风险评估工具

風險評估方法 王平 崑山科技大學 資管系 pingwang@mail.ksu.edu.tw 羅濟群 黃俊傑 王宇文 國立交通大學 資訊管理研究所 一、 前言 「風險分析」是針對某一資產遭受到威脅時，在考慮系統脆弱性下，假設 發生資產失效後，對企業營運產生之風險水準之評估。一般「資訊安全風險 評估」是針對資產之機密性(confidentiality)、可用性(availability)、完整性(integrity) 三項指標進行評鑑。風險評估方法與工具經過資訊安全專家確認後均可應 用，並不加以限定某一方法。經常使用的風險分析方法包括專家的深度訪談、 群體決策的德菲法(Delphi)與因素分析(Factor Analysis)、錯誤樹分析 (Fault Tree Analysis， FTA)、失敗模式和影響與關鍵性分析 (Failure Mode and Effect Criticality Analysis， FMECA )等；專家常使用的風險分析工具是「風險評估矩 陣」。 風險分析與資安標準 BS7799 「BS7799」的全名為是 BS7799 Code of Practice for Information Security，該 標準是由英國國家標準協會(British Standards Institution，BSI)主導於 1995年 1 正式成為英國國家標準，目前已應用國家包括澳大利亞、紐西蘭、荷蘭、挪 威及瑞典(蔡興華，2002)，可以適用於各種產業與所有的組織與機構，一套完 整的資訊安全管理作業之實務準則，能有效建構資訊安全防護體系。 資訊中心可將依照各項管理要項，制定組織的安全政策、安全責任、風險的 評估與相關工作指引。；其分成二部份：「資訊安全管理實務準則」(Code of practice for information security management)及「資訊安全管理規範」 (Specification for Information Management Systems－SIMS)。第一部份 最佳實 務準則：其內容共列舉了組織中三大風險管理目標，十個主要管理項目協助 企業保護其資訊資如圖 1。主要著重在風險管理，目標為協助企業規劃安全政 策，其中制定的 127個控制項目須視企業特性加以調適(tailing)。第二部分資 訊安全管理：主要協助資訊專業人員根據企業目標評估其網路資產，並排出 優先順序改善措施建議。安全計劃包括四個階段：風險評估、風險管理、導 入防護措施與適用條款。 2 BS7799是一套相當 核的標準，其使用控管 （Control）的觀念，以 用來提供合理的保障使 先有一套完整的資訊安 資訊中心可以接受的風 統（Information Securi BS 7799共有 10個管理 (controls) 與超過 500 的政策、人員對資訊安 與 127措施進行可能發 可用性 (availability ) 完整性 (integrity) 機密性 (confidentiality) 資訊風險 評鑑 安全政策 組織安全 資產分類 與控制 人員安全 實體與環 境安全 系統開發 與維護 存取管制 業務持續 運作管理 遵循原則 通訊與操 作管理 圖 1、資產風險評鑑架構 複雜的資訊安全應用與稽 建構一套完整的政策、程序、實施與組織化的架構， 企業目標得以達成。BS7799強調要維護資訊安全必須 全政策並予以文件化，其次需作「風險分析」來了解 險程度與等級，接著是建立所謂的「資訊安全管理系 ty Management Systems - ISMS）」。 要項，36個執行目標(objectives)，與 127控管項目 條安全管理細項。實施 BS7799可為組織建立資訊安全 全的認知、並可針對之資訊 BS 7799的 10個管理要項 生危害問題進行評鑑與提供改善措施建議，建立完整 3 的資訊安全風險管理，排定優先處理次序進行改善，可提高資訊中心之 資訊安全及獲得使用者的信賴。 ISO/IEC13335 ISO/IEC13335 Information technology – Guidelines for the management of IT Security 由國際標準組織(International Standard Organization, ISO)及國際電子 技術協會(International Electro technical Commission, IEC)共同主導，目前已廣 泛適用於各種組織的資訊風險分析與管理，以建構完整的風險控管機制。 