・178-第异十次全国计算机安全李术麦流套讼文网络安全评估系统的分析与研究王宁中国航天二院706所摘要:目前信息系统安全性评估技术受到广泛重视,但是国内不仅缺乏信息系统安全性评佑理论的研究,也没有安全性评佑自动化系统。本文对国外先进的安全性评估系统 进行研究分析,主要包括As set-1, CC评佑工具、Cobra评佑工具、RiskPAC评佑工具、Ri skWatch评佑工具、XACTA工具,着重介绍了这些工具的功能和评估具体实现过程。 关键词:安全评佑风险评佑定量评估定性评枯研究分析,分别是Asset-1,CC评估工具、Cobra评估1、概述工具、RiskPAC评估工具、RiskWatch评估工具、XACTA工具。本文着重介绍了这些工具的功能和评 信息系统安全性评估正日益得到重视,2003年估具体实现过程。9月、转发了《国家信息化领导小组关于加强信息安全保障工作的意见》,文件2, Asset-1评估工具分析要求采取必要措施进行信息安全风险的防范,国家信息中心成立了信息安全风险评估课题组进行相关2. 1工具介绍研究和标准制定工作,中国信息协会信息安全专业 Asset-1评估工具是以NIST (National Institute委员会2004年年会议题也是“信息安全风险评估”。of Standards and Technology) SP800-26(信息系统安目前国内各大安全厂商纷纷推出信息安全风险 全性自我评估向导)为标准制定的用于安全性自我评评估服务,都是由安全工程师凭借经验、借助已有漏估的自动化工具。工具的主要功能是进行信息系统安洞扫描工具、结合人工调查得出评估结论,但相关风全性的自评估,采用形式是通过用户手动操作进行自险评估基础理论还比较薄弱,更缺乏成熟的安全性评估,达到收集系统安全性相关信息的目的,工具最评估自动化工具。但是国外在信息系统安全性评估终生成安全性自评估报告。最终生成的报告只能达到方面的研究开始比较早,目前已经有了成熟的评估与用户提供的信息同级的准确性,工具并不能引导分工具。析或验证自评估提供信息的关联性、准确性(即工具 要开发自主的安全性评估系统,必须首先明确不具有分析功能)。评估系统功能。因此我们从分析国外先进评估系统2. 2功能分析人手,在研究分析国外先进技术的基础上,结合实际 根据NIST安全性自我评估向导,将安全级别分工作经验、以及相关理论研究基础,再进行自主评估为五级:一般、策略、实施、测试、检验。此工具的每个系统的设计和开发。调查问题都相当于一个命题,陈述为了确保系统的安不国夕卜成熟.的-4-A.系—全性应该做到的相关事颂二用户}}问题的.回答就是统安全性分析评估软件系统,共有十余种,经过筛选择系统对于此项命题的安全程度为上述五级中ly选,我们挑选具有典型代表性、成熟的六个产品进行哪些级别。最后通过统计在某一级别上问题命题和绍大套恰文别选定,来统计系统的安全措施达到的安全级别。3, CC评估工具分析・179・面临的威胁、存在的脆弱性、缺陷;.同时衡量系统各方面的风险等级、并指明风险 等级对系统作业带来的直接影响;.为降低风险推荐防护措施和建议; 生成详尽的报告。CC评估工具有NI AP (National InformationAssurance Partnership)发布,共由两部分组成:CC同时, COBRA 3提供系统与IS017799/BS7799PKB(CC知识库)和CC ToolBox(CC评估工具集)。CC PKB是进行CC评估的支持数据库,基于Access构建。使用Access VBA开发了所有库表的管理程序,在管理主窗体中可以完成所有表的记录修改、增加、删除,管理主窗体以基本表为主,并体现了所有库表之间的主要连接关系,通过连接关系可以对其他非基本表的记录进行增删改。CC ToolBox是进行CC评估的主要工具,主要采用页面调查形式,用户通过依次填充每个页面的调查项来完成评估,最后生成关于评估所进行的详细调查结果和最终评估报告。CC评估系统依据CC标准进行评估,评估被测 信息系统达到CC标准的程度,评估主要包括PP评估、TOE评估等。4, COBRA风险管理工具分析4.1工具介绍 COBRA: Consultive Objective Bi -FunctionalRisk Analysiso安全风险分析管理和评估是保证I T安全的一个重要方法,它是组织安全的重要基础。1991年,C&ASystems Security Ltd推出了自动化风险管理工具COBRA 1版本,用于风险管理评估。