×
畅享IT
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
当前位置:畅享论坛 >  信息化  >  网络|安全 > 正文
发帖
回复
(共 6 条) 上一页 1 下一页
查看: 4922|回复: 6

[原创]对《GB/T 20984-2007 信息安全风险评估规范》中 脆弱性”的概念性偏差的讨论

[复制链接]

等级:试用期
行业:
职能部门:
城市:上海
金币:1

 

对《GB/T 20984-2007 信息安全风险评估规范》中
脆弱性的概念性偏差的讨论
2007年刚刚拿到《GB/T 20984-2007信息安全风险评估规范》就发现该标准对脆弱性的理解有一些独特的想法,但这些独特的想法在标准中来回混淆的,而且这一想法的合理性本身也是一个问题。
标准里对脆弱性的独特想法是,GB 20984对脆弱性的提出了两个属性:
1)脆弱性的严重程度,基于如果被威胁利用,将对资产造成损害的程度;
2)脆弱性的可利用程度,基于技术实现的难易程度、弱点的流行程度
而在流行的信息安全风险评估国际标准中,包括ISO/IEC TR 13335-3:1998ISO/IEC 27005:2008SP800-30BS 7799-3:2006,都只提及了脆弱性可利用程度的概念,而没有提及脆弱性严重程度的概念。
下面从这个国家标准和国际标准两方面对风险评估的核心要素的定义开始分析。
1. 关于有关风险评估核心要素的定义
对于风险评估的几个核心要素,如风险、脆弱性、威胁等风险管理中的核心要素的定义,国家标准和其它国际风险评估标准,并没有什么差别。下面是分别是GB20984ISO 27001系列标准对风险评估核心要素的定义。             
GB/T 20984-2007信息安全风险评估规范》对风险评估要素定义的原文:
1)     信息安全风险 information security risk
人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
GB/T 20984 3.7
2)     威胁 threat
可能导致对系统或组织危害的不希望事故潜在起因。
GB/T 20984-2007 3.18
3)     脆弱性 vulnerability
可能被威胁所利用的资产或若干资产的弱点。
GB/T 20984-2007 3.18
下面是相关国际标准队风险评估核心要素的定义:
相关国际标准(ISO/IEC 27002:2005ISO/IEC 27005:2008的定义:
1)     信息安全风险 information security risk
某种特定的威胁利用资产或一组资产的脆弱性,导致这些资产受损或破坏的潜在可能。
ISO/IEC 27005:2008 3.2
2)     威胁 threat
可能导致对系统或组织的损害的不期望事件发生的潜在原因[ISO/IEC TR 13335-12004]
ISO/IEC 27002:2005 2.16
3)     脆弱性 vulnerability
可能会被一个或多个威胁所利用的资产或一组资产的弱点[ISO/IEC TR 13335-12004]
ISO/IEC 27002:2005 2.17
2. 风险要素关系描述中的脆弱性的概念偏差
GB/T 20984-2007条款4.1风险要素关系中对脆弱性概念相关描述的标准原文如下:
风险评估种各要素的关系如图1所示:
图1 风险评估要素关系图
1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
1中的风险要素及属性之间存在着以下关系:
a)      业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;
b)     资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;
c)      风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成为安全事件;
d)     资产的脆弱性可能暴露资产的价值,资产具有的弱点越多则风险越大;
e)     脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;
f)      风险的存在及对风险的认识导出安全需求;
g)     安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;
h)     安全措施可抵御威胁,降低风险;
i)       残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;
j)       残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
上面的条款j)的表述是资产的脆弱性可能暴露资产的价值,资产具有的弱点越多则风险越大,但如果按照国标GB20984条款3.18中队脆弱性的定义(脆弱性可能被威胁所利用的资产或若干资产的弱点),表述为资产的脆弱性可能暴露资产的弱点更为妥当。
我觉得,国标在这里表述成资产的脆弱性暴露资产的价值是为后续的将脆弱性的属性与资产受到威胁后所造成的严重程度相关联作铺垫的。
3. 风险分析原理描述中脆弱性概念偏差
GB/T 20984-2007条款4.2风险分析原理中对脆弱性等相关概念所进行的描述的标准原文如下:
风险分析原理如图2所示:
风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:
(1)    对资产进行识别,并对资产的价值进行赋值;
(2)    对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
(3)    对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
(4)    根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
(5)    根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失;
(6)    根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。  
风险分析原理图
上面的条款(3)的表述是对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;条款(4)的表述是根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性
在这里,我们发现GB20984对脆弱性提到了两个属性,一个是脆弱性的严重程度(条款3)和一个脆弱性被利用的难易程度(条款4)。
如果按照脆弱性的两个属性,那么GB209842 风险分析原理图就有问题了,按照条款的表述,原理图应该如下图:
修订后的风险分析原理图
其表述应该是威胁出现的频率和脆弱性的可利用程度(或者脆弱性被利用的容易程度),构成安全时间的可能性,以及脆弱性的严重程度与资产的价值,构成安全事件的损失。这样,描述似乎更合理一些。
即使是这样的描述,但我个人也觉得有点问题,因为后果或者说损失,不仅和脆弱性有关,还和威胁有关。比如,机房设备都怕进水(脆弱性),但如果是空调滴水(威胁)消防水管破裂的爆水(威胁),其后果显然是不一样的。
当然,也许有人非把威胁绕成脆弱性,那倒也可以,比如将空调滴水(威胁)描述成缺乏对空调滴水的控制(脆弱性),将消防水管爆水描述成缺乏对消防水管爆裂的控制,到也可以接受。
4. 脆弱性赋值脆弱性概念偏差
GB/T 20984-2007条款5.4.2 脆弱性赋值中对脆弱性等相关概念所进行的描述的标准原文如下:

