网络安全评估系统的分析与研究

[align=center]网络安全评估系统的分析与研究[/align]
[align=center]王宁[1]中国航天二院706所[/align]
[align=center] [/align]
目前信息系统安全性评估技术受到广泛重视，但是国内不仅缺乏信息系统安全性评估理论的研究，也没有安全性评估自动化系统。本文对国外先进的安全性评估系统进行研究分析，主要包括Asset-1、CC评估工具、Cobra评估工具、RiskPAC评估工具、RiskWatch评估工具、XACTA工具，着重介绍了这些工具的功能和评估具体实现过程。

关键字

安全评估、风险评估、定量评估、定性评估。

1概述

[align=left]信息系统安全性评估正日益得到重视，2003年9月中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》，文件要求采取必要措施进行信息安全风险的防范，国家信息中心成立了信息安全风险评估课题组进行相关研究和标准制定工作，中国信息协会信息安全专业委员会2004年年会议题也是“信息安全风险评估”。[/align]
目前国内各大安全厂商纷纷推出信息安全风险评估服务，都是由安全工程师凭借经验、借助已有漏洞扫描工具、结合人工调查得出评估结论，但相关风险评估基础理论还比较薄弱，更缺乏成熟的安全性评估自动化工具。但是国外在信息系统安全性评估方面的研究开始比较早，目前已经有了成熟的评估工具。
要开发自主的安全性评估系统，必须首先明确评估系统功能。因此我们从分析国外先进评估系统入手，在研究分析国外先进技术的基础上，结合实际工作经验、以及相关理论研究基础，再进行自主评估系统的设计和开发。
实际工作中我们广泛调研了国外成熟的信息系统安全性分析评估软件系统，共有十余种，经过筛选，我们挑选具有典型代表性、成熟的六个产品进行研究分析，分别是Asset-1、CC评估工具、Cobra评估工具、RiskPAC评估工具、RiskWatch评估工具、XACTA工具。本文着重介绍了这些工具的功能和评估具体实现过程。

2 Asset-1评估工具分析

2.1工具介绍

Asset-1评估工具是以NIST[2] SP800-26（信息系统安全性自我评估向导）为标准制定的用于安全性自我评估的自动化工具。工具的主要功能是进行信息系统安全性的自评估，采用形式是通过用户手动操作进行自评估，达到收集系统安全性相关信息的目的，工具最终生成安全性自评估报告。最终生成的报告只能达到与用户提供的信息同级的准确性，工具并不能引导分析或验证自评估提供信息的关联性、准确性（即工具不具有分析功能）。[/u]

2.2功能分析

根据NIST安全性自我评估向导，将安全级别分为五级：一般、策略、实施、测试、检验。此工具的每个调查问题都相当于一个命题，陈述为了确保系统的安全性应该做到的相关事项，用户对于问题的回答就是选择系统对于此项命题的安全程度为上述五级中的哪些级别。最后通过统计在某一级别上问题命题和级别选定，来统计系统的安全措施达到的安全级别。

3 CC评估工具分析

CC评估工具有NIAP[3]发布，共由两部分组成：CC PKB（CC知识库）和CC ToolBox（CC评估工具集）。
CC PKB是进行CC评估的支持数据库，基于Access构建。使用Access VBA开发了所有库表的管理程序，在管理主窗体中可以完成所有表的记录修改、增加、删除，管理主窗体以基本表为主，并体现了所有库表之间的主要连接关系，通过连接关系可以对其他非基本表的记录进行增删改。
CC ToolBox是进行CC评估的主要工具，主要采用页面调查形式，用户通过依次填充每个页面的调查项来完成评估，最后生成关于评估所进行的详细调查结果和最终评估报告。
CC评估系统依据CC标准进行评估，评估被测信息系统达到CC标准的程度，评估主要包括PP评估、TOE评估等。

