关 > 美国信息安全风险评估工作流程详述

【标题】：美国信息安全风险评估工作流程详述
【关键字】：
【来源】：http://blog.csdn.net/purpleforest/archive/2006/09/28/1302459.aspx

美国信息安全风险评估工作流程详述

通过参考NIST SP800系列标准关于信息安全风险评估的阐述，以下列举了美国政府在实施风险评估和风险控制时的一般流程，具有普遍性，但并不意味着这是固定不变的方法。

步骤1：描述体系特征

在对信息系统的风险进行评估中，第一步是定义工作范围。在该步中，要确定信息系统的边界以及组成系统的资源和信息。对信息系统的特征进行描述后便确立了风险评估工作的范围，刻画了对系统的进行授权运行（或认可）的边界，并为风险定义提供了必要的信息（如硬件、软件、系统连通性、负责部门或支持人员）。

本附录所描述的方法学可运用于对单个或多个相关联系统的评估。在评估多个关联系统时，要在运用这些方法学之前就定义好所关心的域、全部接口及依赖关系。

步骤1.1 系统相关信息

识别信息系统风险时，要求对系统的运行环境有着非常深入的理解。因此从事风险评估的人员必须首先收集系统相关信息，通常这些信息分为如下几类：

Ø 硬件

Ø 软件

Ø 系统接口（如内部和外部连接）

Ø 数据和信息

Ø 信息系统的支持和使用人员

Ø 系统使命（例如信息系统实施的处理过程）

Ø 系统和数据的关键性（例如系统对于单位的价值或重要性）

Ø 系统和数据的敏感性

与信息系统及其数据的运行环境相关的其它信息还包括——但不限于——以下信息：

Ø 信息系统的功能需求

Ø 系统的用户（例如为信息系统提供技术支持的系统用户，使用信息系统完成业务功能的应用用户等）

Ø 信息系统的系统安全策略（机构策略、政府要求、法律、行业惯例等）

Ø 系统安全体系结构

Ø 当前的网络拓扑（例如网络图示）

Ø 信息系统中的信息流（例如系统接口、系统输入和输出的流程图）

Ø 信息系统的安全措施

Ø 信息系统的物理安全环境（例如设施安全、数据中心策略等）

Ø 针对信息系统处理环境而实现的环境安全（例如对湿度、水、电、污染、温度和化学物品的控制）

对于处在启动或规划阶段的系统，系统信息可以从设计或需求文档中获得。对于处于开发阶段的系统，有必要为未来的信息系统定义关键的安全规则和属性。系统设计文档和系统安全计划可以为开发阶段的信息系统提供有用的安全信息。

对于运行中的信息系统，要从其运行环境中收集信息系统的数据，包括系统配置、连接、流程方面的数据。

步骤1.2 信息收集技术

可以使用下列一项或多项技术在其运行边界内获取相关的系统信息：

Ø 调查问卷：要收集相关信息，风险评估人员可以设计一套关于信息系统中的安全措施的调查问卷。可将这套调查问卷发给信息系统的管理和使用人员。调查问卷也可以在现场参观和面谈时使用。

Ø 现场面谈：和信息系统的管理或使用人员面谈有助于风险评估人员收集有用的系统信息（例如系统是如何运行和管理的）。现场参观也能让风险评估人员观察并收集到信息系统在物理、环境和运行方面的信息。

Ø 文档审查：政策文档（例如法律文档、规章等）、系统文档（例如系统用户指南、系统管理员手册、系统设计和需求文档等）、安全相关的文档（例如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略等）可以提供关于信息系统的安全措施方面的有用信息。对机构使命的影响进行分析或评估资产的关键性后，可以得到系统和数据的关键性和敏感性方面的信息。

Ø 使用自动扫描工具：一些主动的技术方法可以用来有效地收集系统信息。例如，网络映射工具可以识别出运行在一大群主机上的服务，并提供一个快速的方法来为目标信息系统建立轮廓。

