信息技术安全风险评估框架与模型综合分析研究

◆霍肖帅 王 露

（河南迈锐德实业有限公司 河南 450000）

信息技术安全风险评估框架与模型综合分析研究

◆霍肖帅 王 露

（河南迈锐德实业有限公司 河南 450000）

本文借鉴信息技术安全风险相关理论研究成果，认为CORAS框架有优于其他风险评估框架与模型的诸多方面，应用范围广泛，不论是大型组织还是中小型组织，评估效率更高，结果相对更准确，其集成性和可扩展功能，使其比传统评估方法更具发展空间，但是要将其更好地应用于财政管理信息系统的风险评估，还要结合诸多方面进行优化研究。

信息安全；风险评估；CORAS框架；威胁

1 常用信息安全风险评估模型

目前，国际和国内主流的信息安全风险评估框架与模型大致有以下几个：CRAMM框架、SSE-CMM模型、OCTAVE框架、NIST框架、Microsoft框架和CORAS框架。

1.1 CRAMM框架

CRAMM是英国政府中央计算机与电信局1985年开发的一种定量风险分析工具，是一种评估信息系统风险并确定相应对策的结构化方法。它的适用广泛，在各类信息系统和网络信息系统生命周期的各阶段使用。它的安全模型数据库基于“资产-威胁-弱点”模型，并与BS7799标准保持一致，提供3000多个可供选择的安全控制。CRAMM风险管理分为3个阶段：资产识别和评估；威胁和脆弱性的识别。

1.2 SSE-CMM模型

SSE-CMM即系统安全工程能力成熟度模型，是一个过程参考模型，由美国国家安全局于1993年提出。这个模型涵盖了系统的整个生命周期、整个组织的各个层次，包括了与其他领域的并发交互处理、与其他组织活动间的相互影响。SSE-CMM模型框架是一个二维架构，定义了11项过程域，模型为每个过程域定义了一组确定的基本实践BP，并规定每一个基本实践对完成该子任务都是不可缺少的。同时还定义了6个能力成熟度等级，每个等级的判定反映为一组共同特性（CF），而每个共同特性进而通过一组确定的通用实践（GP）来描述。SSE-CMM模型框架。

1.3 OCTAVE框架

OCTAVE即可操作的关键威胁、资产和薄弱点评估，是由美国卡耐基梅隆大学软件工程研究所下属的CERT协调中心1999公布的一套体系完整、系统、操作性强的安全风险评估体系，定性地解决信息系统资产价脆弱性和威胁的问题。它的核心是关注组织关键信息资产面临的风险。

OCTAVE框架是一种“8过程3阶段”的信息安全风险评估方法:1～4过程为第一阶段，5～6过程为第二阶段，7～8为第三阶段。

2 基于CORAS框架的信息安全风险评估分析

CORAS框架是欧盟针对安全要求较高的安全关键系统开发的一个基于模型的信息安全风险评估方法框架和工具支撑评估平台，利用各种风险分析方法、采取半形式化的描述语言和基于电脑工具平台，形成了一个准确、高效的风险分析框架。

2.1 CORAS框架结构

CORAS的框架结构可以从两个角度去理解，一个是概念层次上的，一个是基于方法论上的。

在概念层次上，CORAS评估的总体框架由三部分组成：术语、库和方法论。其中术语包含了安全术语、风险分析术语和系统文档术语；库由实体、存储结构、分类系统和一致性约束组成；方法论则涵盖了工具、语言、过程。CORAS评估总体框架。

在方法论层次上，CORAS评估由四部分组成，即系统文档框架、风险管理过程、一体化开发和风险管理过程、数据集成工具平台。CORAS评估方法论框架。具体来说，系统文档框架的基础是ISO10746《开放分布式系统处理参考模型》RM-ODP；风险管理过程基于AS/NZS4360《风险管理指南》、ISO/IEC17799《信息技术信息安全管理实施细则》和ISO/IEC13335《信息技术信息安全管理指南》的标准；一体化开发和风险管理过程以统一开发过程即RUP为基础；工具发展平台是XML。

两种框架是相通的，只是理解角度的不同。概念框架侧重的是CORAS具体的各个组成部分，是应用上讲。而方法论框架更强调的是CORAS评估遵循的原理和依据的标准，从理论上讲。本文从概念层次上详细解读CORAS评估框架。

（1）术语

CORAS术语定义了CORAS的相关概念即各概念之间的关系，并说明了其依据的标准。CORAS基于IT安全和风险管理相关的多个国际标准，将安全术语、安全分析术语和系统文档术语整合，是RM-ODP在风险评估、建模和安全应用扩展方面的附加术语。除系统文档术语来源于RM-ODP外，安全术语主要参考ISO/IEC13335《信息技术信息安全管理指南》和IEC61508《电气/电子/可编程电子安全相关系统安全功能》，由ITU-TX.800、IEEE610作补充，安全分析术语来源于AS/NZS4360《风险管理指南》。CORAS围绕11个核心术语展开，这11个即评估目标、评估环境、资产、价值、威胁、脆弱性、危害事件、可能性、后果、安全策略和安全要求等，从而形成了完整且规范的信息安全风险评估系统文档框架。

