实时的安全风险管理体系赵粮（冠群电脑有限公司）裘晓峰（北京邮电大学）2004-4-291从风险评估到风险管理网络安全体系的目的是保障关键信息设施的资产和服务，提供适度的安全保护，即根据每种（个）信息资产(Asset)的价值、面临的威胁(Threat)和安全风险（Risk）来确定相应的安全防护措施和力度，做到“重点防护”、“适度安全”。要做到这一点，风险评估是一个重要环节。风险评估作为成型的技术已经有数年的历史了，同时，风险评估也是安全专业服务中最为成熟的一个内容之一。近年来，国内的知名企业、机构几乎都开展、购买了专业的安全风险评估服务。风险评估的目的是帮助识别信息设施中的资产，分析判断其价值、存在的脆弱性和面临的安全威胁，从而获得该资产或资产组的安全风险情况，继而可以采取针对性的安全防护措施，提高安全体系的投资效率。我们知道，风险评估本身不是目的，最终的目的是消除风险、控制风险，在保证投入回报的前提下管理安全风险。一般来说，风险评估是风险管理活动的基础，帮助建立起风险管理的基线。定期的评估活动可以用来审计和考核安全风险管理的效果和效率。本文尝试着讨论建设实时的风险管理体系的可行性，提出一种实用模型。2安全风险安全风险具有非常广泛的含义，本文中使用较为通用的风险模型：安全风险由资产价值、脆弱性和威胁来决定：Risk（t）=R(A,T,V,t)其中，t代表某个时刻，A代表该资产的价值，T代表该资产面临的威胁，V代表该资产存在的脆弱性（安全漏洞）,表示对风险管理范围下的资产求和，R代表某种函数关系。通常，在常见的半定量评估过程中，该函数有时采用简单的乘积来计算。资产价值信息资产以多种形式存在，无形的、有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的脆弱性、面临的威胁、需要进行的安全保护和安全控制都各不相同。若干具有很强的内在业务关联和依赖关系的资产可以构成一个资产组。信息资产具有不同的安全属性，包括机密性、完整性、可用性、可控性和不可否认性，分别反映了信息资产在5个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察5种不同的安全属性，可以得出一个能够基本定性地反映资产价值的数值。确定信息资产以及数值的过程称为信息资产的识别和赋值。实时的风险管理体系需要建立起能够实时发现并监视资产变化和状态的机制，并且能够反映该资产的价值变化。安全威胁和漏洞安全威胁是对信息资产引起不期望事件而造成损害的潜在可能性。威胁可能源于对信息资产直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性、可用性、可控性或不可否认性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。通常，收集分析安全事件是获取并计算威胁的主要方式之一。弱点和资产紧密相连，它可能被威胁（威胁的定义参见威胁一章）利用、引起资产损失或伤害。值得注意的是，弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁方利用而造成资产损失。通常，网络脆弱性扫描、主机和应用的安全审计是获取计算弱点的主要方式。实时的风险管理体系需要具备实时收集威胁信息和脆弱性信息的能力，并且能够与信息资产相关关联，进行有效性分析。安全风险在实时的获取资产、威胁和漏洞的信息基础上，可以计算风险的实时变化：资产的变化可能来源于新资产的出现，也可能是承载的业务发生的变化。威胁的变化可能是新的安全事件的出现和解决。脆弱性的增加则主要体现在新的脆弱性，而脆弱性的降低主要通过相关的补丁，或者配置策略等的改变或优化。可以看到，在信息资产保持相对稳定的情况下，降低安全风险的手段主要有两种：其一是通过强化安全策略，减小出现安全事件的机会，并且在出现安全事件的时候，能够及时的发现、定位和分析，消除事件，震慑威胁方；其二是通过及时有效的补丁和安全配置，减少甚至消除资产存在的脆弱性。3基于安全总控中心的实时安全风险管理体系安全总控中心（或称为安全管理中心）是近期非常引人关注的话题。其特点是高度的集成性和自动化，大大减小从发现新的安全风险到完成弥补（风险消除）之间的时间窗口，帮助在与威胁方的时间赛跑中获胜。安全总控中心的典型结构如下图所示，其关键组件和技术包括：信息资产库及实时资产发现能力实时更新的安全漏洞库和补丁库，预警能力各种安全事件的收集和相关处理，解决安全信息过载问题安全事件与信息资产、安全漏洞的相互关联基于安全知识库的工单和流程管理系统安全补丁的收集、测试和发布等下图用三个实际场景来介绍基于安全总控中心而构成的实时安全风险管理体系：通过前面的分析，在安全风险管理活动中，有三种重要的风险“异动”：其一是发生新的安全事件，预示着潜在的