4 COBRA风险管理工具分析

4.1工具介绍

COBRA：Consultive Objective Bi-Functional Risk Analysis。
安全风险分析管理和评估是保证IT安全的一个重要方法，它是组织安全的重要基础。1991年，C&A Systems Security Ltd推出了自动化风险管理工具COBRA 1版本，用于风险管理评估。随着COBRA的发展，目前的产品不仅仅具有风险管理功能，还可以用于评估是否符合BS7799标准、是否符合组织自身制定的安全策略。COBRA系列工具包括风险咨询工具、ISO17799/BS7799咨询工具、策略一致性分析工具、数据安全性咨询工具。
COBRA采用调查表的形式，在PC机上使用，基于知识库，类似专家系统的模式。它评估威胁、脆弱性的相关重要性，并生成合适的改进建议。最后针对每类风险形成文字评估报告、风险等级（得分），所指出的风险自动与给系统造成的影响相联系。
COBRA 3具有以下特点：
l 丰富的图表统计功能、报表直接输出为MS-Word形式、支持视窗操作系统；
l 知识库进行了升级，COBRA 3可以标明系统面临的威胁、存在的脆弱性、缺陷；
l 同时衡量系统各方面的风险等级、并指明风险等级对系统作业带来的直接影响；
l 为降低风险推荐防护措施和建议；生成详尽的报告。
同时，COBRA 3提供系统与ISO17799/BS7799的符合程度的衡量功能，由于ISO17799/BS7799本身要求系统进行风险分析和管理，因此COBRA 3实际上提供了对于ISO17799/BS7799的满足程度的衡量和风险管理两类功能。

4.2定性分析方法

COBRA风险管理产品使用风险定性分析方法，如下图所示。
[align=center][/align]

4.3 COBRA风险评估过程

风险评估过程比较灵活，一般都包括问题表构建、风险评估（回答问题表）、产生报告（根据问题的回答进行风险分析评估）。每部分分别由问题表构建、风险评估、报告生成三个子系统完成。
1、问题表构建：
通过知识库模块构建问题表，采用手动或自动方式从各个模块中选择所需的问题，构建针对具体组织进行评估的问题表。同时系统提供了动态问题表构建的功能，即用户可以在回答问题表的同时增删问题表模块。
2、风险评估：
通过完成问题表实现整个风险评估过程。问题表的不同模块由系统不同人完成，各个模块可以不同时完成，但是评估结果是在全部问题表答案的基础上形成的。问题的答案有多种形式：单选（必选和不必选）、多选（必选和不必选）、文本答案、数字形式答案等。问题还分为多个级别，所有问题的答案都将形成统一的格式，用于评估。对于已构建完的问题表中，用户评估时不想完成的问题，COBRA提供记事本将跳过的问题表记录，最后生成报告时进行说明，同时在评估同时可以动态加入问题表。
3、报告生成：
通过问题表的回答生成报告，报告包括建议采取的安全措施、解决方案建议、对于系统相关的每类风险进行分析排序、对于风险给系统带来的影响分析、风险与系统潜在影响的联系分析。

5 RiskPAC评估工具分析

5.1概述

RiskPAC是CSCI公司开发的，对组织进行风险评估、业务影响分析的工具，它完成定量（并非统计）和定性风险评估。
RiskPAC组织业务影响分析和风险评估过程：
1、确定风险评估范围、确定对分析评估结果进行反应的人员；
2、选择调查问题表：可以选择RiskPAC已有的调查表（其中包括系统定义好的调查表、也包括用户曾经使用过的调查表），也可以定制符合组织特定需求的调查表；
3、进行调查评估分析，确定组织存在的问题和风险，输出最终结果，确定降低风险的手段，进行修复改进；

5.2 RiskPAC分析

RiskPAC将风险分为几个级别，即低级、中级、高级等，针对每个级别都有不同的风险描述，根据不同风险级别问题的构造和回答，完成风险评估。
RiskPAC包括两个独立的工具：RiskPAC Questionatire Designe问题设计器和RiskPAC Survey Manager调查管理器。其中问题表设计器进行业务分析和风险评估的调查表设计，调查管理器就是将已选定的调查表以易用的形式提供给用户，供用户选择相应答案，根据答案做出分析评估结论。
l 问题设计器
问题设计器的主要功能是设计进行业务分析和风险评估的调查表问题。首先输入问题所需的各项，包括问题主干、答案类型、所需答案类型、问题所属类、问题所反映出的风险类、问题答案表示的权重等；然后将其加入整个问题表中。每个问题都归属于某一类问题。问题设计器还可以增删问题类，通过输入问题类所需的各项，包括问题类名、创建时间、创建者等，建立新的问题类。
l 调查管理器
调查管理器的主要功能是从调查表的回答中得出结论，最后得出的报告主要说明系统存在的威胁、风险、所暴露的脆弱性。
调查管理器的工作方式是首先按照用户选择的调查表，逐一列出问题和答案，用户根据提示进行选择答案，直到全部问题回答完毕。
RiskPAC采用的调查表可以通过CD、信件、网络等进行存储、传输，它采用易于传输、升级的格式存储，便于用户使用。