CORAS系统文档框架是以RM-ODP为基础的，RM-ODP是ISO/IEC的标准系统，此标准包括视点、ODP基础（模型、规范和结构术语）、一致性模块和分布式模块（特性和功能）。CORAS系统文档框架以RM-ODP为基础，也对其与安全关键系统风险评估直接相关的部分进行了改进：①有关风险管理和安全的概念；②引入关注点对其视点结构进行划分，这些关注点与视点的交叉点构成新的模型，对这些模型都有开发指南和包括使用建模语言的具体建议；③标准建模组件库；④规范的风险管理模块，基于国际标准，包含风险管理方法和风险管理过程。CORAS系统文档框架可以认为是基于模型的风险评估参考框架。

CORAS风险评估过程有五个阶段，环境识别、风险识别、风险分析、风险计算和风险处理，每一阶段都有不同的关注点，在风险管理的过程中，需要完成对所有关注点的处理。

（2）库

CORAS框架的库的四个组成元素之前提到过，即实体、存储结构、分类系统和一致性约束。库也可以借助由工具平台中的两个实体库来理解。这两个库一个是经验知识库，一个是评估知识库。前者用来存储过去的分析经验，后者用来存储正在进行分析的结果。CORAS通过经验知识库提供的可重用包，支持安全分析过程，由评估知识库存储安全分析产生的结果，这样避免了很多繁琐的分析过程。

（3）方法论

CORAS的方法论集成了UML建模方法和多种互为补充的风险分析方法。CORAS框架的方法论中的语言定义了用来支持方法论的通用语言，UML语言、XML标记语言等，UML主要用于建立评估模型和评估特性描述，XML主要用于评估数据交换。过程包含风险管理过程和系统开发过程，定义了如何执行方法的说明和安全分析的步骤等。工具部分包括工具平台和各种评估工具。CORAS有自带的平台工具CORASTOOL。CORAS工具的主要作用是存储风险分析文档，并导入知识库。综上所述，CORAS术语是CORAS框架所依据的思想和所涉及的概念，库是框架的可重用基础设施，方法论是它的应用描述。

2.2 CORAS评估的UML建模方法研究

CORAS框架最有特色的部分是引入了UML建模方法，用图形化的语言描述系统相关情况，对评估目标建立模型进行分析。CORAS建模的基本组成模块涵盖信息安全风险要素的各个方面，包括资产、威胁、脆弱性、风险等。CORAS建模元素。

CORAS框架运用UML建模技术让其具备了其他评估方法没有的特色：（1）对系统的相关情况建立模型，为评估工作提供规范化的概览。（2）规范统一的图形化描述，不仅使专业人员能清晰理解评估目标的各个方面，也能使非专业人员理解，从而有效地促进参与风险评估过程的各类人员的沟通和交流。（3）风险评估结果的重用，风险评估结果通过UML建模以标准的格式存储在经验库中，供需要时参考调用。

3 信息安全风险评估框架与模型综合分析

以上对几种常用的信息安全风险评估框架与模型作了介绍，可以了解到各种框架与模型都有各自的优缺点。

3.1 其他框架模型的优缺点

（1）CRAMM

通过对资产所有者、系统用户、技术支持人员和安全管理员的提问来收集信息，使CRAMM像产品安全性的检查。

（2）SSE-CMM模型

优点：它贯穿系统的整个生命周期，可以更好的确保产品的安全性；它定义的工作过程具有连续性、可重复性和有效性；从保护政府保密数据扩大至更广泛的领域；它适用于信息系统的风险评估。缺点：它不是安全技术模型，虽给出了信息系统风险分析需要考虑的关键过程和完成该过程必需的基本行为，但并未给出具体的操作方法；它的各个过程域相对独立，不利于指导风险评估。

（3）OCTAVE框架

优点：强调安全管理也强调安全技术，从组织和技术两个层面进行评估；强调自主，由组织内部的人员管理和指导组织的信息安全风险评估；OCTAVE主要是基于操作，强调可操作性，突出关键性，对其最关键的三至五个资产进行风险评估。缺点：OCTAVE由于是国外针对自己的组织结构开发，与国内有差异，不便在国内发展；适合强调规模较大的组织开展信息安全风险评估活动。

（4）NIST是基于理论的，将重点放在描述风险评估的各要素及实施评估的框架结构上。

（5）Microsoft只提供了一个框架，缺少具体实施细则。

3.2 CORAS框架的优缺点

CORAS框架与传统的风险评估方法和其他基于模型的风险评估方法（如CRM、SA和STC等）相比，有无法被替代的特性和优势：

（1）基于UML的建模技术，将其作为分析和描述的主要手段，便于理解和交流，可视化强。

（2）整合多种风险分析方法，包括SWOT分析、HAZOP、FMEA/FMECA、FTA、事件树等，通过各种方法的互补，运用于不同的评估阶段，评估结果更为准确。

（3）支持评估结果重用，通过一个特殊的经验库支持风险评估文档的重用，需要时评估人员从库中将结果取出，这样既提高了评估的效率，又降低了对评估人员知识和技术的要求。

（4）开放的工具平台，XMLAPI可以集成UML建模工具、漏洞扫描工具等多种工具，整合多种风险分析方法。

（5）利用XML数据格式进行风险评估数据的对外交换，可移植性高。

但是，CORAS框架也存在着一些薄弱点，由于评估数据主要从主观经验或历史记录而来，风险分析方法主观性也较强，导致了CORAS的风险计算的主观性。

[1]李鹤田，刘云，何德全．基于Markov链的信息安全风险评估模型[J]．铁道学报，2007．

[2]赵冬梅，马建峰，王跃生．信息系统的模糊风险评估模型[J]．通信学报，2007．

[3]赵冬梅，刘海峰，刘晨光．基于BP神经网络的信息安全风险评估[J]．计算机工程与应用，2007．