[[172738]]

一些人會認為，風險評估不就是掃描主機麻，拿一些國外著名安全工具全網掃描，這種行為就是風險評估，效果肯定好不了，現(xiàn)在很多公司內網都有自動補丁分發(fā)系統(tǒng)，殺毒系統(tǒng)，等等，最重要的問題是掃描出的東西是你關心的內容嗎?其實要進行風險評估，首先要進行網絡資產調研。下面一些基本概念必須了解。

1. 風險要素關系

信息是一種資產，資產所有者應對信息資產進行保護，通過分析信息資產的脆弱性來確定威脅可能利用哪些弱點來破壞其安全性。風險評估要識別資產相關要素的關系，從而判斷資產面臨的風險大小。

圖1 風險要素關系

圖1中方框部分的內容為風險評估的基本要素，橢圓部分的內容是與這些要素相關的屬性。風險評估圍繞其基本要素展開，在對這些要素的評估過程中需要充分考慮業(yè)務戰(zhàn)略、資產價值、安全需求、安全事件、殘余風險等與這些基本要素相關的各類屬性。

圖1中的風險要素及屬性之間存在著以下關系：

(1)業(yè)務戰(zhàn)略依賴資產去實現(xiàn);

(2)資產是有價值的，組織的業(yè)務戰(zhàn)略對資產的依賴度越高，資產價值就越大;

(3)資產價值越大則其面臨的風險越大;

(4)風險是由威脅引發(fā)的，資產面臨的威脅越多則風險越大，并可能演變成安全事件;

(5)弱點越多，威脅利用脆弱性導致安全事件的可能性越大;

(6)脆弱性是未被滿足的安全需求，威脅要通過利用脆弱性來危害資產，從而形成風險;

(7)風險的存在及對風險的認識導出安全需求;

(8)安全需求可通過安全措施得以滿足，需要結合資產價值考慮實施成本;

(9)安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響;

(10)風險不可能也沒有必要降為零，在實施了安全措施后還會有殘留下來的風險。有些殘余風險來自于安全措施可能不當或無效,在以后需要繼續(xù)控制，而有些殘余風險則是在綜合考慮了安全成本與效益后未控制的風險，是可以被接受的;

2　資產分類

風險評估中，資產大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)、網管系統(tǒng)、業(yè)務生產系統(tǒng)等，而且對于提供多種業(yè)務的組織，其支持業(yè)務持續(xù)運行的系統(tǒng)數(shù)量可能更多。這時首先需要將信息系統(tǒng)及相關的資產進行恰當?shù)姆诸?，以此為基礎進行下一步的風險評估。在實際工作中，具體的資產分類方法可以根據(jù)具體的評估對象和要求，由評估者來靈活把握。

根據(jù)資產的表現(xiàn)形式，可將資產分為數(shù)據(jù)、軟件、硬件、文檔、服務、人員等類。

3 資產賦值

對資產的賦值不僅要考慮資產本身的價值，更重要的是要考慮資產的安全狀況對于組織的重要性，即由資產在其三個安全屬性上的達成程度決定。為確保資產賦值時的一致性和準確性，組織應建立一個資產價值評價尺度，以指導資產賦值。

資產賦值的過程也就是對資產在機密性、完整性和可用性上的達成程度進行分析，并在此基礎上得出一個綜合結果的過程。達成程度可由安全屬性缺失時造成的影響來表示，這種影響可能造成某些資產的損害以至危及信息系統(tǒng)，還可能導致經濟效益、市場份額或組織形象的損失。

OSSIM系統(tǒng)中資產賦值如下圖所示。

為資產賦值之后，我們能夠狠方便的在眾多資產中過濾出重要資產。

4. 資產合理分組

資產的分組也是為了對資產進行精細化管理。

5 風險分析

5.1 風險計算原理

在完成了資產識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，將采用適當?shù)姆椒ㄅc工具確定威脅利用脆弱性導致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產的重要性及脆弱性的嚴重程度判斷安全事件造成的損失對組織的影響，即安全風險。

5.2 計算安全事件發(fā)生的可能性

根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計算威脅利用脆弱性導致安全事件發(fā)生的可能性，即：

安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)=L(T，V )

在具體評估中，應綜合攻擊者技術能力(專業(yè)技術程度、攻擊設備等)、脆弱性被利用的難易程度(可訪問時間、設計和操作知識公開程度等)以及資產吸引力等因素來判斷安全事件發(fā)生的可能性。

