导图社区 信息安全风险评估
风险评估与安全检测
风险评估
定义
风险
在信息安全领域,风险(Risk)指信息资产遭受损坏并给企业带来负面影响的潜在可能性
风险评估
风险评估(Risk Assessment)是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估
风险管理
风险管理(Risk Management)是以可接受的代价,识别、控制、减少和消除可能影响信息系统安全风险的过程
信息安全风险分类
外部威胁
病毒、木马
黑客行为(账号窃取、非法控制)
恶意软件、垃圾邮件
内部威胁
人为错误(使用不当、安全意识差)
自然灾害
意外事故
风险评估目的
清晰姿势锁面临的威胁以及威胁方式方法,便于有针对性的保护认识自身存在的脆弱性,能够有目的性的进行补遗整改工作
等级保护
协助定级,全面推动等级保护的工作
安全规划
明确自身整体安全状态,制定整体安全规划,逐步完善防护能力、检测能力、响应能力、恢复能力,实现整体安全
资产识别
对组织的关键信息资产进行全面梳理,识别资产的重要性
安全意识
提升组织的安全意识
安全管理
对组织的安全管理有清晰的认识,能够有意识的加强管理建设
评估依据
《国家信息化领导小组关于加强信息安全保障工作的意见》
《关于印发《信息安全风险评估指南》的通知》
《关于开展信息安全风险评估工作的意见》
《GBT 20984-2007信息安全风险评估规范》
《风险管理Risk Management》
ISO/IEC TR 13335 Series, Guidelines for the management of IT Security (CMITS)
ISO/IEC 15408-1999“信息技术 安全技术 信息技术安全性评估准则”(简称CC)
NIST SP800 Series, Computer Security Special Publications,1991-2005
ISO/IEC_27001:2008_信息安全管理实用规则
ISO/IEC_27005:2008_信息安全技术风险管理
评估内容
管理评估
对安全管理制度、安全管理机构、人员安全管理、系统建设管理制度、运维管理制度进行评估
技术评估
对网络结构、网络设备、主机系统、应用系统进行评估
评估内容
资产评估
采集资产信息,进行资产分类,划分资产重要级别,明确评估的范围和重点,对组织的关键信息资产进行全面梳理,识别客户资产的重要性
威胁评估
分析整体的网络拓扑结构安全隐患,清晰自身所面临的威胁及威胁方式,便于有针对性的防护
脆弱性评估
基于技术方面的安全评估和管理方面管理评估有效发现脆弱性、验证脆弱性、分析判断可利用的途径(已有安全措施验证)和严重程度,认识自身存在的脆弱性(不足),能够有目的性的进行补遗整改
风险综合分析
在完成资产评估、威胁评估、脆弱性评估,以及已有安全措施确认后,将采用适当方法与工具确定维修利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,及安全风险
风险处置计划
为管理安全风险,识别措施控制、资源、职责和优先顺序,即:指定风险处置计划。明确自身整体安全状态,制定整体安全规划,逐步完善防护能力、检测能力、响应能力、恢复能力,实现整体安全。
评估过程
风险范围的界定
正式进行具体安全评估时,首先必须进行信息系统范围的界定,要求评估者明晰所需评估的对象。
范围界定一般包括
系统拓扑结构
网络地址分配
网络服务
网络操作系统
操作系统
通信协议
网络设备
网上业务类型及业务信息流程
网络安全防范措施
系统物理环境
资产识别
分类
数据
保存在信息媒介上的各种信息
软件
系统软件、应用软件、源程序
硬件
网络设备、计算机设备、存储设备、传输线路、保障设备、安全设备等
服务
信息服务、网络服务、办公服务
人员
掌握重要信息和核心业务的人员
其它
企业形象、客户关系等
资产赋值
保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值是以资产的经济价值来决定的。资产价值应依据资产在这三性上赋值等级,经过综合评定得出。
选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;
也可根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。
资产赋值=(a*机密性+b*完整性等级+c*可用性等级)*10,其中a+b+c=1
保密性赋值
5
很高
包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害
4
高
包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害
3
中等
组织的一般性秘密,其泄露会使组织的安全和利益受到损害
2
低
仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害
1
很低
可对社会公开的信息,公用的信息处理设备和系统资源等
可用性赋值
5
很高
可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断
4
高
可用性价值较高,合法使用者对信息及信息系统的可用度达到年度90%以上,或系统允许中断时间小于10min
3
中等
可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30min
2
低
可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60min
1
很低
可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%
完整性赋值
5
很高
完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补
4
高
