信息安全风险评估-网络通信安全管理员2012修订

《信息安全风险评估-网络通信安全管理员2012修订》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

信息安全风险评估信息安全风险评估授课教师：唐作其1 11.3风险评估理论与方法-概念信息安全风险评估是对信息在产生、存储、传输等过程中其机密性、完整性、可用性遭到破坏的可能性及由此产生的后果所做的估计或估价，是组织确定信息安全需求的过程。2 国家对开展风险评估工作的政策要求1、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）中明确提出：“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理”3 国家对开展风险评估工作的政策要求（续）2.《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》（国信办【2006】5号文）中明确规定了风险评估工作的相关要求：风险评估的基本内容和原则风险评估工作的基本要求开展风险评估工作的有关安排4 11.3.1信息安全风险评估概述依据GB/T20984—2007《信息安全技术信息安全风险评估规范》，同时参照ISO/IECTR13335-3、NISTSP800-30等标准，风险评估过程都会涉及到以下阶段：识别要评估的资产，确定资产的威胁、脆弱点及相关问题，评价风险，推荐对策。 11.3.2风险评估的术语（1）资产Asset对组织具有价值的信息或资源，是安全策略保护的对象。（2）可用性Available数据或资源的特性，被授权实体按要求能访问和使用的数据或资源。（3）保密性Confidential数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。6 11.3.2风险评估的术语（续1）（4）完整性Integrity保证信息及信息系统不会被非授权更改或破坏的特性。（5）安全事件SecurityIncident系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。（6）威胁Threat可能导致对系统或组织危害的不希望事故潜在起因。7 11.3.2风险评估的术语（续2）（7）脆弱性Vulnerability可能被威胁所利用的资产或若干资产的薄弱环节。（8）信息安全风险InformationSecurityrisk人为或自然的威胁利用信息系统及管理体系中在在的脆弱性导致安全事件的发生及其对组织造成的影响。8 风险要素关系图9 风险分析原理图10 风险评估实施流程 11.3.5风险评估实施过程1.风险评估准备2.资产识别3.威胁识别4.脆弱性识别5.已有安全措施确认6.风险分析7.风险评估文档记录12 1评估准备信息安全风险评估的准备，是实施风险评估的前提。为了保证评估过程的可控性以及评估结果的客观性，在信息安全风险评估实施前应进行充分的准备和计划，信息安全风险评估的准备活动包括：⑴确定信息安全风险评估的目标；⑵确定信息安全风险评估的范围；⑶组建适当的评估管理与实施团队；⑷进行系统调研；⑸确定信息安全风险评估依据和方法；⑹制定信息安全风险评估方案；⑺获得最高管理者对信息安全风险评估工作的支持。 确定信息安全风险评估的目标在信息安全风险评估准备阶段应明确风险评估的目标，为信息安全风险评估的过程提供导向。信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求，通过分析组织必须符合的相关法律法规、组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求，来确定信息安全风险评估的目标。 确定信息安全风险评估的范围既定的信息安全风险评估可能只针对组织全部资产的一个子集，评估范围必须明确。描述范围最重要的是对于评估边界的描述。评估的范围可能是单个系统或者是多个关联的系统。比较好的方法是按照物理边界和逻辑边界来描述某次风险评估的范围。 组建适当的评估管理与实施团队在评估的准备阶段，评估组织应成立专门的评估团队，具体执行组织的信息安全风险评估。团队成员应包括评估单位领导、信息安全风险评估专家、技术专家，还应该包括管理层、业务部门、人力资源、IT系统和来自用户的代表。 进行系统调研系统调研是确定被评估对象的过程。风险评估团队应进行充分的系统调研，为信息安全风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括：⑴业务战略及管理制度；⑵主要的业务功能和要求；⑶网络结构与网络环境，包括内部连接和外部连接；⑷系统边界；⑸主要的硬件、软件；⑹数据和信息；⑺系统和数据的敏感性；⑻支持和使用系统的人员。 