资源目录

翻译：陈海燕，CISSP（phrackchen@hotmail.com）

(《计算机安全介绍：NIST手册》第七章)

英文版PDF 中文版PDF

注：以下内容因排版原因有所省略，完全信息请查阅中文版PDF。

风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。也许大家没有意识到，其实大家每天都在进行风险管理。像系安全带、预报有雨时带伞或将事情记录下来以免遗忘，这些日常活动都可以归入风险管理的范畴。人们会意识到针对其利益的各种威胁，并采取预防措施进行防范或将其影响减到最小。

政府和企业日常的风险管理是金字塔型的。例如，为了将投资回报最大化，决定是采用高速增长型（但是高风险）还是采用低速增长型（但是更安全）的投资计划是常见的商业决策。这些决策需要对风险、相应的潜在收益、对其它选择的考虑进行分析，最终实施管理层决定采取的最佳行动。

虽然有很多风险管理的模型和方法，但是有几种基本的活动和方法是应该普遍应用的。在讨论风险管理的过程中，重要的是要认可一个最基本的假设：计算机不可能绝对安全。总是有风险存在，无论这种风险是由受到信任的员工欺诈系统造成的，还是火灾摧毁关键资源造成的。风险管理由两个主要的和一个基础的活动构成；风险评估和风险消减是主要活动，而不确定性分析是基础活动。

7.1 风险评估
风险评估是分析和解释风险的过程，包括三项基本活动：（1）确定评估的范围和方法；（2）收集和分析数据；以及（3）解释风险分析的结果 。

7.1.1 确定评估的范围和方法
评估风险的第一步是确定所要考虑的系统，要对该系统的哪一部分进行分析，以及分析的详细和正式程度以及相应的分析方法。

评估应该集中于风险程度未知或已知但风险较高的特定领域。系统不同部分其分析的详细程度也不同。范围和界限的定义可以帮助确保进行有成本效益的评估。对范围产生影响的因素包括系统处于生命周期的何种阶段：对于新开发系统的分析可能要比对已存在将升级系统的分析更详细。另一个因素是所检查系统的相对重要性：越是重要的系统越要进行全面的风险分析。第三个因素可能是自从最近一次风险分析以来所发生的变化的数量和类型。增加新的接口和安装新的操作系统涉及到不同的分析范围。

方法可以是正式的或非正式的、详尽的或简洁的、高级的或低级的、定量的（基于计算值）或定性的（基于描述或分级）、或多种方法的综合。不存在适用于所有用户和环境的最佳方法。

边界、范围和方法的定义会对（1）风险管理所需的总体工作量和（2）评估结果的类型和用处等多个方面产生重要影响。确定边界和范围的方式应该能够在详细分析的前提下，对相关系统和环境作出明确、具体和有用结果的判断。

7.1.2 收集和分析数据
风险有许多不同的部件：资产、威胁、缺陷、安全措施、后果、可能性。风险分析通常包括对受威胁领域有关数据进行收集，并对这些信息进行综合分析使其更有用处。

由于存在收集到的信息比分析所需还要多的可能性，所以应该采取措施对信息的收集和分析进行限制。这个过程被称为过滤。风险管理工作应该集中于对机构影响最大的领域（如造成严重伤害的）。这可以通过对威胁和资产进行分级来实现。

风险管理方法不要求对每个部件进行单独分析。例如资产／影响或威胁／可能性可以一起分析。

资产估值 这包括信息、软件、人员、硬件和物理资产（如计算机设施）。资产的价值包含其固有价值以及对其破坏造成的近期冲击和长期影响。

影响评估 影响评估评价可能造成的损害或损失的程度。影响是指所发生的整体、总体的损害，而不仅仅是近期或立即的冲击。这些影响通常造成的是关闭、更改、毁坏或拒绝服务，影响是更严重和长期的如失去业务、无法完成系统使命、失去信誉、侵害隐私、造成生命的伤害或损失。威胁的影响越严重，对系统（结果就是对机构）的风险就越大。

威胁识别 威胁是对系统有潜在伤害的实体或事件。典型的威胁是错误、欺诈、心怀不满的员工、火灾、水害、黑客和病毒。应该对威胁进行识别和分析以确定其发生的可能性和对资产的潜在损害。

另外对于“大宗”威胁，风险分析应该对了解不够、新的或未记录的领域进行调查。如果一个设施的物理风险控制系统通过了严格测试，对其进行威胁识别所花费的精力就可以少于对那些不明确和未经测试的软件备份规程进行的识别。

风险分析应该集中于最可能发生的和影响重要资产的威胁。在某些情况下，在威胁分析开始前无法确定哪些威胁是真实的。第4章提供了当今最普遍威胁的更多讨论。

安全措施分析 安全措施是用于减少受威胁系统缺陷的任何行动、设备、规程、技术或其它方法。安全措施分析应该包括对现有安全方法的有效性检查。也可以是确定可部署在系统中的新安全措施，但这通常是在风险管理的后期进行。

缺陷分析 缺陷是存在于安全规程、技术性控制、物理控制或其它控制中的，可以被威胁所利用的条件或弱点。存在缺陷往往是因为缺少安全措施。缺陷引起风险是因为它们可能“允许”威胁损害系统。