完整性价值较高,未授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补
3
中等
完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补
2
低
完整性价值较低,未经授权的修改或破坏会对组织造成轻微影响,对业务冲击轻微,容易弥补
1
很低
完整性价值非常低,未经授权的修改或破坏对组织造成的影响可以忽略,对业务冲击可以忽略
资产的赋值
5
很高
非常重要,其安全属性破坏后可能对组织造成非常严重的损失
4
高
重要,其安全属性破坏后可能对组织造成比较严重的损失
3
中等
比较重要,其安全属性破坏后可能对组织造成中等程度的损失
2
低
不太重要,其安全属性破坏后可能对组织造成较低的损失
1
很低
不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计
威胁识别
威胁识别是指对网络资产有可能受到的危害进行分析,一般从威胁来源、威胁途径、威胁意图几个方面来分析
威胁来源
环境因素
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障
人为因素
恶意人员
不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力
非恶意人员
内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击
基于表现形式的威胁分类
软硬件故障
对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题
设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等
物理环境影响
对信息系统正常运行造成影响的物理环境问题和自然灾害
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等
无作为或操作失误
应该执行而没有执行相应的操作,或无意执行了错误的操作
维护错误、操作失误等
管理不到位
安全管理无法落实或不到位,从而破坏信息系统正常有序运行
管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等
越权或滥用
通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为
非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等
篡改
非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用
篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等
抵赖
不承认收到的信息和所作的操作和交易
原发抵赖、接收抵赖、第三方抵赖等
恶意代码
故意在计算机系统上执行恶意任务的程序代码
病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等
网络攻击
利用工具和技术通过网络对信息系统进行攻击和入侵
网络探测和信息采集、漏洞探测、嗅探(帐号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等
物理攻击
通过物理的接触造成对软件、硬件、数据的破坏
物理接触、物理破坏、盗窃等
泄密
信息泄露给不应了解的他人
内部信息泄露、外部信息泄露等
威胁的赋值
威胁出现频率的赋值需要综合考虑三个方面
以往安全事件报告中出现过的威胁以及频率的统计
实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计
近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警
5
很高
出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过
4
高
出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过
3
中等
出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过
2
低
出现的频率较小;或一般不太可能发生;或没有被证实发生过
1
很低
威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生
脆弱性识别
通过各种测试方法,获得系统资产中所存在的缺陷清单,包括硬件和软件清单,这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用。缺陷的存在将会危及到系统资产的安全。
脆弱性分类
技术脆弱性
物理环境
从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别
网络结构
从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别
系统软件
从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别
应用中间件
从协议安全、交易完整性、数据完整性等方面进行识别
应用系统
从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别
管理脆弱性
技术管理
从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别
组织管理
从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别
脆弱性赋值
5
很高
如果被威胁利用,将对资产造成完全损害
4
高
如果被威胁利用,将对资产造成重大损害
3
中等
