◆霍肖帥 王 露

（河南邁銳德實(shí)業(yè)有限公司 河南 450000）

信息技術(shù)安全風(fēng)險(xiǎn)評(píng)估框架與模型綜合分析研究

◆霍肖帥 王 露

（河南邁銳德實(shí)業(yè)有限公司 河南 450000）

本文借鑒信息技術(shù)安全風(fēng)險(xiǎn)相關(guān)理論研究成果，認(rèn)為CORAS框架有優(yōu)于其他風(fēng)險(xiǎn)評(píng)估框架與模型的諸多方面，應(yīng)用范圍廣泛，不論是大型組織還是中小型組織，評(píng)估效率更高，結(jié)果相對(duì)更準(zhǔn)確，其集成性和可擴(kuò)展功能，使其比傳統(tǒng)評(píng)估方法更具發(fā)展空間，但是要將其更好地應(yīng)用于財(cái)政管理信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，還要結(jié)合諸多方面進(jìn)行優(yōu)化研究。

信息安全；風(fēng)險(xiǎn)評(píng)估；CORAS框架；威脅

1 常用信息安全風(fēng)險(xiǎn)評(píng)估模型

目前，國(guó)際和國(guó)內(nèi)主流的信息安全風(fēng)險(xiǎn)評(píng)估框架與模型大致有以下幾個(gè)：CRAMM框架、SSE-CMM模型、OCTAVE框架、NIST框架、Microsoft框架和CORAS框架。

1.1 CRAMM框架

CRAMM是英國(guó)政府中央計(jì)算機(jī)與電信局1985年開發(fā)的一種定量風(fēng)險(xiǎn)分析工具，是一種評(píng)估信息系統(tǒng)風(fēng)險(xiǎn)并確定相應(yīng)對(duì)策的結(jié)構(gòu)化方法。它的適用廣泛，在各類信息系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)生命周期的各階段使用。它的安全模型數(shù)據(jù)庫(kù)基于“資產(chǎn)-威脅-弱點(diǎn)”模型，并與BS7799標(biāo)準(zhǔn)保持一致，提供3000多個(gè)可供選擇的安全控制。CRAMM風(fēng)險(xiǎn)管理分為3個(gè)階段：資產(chǎn)識(shí)別和評(píng)估；威脅和脆弱性的識(shí)別。

1.2 SSE-CMM模型

SSE-CMM即系統(tǒng)安全工程能力成熟度模型，是一個(gè)過程參考模型，由美國(guó)國(guó)家安全局于1993年提出。這個(gè)模型涵蓋了系統(tǒng)的整個(gè)生命周期、整個(gè)組織的各個(gè)層次，包括了與其他領(lǐng)域的并發(fā)交互處理、與其他組織活動(dòng)間的相互影響。SSE-CMM模型框架是一個(gè)二維架構(gòu)，定義了11項(xiàng)過程域，模型為每個(gè)過程域定義了一組確定的基本實(shí)踐BP，并規(guī)定每一個(gè)基本實(shí)踐對(duì)完成該子任務(wù)都是不可缺少的。同時(shí)還定義了6個(gè)能力成熟度等級(jí)，每個(gè)等級(jí)的判定反映為一組共同特性（CF），而每個(gè)共同特性進(jìn)而通過一組確定的通用實(shí)踐（GP）來描述。SSE-CMM模型框架。

1.3 OCTAVE框架

OCTAVE即可操作的關(guān)鍵威脅、資產(chǎn)和薄弱點(diǎn)評(píng)估，是由美國(guó)卡耐基梅隆大學(xué)軟件工程研究所下屬的CERT協(xié)調(diào)中心1999公布的一套體系完整、系統(tǒng)、操作性強(qiáng)的安全風(fēng)險(xiǎn)評(píng)估體系，定性地解決信息系統(tǒng)資產(chǎn)價(jià)脆弱性和威脅的問題。它的核心是關(guān)注組織關(guān)鍵信息資產(chǎn)面臨的風(fēng)險(xiǎn)。

OCTAVE框架是一種“8過程3階段”的信息安全風(fēng)險(xiǎn)評(píng)估方法:1～4過程為第一階段，5～6過程為第二階段，7～8為第三階段。

2 基于CORAS框架的信息安全風(fēng)險(xiǎn)評(píng)估分析

CORAS框架是歐盟針對(duì)安全要求較高的安全關(guān)鍵系統(tǒng)開發(fā)的一個(gè)基于模型的信息安全風(fēng)險(xiǎn)評(píng)估方法框架和工具支撐評(píng)估平臺(tái)，利用各種風(fēng)險(xiǎn)分析方法、采取半形式化的描述語言和基于電腦工具平臺(tái)，形成了一個(gè)準(zhǔn)確、高效的風(fēng)險(xiǎn)分析框架。