信息收集工作可以贯穿于整个风险评估过程，从第1步（系统特征描述）一直到第9步（结果记录）。

步骤1的输出：被评估的信息系统的特征、对信息系统环境的描述、对系统边界的刻画。

步骤2：识别威胁

如果没有脆弱性，威胁源无法造成风险；在确定威胁的可能性时，应该考虑威胁源、潜在的脆弱性和现有的安全措施。

步骤2.1 识别威胁源

本步的目标是识别出潜在的威胁源，并且编辑出一份威胁声明，其中要列出被评估的信息系统面临的潜在威胁源。

威胁源被定义为任何可能危害一个信息系统的环境或事件。

威胁源按照其性质一般可分为自然威胁和人为威胁。信息系统根据自身应用的特点和地理位置可能会面对不同的威胁源。

在评估威胁源时，要考虑可能危害信息系统及其处理环境的所有潜在威胁源。

步骤2.2 动机和行为

攻击的动机和资源使得人成为了潜在的危险威胁源之一。表3概括了许多常见的人为威胁、其可能的动机、可能的攻击方法和威胁行为。这些信息对一个单位研究其面临的人为威胁环境并制定人为威胁声明非常有用。另外，以下方法也有助于标识人为威胁：审查系统的破坏历史、安全违规报告、事故报告；在信息收集过程中与系统管理员、技术支持人员、用户面谈。

表3 人为威胁：威胁源、动机和威胁行为

威胁源	动机	威胁行为
黑客	挑战自负反叛	l 破解 l 社会工程 l 系统入侵、闯入 l 未授权访问
计算机罪犯	破坏信息非法泄漏信息非法篡改数据获取钱财	l 计算机犯罪（例如网络骚扰） l 欺诈行为（例如重放、身份假冒、截获） l 伪造 l 系统入侵
恐怖分子	勒索破坏恶意利用复仇	l 炸弹/恐怖主义 l 信息战 l 系统攻击（例如分布式拒绝服务） l 系统渗透 l 系统篡改
工业间谍	竞争优势经济间谍	l 信息窃取 l 侵犯个人隐私 l 社会工程 l 系统渗透 l 未授权的系统访问
内部人员（没有接受良好培训、心怀不满、恶意、疏忽、不诚实、离职员工）	好奇自负聪明获取钱财复仇无意错误和疏忽（例如数据录入错误、编程错误）	l 骚扰员工 l 勒索 l 浏览专属信息 l 计算机滥用 l 欺诈和窃取 l 信息贿赂 l 输入伪造的、被破坏过的信息 l 截获 l 恶意代码（例如病毒、逻辑炸弹、特洛伊木马） l 出卖个人信息 l 系统缺陷 l 系统入侵 l 系统破坏 l 未授权系统访问

为了确定脆弱性被利用的可能性，在识别出潜在的威胁源后，要对其发起一次成功攻击所需的动机、资源和能力作出估计。

应该为单位及其处理环境制定威胁声明或潜在威胁源的清单。关于威胁的信息来源一般包括——但不限于——以下方面：

Ø 信息咨询机构

Ø 事件响应或应急响应中心

Ø 大众媒体，尤其是基于Web的资源，例如安全网站

步骤2的输出：威胁声明，其中包括对威胁源的记录，该威胁源可能会利用系统的脆弱性发动攻击。

步骤3：识别脆弱性

本步的目标是制定系统中可能会被威胁源利用的脆弱性（缺陷或薄弱环节）的列表。

表4中列出了一些脆弱性/威胁对的例子。

表4 脆弱性/威胁对

脆弱性	威胁源	威胁行为
离职员工的系统账号没有从系统中注销	离职员工	拨号进入单位网络，并访问公司的敏感数据
单位的防火墙允许进入方向的telnet，并且在某服务器上允许以guest账号进入	未经授权的用户（例如黑客、离职员工、计算机罪犯、恐怖分子）	通过telnet，用guest帐号进入某服务器，浏览系统文件
厂商在系统安全设计中存在为人所知的缺陷，但还没有补丁文件	未经授权的用户（例如黑客、离职员工、计算机罪犯、恐怖分子）	基于已为人所知的系统的脆弱性，未授权地访问敏感的系统文件
数据中心使用洒水器来灭火，没有用防水油布来保护硬件和设备	火灾、人员疏忽大意	打开了数据中心的洒水器