國際標準組織 ISO/IEC TR 制訂 ISO/IEC13335 技術報告的目的，是針對資訊技 術安全的管理方面提供指導原則，而不是解決方案。在組織內負責資訊技術 安全的個體，應該能從這份報告中獲得滿足他們特殊需求的資料。這份技術 報告的主要目標包括： 1.定義和描述管理資訊技術安全相關的概念。 2.一般性地識別管理資訊技術安全和管理資訊技術之間的關係。 3.提供數種能夠用來解釋資訊技術安全的模型。 4.在資訊技術安全的管理上提供一般性的指導原則。 ISO/IEC TR 13335 由數個篇章共同組成。ISO/IEC 13335-1: Concepts and models for IT Security描述資訊技術安全管理的基本概念和模型的概要； ISO/IEC 13335-2: Managing and planning IT Security描述管理和計畫的觀 點描述資訊安全管理機制中的風險分析策略的選擇；ISO/IEC 13335-3: Techniques for the management of IT Security描述在一個計劃的生命週期， 期間牽涉到的管理活動所適當使用的安全技術，例如計畫、設計、執行、測 試、獲得或者操作,其附錄有說明資訊安全管理機制中的風險方法並舉例說 明；ISO/IEC 13335-4: Selection of safeguards定義資訊安全管理機制中的風 4 險處置；ISO/IEC 13335-5: Management Guidance on Network Security 說 明資訊安全管理機制中的網路安全指引。 二、風險分析程序 風險分析程序可區分成「實施規劃」、「資產確認與價值估計」、「資產威脅 評估」、「資產脆弱評估」、「資產風險值計算」、「安全管制項目選擇」與「風 險接受度評量」等七個步驟，如圖 2。(劉永禮、陳啟光，2002)。 此外，風險分析的過程亦可參考美國商業部所屬國家技術與標準局(National Institute of Standards and Technology / NIST)所建議的風險分析(risk assessment)程 序，配合下節所述之各項分析方法來進行[6]。 圖 2、風險分析程序 資產確認與價 值估計 資產風險值計 安全管制項目 選擇 風險接受度 評量 資產脆弱評估 資產威脅評估 實施規劃 5 三、風險分析方法論 依據 ISO/IEC TR 13335-1風險分析方法，資產(Asset)/威脅(Threat)/弱點 (Vulnerability)三者的關聯圖如圖 3、4。風險之產生是因為資產弱點受到威脅 的攻擊造成對資產價值的降低，若增加適當的防護措施則可降低風險。其為 一動態模式，隨著外界威脅的產生，系統須適時增加防護措施。 圖 3 風險管理各要素的關聯圖 圖 4 弱點、威脅、衝擊的關聯圖 資料來源： ISO/IEC TR 13335-1:1996(E) 6 風險分 分析」 界喜好使用群體決策的德菲法，分析每一項風險屬性對企業營運影響 的程 析方法依據風險評估屬性 (Attribute) 的性質可區分成定量 (Quantitative)與定性(Qualitative)兩種風險分析方法。「定性風險 是指對已界定出的風險評估其發生的機率與衝擊，決定其對企業營運影響的 優先等級。「定量風險分析」是指以計量方式分析每一項風險對企業營運影響 的程度。(范淼，2002)。其主要目的是建立順序尺度以衡量風險權值，採用概 念模式或機率模式以計算出風險值， 風險評分(R)=發生機率(P) X衝擊(L)， 最後針對個別風險作加總，求出整體風險值。實務上風險分析經常使用方法 為專家的深度訪談、敏感度分析、群體決策的德菲法(Delphi)、決策樹分析與 模擬。 學術 度，其為一整合性專家群體意見的分析方法，可將一個複雜的系統從風 險類別層級加以拆解成細部風險屬性，例如資訊系統風險、人員管制風險、 技術風險等，建立一個系統風險的整體架構，以決定系統風險水準與風險事 件可控制程度。