2.1 CORAS框架結(jié)構(gòu)

CORAS的框架結(jié)構(gòu)可以從兩個(gè)角度去理解，一個(gè)是概念層次上的，一個(gè)是基于方法論上的。

在概念層次上，CORAS評(píng)估的總體框架由三部分組成：術(shù)語、庫(kù)和方法論。其中術(shù)語包含了安全術(shù)語、風(fēng)險(xiǎn)分析術(shù)語和系統(tǒng)文檔術(shù)語；庫(kù)由實(shí)體、存儲(chǔ)結(jié)構(gòu)、分類系統(tǒng)和一致性約束組成；方法論則涵蓋了工具、語言、過程。CORAS評(píng)估總體框架。

在方法論層次上，CORAS評(píng)估由四部分組成，即系統(tǒng)文檔框架、風(fēng)險(xiǎn)管理過程、一體化開發(fā)和風(fēng)險(xiǎn)管理過程、數(shù)據(jù)集成工具平臺(tái)。CORAS評(píng)估方法論框架。具體來說，系統(tǒng)文檔框架的基礎(chǔ)是ISO10746《開放分布式系統(tǒng)處理參考模型》RM-ODP；風(fēng)險(xiǎn)管理過程基于AS/NZS4360《風(fēng)險(xiǎn)管理指南》、ISO/IEC17799《信息技術(shù)信息安全管理實(shí)施細(xì)則》和ISO/IEC13335《信息技術(shù)信息安全管理指南》的標(biāo)準(zhǔn)；一體化開發(fā)和風(fēng)險(xiǎn)管理過程以統(tǒng)一開發(fā)過程即RUP為基礎(chǔ)；工具發(fā)展平臺(tái)是XML。

兩種框架是相通的，只是理解角度的不同。概念框架側(cè)重的是CORAS具體的各個(gè)組成部分，是應(yīng)用上講。而方法論框架更強(qiáng)調(diào)的是CORAS評(píng)估遵循的原理和依據(jù)的標(biāo)準(zhǔn)，從理論上講。本文從概念層次上詳細(xì)解讀CORAS評(píng)估框架。

（1）術(shù)語

CORAS術(shù)語定義了CORAS的相關(guān)概念即各概念之間的關(guān)系，并說明了其依據(jù)的標(biāo)準(zhǔn)。CORAS基于IT安全和風(fēng)險(xiǎn)管理相關(guān)的多個(gè)國(guó)際標(biāo)準(zhǔn)，將安全術(shù)語、安全分析術(shù)語和系統(tǒng)文檔術(shù)語整合，是RM-ODP在風(fēng)險(xiǎn)評(píng)估、建模和安全應(yīng)用擴(kuò)展方面的附加術(shù)語。除系統(tǒng)文檔術(shù)語來源于RM-ODP外，安全術(shù)語主要參考ISO/IEC13335《信息技術(shù)信息安全管理指南》和IEC61508《電氣/電子/可編程電子安全相關(guān)系統(tǒng)安全功能》，由ITU-TX.800、IEEE610作補(bǔ)充，安全分析術(shù)語來源于AS/NZS4360《風(fēng)險(xiǎn)管理指南》。CORAS圍繞11個(gè)核心術(shù)語展開，這11個(gè)即評(píng)估目標(biāo)、評(píng)估環(huán)境、資產(chǎn)、價(jià)值、威脅、脆弱性、危害事件、可能性、后果、安全策略和安全要求等，從而形成了完整且規(guī)范的信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)文檔框架。

CORAS系統(tǒng)文檔框架是以RM-ODP為基礎(chǔ)的，RM-ODP是ISO/IEC的標(biāo)準(zhǔn)系統(tǒng)，此標(biāo)準(zhǔn)包括視點(diǎn)、ODP基礎(chǔ)（模型、規(guī)范和結(jié)構(gòu)術(shù)語）、一致性模塊和分布式模塊（特性和功能）。CORAS系統(tǒng)文檔框架以RM-ODP為基礎(chǔ)，也對(duì)其與安全關(guān)鍵系統(tǒng)風(fēng)險(xiǎn)評(píng)估直接相關(guān)的部分進(jìn)行了改進(jìn)：①有關(guān)風(fēng)險(xiǎn)管理和安全的概念；②引入關(guān)注點(diǎn)對(duì)其視點(diǎn)結(jié)構(gòu)進(jìn)行劃分，這些關(guān)注點(diǎn)與視點(diǎn)的交叉點(diǎn)構(gòu)成新的模型，對(duì)這些模型都有開發(fā)指南和包括使用建模語言的具體建議；③標(biāo)準(zhǔn)建模組件庫(kù)；④規(guī)范的風(fēng)險(xiǎn)管理模塊，基于國(guó)際標(biāo)準(zhǔn)，包含風(fēng)險(xiǎn)管理方法和風(fēng)險(xiǎn)管理過程。CORAS系統(tǒng)文檔框架可以認(rèn)為是基于模型的風(fēng)險(xiǎn)評(píng)估參考框架。