随着COBRA的发展,目前的产品不仅仅具有风险管理功能,还可以用于评估是否符合BS7799标准、是否符合组织自身制定的安全策略。COBRA系列工具包括风险咨询工具、IS017799/BS7799咨询I具、策略一致性分析I具、数据安全性咨询工具。COBRA采用调查表的形式, 在PC机上使用,基于知识库,类似专家系统的模式。它评估威胁、脆弱性的相关重要性,并生成合适的改进建议。最后针对每类风险形成文字评估报告、风险等级(得分),所指出的风险自动与给系统造成的影响相联系。COBRA 3具有以下特点: .丰富的图表统计功能、报表直接输出为MS_Word形式、支持视窗操作系统;.知识库进行了升级, COBRA 3可以标明系统的符合程度的衡量功能,由于ISO17799/BS7799本身要求系统进行风险分析和管理,因此COBRA 3实际上提供了对于IS017799/BS7799的满足程度的衡量和风险管理两类功能。4. 2定性分析方法COBRA风险管理产品使用风险定性分析方法, 如下图所示。4. 3 COBRA风险评佑过程 风险评估过程比较灵活,一般都包括问题表构建、风险评估(回答问题表)、产生报告(根据问题的回答进行风险分析评估)。每部分分别由问题表构建、风险评估、报告生成三个子系统完成。 I、问题表构建:通过知识库模块构建问题表, 采用手动或自动方式从各个模块中选择所需的问题,构建针对具体组织进行评估的问题表。同时系统提供了动态问题表构建的功能,即用户可以在回答问题表的同时增删问题表模块。 2、风险评估:・通过完成问题表实现整个风险评估过程。问题表 的不同模块由系统不同人完成,各个模块可以不同时完成,但是评估结果是在全部问题表答案的基础上形成的。问题的答案有多种形式:单选(必选和不必选)、多选(必选和不必选)、文本答案、数字形式答案等。问题还分为多个级别,所有问题的答案都将形成统一的格式,用于评估。对于已构建完的问题表中,用户评估时不想完成的问题,COBRA提供记事本将跳过的问题表记录,最后生成报告时进行说明,同时在评估同时可以动态加人问题表。・180-第异十次全已计算机安全李术麦流会伦文3、报告生成: 通过问题表的回答生成报告.,报告包括建议采取的安全措施、解决方案建议、对于系统相关的每类风险进行分析排序、对于风险给系统带来的影响分析、风险与系统潜在影响的联系分析。5, RiskPAC评估工具分析5. 1概述Ri skPAC是CSCI公司开发的,对组织进行风险评估、业务影响分析的工具,它完成定量(并非统计)和定性风险评估。Ri skPAC组织业务影响分析和风险评估过程:1、确定风险评估范围、确定对分析评估结果进 行反应的人员;2、选择调查问题表:可以选择Ri skPAC已有的调查表(其中包括系统定义好的调查表、也包括用户曾经使用过的调查表),也可以定制符合组织特定需求的调查表;3、 进行调查评估分析,确定组织存在的问题和风险,输出最终结果,确定降低风险的手段,进行修复改进;5. 2 RiskPAC分析 RiskPAC将风险分为几个级别,即低级、中级、高级等,针对每个级别都有不同的风险描述,根据不同风险级别问题的构造和回答,完成风险评估。Ri skPAC包括两个的工具:RiskPAC Ques-tionatire Designe问题设计器和RiskPAC SurveyManager调查管理器。其中问题表设计器进行业务分析和风险评估的调查表设计,调查管理器就是将已选定的调查表以易用的形式提供给用户,供用户选择相应答案,根据答案做出分析评估结论。.问题设计器 问题设计器的主要功能是设计进行业务分析和 风险评估的调查表问题。首先输人问题所需的各项,包括问题主干、答案类型、所需答案类型、问题所属类、问题所反映出的风险类、问题答案表示的权重等;然后将其加人整个问题表中。每个问题都归属于某一类问题。问题设计器还可以增删问题类,通过输人一问题类所需钓落硕-, i括向题类名、创建时间、创建者等,建立新的问题类。.调查管理器 调查管理器的主要功能是从调查表的回答中得出结论,最后得出的报告主要说明系统存在的威胁、风险、所暴露的脆弱性。调查管理器的工作方式是首先按照用户选择的 调查表,逐一列出问题和答案,用户根据提示进行选择答案,直到全部问题回答完毕。Ri skPAC采用的调查表可以通过CD、信件、网络等进行存储、传输,它采用易于传输、升级的格式存储,便于用户使用。