5.3、計算風險值

根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失，計算風險值，即：

風險值=R(安全事件發(fā)生的可能性，安全事件的損失)=R(L(T，V)，F(xiàn)(Ia，Va ))

評估者可根據(jù)自身情況選擇相應的風險計算方法計算風險值。如矩陣法或相乘法，通過構造經驗函數(shù)，矩陣法可形成安全事件發(fā)生的可能性與安全事件的損失之間的二維關系;運用相乘法可以將安全事件發(fā)生的可能性與安全事件的損失相乘得到風險值。

OSSIM系統(tǒng)中計算方法：

OSSIM系統(tǒng)在將資產價值(Asset)、優(yōu)先級(Priority)、可靠性(Reliability)三個參數(shù)組合在一起進行風險的計算是簡潔有效的，在OSSIM系統(tǒng)中使用以下公式：

Risk=asset*priority*reliability/25 (風險模型計算公式4-1)

其中Asset(資產，取值范圍0~5)

Priority(優(yōu)先級，取值范圍0~5)

Reliability(可信度，取值范圍0~10)

由公式(4-1)計算每個Alert事件的Risk值，其中

Asset 的取值范圍為 0～5，asset默認值為2;在OSSIM系統(tǒng)中將資產的關注程度分為5級，取值由低到高分別為1、2、3、4、5。從表面上理解，數(shù)字的大小決定了風險計算公式中Risk值的大小，但也有它深層次的含義，比如普通工作站資產等級為1，當它遭受DOS攻擊時，我們只需要簡單端口網絡連接，如果是數(shù)據(jù)庫服務器，它的資產等級為5，數(shù)據(jù)庫服務需要實時在線，所以同樣遭受DOS攻擊我們就不能像工作站那樣處理，而應自動啟用備用IP地址并將攻擊引向網絡蜜罐系統(tǒng)。

優(yōu)先級Priority 的取值范圍為 0～5，默認值為 1，該參數(shù)描述一次成功攻擊所造成的危害程度，數(shù)值越大，則危害程度越高;

可信度或者叫可靠性Reliability 的取值范圍為 0～10，默認值為 1，可靠性參數(shù)描述一次攻擊可能成功的概率，最高值是10，代表100%可能，所以其值越高，代表越不可靠，大家也可以將此理解為被攻擊的可能性。

5.4 風險結果判定

風險等級劃分為五級，等級越高，風險越高。評估者應根據(jù)所采用的風險計算方法為每個等級設定風險值范圍，并對所有風險計算結果進行等級處理。OSSIM系統(tǒng)在有一整套公式來綜合評判系統(tǒng)風險。

6.運維階段風險評估輔助工具應用

運維階段風險評估的目的是了解和控制運行過程中的信息系統(tǒng)安全風險，是一種較為全面的風險評估。評估內容包括對真實運行的信息系統(tǒng)、資產、威脅、脆弱性等各方面。

(1)資產評估：對真實環(huán)境下較為細致的評估，包括實施階段采購的軟硬件資產、系統(tǒng)運行過程中生成的信息資產、相關的人員與服務等。本階段資產識別是前期資產識別的補充與增加;

(2)威脅評估：真實環(huán)境中的威脅分析，應全面地評估威脅的可能性和影響程度。對非故意威脅產生安全事件的評估可以參照事故發(fā)生率;對故意威脅主要由評估人員就威脅的各個影響因素做出專業(yè)判斷;同時考慮已有控制措施;

(3)脆弱性評估：是全面的脆弱性評估。包括運行環(huán)境下物理、網絡、系統(tǒng)、應用、安全保障設備、管理的脆弱性。對于技術的脆弱性評估采取核查、掃描、案例驗證、滲透性測試的方式驗證脆弱性;對安全保障設備脆弱性評估時考慮安全功能的實現(xiàn)情況和安全措施本身的脆弱性。對于管理脆弱性采取文檔、記錄核查進行驗證;

(4)風險計算：根據(jù)本標準的相關方法，對主要資產的風險進行定性或定量的風險分析，描述不同資產的風險高低狀況。

以下是OSSIM系統(tǒng)在一個界面中關聯(lián)展示這些重要信息。

7.OpenVas使用

企業(yè)網絡安全測試、風險評估價格昂貴，效果可能并不理想，本文介紹免費的OSSIM系統(tǒng)您考慮試試嗎?OpenVAS漏洞掃描指南內容參見：http://chenguang.blog.51cto.com/350944/1692490