CORAS風(fēng)險(xiǎn)評(píng)估過程有五個(gè)階段，環(huán)境識(shí)別、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)計(jì)算和風(fēng)險(xiǎn)處理，每一階段都有不同的關(guān)注點(diǎn)，在風(fēng)險(xiǎn)管理的過程中，需要完成對(duì)所有關(guān)注點(diǎn)的處理。

（2）庫(kù)

CORAS框架的庫(kù)的四個(gè)組成元素之前提到過，即實(shí)體、存儲(chǔ)結(jié)構(gòu)、分類系統(tǒng)和一致性約束。庫(kù)也可以借助由工具平臺(tái)中的兩個(gè)實(shí)體庫(kù)來理解。這兩個(gè)庫(kù)一個(gè)是經(jīng)驗(yàn)知識(shí)庫(kù)，一個(gè)是評(píng)估知識(shí)庫(kù)。前者用來存儲(chǔ)過去的分析經(jīng)驗(yàn)，后者用來存儲(chǔ)正在進(jìn)行分析的結(jié)果。CORAS通過經(jīng)驗(yàn)知識(shí)庫(kù)提供的可重用包，支持安全分析過程，由評(píng)估知識(shí)庫(kù)存儲(chǔ)安全分析產(chǎn)生的結(jié)果，這樣避免了很多繁瑣的分析過程。

（3）方法論

CORAS的方法論集成了UML建模方法和多種互為補(bǔ)充的風(fēng)險(xiǎn)分析方法。CORAS框架的方法論中的語言定義了用來支持方法論的通用語言，UML語言、XML標(biāo)記語言等，UML主要用于建立評(píng)估模型和評(píng)估特性描述，XML主要用于評(píng)估數(shù)據(jù)交換。過程包含風(fēng)險(xiǎn)管理過程和系統(tǒng)開發(fā)過程，定義了如何執(zhí)行方法的說明和安全分析的步驟等。工具部分包括工具平臺(tái)和各種評(píng)估工具。CORAS有自帶的平臺(tái)工具CORASTOOL。CORAS工具的主要作用是存儲(chǔ)風(fēng)險(xiǎn)分析文檔，并導(dǎo)入知識(shí)庫(kù)。綜上所述，CORAS術(shù)語是CORAS框架所依據(jù)的思想和所涉及的概念，庫(kù)是框架的可重用基礎(chǔ)設(shè)施，方法論是它的應(yīng)用描述。

2.2 CORAS評(píng)估的UML建模方法研究

CORAS框架最有特色的部分是引入了UML建模方法，用圖形化的語言描述系統(tǒng)相關(guān)情況，對(duì)評(píng)估目標(biāo)建立模型進(jìn)行分析。CORAS建模的基本組成模塊涵蓋信息安全風(fēng)險(xiǎn)要素的各個(gè)方面，包括資產(chǎn)、威脅、脆弱性、風(fēng)險(xiǎn)等。CORAS建模元素。

CORAS框架運(yùn)用UML建模技術(shù)讓其具備了其他評(píng)估方法沒有的特色：（1）對(duì)系統(tǒng)的相關(guān)情況建立模型，為評(píng)估工作提供規(guī)范化的概覽。（2）規(guī)范統(tǒng)一的圖形化描述，不僅使專業(yè)人員能清晰理解評(píng)估目標(biāo)的各個(gè)方面，也能使非專業(yè)人員理解，從而有效地促進(jìn)參與風(fēng)險(xiǎn)評(píng)估過程的各類人員的溝通和交流。（3）風(fēng)險(xiǎn)評(píng)估結(jié)果的重用，風(fēng)險(xiǎn)評(píng)估結(jié)果通過UML建模以標(biāo)準(zhǔn)的格式存儲(chǔ)在經(jīng)驗(yàn)庫(kù)中，供需要時(shí)參考調(diào)用。

3 信息安全風(fēng)險(xiǎn)評(píng)估框架與模型綜合分析

以上對(duì)幾種常用的信息安全風(fēng)險(xiǎn)評(píng)估框架與模型作了介紹，可以了解到各種框架與模型都有各自的優(yōu)缺點(diǎn)。

3.1 其他框架模型的優(yōu)缺點(diǎn)