可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多弱点反映的是同一方面的问题,或可能造成相似的后果,赋值时应综合考虑这些弱点,以确定这一方面脆弱性的严重程度。
对某个资产,其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此,资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。
脆弱性严重程度可以进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。表10提供了脆弱性严重程度的一种赋值方法。
10 脆弱性严重程度赋值表
等级
标识
定义
5
很高
如果被威胁利用,将对资产造成完全损害。
4
如果被威胁利用,将对资产造成重大损害。
3
如果被威胁利用,将对资产造成一般损害
2
如果被威胁利用,将对资产造成较小损害。
1
很低
如果被威胁利用,将对资产造成的损害可以忽略。

从对赋值的描述可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度,采用等级方式对已识别的脆弱性的严重程度进行赋值。中,我们很显然的发现这里将脆弱性的两个属性对资产的损害程度脆弱性可利用程度(技术实现的难易程度、弱点的流行程度)混淆了在一起了。但后面的赋值表,基本上又只考虑了对资产的损害程度
5. 风险计算原理脆弱性概念的表述
GB/T 20984-2007条款5.4.2 脆弱性赋值中对脆弱性等相关概念所进行的描述的标准原文如下:

本标准给出了风险计算原理,以下面的范式形式化加以说明:
风险值=RATV= R(L(TV)F(IaVa ))
其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性 Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。

这好像是GB20984对自己一再提到的脆弱性两个属性脆弱性严重程度脆弱性可利用程度但遗憾的是,标准好像不愿意用脆弱性可利用程度这个概念。在表述可能性L是用了T来表示威胁,用了V来表示脆弱性,其实这里的脆弱性应该是脆弱性可利用程度
6. 在附录A“风险计算的方法中脆弱性概念的表述
由于附录A中给的计算示例比较多,而且出现的概念混淆和前面的分析类似,就不再把原文出来分析了。
其中,风险计算示例中最大的问题是,条款5.4.2给的风险公式是:
风险值=RATV= R(L(TV)F(IaVa ))
但在附录的案例中,我们发现所利用的公式是:
风险值=RATV= R(L(TVa)F(IaVa ))
GB20984的计算示例中把V(脆弱性的可利用程度)和Va (脆弱性的严重程度)当成一个数据来处理了。
7. GB20984其它的问题
GB20984还发现一个问题,就是条款5.6.2风险结果判定中对风险等级的划分准则。下面是等级划分的准则表。

表11提供了一种风险等级划分方法。
11 风险等级划分表
等级
标识
描述
5
很高
一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。
4
一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。
3
一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。
2
一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决。
1
很低
一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。

从这个准则上,我们看到GB20984对风险的等级划分,都是一旦发生,则….”完全是基于后果的,而没有考虑发生的可能性。


畅享论坛提示:看帖后顺手回帖,是对辛苦发帖者的鼓励,是美德。


等级:经理
行业:计算机硬件/系统
职能部门:
城市:威海市
金币:1201
 发表于 2009/12/14 13:34:12 | 圈子 | 发送站内信 | 加为好友 | 邀请加入圈子
top第1楼

等级:试用期
行业:化工
职能部门:信息/资料管理
城市:重庆
金币:17
 发表于 2009/12/15 23:46:10 | 圈子 | 发送站内信 | 加为好友 | 邀请加入圈子
top第2楼
好资料!

等级:助理
行业:石油天然气煤炭
职能部门:计算机硬件及系统
城市:
金币:941
 发表于 2010/1/4 17:35:18 | 圈子 | 发送站内信 | 加为好友 | 邀请加入圈子
top第3楼

等级:助理
行业:其他
职能部门:
城市:桂林市
金币:2303
 发表于 2010/1/4 21:03:17 | 圈子 | 发送站内信 | 加为好友 | 邀请加入圈子
top第4楼

等级:助理
行业:互联网
职能部门:
城市:上海
金币:249
top第5楼
实际操作还是很有难度的,例如,威胁频发的衡量,脆弱的数值在实际评定中都富有争议。
专业从事IA 及 IT服务管理 IT治理方面工作

等级:试用期
行业:顾问/咨询/会计/招聘服务
职能部门:研究/开发
城市:上海
金币:1
 发表于 2010/1/6 16:51:11 | 圈子 | 发送站内信 | 加为好友 | 邀请加入圈子
top第6楼
引用 rake1 发表于 2010-1-5 14:23:45 的话:
实际操作还是很有难度的,例如,威胁频发的衡量,脆弱的数值在实际评定中都富有争议。


 

个人觉得,现在的风险评估都是定性的(有些号称是定量的,其本质也是定性),既然是定性的,多以风险评估的精力不应该过于集中在具体数值的确定上,比如3分和4分不用太过计较。应该把主要精力关注在风险识别上,而不是被主要经理放在风险赋值上。当然对于同一项目,如果有人打1分,有人打5分,离谱大了,应该做一些调整和修订。

(共 6 条) 上一页 1 下一页
您还未登录,不能对文章发表评论!请先登录
2020-02-26 03:08:54 485/2020-02-26 03:08:54 501/2020-02-26 03:08:54 532