缺陷、威胁和资产的相互关系对于风险分析来说是至关重要的。图7.1描绘了一些这样的相互关系。但是还有其它类型的关系存在，如呈现一个缺陷来引诱威胁。（例如，可能会让一个平时表现不错的员工看到一个未退出的无人终端来诱使其修改数据。）

可能性分析 可能性是对于威胁发生的频率或机会的评价。可能性评估关注威胁的存在、持续性和强度，以及安全措施的有效性（或缺陷的存在）。威胁的历史信息通常是很缺乏的，特别是人类造成的威胁；所以这方面的经验很重要。一些威胁数据――特别是如火灾或洪水等物理威胁――是很充足的。在使用威胁统计数据时要小心；数据的来源或对其的分析有可能不正确或不完整。通常，威胁发生的可能性越大，风险也就越大。

7.1.3 解释风险分析的结果
风险评估被用来支持两个相关的功能：对风险的接受和对有成本效益控制的选择。为了完成这些功能，风险评估必须要得出有意义的结果，这些结果要能够反映出什么是对机构真正重要的。将风险的解释活动限制在重大的风险上是风险管理过程集中于减少整体风险而又获得有用结果的另一种方式。

如果风险在整个机构中能够得到一致的解释，这个结果就可以被用于对受保护的系统排定优先顺序。

7.2 风险消减
风险消减涉及到在现有的约束条件下，为了将风险降低到管理者可以接受的水平而进行的安全控制的选择和部署。虽然执行风险评估的方式是灵活的，但是确定边界、分析信息和得出结论是非常基本的顺序。风险消减的过程具有更大的灵活性，顺序也各不相同，这取决于机构的文化和风险管理活动的目的。虽然按照特定的顺序讨论这些活动，但是不需要按照这样的顺序执行。尤其是安全措施的选择和风险接受测试可能可以同时进行 。

7.2.1 选择安全措施
计算机安全风险管理的主要职能是确定适当的控制。在设计（或检查）系统安全的过程中，添加某些控制的理由（如有法律要求或因为具有明显的成本效益）是很明显的。有时理由虽然明显但是费用却很昂贵（既有金钱方面的因素也有非金钱方面的因素）。例如，对于管理者来说，将某个包含局域网设备的房间门关上并落锁是明显需要的控制，但是在门口安排一个警卫可能就太昂贵和不友好了。

在每一次风险评估中，都会存在许多领域不知道使用什么控制为好。即使只考虑金钱问题，如控制的成本是否比要防范的损失更大，控制的选择不是一项简单的事情。但是，在选择适当的控制过程中，管理者应该考虑以下因素：

• 机构的政策、法规和制度；
• 人员安全、可靠性和质量需求；
• 系统性能需求；
• 技术性、正确性和完全性需求；
• 安全措施的生命周期成本；
• 技术性需求；以及
• 文化约束。

安全措施的一种选择方法是假设性问题分析法。使用这种方法对增加各种安全措施的效果进行测试，以观察每种措施对成本、效力和其它相关因素，如上面提到的那些因素的不同影响。还应该在这些因素之间进行平衡调整。平衡调整工作还包括下面讨论的对残留风险的接受。这种方法通常涉及到进行多次风险分析，以观察所推荐的变化是如何影响风险分析结果的。

另外一种方法是对安全措施进行分类，并推荐其部署的风险级别。例如，可以将强大的控制部署在高风险的系统上而不是低风险的系统上。这种方法通常不需要反复进行风险分析。

从其它风险管理的观点来说，可以使用过滤来将精力集中于高风险的领域。例如，可以集中于会产生严重后果的风险，如高额的金钱损失或生命损失或经常发生的威胁。

7.2.2 接受残留风险
从某些角度来看，管理层需要决定计算机系统在给定类型和程度的剩余风险中运行是否是可接受的。许多管理者不完全了解基于计算机的风险有几个原因：（1）这些风险与以前遇到的机构或功能相关风险在类型上不同；（2）这些风险可能是技术性的，对于个人来说难以理解，或者（3）计算能力的增长和非集中化使得很难确定处于风险中的关键资产。

风险的接受正如安全措施的选择一样应该考虑到风险评估所涉及到的各种因素。另外，风险的接受还应该考虑到风险评估的局限性（参见以下关于不确定性的章节）。风险的接受与安全措施相关，因为在某些情况下，由于安全措施过于昂贵（由于金钱或非金钱因素）所以不得不接受风险。

在联邦政府中，风险的接受与被授权使用计算机系统是密切相关的，通常被称为审批，将在第8和9章讨论。审批是管理层通过对系统投入或保持运行的正式批准而接受风险。正如在本章早些时候讨论的那样，风险管理的两个主要功能之一是出于接受风险目的的风险解释。

7.2.3 实施控制和监视有效性
仅选择正确的安全措施还没有降低风险；需要有效地实施这些安全措施。此外，为了使其持续有效，风险管理应该是一个不间断进行的过程。这需要定期评估和改进安全措施和重新进行风险分析。第8章讨论了如何将定期的风险评估融入整体的系统管理之中。

