信息安全風(fēng)險評估

信息安全風(fēng)險評估風(fēng)險評估流程介紹風(fēng)險評估特點介紹風(fēng)險評估與等級保護的結(jié)合綠盟科技服務(wù)產(chǎn)品部孫鐵

2008年3月員工和客戶訪問資源可用性客戶和業(yè)務(wù)信息的保護機密性客戶和業(yè)務(wù)信息的可信賴性完整性信息安全的涵義Confidentiality：阻止未經(jīng)授權(quán)的用戶讀取數(shù)據(jù)Integrity：阻止未經(jīng)授權(quán)的用戶修改或刪除數(shù)據(jù)Availability：保證授權(quán)實體在需要時可以正常地使用系統(tǒng)Confidentiality保密性Availability可用性Integrity完整性在某些組織中，完整性和/或可用性比保密性更重要信息安全的概念I(lǐng)ntegrityAvailabilityConfidentialityCorrectnessCompletenessValidityAuthenticityNon-repudiationContinuityPunctualityExclusivityManipulationDestructionFalsificationRepudiationDivulgationInterruptionDelaySECURITY=QUALITY四種信息安全工作模式事件導(dǎo)向

?沒有統(tǒng)一的安全管理部門

?沒有安全預(yù)算

?非正規(guī)的安全組織和流程?實施了基本的安全工具流程導(dǎo)向

?信息安全由IT部門管理

?有科學(xué)的安全預(yù)算

?有正式的安全組織和流程

?實施了基本的安全工具

風(fēng)險導(dǎo)向

?信息安全由CIO直接負(fù)責(zé)?有與風(fēng)險平衡的安全預(yù)算

?基于風(fēng)險而整合的基礎(chǔ)設(shè)施

?使用主動性安全技術(shù)?信息安全由IT部門管理?有科學(xué)的安全預(yù)算?分布式管理和非正規(guī)流程

?有較強的安全技術(shù)資源

技術(shù)導(dǎo)向技術(shù)要求高流程要求高風(fēng)險避免，風(fēng)險降低，風(fēng)險轉(zhuǎn)移，風(fēng)險接受安全性風(fēng)險性安全需求

高高低安全風(fēng)險

支出平衡點安全的風(fēng)險管理

風(fēng)險評估的發(fā)展現(xiàn)狀

信息安全風(fēng)險評估在美國的發(fā)展

第一個階段（60-70年代）以計算機為對象的信息保密階段

1967年11月到1970年2月，美國國防科學(xué)委員會委托蘭德公司、邁特公司（MITIE）及其它和國防工業(yè)有關(guān)的一些公司對當(dāng)時的大型機、遠(yuǎn)程終端進(jìn)行了研究，分析。作了第一次比較大規(guī)模的風(fēng)險評估。

特點：

僅重點針對了計算機系統(tǒng)的保密性問題提出要求，對安全的評估只限于保密性，且重點在于安全評估，對風(fēng)險問題考慮不多。第二個階段（80-90年代）以計算機和網(wǎng)絡(luò)為對象的信息系統(tǒng)安全保護階段

評估對象多為產(chǎn)品，很少延拓至系統(tǒng)，因而在嚴(yán)格意義上仍不是全面的風(fēng)險評估。第三個階段（90年代末，21世紀(jì)初）以信息系統(tǒng)為對象的信息保障階段隨著信息保障的研究的深入，保障對象明確為信息和信息系統(tǒng)；保障能力明確來源于技術(shù)、管理和人員三個方面；逐步形成了風(fēng)險評估、自評估、認(rèn)證認(rèn)可的工作思路我國風(fēng)險評估發(fā)展2002年在863計劃中首次規(guī)劃了《系統(tǒng)安全風(fēng)險分析和評估方法研究》課題

2003年8月至今年在國信辦直接指導(dǎo)下，組成了風(fēng)險評估課題組

2004年,國家信息中心《風(fēng)險評估指南》,《風(fēng)險管理指南》2005年,全國風(fēng)險評估試點在試點和調(diào)研基礎(chǔ)上，由國信辦會同公安部，安全部，等起草了《關(guān)于開展信息安全風(fēng)險評估工作的意見》征求意見稿

2006年,所有的部委和所有省市選擇1-2單位開展本地風(fēng)險評估試點工作銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引銀行業(yè)金融機構(gòu)內(nèi)部審計指引

2006年度信息科技風(fēng)險內(nèi)部和外部評價審計的通知提綱風(fēng)險評評估要要素關(guān)關(guān)系模模型安全措施

抗擊業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險殘余風(fēng)險安全事件依賴擁有被滿足利用暴露降低增加增加導(dǎo)出演變