國內相關研究包括李慶民以「以 BS7799為基礎建構資訊安全 評估模式—以虛擬私有網路系統為例」，以加總量表法，將評審要項內容分成 四分量表進行專家問卷調查（李慶民、莊謙亮，2001）；劉永禮運用 Carroll 所定義之資產評估價值(V)、單一事件損失預期值(SLE) 、年度發生率(ARO)、 年度損失預期值(ALE)，以 BS7799之 127 控管項目來計算系統整體風險值 (R)。(劉永禮、陳啟光，2002) 7 「定性風險分析」是指對已界定出的風險評估其發生的機率與衝擊，決定其 對企業營運影響的優先等級。輸入項目為原始資料、已界定之風險、機率與 衝擊的順序尺度，進行分析各項風險事件，產出項目為整體風險評等、風險 優先等級清單及定性風險分析結果之趨勢。 險分析,各方法分述如下： (1) 風險係數評估法 進行量化分析時，可以利用表 1中所列的常用風險評估係數，使決策者取 得量化的數據，並且根據數字的大小進行分析。依據表 15-1 我們可求得 年度損失預期值(ALE)= 單一事件損失預期值(SLE) * 年度發生率(ARO); 而單一事件損失預期值(SLE)=資產價值 * 暴露因子(EF)； 表 1：常用的風險評估係數 各組織可依需求選擇下列適當的方法以進行風 1. 定量(quantitative) 風險分析： 觀念 衍生的公式 暴露因子(Exposure Factor / EF) 該威脅導致特定資產損失的百分比 單一事件損失預 (Single Lose Expectancy / SLE) 資產價值 * 暴 期值 露因子(EF) 年度發生率 (Annualized Rate of Occurrence / ARO) 該事件每年發生的頻率 年度損失預期值 (Annualized Lose Expectancy / ALE) 單一事件損失預期值(SLE) * 年度發生率 (ARO) 若單純的數字大小無法區分出衝擊的程度，則可以事先以質的方法定義過某 8 個程度的數字代表某個程度的衝擊(例如：受影響的人員大於 5人，即為嚴重 層級分析法(AHP)是由是由美國賓夕法尼亞大學的數學家，Thomas, L. Saaty 在 l9 策時所面臨的困難。 Saaty 分別在 1972 至 1978 年間將層級分析法應用於美國國家科學基金會從事 有關於產業電力配額、蘇丹運輸系統研究、美國武器管制、及裁軍局(ACDA) 分配資源於從事恐怖主義之分析等多項研究，使得層級分析法得以臻於成 熟。以後經過不斷修正，層級分析法應用層面增加，例如應用在行為科學、 行銷管理、投資組合⋯等，最後由 Satty 於 1980年方提出一套完整的方法論。 一個或多數個替代方案。層級分析法(AHP)是將複雜問題加以系統化的一種方 法論，透過層級分析法(AHP)，可以將欲解決的問題，依照其考慮的屬性，架 設成類似樹狀的階層性結構(hierarchical structure)；將複雜的決策評估簡化成一 連串簡單的比較和排序，並綜合所有的分析結果而得到最後的答案。在評估 共通作業環境(COE)的風險時，本計劃可以利用 AHP，解決同時需要考慮量 (quantitative)和質(qualitative)雙方面條件的多目標決策問題。 Expert Choice 是一個以層級分析法(AHP)為基礎的多目標決策分析套裝工具軟 體 速地利用層級分析法(AHP)對共通 作業環境(COE)的風險進行評估。 威脅事件，其暴露因子 EF 為 0.9, 0≦EF≦1)。 (2) 層級分析法（Analytic Hierarchy Process , AHP）： 71 年發展出一套有系統的決策模式，目的在於解決決 層級分析法(AHP)可以結構化地分析問題，以決定替代方案之優先順序。當許 多決策中都面臨許多替代方案時，通常都是依幾個準則加以評比，以便選擇 (3) Expert Choice(多目標決策分析工具)： 。使用 Expert Choice 可以幫助本計劃，快 9 (4) COBRA(專業顧問軟體)： 要 易事。專業顧問軟體 COBRA 17799 可以透過 一連串的線上問卷，評估組織資訊安全目前所處的位置，並且協助組織一步 步產生通過認證所需的各項報告。 2. 