6 RiskWatch工具分析

6.1概述

RiskWatch公司在开发风险分析自动化软件系统方面具备了丰富的经验，产品主要是风险分析自动化软件系统，共包括五类产品，分别针对信息系统安全、物理安全、HIPAA标准、RW17799标准、港口和海运安全，分别分析信息系统安全风险、物理安全危险、以HIPAA为标准存在的安全风险、以RW17799为标准存在的安全风险、港口和海运存在的安全风险。
RiskWatch工具具有以下特点：
● 友好的用户界面；
● 预先定义的风险分析模板，给用户提供高效、省时的风险分析和脆弱性评估；
● 数据关联功能；
● 经过证明的风险分析模型。
使用RiskWatch风险分析工具，用户可以根据实际需求定制风险分析和脆弱性评估过程，而其它风险分析工具都没有提供此项功能。RiskWatch通过两个特性：定量和定性风险分析、预置风险分析模板，为用户提供这种定制功能。

6.2 RiskWatch风险评估技术方法

RiskWatch9.0自动化风险评估/风险管理工具基于标准风险分析/风险管理方法论，从以下几方面阐述RiskWatch9.0使用的风险评估技术方法：
1、风险分析应该达到两个目标：
● 确定目标系统/设备当前状态下面临的风险；
● 确定并推荐减少风险的防护控制措施，并证明这些措施是有效的。
2、RiskWatch9.0通过使用因素关联功能和计算风险来达到上述风险分析目标：
（1）创建并证明关联包 < 损失 / 资产 / 威胁 / 脆弱性 > ，整个关联包定义了条件突发事件，条件突发事件代表了系统面临的风险，通过条件突发事件衡量系统面临的风险，并衡量当采取防护措施后系统风险降低值。关联包的创建和证明是RiskWatch风险分析方法和技术的核心内容。
（2）针对系统未采取任何防护措施的情况，计算当前系统/设备面临的风险。RiskWatch选用（度损失期望ALE来衡量风险。
（3）针对系统采取防护措施的情况，计算和评估防护措施带来的收益/防护措施成本。
3、RiskWatch关于风险定义：
风险 = 资产 ⊙ 损失 ⊙ 威胁 ⊙ 脆弱性 ⊙ 防护措施
即：当组织有价值的资产受到某种形式威胁，形成系统脆弱性，并造成一定损失时，称系统出现风险。

7 XACTA IA Manager工具分析

XACTA Web C&A遵循NIACAP、DITSCAP、ISO17799标准，是自动完成C&A[4]过程的唯一商用软件产品。软件进行网络探测、脆弱性扫描、需求定义、测试和风险评估，同时自动产生符合NIACAP、DITSCAP、DCID标准的过程文档。
XACTA Web C&A基于数据库技术，进行反复、统一的C&A自动化过程，可以发现脆弱性、完成C&A、确定风险、评估配置是否符合标准。
XACTA Web C&A的下一代产品是XACTA Commerce Trust，它不仅进行标准符合性评估，还识别与标准相比存在的差距、并详细描述这些差距、将这些差距排序，达到持续管理风险的目的。
XACTA Web C&A的处理过程包括如下步骤：
● 建立需求追踪矩阵SRTM；
● 测试和扫描
● 风险评估和管理。
目前XACTA公司将XACTA Web C&A和XACTA Commerce Trust集成发布了新产品XACTA IA Manager。

8工具比较

从成熟度、功能上对上述6类工具进行比较，结果如下表：

[align=center]工具[/align]	[align=center]国家公司[/align]	[align=center]成熟度[/align]	[align=center]功能[/align]	[align=center]标准[/align]
Asseet-1	美国NIST	NIST发布	依据美国NIST SP 800-26 进行IT安全自动化自我评估	NIST SP 800-26
CC	美国NIAP	NIAP发布	依据CC进行信息安全自动化评估	CC
COBRA	美国C&A System Security Ltd.	产品	主要依据ISO 17799进行风险评估	主要依据ISO 17799
RiskPAC	美国CSCI公司	成熟产品	主要进行定性和定量风险评估
RiskWatch	美国RiskWatch公司	成熟产品，有一定客户群	综合各类相关标准进行风险评估和风险管理	各类信息安全相关标准
XACTA	美国XACTA公司	成熟产品，有一定客户群	主要依据NIACAP、DITSCAP进行C&A过程	主要依据ISO 17799、NIACAP、DITSCAP、DCID

参考文献

【1】 http://www.nist.org
【2】 http://www.riskwatch.com
【3】 http://www.riskrpc.com
【4】 http://www.xacta.com

[1]作者介绍：王宁，女，工学硕士，主要研究方向为网络安全测试评估。

[2] NIST：National Institute of Standards and Technology

[3] NIAP：National Information Assurance Partnership

[4] C&A：Certification & Accreditation