[[172738]]

一些人會(huì)認(rèn)為，風(fēng)險(xiǎn)評估不就是掃描主機(jī)麻，拿一些國外著名安全工具全網(wǎng)掃描，這種行為就是風(fēng)險(xiǎn)評估，效果肯定好不了，現(xiàn)在很多公司內(nèi)網(wǎng)都有自動(dòng)補(bǔ)丁分發(fā)系統(tǒng)，殺毒系統(tǒng)，等等，最重要的問題是掃描出的東西是你關(guān)心的內(nèi)容嗎?其實(shí)要進(jìn)行風(fēng)險(xiǎn)評估，首先要進(jìn)行網(wǎng)絡(luò)資產(chǎn)調(diào)研。下面一些基本概念必須了解。

1. 風(fēng)險(xiǎn)要素關(guān)系

信息是一種資產(chǎn)，資產(chǎn)所有者應(yīng)對信息資產(chǎn)進(jìn)行保護(hù)，通過分析信息資產(chǎn)的脆弱性來確定威脅可能利用哪些弱點(diǎn)來破壞其安全性。風(fēng)險(xiǎn)評估要識別資產(chǎn)相關(guān)要素的關(guān)系，從而判斷資產(chǎn)面臨的風(fēng)險(xiǎn)大小。

圖1 風(fēng)險(xiǎn)要素關(guān)系

圖1中方框部分的內(nèi)容為風(fēng)險(xiǎn)評估的基本要素，橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風(fēng)險(xiǎn)評估圍繞其基本要素展開，在對這些要素的評估過程中需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與這些基本要素相關(guān)的各類屬性。

圖1中的風(fēng)險(xiǎn)要素及屬性之間存在著以下關(guān)系：

(1)業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)去實(shí)現(xiàn);

(2)資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴度越高，資產(chǎn)價(jià)值就越大;

(3)資產(chǎn)價(jià)值越大則其面臨的風(fēng)險(xiǎn)越大;

(4)風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能演變成安全事件;

(5)弱點(diǎn)越多，威脅利用脆弱性導(dǎo)致安全事件的可能性越大;

(6)脆弱性是未被滿足的安全需求，威脅要通過利用脆弱性來危害資產(chǎn)，從而形成風(fēng)險(xiǎn);

(7)風(fēng)險(xiǎn)的存在及對風(fēng)險(xiǎn)的認(rèn)識導(dǎo)出安全需求;

(8)安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本;

(9)安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響;

(10)風(fēng)險(xiǎn)不可能也沒有必要降為零，在實(shí)施了安全措施后還會(huì)有殘留下來的風(fēng)險(xiǎn)。有些殘余風(fēng)險(xiǎn)來自于安全措施可能不當(dāng)或無效,在以后需要繼續(xù)控制，而有些殘余風(fēng)險(xiǎn)則是在綜合考慮了安全成本與效益后未控制的風(fēng)險(xiǎn)，是可以被接受的;

2　資產(chǎn)分類

風(fēng)險(xiǎn)評估中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)等，而且對于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運(yùn)行的系統(tǒng)數(shù)量可能更多。這時(shí)首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評估。在實(shí)際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評估對象和要求，由評估者來靈活把握。

根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。

3 資產(chǎn)賦值

對資產(chǎn)的賦值不僅要考慮資產(chǎn)本身的價(jià)值，更重要的是要考慮資產(chǎn)的安全狀況對于組織的重要性，即由資產(chǎn)在其三個(gè)安全屬性上的達(dá)成程度決定。為確保資產(chǎn)賦值時(shí)的一致性和準(zhǔn)確性，組織應(yīng)建立一個(gè)資產(chǎn)價(jià)值評價(jià)尺度，以指導(dǎo)資產(chǎn)賦值。

資產(chǎn)賦值的過程也就是對資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出一個(gè)綜合結(jié)果的過程。達(dá)成程度可由安全屬性缺失時(shí)造成的影響來表示，這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng)，還可能導(dǎo)致經(jīng)濟(jì)效益、市場份額或組織形象的損失。

OSSIM系統(tǒng)中資產(chǎn)賦值如下圖所示。

為資產(chǎn)賦值之后，我們能夠狠方便的在眾多資產(chǎn)中過濾出重要資產(chǎn)。

4. 資產(chǎn)合理分組

資產(chǎn)的分組也是為了對資產(chǎn)進(jìn)行精細(xì)化管理。

5 風(fēng)險(xiǎn)分析

5.1 風(fēng)險(xiǎn)計(jì)算原理

在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及脆弱性的嚴(yán)重程度判斷安全事件造成的損失對組織的影響，即安全風(fēng)險(xiǎn)。

5.2 計(jì)算安全事件發(fā)生的可能性

根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：

安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)=L(T，V )

在具體評估中，應(yīng)綜合攻擊者技術(shù)能力(專業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問時(shí)間、設(shè)計(jì)和操作知識公開程度等)以及資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。

5.3、計(jì)算風(fēng)險(xiǎn)值

根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算風(fēng)險(xiǎn)值，即：

風(fēng)險(xiǎn)值=R(安全事件發(fā)生的可能性，安全事件的損失)=R(L(T，V)，F(xiàn)(Ia，Va ))

