网络安全漏洞研究与风险评估(6)
6风险评估
6.1风险评估的意义、作用和目的
由于安全是相对的,动态变化的,所以不管是否有足够的安全措施,系统总存在不同程度的脆弱性。系统设计与实现时产生的漏洞,对网络的依赖和关键信息的远程获取等因素加大了系统的脆弱性和安全隐患。因此在设计和使用系统前应当进行风险评估,通过风险评估,对系统进行细致而系统的分析,在系统分析的基础上对系统进行综合评价,最后通过评价结果来了解系统中潜在的危险和薄弱环节,并最终确定系统的安全状况,为以后的安全管理提供重要依据。
风险是一个定量的实体,它是对反作用的可能性与严重性的测量。风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制。风险评估是风险管理的最根本依据,是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一。企业在进行网络安全设备选型、网络安全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前,进行风险评估会帮助组织在一个安全的框架下进行组织活动。它通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。
风险评估的目的是认清当前的网络安全环境,全面、准确的了解和评估组织机构的网络安全现状,发现系统的安全问题及其可能的危害,找出目前的安全策略和实际需求的差距,为保护信息系统的安全提供科学依据,进而形成合理的、有针对性地安全策略,使网络威胁得到有效控制。
6.2风险评估研究现状
对比国内外的网络安全风险评估技术,国外的风险评估强调资产评估、威胁评估和漏洞评估一体化的评估体系,评估对象主要是大型金融等企业,在企业业务人员的参与下定期进行全面的风险评估。
国内的风险评估由于起步较晚,在安全风险评估的理论和技术上的研究工作时间不长,且风险评估标准的不健全,缺乏安全风险评估的规范化标准,主要的风险评估主要集中在漏洞评估阶段,比较缺乏实践的经验,因此还存在较多问题。国内目前在信息安全方面工作的重点主要集中在系统安全防护(如防火墙)和系统局部(如操作系统、数据库)的检测上,对安全系统整体进行综合风险分析和评估的研究还很少,没有一个比较系统的风险分析和评估工具。这些工具大多集中在信息安全的某一方面,同时更侧重安全技术方面的检测。目前国内风险评估由于安全环境等因素的影响,专门的风险评估组织较少,因此多数采用基于漏洞扫描器的漏洞评估,漏洞扫描器能够自动检测远程或本地主机安全性弱点,以便及时修补漏洞,构筑坚固的安全长城。比如360安全卫士,它可以体检电脑安全指数,通过结果评估电脑现在的安全状态,然后进行修复使电脑达到相对安全状态。由于在评估过程中很少考虑资产和威胁的影响,主要的研究重心在漏洞扫面器的设计和漏洞知识库的完备上,对风险的评估不够全面,结果仅具有参考性,从严格的意义上讲,并不是真正的风险评估产品。
6.3网络安全风险评估的方法
在进行网络安全风险评估时,所使用的方法对评估的有效性有举足轻重的作用。评估过程中的每个环节及其最终评估结果都受评估方法的直接影响,所以需要根据网络的具体情况,选择合适的风险评估方法。风险评估的方法有很多种,概括起来可分为两大类:定量的风险评估方法和定性的风险评估方法。