识别系统脆弱性可以有以下几种建议的方法：使用脆弱性源；测试系统安全性能；以及制定安全要求核对表。

步骤3.1 脆弱性源

可以用系统安全测试技术来识别信息系统处理环境中的技术和非技术脆弱性。对其它资源（例如标识系统缺陷和Bug的厂商Web主页）进行检查也有好处，这些手段可以用来标识某些特定的信息系统（例如特定操作系统的一个具体版本）的脆弱性。Internet上也可查询到各方面发布的脆弱性修复办法、服务包、补丁文件以及其它可消除或减缓脆弱性的矫正措施。所记录下的系统脆弱性源将得到全面的分析，这些脆弱性源包括不限于以下内容：

Ø 信息系统在以前经过的风险评估的文档

Ø 信息系统审计报告、系统异常报告、安全检查报告、系统测试和评价报告等

Ø 脆弱性列表

Ø 软件安全分析

步骤3.2 系统安全测试

基于信息系统的关键性和可用的资源（例如所分配的资金、可以获得的技术、测试人员所掌握的技术），可以采用系统测试等主动方法来有效地识别系统的脆弱性，这些测试方法包括：

Ø 自动化脆弱性扫描工具

Ø 系统测试和评估（ST&E）

Ø 渗透性测试

自动化的脆弱性扫描工具可用来对一组主机或一个网络进行扫描，以找出已知的脆弱性。但是要注意到有些由自动化脆弱性扫描工具识别出来的可能的脆弱性可能无法表示系统环境中的真实脆弱性。例如，某些扫描工具在对脆弱性评级时，没有考虑现场的环境和需求。有些由这类扫描工具标记出来的脆弱性在特定现场可能并不是真正的脆弱性，而不过是它们所在的环境要求这样配置罢了。因此这种测试方法可能会产生误报。

ST&E是另一种用来在风险评估过程中识别信息系统脆弱性的技术，它包括制定并执行测试计划（例如测试脚本、测试流程和预期的测试结果）。系统安全测试的意图是测试信息系统的安全措施在运行环境中的有效性，其目的是保证所采用的控制满足了已获批准的软件和硬件安全规范，并实现了机构的安全策略和业界标准。

渗透性测试可以用来补充对安全控制的检测，并保证信息系统的各个不同方面都是安全的。当在风险评估过程中采用渗透性测试时，可以用它评估信息系统对故意规避系统安全的攻击进行抵御的能力，其目的是从威胁源的角度来对信息系统进行测试，以识别出信息系统保护计划中可能被疏忽的环节。这类可选安全测试的结果将有助于对系统脆弱性的识别。

步骤3的输出——有可能被潜在的威胁源所利用的系统脆弱性（观察报告）清单。

步骤4：分析安全控制

本步的目标是对已经实现和计划实现的安全措施进行分析——单位通过这些措施来减小或消除一个威胁源利用系统脆弱性的可能性（或概率）。

要产生一个总体的可能性级别评定，以说明一个潜在的脆弱性在相关威胁环境下被攻击的可能性，便需要分析当前已经实现的安全措施。例如，如果威胁源的兴趣或能力级别很低，或者如果有效的安全措施可以消除或减轻危害的后果，那么一个脆弱性（例如系统或流程中的薄弱环节）被利用来发动攻击的可能性就低。

步骤4.1 安全措施

安全措施包括对技术和非技术措施的运用。技术类措施是那些融入到计算机硬件、软件或固件中的保护措施（例如访问控制机制、标识和鉴别机制、加密方法、入侵检测软件等等）；非技术类措施包括管理和运行类措施，例如安全策略、操作流程、人员、物理和环境安全。