确定信息安全风险评估依据和方法信息安全风险评估依据包括现有国际或国家有关信息安全标准、组织的行业主管机关的业务系统的要求和制度、组织的信息系统互联单位的安全要求、组织的信息系统本身的实时性或性能要求等。根据信息安全评估风险依据，并综合考虑信息安全风险评估的目的、范围、时间、效果、评估人员素质等因素，选择具体的风险计算方法，并依据组织业务实施对系统安全运行的需求，确定相关的评估判断依据，使之能够与组织环境和安全要求相适应。 制定信息安全风险评估方案信息安全风险评估方案的内容一般包括：⑴团队组织：包括评估团队成员、组织结构、角色、责任等内容。⑵工作计划：信息安全风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容。⑶时间进度安排：项目实施的时间进度安排。 获得最高管理者对信息安全风险评估工作的支持信息安全风险评估需要相关的财力和人力的支持，管理层必须以明示的方式表明对评估活动的支持，对资源调配作出承诺，并对信息安全风险评估小组赋予足够的权利，信息安全风险评估活动才能顺利进行。 2识别并评价资产2.1识别资产在信息安全风险评估的过程中，应清晰地识别其所有的资产，不能遗漏，划入风险评估范围和边界内的每一项资产都应该被确认和评估。 资产识别活动中，可能会用到工具有以下几种。1．资产管理工具2．主动探测工具3．手工记录表格 资产分类资产的分类并没有严格的标准，在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握，表11.5列出了一种根据资产的表现形式的资产分类方法。 分类示例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件：操作系统、数据库管理系统、语言包、开发系统等应用软件：办公软件、数据库软件、各类工具软件等源程序：各种共享源代码、自行或合作开发的各种代码等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携式算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等安全设备：防火墙、入侵检测系统、身份鉴别等其他：打印机、复印机、扫描仪、传真机等服务信息服务：对外依赖该系统开展的各类服务网络服务：各种网络设备、设施提供的网络连接服务办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其它企业形象，客户关系等表11.5一种基于表现形式的资产分类方法 定性分析定性风险评估一般将资产按其对于业务的重要性进行赋值，结果是资产的重要度列表。资产的重要度一般定义为“高”、“中”、“低”等级别，或直接用数字1～3表示。组织可以按照自己的实际情况选择3个级别、5个级别等，表11.9给出了5级分法的资产重要性等级划分表。 等级标识定义5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3中比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后对组织造成很小的损失，甚至忽略不计表11.9资产等级及含义描述 信息安全风险评估中资产的价值不是以资产的经济价值来衡量，而是以资产的保密性、完整性和可用性三个安全属性为基础进行衡量。资产在保密性、完整性和可用性三个属性上的要求不同，则资产的最终价值也不同，表11-6、表11-7、表11-8分别给出了资产的保密性、完整性和可用性的赋值表。 赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织的根本利益有着决定性的影响，如果泄漏会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等包含组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等表11-6资产保密性赋值表 赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，可以忍受，对业务冲击轻微，容易弥补1很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略表11-7资产完整性赋值表 赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10min3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min1很低可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%表11-7资产可用性赋值表 定量分析定量风险评估对资产进行赋值，应该确定资产的货币价值，但这个价值并不是资产的购置价值或帐面价值，而是相对价值。