信息安全风险评估数据获取与收集方法

一、概述

在对IT系统的风险进行评估中，第一步是定义工作范围。在这一步中，要确定IT系统的边界，以及组成系统的资源和信息。对IT系统的特征进行描述确立了风险评估工作的范围，描述了操作批准（或认可）边界，并对风险定义提供了必要的信息（如硬件、软件、系统连通性、负责部门或支持人员）。

成功的收集安全相关数据是进行信息技术系统安全风险分析与评估的关键。用于安全风险分析的数据来源有统计数据和专家分析。统计基于客观方式，而专家分析基于主观方式，必须有效地将这两种方式有机地结合起来。

二、系统相关信息

识别IT系统风险要求对系统运行的环境有着非常深入的理解。因此从事风险评估的人员必须首先收集系统相关信息，通常这些信息分为如下几类：（物理安全、管理安全、主机安全、网络安全）。

1)       硬件；

2)       软件；

3)       系统界面（如内部和外部连接）；

4)       数据和信息；

5)       支持和使用该IT系统的人员；

6)       系统使命（如该IT系统运行的过程）；

7)       系统和数据的关键性（如系统对于机构的价值或重要性）；

8)       系统和数据的敏感性；

9)       其他的和IT系统及其数据库操作环境相关的信息包括但不限于以下；

10)    IT系统的功能的需求；

11)    系统的用户（如为IT系统提供技术支持的系统用户，使用IT系统完成业务功能的应用用户等）；

12)    管理IT系统的系统安全策略（机构策略、法律、行业惯例等）；

13)    系统安全体系结构；

14)    当前拓扑结构（如网络拓扑图）；

15)    保护系统和数据的可用性、完整性、和保密性的信息存储保护；

16)    IT系统中的信息流（如系统接口、系统输入和输出的流程图）；

17)    用于IT系统的技术类控制（如内置或外挂的用来对标识和鉴别、自主或强制的访问控制、审计、残余信息保护、加密方法等提供支持的安全产品）；

18)    用于IT系统的管理类控制（如行为规则、安全计划等）；

19)    用于IT系统的操作类控制（如人员安全、备份、应急和恢复操作、系统维护、异地存储、用户帐号的创建和删除流程、用户功能隔离的控制，比如特权用户访问和标准用户访问等）；

20)    IT系统的物理安全环境（如设施安全、数据中心策略等）；

21)    针对IT系统处理环境而实现的环境安全（如对温度、水、电、污染和化学物品的控制）。

对于那些在启动或设计阶段的系统，系统信息可以从设计或要求文档中提取。对于处于开发阶段的系统，有必要为未来的IT系统定义计划好关键的安全规则和属性。系统设计文档和系统安全计划可以为开发中系统提供在安全方面的有用信息。

对于运行中的IT系统，要从其操作环境中收集IT系统的数据，包括系统配置、连接、归档或为归档的流程和实践方面的数据。因此，对系统描述可以基于有基础设施所提供的安全之上，或基于IT系统的未来安全计划之上。

三、信息收集技术

可以使用下列技术的一项或几项在某操作边界内获取IT系统相关的信息。这些技术的应用并不是固定不变的，要根据情况的不同综合运用：

（1）调查问卷：

要收集相关信息，风险评估人员可以设计一套关于IT系统中计划的或正在使用的管理或操作控制的调查问卷。可将这套调查问卷发给那些设计或支持IT系统的技术或非技术管理人员。调查问卷也可以在现场或面谈时使用。

（2）现场面谈：

和IT系统的支持或管理人员面谈有助于风险评估人员收集IT系统有用的信息（如系统是如何操作和管理的）。现场参观也能让风险评估人员观察并收集到IT系统在物理、环境、和操作方面的信息。对于那些仍然在设计阶段的系统，现场参观将是面对面的数据收集过程并可提供机会来评价IT系统将运行的物理环境。

（3）文档检查：

策略文档（如法律文档、方针等）、系统文档（如系统用户指南、管理员手册、系统设计和需求文档等），安全相关的文档（如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略等）可以提供关于IT系统已经使用或计划使用的安全控制方面的有用信息。机构使命影响分析或资产关键性评估提供了关于系统和数据关键性和敏感性方面的信息。

（4）使用自动扫描工具（采用漏洞检查工具）：

一些主动的技术方法可以被用来有效的收集系统信息。比如，一个网络映射工具可以识别出运行在一大群主机上的服务，并提供一个快捷的方法来为目标IT系统建立个体轮廓。比较优秀的扫描工具有：

a）SAFESuite套件

SAFESuite套件是Internet Security System（简称ISS）公司开发的网络脆弱点检测软件，它由Internet扫描器、系统扫描器、数据库扫描器、实时监控和SAFESuite套件决策软件所构成，是一个完整的信息系统评估系统。

b）Kane Security Analyst

Kane Security Analyst系统安全分析软件是Intrusion公司的产品，它能够从六个关键的安全领域对系统进行检查，分别是：口令字强度、访问权限控制、用户帐号限制、系统监控、数据完整性和数据保密强度。此软件不仅针对特定的脆弱点进行检查，而且针对系统的必要安全防御措施进行检查。

c）WebTrends Security Analyzer

WebTrends Security Analyzer主要针对Web站点安全的检测和分析软件，它是NetIQ-WebTrends公司的系列产品。其系列产品为企业提供一套完整的、可升级的、模块式的、易于使用的解决方案。产品系列包括：WebTrends Reporting Center、Analysis Suite、WebTrends Log Analyzer、Security Analyzer、WebTrends Firewall Suite、and WebTrends Live等，它可以找出大量隐藏在Linux和Windows服务器、防火墙、路由器等软件中的威胁和脆弱点，并可针对Web和防火墙日志进行分析，由它生成的HTML格式的报告被认为是目前市场上做得最好的。报告里对找到的每个脆弱点进行了说明，并根据脆弱点的优先级进行了分类，除此以外，报告还包括一些消除风险、保护系统的建议。

除了以上这些工具外，还有很多的免费的自由软件如Nmap，Nessus等扫描器都可以作为信息收集的辅助工具。