2022年第讲信息安全风险评估技术手段综述.docx-得力文库

资源描述

《2022年第讲信息安全风险评估技术手段综述.docx》由会员分享，可在线阅读，更多相关《2022年第讲信息安全风险评估技术手段综述.docx（10页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、精选学习资料 - - - - - - - - - 第28讲信息安全风险评估技术手段综述摘要：信息安全成为国家安全的重要组成部分,因此为保证信息安全,建立信息安全治理体系已成为目前安全建设的首要任务；风险评估作为信息安全管理体系建设的基础,在体系建设的各个阶段发挥着重要的作用；风险评估的进行离不开风险评估工具,本文在对风险评估工具进行分类的基础上,探讨了目前主要的风险评估工具的研究现状及发展方向；关键词：风险评估综合风险评估信息基础设施工具引言当今时代,信息是一个国家最重要的资源之一,信息与网络的运用亦是二十一世

2、纪国力的象征,以网络为载体、信息资源为核心的新经济转变了传统的资产运营模式,没有各种信息的支持,企业的生存和进展空间就会受到限制；信息的重要性使得他不但面临着来自各方面的层出不穷的挑战,因此,需要对信息资产加以妥当爱护；正如中国工程院院长徐匡迪所说：“没有安全的工程就是豆腐渣工程 ”；信息同样需要安全工程；而人们在实践中逐步熟悉到科学的治理是解决信息安全问题的关键；信息安全的内涵也在不断的延长,从最初的信息保密性进展到信息的完整性、可用性、可控性和不行否认性,进而又进展为“攻（攻击）、防（防范）、测（检测）、控（掌握）、管（治理）、评（评估）”等多方面的基础理论和实施技

3、术；如何保证组织始终保持一个比较安全的状态,保证企业的信息安全治理手段和安全技术发挥最大的作用,是企业最关怀的问题；同时企业高层开头意识到信息安全策略的重要性；突然间,IT 专业人员发觉自己面临着挑战：设计信息安全政策该从何处着手？如何拟订具有约束力的安全政策？如何让公司员工真正名师归纳总结 - - - - - - -第 1 页,共 6 页精选学习资料 - - - - - - - - - 接受安全策略并在日常工作中执行？借助于信息安全风险评估和风险评估工具,能够风回险答评以估上与的问题；信息安全评估工具风险评估是对信息及信息处理设施的威逼、影响、脆弱性及三者发生的可能性的评估；它是确认安全

4、风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具 , 确定信息资产的风险等级和优先风险控制；风险评估是风险治理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一；企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前,进行风险评估会帮忙组织在一个安全的框架下进行组织活动；它通过风险评估来识别风险大小,通过制定信息安全方针,实行适当的掌握目标与掌握方式对风险进行控制 , 使风

5、险被避免、转移或降至一个可被接受的水平；信息安全风险评估经受了很长一段的进展时期；风险评估的重点也从操作系统、网络环境进展到整个治理体系；西方国家在实践中不断发觉,风险评估作为保证信息安全的重要基石发挥的关键的作用；在信息安全、安全技术的相关 ISO13335 、 FIPS-30 、标准中,风险评估均作为关键步骤进行阐述,如 BS7799-2 等；风险评估模型也从借鉴其他领域的模型进展到开发出适用于风险评估的模型；风险评估方法的定性分析和定量分析不断被学者和安全分析人员完善与扩充；最主要的是,风险评估的过程逐步转向自动化和标准化；应用于风险

6、评估的工具层出不穷,越来越多的科研人员发觉,自动化的风险评估工具不仅可以将分名师归纳总结 - - - - - - -第 2 页,共 6 页精选学习资料 - - - - - - - - - 析人员从繁重的手工劳动中解脱出来,最主要的是它能够将专家学问进行集中,使专家的经验知识被广泛的应用；风险评估工具的分类目前对风险评估工具的分类仍没有一个统一的懂得；文献将风险评估工具被分为三类：预防、相应和检测；通常情形下技术人员会把漏洞扫描工具称为风险评估工具,文献提到的风险评估工具就是漏洞评估扫描器；的确在对信息基础设施进行风险评估过程中,漏洞扫描工具发挥着不行替代的作用,通过漏洞扫描工具发觉系统

7、存在的漏洞、不合理配置等问题,依据漏洞扫描结果供应的线索,利用渗透性测试分析系统存在的风险；随着人们对信息资产的深化懂得,发觉信息资产不只包括存在于运算机环境中的数据、文档,信息在组织中的各种载体中传播,包括纸质载体、人员等,因此信息安全包括更广泛的范畴；同时,信息安全治理者发觉解决信息安全的问题在于预防；在此基础上,很多国家和组织都建立了针对于预防安全大事发生的风险评估指南和方法；基于这些方法,开发出了一些工具,如CRAMM 、 RA 等,这些工具统称为风险评估工具；这些工具主要从治理的层面上,考虑包括信息安全技术在内的一系列与信息安全有关的问题,如安全规定、人员治理、通信保证、业务连

8、续性以及法律法规等各方面的因素,对信息安全有一个整体宏观的评判；其实,一个完整的风险评估所考虑的问题不只关键资产在是某个时间状态下的威逼、脆弱点情况,以往一段时间内的攻击情形和安全事故都是风险分析过程中用于确定风险的客观支持；那么对这些攻击大事的检测和记录工具也是风险评估过程中不行缺少的工具；因此,文献1中将入侵监测系统也作为风险评估工具的一种；可见,对风险评估工具的类型划分是人们在对信息安全风险评估不断熟悉、以及名师归纳总结 - - - - - - -第 3 页,共 6 页精选学习资料 - - - - - - - - - 对评估过程不断完善的过程中逐步形成的；本文依据在风险评估过程中