6, RiskWatch工具分析6. 1概述Ri skWatch公司在开发风险分析自动化软件系统方面具备了丰富的经验,产品主要是风险分析自动化软件系统,共包括五类产品,分别针对信息系统安全、物理安全、HIPAA标准、RW 17799标准、港口和海运安全,分别分析信息系统安全风险、物理安全危险、以HIPAA为标准存在的安全风险、以RW 17799为标准存在的安全风险、港口和海运存在的安全风险。Ri skWatch工具具有以下特点:.友好的用户界面; .预先定义的风险分析模板, 给用户提供高效、省时的风险分析和脆弱性评估;.数据关联功能; .经过证明的风险分析模型。 使用Ri skWatch风险分析工具,用户可以根据实际需求定制风险分析和脆弱性评估过程,而其它风险分析工具都没有提供此项功能。RiskWatch通过两个特性:定量和定性风险分析、预置风险分析模板,为用户提供这种定制功能。6. 2 RiskWatch风险评估技术方法Ri skWatch9.0自动化风险评估/风险管理工具基于标准风险分析/风险管理方,从以下几方面阐述RiskWatch9.0使用的风险评估技术方法: 1、风险分析应该达到两个目标:.确定目标系统/设备当前状态下面临的风险; .确定并推荐减少风险的防护控制措施,并证 明这些措施是有效的。2 , RiskWatch9.0通过使用因素关联功能和计算风险来达到上述风险分析目标: (1)创建并证明关联包<损失/资产/威胁/脆弱性>,整个关联包定义了条件突发事件,条件突发事件代表1系统蒯嵌的风险卜通过条胜夹发事件衡量系统面临的风险,并衡量当采取防护措施后系统风险降低值。关联包的创建和证明是RiskWatch风大套格灰・181・险分析方法和技术的核心内容。 XACTA Web C&A的处理过程包括如下步骤: (2)针对系统未采取任何防护措施的情况,计算.建立需求追踪矩阵SRTM; 当前系统/设备面临的风险。RiskWatch选用(度损失.测试和扫描 期望ALE来衡量风险。4.风险评估和管理。 (3)针对系统采取防护措施的情况,计算和评估 目前XACTA公司将XACTA Web C&A和防护措施带来的收益/防护措施成本。XACTA Commerce Trust集成发布了新产品XACTA3 ,RiskWatch关于风险定义:IA Manager,,风险=资产O损失O威胁 O脆弱性O防护措施8、工具比较即:当组织有价值的资产受到某种形式威胁, 形成系统脆弱性,并造成一定损失时,称系统出现风险。 从成熟度、功能上对上述6类工具进行比较,结果如下表:7, XACTA IA Manager工具分析XACTA Web C&A遵工具国家公司成熟度功能标准循NIACAP,DITSCAP,依据美国NIST SP 800-Asseet-1IS017799标准,是自动完美国NISTNIST发布26进行IT安全自动化自NIST SP 800-26我评估成C&A(Certification&依据CC进行信息安全自Accerditation)过程的唯一CC美国NIAPNIAP发布动化评估CC’商用软件产品。软件进行网COBRA美国C&A System主要依据ISO 17799进行主要、依据ISO络探测、脆弱性扫描、需求Securiyt Ltd.产品风险评估17799定义、测试和风险评估,同RiskPAC美国CSCI公司成熟产品主要进行定性和定量风险时自动产生符合NIACAP,评估综合各类相关标准进行风各类信息安全相关DITSCAP,DCID标准的过RiskWatch美国RiskWatch公成熟产品,有司一定客户群险评估和风险管理标准程文档。XACTA Web C&A基XACTA美国XACTA公司成熟产品,有主要依据NIACAP,主要.依据ISO于数据库技术,进行反复、一定客户群DITSCAP进行C&A过程17799,NIACAP,DITSCAP,DCID统一的C&A自动化过程,可以发现脆弱性、完成C&A、确定风险、评估配置是否符合标准。参考文献:XACTA Web C&A的下一代产品是XACTA[1] http://www.nist.org[2] http://www.riskwatch.comCommerce Trust,它不仅进行标准符合性评估,还识[3] http://www.riskrpc.com别与标准相比存在的差距、并详细描述这些差距、将[4] http://www.xacta.com这些差距排序,达到持续管理风险的目的。