步骤4.2 安全措施的分析技术

制定安全要求核对表或使用一个已有的核对表将有助于以一种有效且系统化的方式对安全措施进行分析。安全要求核对表可以用来验证安全是否与既有的法规和政策相一致。因此，在单位的控制环境发生变化（例如安全策略、方法和要求发生变化）后，有必要对核对表进行更新，以确保其有效性。

步骤4的输出——信息系统已经实现的控制清单。

步骤5：分析可能性

本步要说明一个潜在的脆弱性在相关威胁环境下被攻击的可能性，下列支配因素应该在本步中考虑：

Ø 威胁源的动机和能力。

Ø 脆弱性的性质。

Ø 安全措施的有效性。

一个潜在的脆弱性被一个给定威胁源攻击的可能性可以用高、中、低来表示。表5描述了这三个可能性级别。

表5 可能性的定义

可能性级别	可能性描述
高	威胁源具有强烈的动机和足够的能力，防止脆弱性被利用的安全措施是无效的。
中	威胁源具有一定的动机和能力，但是已经部署的安全措施可以阻止对脆弱性的成功利用。
低	威胁源缺少动机和能力，或者已经部署的安全措施能够防止——至少能大大地阻止对脆弱性的利用。

步骤5的输出——可能性级别（高、中或低）。

步骤6：分析影响

度量风险级别的下一主要步骤便是确定对脆弱性的一次成功攻击所产生的负面影响。在开始影响分析过程之前，有必要获得以下必要信息：

Ø 系统使命（例如信息系统的处理过程）

Ø 系统和数据的关键性（系统对单位的价值和重要性）

Ø 系统和数据的敏感性

这些信息可以从现有的文档中获得，例如使命影响分析报告或资产关键性评估报告。使命影响分析将根据对资产关键性和敏感性的定量或定性评估而对单位资产面临的破坏级别进行排序。资产关键性评估活动将对关键或敏感的信息资产（例如硬件、软件、系统、服务以及相关的技术资产）进行标识和排序，是这些资产支持了单位的关键使命。

如果没有这些文档，或对单位信息资产的类似评估还没有开始进行，则可以根据系统和数据的可用性、完整性和保密性保护级别来确定其敏感性。不管用何种方法来确定敏感级，系统和信息的所有者都要负责判断其系统和信息可能遭到的影响级别。因此，在分析影响时，最好同系统和信息的拥有者商谈。

对安全事件的负面影响可以用完整性、可用性和保密性三个安全属性的损失或降低来描述。下面列出了每个安全属性的简要描述以及它们未被满足后可能带来的后果（或影响）：

Ø 完整性损失：系统和数据的完整性是指要求对信息进行保护，防止其遭到不适当的修改。如果对系统和数据进行了未授权（无论是有意还是无意的）的改动，则完整性便遭到了破坏。如果对系统或数据的这种完整性损失不加以修正，继续使用被感染的系统或被破坏的数据，便有可能会导致不精确性、欺诈或错误的决策。此外，对完整性的破坏往往是对可用性和保密性进行成功攻击的第一步。

Ø 可用性损失：如果一个关键的信息系统对其端用户是不可用的，那么单位的使命就会受影响。例如，系统功能和有效性的损失可能会延误生产时间，因此便妨碍了端用户的功能发挥。

Ø 保密性损失：系统和数据的保密性是指对信息进行保护，防止未经授权的泄露。保密信息的未授权泄露带来的影响范围很广，可以从破坏国家安全到泄露隐私数据。未授权的、非预期的或故意地泄露信息有可能会导致公众信心的下降、难堪或使机构面临法律诉讼。

有些有形影响可以通过营收损失、修复系统的成本、修复由破坏而引发的问题所需要的努力程度等定量测出。其它影响（例如公众信心损失、信用损失、单位利益的破坏）则不能用具体的数量单位来度量，而只能通过定性手段进行度量，或用高、中、低影响等术语来描述。