（1）CRAMM

通過對(duì)資產(chǎn)所有者、系統(tǒng)用戶、技術(shù)支持人員和安全管理員的提問來收集信息，使CRAMM像產(chǎn)品安全性的檢查。

（2）SSE-CMM模型

優(yōu)點(diǎn)：它貫穿系統(tǒng)的整個(gè)生命周期，可以更好的確保產(chǎn)品的安全性；它定義的工作過程具有連續(xù)性、可重復(fù)性和有效性；從保護(hù)政府保密數(shù)據(jù)擴(kuò)大至更廣泛的領(lǐng)域；它適用于信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估。缺點(diǎn)：它不是安全技術(shù)模型，雖給出了信息系統(tǒng)風(fēng)險(xiǎn)分析需要考慮的關(guān)鍵過程和完成該過程必需的基本行為，但并未給出具體的操作方法；它的各個(gè)過程域相對(duì)獨(dú)立，不利于指導(dǎo)風(fēng)險(xiǎn)評(píng)估。

（3）OCTAVE框架

優(yōu)點(diǎn)：強(qiáng)調(diào)安全管理也強(qiáng)調(diào)安全技術(shù)，從組織和技術(shù)兩個(gè)層面進(jìn)行評(píng)估；強(qiáng)調(diào)自主，由組織內(nèi)部的人員管理和指導(dǎo)組織的信息安全風(fēng)險(xiǎn)評(píng)估；OCTAVE主要是基于操作，強(qiáng)調(diào)可操作性，突出關(guān)鍵性，對(duì)其最關(guān)鍵的三至五個(gè)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估。缺點(diǎn)：OCTAVE由于是國(guó)外針對(duì)自己的組織結(jié)構(gòu)開發(fā)，與國(guó)內(nèi)有差異，不便在國(guó)內(nèi)發(fā)展；適合強(qiáng)調(diào)規(guī)模較大的組織開展信息安全風(fēng)險(xiǎn)評(píng)估活動(dòng)。

（4）NIST是基于理論的，將重點(diǎn)放在描述風(fēng)險(xiǎn)評(píng)估的各要素及實(shí)施評(píng)估的框架結(jié)構(gòu)上。

（5）Microsoft只提供了一個(gè)框架，缺少具體實(shí)施細(xì)則。

3.2 CORAS框架的優(yōu)缺點(diǎn)

CORAS框架與傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估方法和其他基于模型的風(fēng)險(xiǎn)評(píng)估方法（如CRM、SA和STC等）相比，有無法被替代的特性和優(yōu)勢(shì)：

（1）基于UML的建模技術(shù)，將其作為分析和描述的主要手段，便于理解和交流，可視化強(qiáng)。

（2）整合多種風(fēng)險(xiǎn)分析方法，包括SWOT分析、HAZOP、FMEA/FMECA、FTA、事件樹等，通過各種方法的互補(bǔ)，運(yùn)用于不同的評(píng)估階段，評(píng)估結(jié)果更為準(zhǔn)確。

（3）支持評(píng)估結(jié)果重用，通過一個(gè)特殊的經(jīng)驗(yàn)庫(kù)支持風(fēng)險(xiǎn)評(píng)估文檔的重用，需要時(shí)評(píng)估人員從庫(kù)中將結(jié)果取出，這樣既提高了評(píng)估的效率，又降低了對(duì)評(píng)估人員知識(shí)和技術(shù)的要求。

（4）開放的工具平臺(tái)，XMLAPI可以集成UML建模工具、漏洞掃描工具等多種工具，整合多種風(fēng)險(xiǎn)分析方法。

（5）利用XML數(shù)據(jù)格式進(jìn)行風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)的對(duì)外交換，可移植性高。

但是，CORAS框架也存在著一些薄弱點(diǎn)，由于評(píng)估數(shù)據(jù)主要從主觀經(jīng)驗(yàn)或歷史記錄而來，風(fēng)險(xiǎn)分析方法主觀性也較強(qiáng)，導(dǎo)致了CORAS的風(fēng)險(xiǎn)計(jì)算的主觀性。

[1]李鶴田，劉云，何德全．基于Markov鏈的信息安全風(fēng)險(xiǎn)評(píng)估模型[J]．鐵道學(xué)報(bào)，2007．

[2]趙冬梅，馬建峰，王躍生．信息系統(tǒng)的模糊風(fēng)險(xiǎn)評(píng)估模型[J]．通信學(xué)報(bào)，2007．

[3]趙冬梅，劉海峰，劉晨光．基于BP神經(jīng)網(wǎng)絡(luò)的信息安全風(fēng)險(xiǎn)評(píng)估[J]．計(jì)算機(jī)工程與應(yīng)用，2007．