风险评估体系计算机风险评估体系思考.pdfVIP

风险评估体系:计算机风险评估体系思考 疯狂代码 / ĵ http://Security/Article2414.html 　　风险评估的目标分为安全手段评估和实际安全效果评估。安全手段包括技术体系、组织体系、管理体 系等；安全效果包括了物理安全、网络安全、系统安全、数据安全、内容安全等。一、计算机风险评估体系的 反思　　现有的风险评估机制已经构成了一个纷繁复杂的体系，由很多环境和层面构成，有其成熟的模型和标 准，这使得整个风险机构的实施必须依赖于一个系统的专家团队和一个系统的方法来运行。风险评估所评估的 目标分为安全手段评估和实际安全效果评估两个方面。安全手段包括技术体系、组织体系、管理体系等。安全 效果包括了物理安全、网络安全、系统安全、数据安全、内容安全等。为了达到这些评估目标，采取了一系列 的数据采集手段，包括安全扫描、手工检查、渗透测试、安全审计、安全策略评估等。　　那么，这样一个复 杂的模型是放之四海而皆准的，具备可操作和可实施性么?相关的评估目标有效的达成了吗?相关手段能满足要 求吗?　　针对目前的两个趋势，现有风险评估体系已经开始显得鞭长莫及：一方面是安全机构目前受整个国家 等级保护政策和法律的推动，要进行大面积的普及，这样就势必带来了更大的精度和更快的检测速度的压力 ，同时，需要迅速的向它的基层和分支机构来普及，那么一个复杂的模型是这些基层的技术人员能够掌握的吗 ?面对如此大规模的检测对象，传统的工具加人工操作的检测方式能否满足现实中高效检测的这种需要呢?同时 ，这种依赖于操作人员技术水平和问卷问询对象反馈结果的评估结论又能多少真实的反映了系统的实际安全状 况呢?　　另一方面则是大量用户的现状，我们国家有大量的中小企业，大量的地方基层部门，其现状犹如 IBM的广告语说的，“就这么几个人，就这么点钱，就这么一个懂电脑的”，那么这样的现状，能否承受得住 这种需要大笔资金投入、大量技术力量参与的评估模式?他们能够应用这样的一个复杂体系去衡量自己的信息系 统吗?二、主机安全检测的挑战　　上述的质疑主要是从其模型和实施难度角度， 现在我们从风险评估的采集 手段角度拿主机的安全检查来说明一下问题。在信息系统中，其根本中枢就是一台台主机，包括服务器工作站 节点，在其上运行的数据是信息系统的核心资产，是信息威胁的主要侵害对象，也应该是风险评估的主要的研 究目标。主机上的情况实际上要复杂很多，从归纳的角度可以划分成了系统和应用两个部分，在上面真实的逻 辑存在，包括了引导、驱动、服务、进程，配置、主机、端口各种数据等，同时又进行了各种受访、外联等相 应的操作。这种情况将会受到本地攻击、远程攻击、对外访问引入攻击、恶意代码、有害网络内容等综合威胁 ，主机在受到攻击的同时，也保留着部分各种攻击所遗留下来的痕迹和相应的后果。　　面对这样一个麻雀虽 小、五脏俱全的体系，现有的评估手段能满足要求吗?我们目前有两个最典型的手段，一个是扫描器，扫描器实 际上是通过远程发包，通过对应答情况和内容来判定主机的隐患。它是以主机的开放网络服务和端口角度入手 工作的。对整个这样一个纷繁复杂的主机情况，能够获取的数据非常有限，扫描器固然有它的优点，如能够真 实判断主机上漏洞的可利用性、单点部署扫描全网等，但由于它没有主机权限，它检测不到主机很多的脆弱点 。比如最典型的用户是否会因插入U盘感染熊猫烧香这样的病毒、用户访问恶意网页是否会被木马注入等，都 是扫描器无法判定的。　　针对主机另一种常用的风险评估方法就是问卷调查，问卷的典型性就是把网内过去 发生过的事件通过人工应答的方式体现，它的优点就是不与主机接触，可以避免本身带来安全隐患。但是这种 方法容易产生偏差，在风险评估实践中，有两种情况是无法避免的。一种是故意缩小风险，主要担心承担责任 ，另外一种就是故意夸大风险，目的是为了增加一些安全采购。　　另外，问卷本身也会存在问题，就是会有 许多专业概念，许多是用户无法正确理解的，如果用户不理解，就不可能填写正确，但如果为了让用户理解 ，我们需要非常巨大的教育成本。因此，问卷调查本身是一种不可靠而低效的方式。　　还有一个问题，就是 现有的评估主要是侧重于手段的体系的合理性和完备性。像安全审计，它是考量体系的实施情况，比如它用 “是否安装反病毒软件”来替代对机器上是否有病毒的真实检查，用“用户是否安装了防火墙”来替代是否有 网络攻击危险。　　这种评估核心是一种对手段的评估，而不是对当前信息系统的一个真实状况的评估。它在 一定程度上解决了物理安全和内容安全问题，但是对于运行安全和数据安全的实际状况则没有形成一个测试评 价体系