在定义相对价值时，需要考虑：1．信息资产因为受损而对商务造成的直接损失；2．信息资产恢复到正常状态所付出的代价，包括检测、控制、修复时的人力和物力；3．信息资产受损对其他部门的业务造成的影响；4．组织在公众形象和名誉上的损失；5．因为商务受损导致竞争优势降级而引发的间接损失；6．其他损失，例如保险费用的增加。 输出结果在资产划分的基础上，再进行资产的统计、汇总，形成完备的《资产及评价报告》。 识别并评估威胁威胁识别识别并评价资产后，组织应该识别每项（类）资产可能面临的威胁，识别威胁时，应该根据资产目前所处的环境条件和以前的记录情况来判断。一项资产可能面临多个威胁，一个威胁也可能对不同的资产造成影响。 威胁识别活动中，可能会用到工具有以下几种：1．IDS采样分析2．日志分析3．人员访谈 威胁分类在对威胁进行分类前，首先要考虑威胁的来源。 表11-10威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益；外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击 对威胁进行分类的方式有多种多样，针对上表威胁来源，可以根据其表现形式将威胁分为以下种类。1.软硬件故障2.物理环境影响3.无作为或操作失误4.管理不到位5.恶意代码6.越权或滥用7.网络攻击8.物理攻击9.泄密10.篡改11.抵赖 威胁赋值识别资产面临的威胁后，还应该评估威胁出现的频率。威胁出现的频率是衡量威胁严重程度的重要因素。 表11-12威胁赋值表等级标识定义5很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过4高出现的频率较高（或≥1次/月）；在大多数情况下很有可能会发生；或可以证实多次发生过3中出现的频率中等（或＞1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过2低出现的频率较小；或一般不太可能发生；或没有被证实发生过1很低威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生 输出结果威胁编号威胁类别威胁赋值描述表7-12威胁列表示例2威胁编号威胁类别具体威胁威胁描述威胁来源后果威胁赋值受影响的设备名称（IP） 识别并评估脆弱性1．漏洞扫描工具绝大部分的评估项目中，都会使用到漏洞扫描工具。利用脆弱性扫描工具对评估范围内的系统和网络进行扫描，从内部和外部两个角度查找网络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对象目标存在的安全风险、漏洞、威胁。2．渗透测试渗透测试可以非常有效地发现安全隐患。利用6.2节描述的渗透测试工具对重要资产进行全面检查，发现漏洞。3．各类检查列表检查表用于手工识别信息系统中常见的组件中存在的安全漏洞。 脆弱性分类脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关，表11-13提供了一种脆弱性分类方法。 表11-13脆弱性分类表类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。服务器（含操作系统）从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统管理等方面进行识别。网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。应用系统审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。管理脆弱性技术管理物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性。组织管理安全策略、组织安全、资产分类与控制、人员安全、符合性 脆弱性赋值可以根据对资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。对某个资产，其技术脆弱性的严重程度受到组织的管理脆弱性的影响，因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。 输出结果评估脆弱性后的输出结果有原始漏洞检测、识别报告文件，《漏洞分析报告》，表7-16提供了一种脆弱性列表的示例。 表11-16脆弱性列表示例资产ID脆弱性ID脆弱性名称脆弱性赋值脆弱性描述 识别安全措施要得到威胁利用脆弱性的可能性大小和产生的影响，必须先识别目前的安全措施和评价安全措施的有效性。