定性(Qualitative)風險分析 定性風險分析可參考 ISO/IEC 13355-3 標準附錄 E，運用資產價值或重要性、 資產威脅等級、威脅發生頻率與資產脆弱等級，決定風險等級。以下舉五個 (1)方法一:以定義好的矩陣將資產價值或重要性、資產威脅與資產脆弱分 級，使用者只須依據事實與估計值決定對應相對風險值的順序尺度，其決策 表 2 風險值決策矩陣 4 3 2 3 2 1 2 1 0 0 產 價 值 高 中 低 高 中 低 高 中 低 脆弱性等 高 中 低 威脅等級 使組織通過 ISO17799 認證並非 例子說明定性風險分析法，各組織可依需求加以選擇。 矩陣如表 2。 8 7 6 7 6 5 6 5 4 4 7 6 5 6 5 4 5 4 3 3 6 5 4 5 4 3 4 3 2 2 5 4 3 4 3 2 3 2 1 1 資 10 (2) 方法二: 以定義好的矩陣將資產價值、威脅發生可能性依據威脅的程度 計算其對資產價值、威脅發生可能性影響，估計風險值並據以決定威脅等 級，其決策矩陣如表 3。 威脅等級決策矩陣 與估計值決定對應威脅發生頻率，其決策矩陣如表 4。 4 3 15 8 10 風險值 威脅 4 1 4 表 3 (3) 威脅E 5 3 1 威脅D 1 5 3 威脅C 3 4 2 威脅B 2 2 5 威脅A 威脅等級 能衝擊(資威脅種類 威脅發生的可產)價 2 4 3 8 F 方法三: 以定義好資產威脅等級與資產脆弱等級，使用者只須依據事實 表 4 威脅發生頻率決策矩陣 4 3 2 3 2 1 2 1 0 發生頻率 高 中 低 高 中 低 高 中 低 脆弱性等級 高 低 威脅等級 中 11 以表 4、威脅發生頻率配合定義好資產等級，使用者只須依據事實與估計值 決定對應風險值，其決策矩陣如表 5。 陣 定義好資產等級與威脅發生頻率 使用者只須依據事實與估計值 矩陣 N N 4 N N N 4 0 10 資產價值 表 5 風險值決策矩 方 3 3 4 4 2 1 0 0 0 資產價值 2 1 3 5 4 4 5 5 6 7 7 7 8 8 6 5 4 5 4 3 3 2 2 2 1 1 發生頻率 12 法四: 以 ， 決定是否可忍受該風險，其決策矩陣如表 6。 表 6 風險忍受決策 3 2 發生頻率 T T T NT 1 T T T N N 2 T T N N N 3 T N N N N 四、風險分析模式 因為風險分析是一項專業工作，個人或組織發展不易且評估的結果容易遭受 CORAS .簡介 是一個安全評論系統(security-critical system)中，用模型為基礎的風險評 術和特點。 之間的指標。 基。 質疑，故目前各研究機構已發展數個風險分析模式以協助組織客觀決定系統 的風險值。知名的風險分析模式包括 HazOp (Hazard Operable Process) 分析、錯 誤樹分析 (Fault Tree Analysis， FTA)、失敗模式和影響與關鍵性分析 (Failure Mode and Effect Criticality Analysis， FMECA)，CORAS(Consultative Objective Risk Analysis System, CORAS)，COBRA (Consultative, Objective and Bi-functional Risk Analysis)等。因限於篇幅，以下僅介紹 CORAS模式。 1 CORAS 估發展出來的架構。這個架構的特性為： ( 1 )徹底整合了風險評估方法中部分互補的技 ( 2 )UML模組導向的模式和方法制定了不同的風險評估方法 ( 3 )以AS/NZS 4360為風險管理程序的基礎。 ( 4 )風險說明文件的架構以RM-ODP為基礎。 ( 5 )完整的風險管理和系統發展過程以UP為根 ( 6 )以XML作為工具發展的平台。 13 CORAS是以改善安全評論系統的方法論和電腦化為目標，使其能做出更精 評價； anguage)和UP(Unified T CORAS 公會由三個商業公司：Intracom(希臘)，Solinet(德國)和 Telenor(挪威)； 確、不含糊而且有效的風險評估。CORAS把焦點集中於風險評估過程中，所 有的觀點導向半正式模型的緊密整合（參考下列模型基礎的風險評估）。 