风险管理过程通常生成用于设计、采购、构建或以别的方式获取安全措施或实施系统更改时的安全需求。在第8章讨论将风险管理融入生命周期过程的问题。

7.3 不确定性分析
风险管理经常必须依赖于推测、猜想、不完全的数据和许多未经证实的假设。不确定性分析试图记录这些内容以便更加明智地使用风险管理的结果。在风险管理过程中有两个主要的不确定性来源：（1）风险管理模型或方法缺乏可信度和或精确性，以及（2）缺乏足够的信息来确定风险模型要素的确切值，如威胁的频率、安全措施的效率或结果。

本章提出的风险管理框架是风险管理要素及其基本关系的一般性描述。要使方法具有实用性，还应该进一步细化这些关系并提供一些甄别信息的含义。在这个过程中，可能会作出未准确反映用户环境的假设。这种情况在安全措施的选择时尤其明显，这时资产、威胁和缺陷之间的多重关系会变得难以处理。

数据是另一个不确定性的来源。用于风险分析的数据一般有两个来源：统计数据和专家分析。统计数据和专家分析听起来会比实际上要权威。统计数据中有许多潜在的问题。例如，样本可能太小，影响数据的其它参数计算可能不正确，或者使用误导的方式陈述结果。在许多情况下，可能没有足够的数据。当使用专家分析推测未来事件时，应该认识到推测是主观的，是基于专家所作出的（不总是明确的）假设。

7.4 相互关系
风险管理涉及到本手册的所有控制和所有章节。但是它与生命周期管理和安全计划过程的关系最紧密。进行风险管理的需求通常在机构政策中讨论并且是整个机构范围的话题。这些问题在第5和第6章讨论。

7.5 费用考虑
本章描述的风险管理构件可以被用于创建一种方法，该方法将昂贵的分析工作专注于最需要的领域。如果经常扩充范围并且内容繁琐，风险管理可能很快就变得昂贵起来。使用本章讨论的筛选技术是很重要的，这样可以减少整体工作量。在选择和制定方法时应该始终想着风险管理的目标。方法应该关注于风险的识别和所需的具有成本效益的防范措施的选择上。

不同方法的成本可能相差很大。“信封背面”分析或高－中－低分级通常可以提供所需的所有信息。但是，尤其在选择昂贵的防范措施或系统分析包含未知结果时，可能需要进行更深入的分析。

参考书目
Caelli, William, Dennis Longley, and Michael Shain. Information Security Handbook. New York, NY: Stockton Press, 1991.

Carroll, J.M. Managing Risk: A Computer-Aided Strategy. Boston, MA: Butterworths 1984.

Gilbert, Irene. Guide for Selecting Automated Risk Analysis Tools. Special Publication 500-174. Gaithersburg, MD: National Institute of Standards and Technology, October 1989.

Jaworski, Lisa. "Tandem Threat Scenarios: A Risk Assessment Approach." Proceedings of the 16th National Computer Security Conference, Baltimore, MD: Vol. 1, 1993. pp. 155-164.

Katzke, Stuart. "A Framework for Computer Security Risk Management." 8th Asia Pacific Information Systems Control Conference Proceedings. EDP Auditors Association, Inc., Singapore, October 12-14, 1992.

Levine, M. "Audit Serve Security Evaluation Criteria." Audit Vision. 2(2), 1992. pp. 29-40.

National Bureau of Standards. Guideline for Automatic Data Processing Risk Analysis. Federal Information Processing Standard Publication 65. August 1979.

National Institute of Standards and Technology. Guideline for the Analysis of Local Area Network Security. Federal Information Processing Standard Publication 191. November 1994.

O'Neill, M., and F. Henninge, Jr., "Understanding ADP System and Network Security
Considerations and Risk Analysis." ISSA Access. 5(4), 1992. pp. 14-17.

Proceedings, 4th International Computer Security Risk Management Model Builders Workshop. University of Maryland, National Institute of Standards and Technology, College Park, MD, August 6-8, 1991.

Proceedings, 3rd International Computer Security Risk Management Model Builders Workshop, Los Alamos National Laboratory, National Institute of Standards and Technology, National Computer Security Center, Santa Fe, New Mexico, August 21-23, 1990.

Proceedings, 1989 Computer Security Risk Management Model Builders Workshop, AIT Corporation, Communications Security Establishment, National Computer Security Center, National Institute of Standards and Technology, Ottawa, Canada, June 20-22, 1989.

Proceedings, 1988 Computer Security Risk Management Model Builders Workshop, Martin Marietta, National Bureau of Standards, National Computer Security Center, Denver, Colorado, May 24-26, 1988.

Spiegel, L. "Good LAN Security Requires Analysis of Corporate Data." Infoworld. 15(52), 1993. p. 49.

Wood, C. "Building Security Into Your System Reduces the Risk of a Breach." LAN Times. 10(3), 1993. p. 47.

Wood C., et al., Computer Security: A Comprehensive Controls Checklist. New York, NY: John Wiley & Sons, 1987.