表6 影响级别的定义

影响级别	影响定义
高	对脆弱性的利用（1）可能导致有形资产或资源的高成本损失；（2）可能严重违犯、危害或阻碍单位的使命、声誉或利益；或者（3）可能导致人员死亡或严重伤害。
中	对脆弱性的利用（1）可能导致有形资产或资源的损失；（2）可能违犯、危害或阻碍单位的使命、声誉或利益；或者（3）可能导致人员伤害。
低	对脆弱性的利用（1）可能导致某些有形资产或资源的损失；或者（2）可能对单位的使命、声誉或利益造成值得注意的影响。

在进行影响分析时，应该考虑定性和定量评估的优缺点。定性影响分析的优点是它可对风险进行排序并能够对那些需要立即改善的环节进行标识。定性影响分析的缺点是它没有对影响大小给出具体的定量度量，因此使得成本效益分析变得很困难。

定量影响分析的主要优点是它对影响大小给出了度量，使得可以用成本效益分析来控制成本。缺点是它依赖于用来表示度量的数字范围，定量影响分析的结果的含义可能因而会比较模糊，还要以定性的方式对结果做解释。在确定影响大小时还经常要考虑其它因素，包括但不限于：

Ø 对威胁源在一段时间内（例如一年）利用脆弱性的频率进行估计。

Ø 威胁源每次利用脆弱性发起攻击时的近似成本。

Ø 经过对一次特定影响进行主观分析后给出的加权因素。

步骤6的输出——影响大小（高、中或低）。

步骤7：确定风险

这一步的目的是评估信息系统的风险级别。确定一个特定的威胁/脆弱性对带来的风险时，可以将其表示为以下参数构成的函数：

Ø 给定的威胁源试图攻击一个给定的系统脆弱性的可能性；

Ø 一个威胁源成功攻击了这个系统的脆弱性后所造成的影响的程度；

Ø 规划中或现有的安全措施对于降低或消除风险的充分性。

为度量风险，首先必须制定一个风险尺度和风险级别矩阵。

步骤7.1 风险级别矩阵

将威胁的可能性（例如概率）及威胁影响的级别相乘后便得出了最终的使命风险。下面是一个关于威胁的可能性（高、中、低）和威胁影响（高、中、低）的3×3矩阵。根据现场要求和风险评估要求的粒度，有些情况下也可能使用4×4或5×5的矩阵，后者可以包括一个很低/很高的威胁可能性和一个很低/很高的威胁影响，从而产生一个很低/狠高的风险级别。“很高”的风险级别可能要求系统关闭或停止所有的信息系统集成及测试工作。

表7中的矩阵范例描述了高、中或低的总体风险级别是如何得出的。这种风险级别或等级的确定可能是主观性的。这种判断的基本原理可以用每个可能性级别上分配的概率值和每个影响级别上分配的影响值来解释。例如：

Ø 赋给每个威胁可能性级上的概率为1.0时表示高，0.5表示中，0.1表示低；

Ø 赋给每个影响级上的值为100时表示高，50表示中，10表示低。

表7 风险级别矩阵

威胁可能性	影响
威胁可能性	低（10）	中（50）	高（100）
高（1.0）	低10×1.0 = 10	中50×1.0 = 50	高100×1.0 = 100
中（0.5）	低10×0.5 = 5	中50×0.5 = 25	中100×0.5 = 50
低（0.1）	低10×0.1 = 1	低50×0.1 = 5	低100×0.1 = 10

风险尺度：高（50～100）；中（10～50）；低（1～10）

步骤7.2 风险级别描述

表8描述了上述矩阵中的风险级别。这种表示为高、中、低的风险尺度代表了如果给定的脆弱性被利用来攻击时，信息系统、设施或流程可能暴露出的风险程度或级别。风险尺度也表示了高级管理人员和系统拥有者对每种风险级别必须采取的行动。

表8 风险尺度和必要行动

风险级别	风险描述和必要行动
高	如果被评估为高风险，那么便强烈要求有纠正措施。一个现有系统可能要继续运行，但是必须尽快部署针对性计划。
中	如果被评估为中风险，那么便要求有纠正行动，必须在一个合理的时间段内制定有关计划来实施这些行动。
低	如果被评估为低风险，那么单位的管理层就必须确定是否还需要采取纠正行动或者是否接受风险。。