识别已有的安全措施，分析安全措施的效力，确定威胁利用脆弱性的实际可能性，一方面可以指出当前安全措施的不足，另一方面也可以避免重复投资。安全措施大致可以分为技术控制措施、管理和操作控制措施两大类。别出来的控制措施，一般不必做直接的评价，在分析影响和可能性的过程中作为其中一个重要因素一起评价。 安全措施识别活动中，可能会用到工具有以下几种。1．《技术控制措施调查表》用于调查和记录被评估组织已经部署的安全控制措施。2．《管理和操作控制措施调查表》对照安全管理标准，调查和记录组织已经采取的安全管理和操作控制措施。3．符合性检查工具用于检查被评估组织当前对安全标准或策略的符合程度。 输出结果安全控制措施识别与确认过程后，应提交以下输出结果：1．技术控制措施识别与确认结果；2．管理与操作措施识别与确认结果。 构成风险的要素有4个：资产、威胁、脆弱性和安全措施，在识别了这4个要素之后，存在什么风险就可以显现了。评价风险有2个关键因素：一个是威胁对信息资产造成的影响，另一个是威胁发生的可能性。定性的分析产生影响和可能性的级别，定量的分析产生相应的损失大小和发生概率。分析可能性和影响 根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：安全事件发生的可能性=L(威胁出现频率，脆弱性)＝L(T，V)目前，定量分析可能性要用到的数据贫乏，很难实现，多采用定性分析的方法。分析可能性 表11-17可能性级别定义可能性级别可能性描述高3每个月或不到一个月可能发生一次中2每六个月或不到六个月可能发生一次低1每一年或不到一年可能发生一次 根据资产重要程度及脆弱性严重程度，计算安全事件一旦发生后的损失，即：安全事件的影响=F(资产重要程度，脆弱性严重程度)＝F(Ia，Va)影响级别是威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级。分析影响 表11-18影响级别定义影响级别影响定义高3可引起重要系统的中断，或连接客户损失或商业信任损失中2能引起系统声望的损害，或是对系统资源或服务的信任程度的降低，需要支付重要资源维修费低1对系统有一些很小的影响，只须很小的努力就可恢复系统 风险计算根据威胁利用资产的脆弱性导致安全事件发生的可能性、安全事件发生后造成的损失，计算风险值，即：风险值=R(A,T,V)=R(安全事件发生的可能性,安全事件的损失)＝R(L(T,V),F(Ia,Va))其中，R表示风险计算函数，A表示资产，T表示威胁，V表示脆弱性，Ia表示安全事件所作用的资产价值，Va表示脆弱性严重程度，L表示威胁利用资产的脆弱性导致安全事件发生的可能性、F表示安全事件发生后造成的损失。 风险计算（续）常用的风险评估方法有矩阵法和相乘法。注：实际上，L不仅与威胁和脆弱性有关部门，还与采取的控制措施Ct有关；F亦与Ct有关。有效的控制措施可以减少或降低L和F的值或等级，为简单起见，这里不考虑控制措施的影响。 矩阵法计算风险矩阵法主要适用于由两个要素值确定一个要素值的情形，假设：x={x1,x2,…,xi,…,xm},1≤i≤m,xi为正整数y={y1,y2,…,yj,…,yn},1≤j≤n,yj为正整数函数z=f(x,y)可以使用矩阵法计算，即以x和y的取值构造一个二维矩阵，如表11-19所示，矩阵行值为y的所有取值，矩阵列值为x的所有取值，矩阵内m×n个值即为函数z的值。 表11-19矩阵构造yxy1y2…yj…ynx1z11z12…z1j…z1nx2z21z22…z2j…z2n…………………xizi1zi2…zij…zin…………………xmzm1zm2…zmj…zmn 对于zij的计算，可以采用zij=xi+yj、zij=xi×yj或zij=α×xi+β×yj，其中α和β为正常数。zij的计算可根据实际情况确定，不一定要遵循统一的计算公式，但必须具有统一的增减趋势。 相乘法计算风险相乘法主要适用于由两个要素值确定一个要素值的情形，即函数z=f(x,y)，函数f可以使用相乘法计算，z=f(x,y)=xy，如z=x×y，或z=等。 风险处理现存风险判断依据信息安全风险评估结果，确定系统可接受的风险等级，把信息安全风险评估得出的风险等级划分为可接受和不可接受两种，形成风险接受等级划分表，表11-31是一种风险接受等级划分表的示例。 资产编号资产名称风险等级风险接受等级表11-31风险接受等级划分表示例 编写信息安全风险评估报告通过信息安全风险评估，风险评估小组对组织的风险状况有一个非常清晰的理解，有关风险状况的信息必须以清晰有效的方式传达给组织，因此，需要编写记录评估过程所得结果的风险评估报告，供高层管理人员阅读，高层管理人员据此报告决定控制措施的选择和风险接受等问题。