評估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值。如矩陣法或相乘法，通過構(gòu)造經(jīng)驗(yàn)函數(shù)，矩陣法可形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關(guān)系;運(yùn)用相乘法可以將安全事件發(fā)生的可能性與安全事件的損失相乘得到風(fēng)險(xiǎn)值。

OSSIM系統(tǒng)中計(jì)算方法：

OSSIM系統(tǒng)在將資產(chǎn)價(jià)值(Asset)、優(yōu)先級(Priority)、可靠性(Reliability)三個(gè)參數(shù)組合在一起進(jìn)行風(fēng)險(xiǎn)的計(jì)算是簡潔有效的，在OSSIM系統(tǒng)中使用以下公式：

Risk=asset*priority*reliability/25 (風(fēng)險(xiǎn)模型計(jì)算公式4-1)

其中Asset(資產(chǎn)，取值范圍0~5)

Priority(優(yōu)先級，取值范圍0~5)

Reliability(可信度，取值范圍0~10)

由公式(4-1)計(jì)算每個(gè)Alert事件的Risk值，其中

Asset 的取值范圍為 0～5，asset默認(rèn)值為2;在OSSIM系統(tǒng)中將資產(chǎn)的關(guān)注程度分為5級，取值由低到高分別為1、2、3、4、5。從表面上理解，數(shù)字的大小決定了風(fēng)險(xiǎn)計(jì)算公式中Risk值的大小，但也有它深層次的含義，比如普通工作站資產(chǎn)等級為1，當(dāng)它遭受DOS攻擊時(shí)，我們只需要簡單端口網(wǎng)絡(luò)連接，如果是數(shù)據(jù)庫服務(wù)器，它的資產(chǎn)等級為5，數(shù)據(jù)庫服務(wù)需要實(shí)時(shí)在線，所以同樣遭受DOS攻擊我們就不能像工作站那樣處理，而應(yīng)自動(dòng)啟用備用IP地址并將攻擊引向網(wǎng)絡(luò)蜜罐系統(tǒng)。

優(yōu)先級Priority 的取值范圍為 0～5，默認(rèn)值為 1，該參數(shù)描述一次成功攻擊所造成的危害程度，數(shù)值越大，則危害程度越高;

可信度或者叫可靠性Reliability 的取值范圍為 0～10，默認(rèn)值為 1，可靠性參數(shù)描述一次攻擊可能成功的概率，最高值是10，代表100%可能，所以其值越高，代表越不可靠，大家也可以將此理解為被攻擊的可能性。

5.4 風(fēng)險(xiǎn)結(jié)果判定

風(fēng)險(xiǎn)等級劃分為五級，等級越高，風(fēng)險(xiǎn)越高。評估者應(yīng)根據(jù)所采用的風(fēng)險(xiǎn)計(jì)算方法為每個(gè)等級設(shè)定風(fēng)險(xiǎn)值范圍，并對所有風(fēng)險(xiǎn)計(jì)算結(jié)果進(jìn)行等級處理。OSSIM系統(tǒng)在有一整套公式來綜合評判系統(tǒng)風(fēng)險(xiǎn)。

6.運(yùn)維階段風(fēng)險(xiǎn)評估輔助工具應(yīng)用

運(yùn)維階段風(fēng)險(xiǎn)評估的目的是了解和控制運(yùn)行過程中的信息系統(tǒng)安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評估。評估內(nèi)容包括對真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。

(1)資產(chǎn)評估：對真實(shí)環(huán)境下較為細(xì)致的評估，包括實(shí)施階段采購的軟硬件資產(chǎn)、系統(tǒng)運(yùn)行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等。本階段資產(chǎn)識別是前期資產(chǎn)識別的補(bǔ)充與增加;

(2)威脅評估：真實(shí)環(huán)境中的威脅分析，應(yīng)全面地評估威脅的可能性和影響程度。對非故意威脅產(chǎn)生安全事件的評估可以參照事故發(fā)生率;對故意威脅主要由評估人員就威脅的各個(gè)影響因素做出專業(yè)判斷;同時(shí)考慮已有控制措施;

(3)脆弱性評估：是全面的脆弱性評估。包括運(yùn)行環(huán)境下物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全保障設(shè)備、管理的脆弱性。對于技術(shù)的脆弱性評估采取核查、掃描、案例驗(yàn)證、滲透性測試的方式驗(yàn)證脆弱性;對安全保障設(shè)備脆弱性評估時(shí)考慮安全功能的實(shí)現(xiàn)情況和安全措施本身的脆弱性。對于管理脆弱性采取文檔、記錄核查進(jìn)行驗(yàn)證;

(4)風(fēng)險(xiǎn)計(jì)算：根據(jù)本標(biāo)準(zhǔn)的相關(guān)方法，對主要資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行定性或定量的風(fēng)險(xiǎn)分析，描述不同資產(chǎn)的風(fēng)險(xiǎn)高低狀況。

以下是OSSIM系統(tǒng)在一個(gè)界面中關(guān)聯(lián)展示這些重要信息。

7.OpenVas使用

企業(yè)網(wǎng)絡(luò)安全測試、風(fēng)險(xiǎn)評估價(jià)格昂貴，效果可能并不理想，本文介紹免費(fèi)的OSSIM系統(tǒng)您考慮試試嗎?OpenVAS漏洞掃描指南內(nèi)容參見：http://chenguang.blog.51cto.com/350944/1692490