9、的主要任务和作用原理的不同,将风险评分为三类：综合风险评估与治理工具、信息基础设施风险评估工具、风险评估辅助工具；综合风险评估与治理工具；这种工具依据信息所面临的威逼的不同分布进行全面考虑,在风险评估的同时依据面临的风险供应相应的掌握措施和解决方法；这种风险评估工具通常建立在肯定的算法之上,风险由关键信息资产、资产所面临的威逼以及威逼所利用的脆弱点三者来确定,如RA；也有通过建立专家系统,利用专家体会进行风险分析,给出专家结论,这种评估工具需要不断进行知识库的扩充 , 以适应不同的需要 , 如COBRA；信息基础设施风险评估工具；包括脆弱点评估工具和渗透性测试工具

10、；脆弱点评估工具也称为安全扫描、漏洞扫描器,评估网络或主机系统的安全性并且报告系统脆弱点；这些工具能够扫描网络、服务器、防火墙、路由器和应用程序发觉其中的漏洞；通常情形下,这些工具能够发觉软件和硬件中已知的安全漏洞,以打算系统是否易受已知攻击的影响,并且查找系统脆弱点,比如安装方面与建立的安全策略相悖等；渗透性测试工具是依据漏洞扫描工具供应的漏洞,进行模拟黑客测试,判定是否这些漏洞能够被他人利用；这种工具通常包括一些黑客工具,也可以是一些脚本文件；风险评估帮助工具；这种工具在风险评估过程中不行缺少,它用来收集评估所需要的数据和资料,帮忙完成现状分析和趋势分析；如入侵监测系统,帮忙

11、检测各种攻击摸索和误造作,它可以作为一个警报器,提示治理员发生的安全状况；同时安全漏洞库、知识库都是风险评估不可或缺的支持手段；从风险评估工具的分类来看,风险评估帮助工具涉及到信息安全的其他技术体名师归纳总结 - - - - - - -第 4 页,共 6 页精选学习资料 - - - - - - - - - 系,因此这里只分析综合风险评估与治理工具和脆弱点评估工具,他们构成了风合险评评估与工具工的主研体与部分现；综风险估管理具的究开发状下面从不同角度比较综合风险评估与管理工具的研究现状；

12、1、基于国家或政府颁布的信息安全治理标2、准或指 3、南建立风险评估工具；目前世界上存在多种不同的风险分析指南和方法；如,NISTNational Institute of standards and Technology的 FIPS 65 ；DoJ （Department of Justice）的SRAG 和 GAOGovernment Accounting Office的信息安全治理的实施指南；针对这些方法,由美国开发了自动的风险评估工具；英国推行基于BS7799的认证产业, BS7799 是一个信息安全治理标准与规定,在建立信息安全治理体系过程中要进行风险评估,依据 PD3000

13、中供应风险评估的方法,建立了的CRAMM 、RA 等风险分析工具；很多国家也在使用或进展国际标准化组织的ISO/IEC ,JTC/SC27 信息技术安全治理指南的基础上建立自己的风险评估工具、基于专家系统的风险评估工具；4；这种方法常常利用专家系统建立规章和外部学问库,通过调查问卷的方式收集组织内部信息安全的状态；对重要资产的威逼和脆弱点进行评估,产生专家推荐的安全掌握措施；这种工具通常会自动形成风险评估报告,安全风险的严峻程度供应风险指数,同时分析可能存在的问题,以及处理方法；如 COBRA（Consultative,Objective and Bi-functional Risk Anal

14、ysis）是一个基于专家系统的风险评估工具,它是一个问卷调查形式的风险分析工具,有三个部分组名师归纳总结 - - - - - - -第 5 页,共 6 页精选学习资料 - - - - - - - - - 成：问卷建立器、风险测量器和结果产生器；问卷测量器有四个独立的学问库支持分析工作,这四个学问库分别是：IT 安全学问库、操作风险学问库和高风险学问库；除此以外,仍有 RISK 、BDSSThe Bayesian Decision Support System 等工具；5、基于定性或定量算法的风险分析工具；风险评估依据对各要素的指标量化以及运算方法不同分为定性和

15、定量的风险分析工具；风险分析作为重要的信息安全保证原就已经很长时间；信息安全风险分析算法在很久以前就提出来,而且一些算法被作为正式的信息安全标准；这些标准大部分是定性的也就是,他们对风险产生的可能性和风险产生的后果基于 “低/中/高”这种表达方式,而不是精确的可能性和缺失量；随着人们对信息安全风险明白的不断深化,获得了更多的体会数据,因此人们越来越期望用定量的风险分析方法反映事故方式的可能性；定量的信息安全风险治理标准包括美国联邦标准 FIPS31 和 FIPS191 ,供应定量风险分析技术的手册包括 GAO 和新版的 NISTRMG ；好的数据是采纳定量风险分析的先决条件；但是“牢靠的

16、评估信息安全风险比其他种类的风险更难,由于信息安全风险因素的可能数据常常是特别有限的,由于风险因素连续转变”；但无论如何,目前产生的一些列风险评估工具都在定量和定性方面各有侧重；如 CONTROL-IT 、Definitive Scenario 、 JANBER 都是定性的风险评估工具；而 RISK 、 The Buddy System 、RiskCALC 、CORACost-of-Risk Analysis 是半定量（定性与定量方法相结合）的风险评估工具；目前仍没有完全定量的风险评估工具,由于对于信息安全风险因素的数据的获得仍存在很大问题；名师归纳总结此外,依据风险评估工详细系结构不同,风险评估工具仍包括基于客户机/服务第 6 页,共 6 页- - - - - - -

展开阅读全文