如果被威胁利用,将对资产造成一般损害
2
低
如果被威胁利用,将对资产造成较小损害
1
很低
如果被威胁利用,将对资产造成的损害可以忽略
已有安全措施的确认
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。
对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。
对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
风险分析
分析原理
R表示安全风险计算函数;A表示资产;T表示威胁(威胁出现的可能性);V表示脆弱性; Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。
子主题 2
风险结果判断
5
很高
一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣
4
高
一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害
3
中等
一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大
2
低
一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决
1
很低
一旦发生造成的影响几乎不存在,通过简单的措施就能弥补
风险处理
确定对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采取的弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术两个方面考虑。
主要方式
规避
转移
降低
接受
残余风险评估
在对于不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。
某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。
评估原则
评估方法
漏洞扫描
通过漏洞扫描工具自动模拟执行入侵探测过程,搜集分析漏洞信息,以评估信息系统的安全性。
漏洞扫描工具有许多,按照其用途来划分,粗略分成主机扫描、网络扫描、数据库扫描、应用扫描。
人工检查
人工检查通过人直接操作评估对象以获取所需要的评估信息。
一般进行人工检查前,事先设计好“检查表”,然后评估工作人员按照“检查表”进行查找,以发现系统中的网络结构、网络设备、服务器、客户机等所存在的漏洞和威胁。
渗透测试
渗透测试是指在获取授权后,通过使用安全工具,模拟黑客攻击网络系统,以发现深层次的安全问题。渗透测试工具有许多种,常见的类型有:
信息收集类
漏洞利用尝试类
破解口令类
问卷调查
问卷调查采用书面的形式获得被信息系统的相关信息,以掌握信息系统的基本安全状况。
问卷调查一般根据调查对象进行单独设计。问卷包括管理类和技术类。管理调查涵盖安全策略、安全组织、人员安全、业务连续性等,它主要针对管理者、操作人员。而技术调查卷主要包括物理和环境安全、网络通信、系统访问控制等,调查对象是IT技术人员。
安全访谈
安全访谈通过安全专家和网络系统的使用人员、管理人员等相关人员进行直接交谈,来考察和证实对网络系统安全策略的实施、规章制度的执行和管理与技术等一系列情况。
审计数据分析
审计是网络安全系统中的一个重要环节,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测是保障网络安全的重要手段。
审计数据分析是指采用数据统计和特征模式匹配等多种技术,从审计数据中寻找安全事件的有关信息。
审计数据分析通常用于威胁识别。审计分析的作用包括侵害行为检测、异常事件监测、潜在攻击征兆发觉等 。
入侵检测
将入侵监测软件或设备接入到待评估的网络中,然后通过入侵监测软件或设备采集评估对象的威胁信息和安全状态。
入侵监测软件和设备有许多种,按照其用途来划分,粗略分成主机入侵监测、网络入侵监测、应用入侵监测。
常用于入侵监测的软件有协议分析器、入侵检测系统、注册表监测、文件完整性检查。
风险评估价值
帮助客户对资产进行梳理:
针对容易被忽略的数据资产、服务资产等,使客户从原有的固定资产保护,提升为信息资产保护。
帮助客户对资产分级管理:
通过定量分析,明确各信息系统对客户的重要程度,通过有效整合信息系统的安全需求,在有限的资源环境下,更好的提高客户的信息安全水平。
帮助客户了解安全状况:
通过如工具扫描、渗透测试、人工审计等多种技术手段,全面分析客户信息系统和网络中存在的各种安全问题,同时将发现的安全问题与信息资产的重要程度相关联,明确当前的安全风险。
帮助客户了解安全管理漏洞:
再好的设备,也是由人进行操作的,通过访谈、问卷等多种手段,将协助客户管理层了解当前的信息安全管理制度是否存在漏洞,已经正式发布的安全管理制度是否得到了落实和执行。
帮助客户平衡安全风险与成本代价:
信息安全工作的核心目标就是实现在最低资源消耗的情况下,达到最大的安全水平。通过对发现的问题和风险进行管理,并最优化的方案建议,使客户避免投入大量资源,但安全工作仍迟迟不见起色的现象。
提供有效的安全加固和改进建议:
安全服务团队能够获得第一手的信息系统或网络的漏洞信息,为客户提供及时、有效地网络和信息系统的漏洞发掘服务,并针对漏洞,提供有效的加固建议和改进措施建议。
为以后的安全规划建设提供依据和参考:
提供专业的信息安全规划和建设建议,对于客户未来的信息安全工作,提供重要参考和依据。
帮助客户建立信息安全风险管理机制:
帮助客户及时发现和修复网络与信息系统的安全问题,使安全风险降低到可以接受并且可以被有效管理的范围内,保障客户组织内信息系统稳定运行和业务连续性。
评估模型
评估流程
风险规避
风险评估过程
系统调研
资产评估
威胁评估
脆弱性评估
风险分析与处置
残余风险评估
安全检测
检测依据
安全检测工具
系统安全
网络安全
应用安全
数据安全
业务安全
用户安全