模型基礎的風險評估與傳統風險評估的最大不同點在於： – 結合互補的風險評估方法以便對不同模型的評價目標進行 – 為風險評估結合的模型方法的使用方式提供詳細的建議； – 提供模型方法論以支援風險評估結果的說明文件。 CORAS其中的一個重要性在於把UML(Unified Modeling L Modeling)實際運用於安全和風險評估中。CORAS滿足安全評論系統的一般 性，但特別強調IT (Information Technology) Security。IT Security 包括所有與I 系統相關的觀點–定義、達成，維持系統的機密性、完整性、有效性、不可 否認性、accountability、確實性和可靠性。CORAS的IT系統不是指單純的技術， 更是包含所有與人類密切互動周遭的機構與協會相關的技術。 七個研究所：CTI(希臘)，FORTH(希臘)，IFE(挪威)，NCT(挪威)，NR(挪威)， RAL(英國)和 Sintef(挪威)；以及一所大學：QMUL(英國)所共同組成。Telenor 和 Sintef 分別負責行政方面和科學方面的協調。CORAS 從 2001年 1 月開始進 行，到 2003 年 7 月結束。因為 CORAS 是一項正在進行的計劃，因此在這篇 文章中所介紹的 CORAS 架構，有可能在最後的版本中沒有被實施。 14 2. 風險評估方法 CORAS的風險評估方法是由HazOp (Hazard Operable Process) 分析、錯誤樹分析 上， (Fault Tree Analysis， FTA)、失敗模式和影響與關鍵性分析 (Failure Mode and Effect Criticality Analysis， FMECA ) 、馬爾可夫分析 (Markov Analysis) 以及 CRAMM (CCTA Risk Analysis Management Method) 五種技術共同整合。 完整的風險評估方法充分滿足機密性、完整性、有效性以及責任性。事實 如同表格一所說明，與目標系統關聯的各種類型的危險/威脅/危害，都能夠使 用這些方法顯露出來並加以處理。這些方法可以涵蓋在系統發展和保養過程 的所有階段。 Hazop FTA FMECA Markov CRAMM Identify Context In case of brief system descripti Valuation of assets on Identify Risks ecurity aspects Top-down tarting es Bottom-up for critical sub-parts Focus on data groups Address all s sfrom unwanted outcom Analyze Risks As input for FTA/FMECA/Markov ood Address failure mode and Address system states, hood Address top events, basic events, and likelih consequences and likeli Evaluation Risks As input criteria criteria Compare with criteria Compare with Compare with Treat Risks eatment options ss s barriers and counter-measures maintenance entify counter-measures Identify tr Addre prioritie Address Support Id 表 評 7 風險 鑑方法的關聯 15 優點 開放程式碼的解決方案，不需要購買。 決方案的需求。 滿足每個客製化的需 ‧ 種主要的XML資料模型： 件管理小組標準化。 tion Messaging 3. 風險 程序是以AS/NZS 4360：1999 Risk Management 以及ISO/IEC 法論針對何種模型應該被建構、如何 ‧ ‧ 工具獨立平台排除了昂貴和專有的軟體解 ‧ 以XML作為資料交換模型，提高系統可攜性。 ‧ 以XML驅動的解決方案具擴充性、功能強大，能 求。 整合三 – XMI (XML Metadata Exchange) 由物 – 與XML相容的CORAS特殊資料格式標示風險評鑑工具。 – 由IETF小組制定的入侵偵測訊息交換格式 (Intrusion Detec Exchange Format, IDMEF)。 管理程序 CORAS的風險管理 17799：2000 Code of Practice for Information Security Management為基礎。除此之 外，它也透過 ISO/IEC 13335：2001 Guidelines for the management of IT-Security and IEC 61508：Functional Safety of Electrical/Electronic/Programmable Electronic Safety Related System補足不足的部份。 對每一個次要的程序而言，CORAS的方 表達，提出詳細的忠告。圖5指定關係(Concerns)到五個次要的程中。請注意， 16 即使次要的程序是有順序性的，AS/NZS 4360是迭代法(iterative)並允許回饋 (feedback)。用UML表達的模型，一向被用來支援和導引風險管理程序。在圖 中右邊的四個圖表說明： – 以UML分類圖示幫助的 6 目標評估 明 產 – 以誤用情況圖示幫助的威脅情節說 – 以UML分類圖示幫助的需要被保護的資 – 以UML分類圖示幫助的不預期的意外事件 圖5 關係和風險評鑑過程之間的關聯 17 圖6 CORAS的流程 4. 完整的風險管理和系統發展過程 CORAS完整的風險管理和系統發展過程，是以整合程序(Unified Porcess，UP) 所描述風險管理程序的整合為基礎。在下面的段落中特別描述整合程序的特 性定義，如圖15-6所示。 類似整合程序，系統發展過程是階梯式逐步逐漸增長但是可迭代。在系統生 命週期的每一個階段，透過爾後反覆不斷的構築，系統的模型越來越精確。 然後，系統的生命週期從一個階段轉移到另一個階段。與RM-ODP的觀點相 似，CORAS框架的觀點並不是階層式；他們以各種不同的觀點來描述同一個 系統中各個不同組別的重要關係人。因此，所有觀點中的資訊也許與生命週 期中所有階段相關。 5. 工具平台 18 以資料整合為基礎的工具平台正在建構中。它的內部資料陳述是用XML age (Extensible Markup Language)為形式。基於XSLT (Extensible Stylesheet Langu Transformations)，有關資料陳述的方面，也許可以對應到使用其他工具的內部 資料陳述 (而且是可逆的)。這使得複雜的工具箱不但可以達成系統發展的目 標，還包含了風險評估工具以及弱點和威脅管理工具。 圖7 工具平臺 如圖7 所示，以XML為基礎的資 S平臺提供三種介面： – 料交換，CORA – 以入侵偵測交換格式 (Intrusion Detection Exchange Format， IDMEF) 為基礎 的介面：入侵偵測交換格式是由入侵偵測工作小組 (Intrusion Detection Working Group) 所開發，是作為入侵偵測的 XML DTD目標工具。 以 XMI ( XML Metadata Interchange ) 為基礎的界面。 – 標示風險評估工具的界面。 19 五、結論 風險值取決於資產價值、威脅與弱點之關係，當風險值超過臨界風險值 時，資訊安全管理人員應有一套適當的控制措施以處理此危機。架構資訊安 全管理系統（ISMS）之最終目標，乃是維持企業商業活動的持續運作，而企 業資訊資產可說是企業商業活動的核心，風險評估與風險管理的目的在於透 過列舉企業內資訊資產所面臨的潛在威脅與弱點，藉由資產價值與潛在威脅 與弱點發生的機率或強度，決定該資訊資產所面臨之風險值（Risk Value）， 並由企業內部之資訊安全組織決定該企業之臨界風險值，針對其風險值高於 臨界風險值之資訊資產所面臨之潛在威脅與弱點，採取適當的控制措施，降 低、預防、移轉或控制其風險在企業可接受的程度以內，確保企業資訊資產 之安全，進而達到維持企業商業活動持續運作的目的。 20