未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價值風(fēng)險評評估流流程確定評評估范范圍資產(chǎn)的的識別別和影影響分分析威脅識識別脆弱性性評估估威脅分分析風(fēng)險分分析風(fēng)險管管理風(fēng)險評評估原原則符合性性原則則標(biāo)準(zhǔn)性性原則則規(guī)范性原則則可控性原則則保密性原則則整體性原則則重點突出原原則最小影響原原則評估依據(jù)的的標(biāo)準(zhǔn)和規(guī)規(guī)范信息安全管管理標(biāo)準(zhǔn)ISO17799（GB/T19716）、ISO27001信息安全管管理指南ISO13335（GB/T19715)信息安全通通用準(zhǔn)則ISO15408（GB/T18336）系統(tǒng)安全工工程能力成成熟模型SSE-CMM國家信息中中心《風(fēng)險評估指指南》國家信息中中心《風(fēng)險管理指指南》計算機信息息系統(tǒng)安全全等級保護護劃分準(zhǔn)則則（GB/T17859）計算機信息息系統(tǒng)等級級保護相關(guān)關(guān)規(guī)范其他相關(guān)標(biāo)標(biāo)準(zhǔn)（AS/NZS4360，GAO/AIMD-00-33，GAO/AIMD-98-68，BSIPD3000，GB/T17859，IATF）相關(guān)法規(guī)及及行業(yè)政策策資產(chǎn)的識別別與影響分分析業(yè)務(wù)應(yīng)用系系統(tǒng)調(diào)研業(yè)務(wù)影響分分析資產(chǎn)屬性：：可用性、、完整性、、保密性影響分析：：經(jīng)濟損失失、業(yè)務(wù)影影響、系統(tǒng)統(tǒng)破壞、信信譽影響、、商機泄露露、法律責(zé)責(zé)任、人身身安全、公公共秩序、、商業(yè)利益益估價公式式：AssetValue=Round1{Log2[(2Conf+2Int+2Avail)/3]}劃分邊界界區(qū)分分子系統(tǒng)統(tǒng)輔助定級級信息資產(chǎn)產(chǎn)識別物理資產(chǎn)產(chǎn)軟件資產(chǎn)產(chǎn)硬件資產(chǎn)產(chǎn)其他資產(chǎn)產(chǎn)業(yè)務(wù)調(diào)研研方法威脅評估估威脅識別別系統(tǒng)合法法用戶操作錯誤誤，濫用用授權(quán)，，行為為抵賴系統(tǒng)非法法用戶身份假冒冒，密碼碼分析，，漏洞洞利用，，拒絕服服務(wù)，，惡意代代碼，，竊聽數(shù)據(jù)據(jù)，物物理破壞壞，社社會工程程系統(tǒng)組件件意外故障障，通通信中斷斷物理環(huán)境境電源中斷斷，災(zāi)災(zāi)難威脅屬性性：威脅脅的可能能性TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)絡(luò)絡(luò)SATNETARPNET應(yīng)用程序序攻擊監(jiān)聽，拒拒絕服務(wù)務(wù)系統(tǒng)漏洞洞利用硬件設(shè)備備破壞電磁監(jiān)聽聽物理竊取取Windows*nix*BSDLinux應(yīng)用層系統(tǒng)層網(wǎng)絡(luò)層物理層管理層信息系統(tǒng)統(tǒng)每個層層次都存存在威脅脅脆弱性評評估技術(shù)脆弱弱性評估估管理脆弱弱性評估估現(xiàn)有安全全措施評評估脆弱性的的屬性：：脆弱性性被威脅脅利用成成功的可可能性存在的攻攻擊方法法技術(shù)脆弱弱程度管理脆弱弱程度脆弱性數(shù)數(shù)據(jù)來源源技術(shù)方面面工具掃描描功能驗證證人工檢查查滲透測試試日志分析析網(wǎng)絡(luò)架構(gòu)構(gòu)分析管理方面面文檔審核核問卷調(diào)查查顧問訪談?wù)劙踩呗月苑治鐾{及脆脆弱性評評估工具具網(wǎng)絡(luò)入侵侵檢測系系統(tǒng)遠(yuǎn)程評估估系統(tǒng)安全檢測測包（LSAS）Microsoft安全基準(zhǔn)準(zhǔn)分析器器風(fēng)險評估估分析工工具風(fēng)險信息息庫工具具工具掃描描信息探測測類網(wǎng)絡(luò)設(shè)備備與防火火墻RPC服務(wù)Web服務(wù)CGI問題文件服務(wù)務(wù)域名服務(wù)務(wù)Mail服務(wù)SQL注入檢查查Windows遠(yuǎn)程訪問問數(shù)據(jù)庫問問題后門程序序其他服務(wù)務(wù)網(wǎng)絡(luò)拒絕絕服務(wù)(DOS)其他問題題工具掃描描人工檢查查路由器、、交換機機等網(wǎng)絡(luò)絡(luò)設(shè)備的的配置是是否最優(yōu)優(yōu)，是否否配置了了安全參參數(shù)；主機系統(tǒng)統(tǒng)的安全全配置策策略是否否最優(yōu)，，是否進(jìn)進(jìn)行了安安全增強強；終端設(shè)備備的安全全配置策策略是否否最優(yōu)，，是否進(jìn)進(jìn)行了安安全增強強;對終端設(shè)設(shè)備和主主機系統(tǒng)統(tǒng)抽查進(jìn)進(jìn)行病毒毒掃描；；對防火墻墻、入侵侵檢測、、SUS、SMS等安全產(chǎn)產(chǎn)品安全全策略及及其日志志進(jìn)行分分析。IDS采樣分析析滲透測試試完全模擬擬黑客可可能使用用的攻擊擊技術(shù)和和漏洞發(fā)發(fā)現(xiàn)技術(shù)術(shù)，對重重點目標(biāo)標(biāo)系統(tǒng)的的安全作作深入的的探測，，發(fā)現(xiàn)系系統(tǒng)最脆脆弱的環(huán)環(huán)節(jié)。滲透測試試的目的的不是發(fā)發(fā)現(xiàn)系統(tǒng)統(tǒng)所有的的問題，，而是從從一個側(cè)側(cè)面反映映系統(tǒng)現(xiàn)現(xiàn)有的安安全狀況況和安全全強度，，從而以以一種直直觀的方方式增強強單位的的信息安安全認(rèn)知知度，提提高單位位對信息息安全的的重視程程度。根據(jù)用戶戶方需求求決定是是否采用用。調(diào)查對象象網(wǎng)絡(luò)系統(tǒng)統(tǒng)管理員員、安全全管理員員、技術(shù)術(shù)負(fù)責(zé)人人等調(diào)查內(nèi)容容業(yè)務(wù)、資資產(chǎn)、威威脅、脆脆弱性（（管理方方面）設(shè)計原則則完整性具體性簡潔性一致性問卷調(diào)查查訪談對象象安全管理理員、技技術(shù)負(fù)責(zé)責(zé)人、網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)管理員員等訪談內(nèi)容容確認(rèn)問卷卷調(diào)查結(jié)結(jié)果詳細(xì)獲取取管理執(zhí)執(zhí)行現(xiàn)狀狀聽取用戶戶想法和和意見顧問訪談?wù)劙踩呗月苑治霭踩呗月晕臋n是是否全面面覆蓋了了整體網(wǎng)網(wǎng)絡(luò)在各各方各面面的安全全性描述述，與BS7799進(jìn)行差距距分析；；在安全策策略中描描述的所所有安全全控制、、管理和和使用措措施是否否正確和和有效；；安全策略略中的每每一項內(nèi)內(nèi)容是否否都得到到確認(rèn)和和具體落落實。系統(tǒng)架構(gòu)構(gòu)分析系統(tǒng)建設(shè)設(shè)的規(guī)范范性：網(wǎng)網(wǎng)絡(luò)安全全規(guī)劃、、設(shè)備命命名規(guī)范范性、網(wǎng)網(wǎng)絡(luò)架構(gòu)構(gòu)安全性性；網(wǎng)絡(luò)的可可靠性：：網(wǎng)絡(luò)設(shè)設(shè)備和鏈鏈路冗余余、設(shè)備備選型及及可擴展展性；網(wǎng)絡(luò)邊界界安全：：網(wǎng)絡(luò)設(shè)設(shè)備的ACL、防火墻墻、隔離離網(wǎng)閘、、物理隔隔離、VLAN（二層ACL）等；網(wǎng)絡(luò)協(xié)議議分析：：路由、、交換、、組播、、IGMP、CGMP、IPv4、IPv6等協(xié)議；；網(wǎng)絡(luò)流量量分析：：帶寬流流量分析析、異常常流量分分析、QOS配置分析析、抗拒拒絕服務(wù)務(wù)能力；；網(wǎng)絡(luò)通信信安全：：通信監(jiān)監(jiān)控、通通信加密密、VPN分析等；；設(shè)備自身身安全：：SNMP、口令、、設(shè)備版版本、系系統(tǒng)漏洞洞、服務(wù)務(wù)、端口口等；網(wǎng)絡(luò)管理理：網(wǎng)管管系統(tǒng)、、客戶端端遠(yuǎn)程登登陸協(xié)議議、日志志審計、、設(shè)備身身份驗證證等。風(fēng)險分析析風(fēng)險計算算：R＝F（A，T，V）威脅路徑徑風(fēng)險綜合合分析：：對所有有風(fēng)險進(jìn)進(jìn)行識別別、統(tǒng)計計、分析析，確定定極度風(fēng)風(fēng)險，為為下一步步安全措措施的選選擇提供供依據(jù)。。極度風(fēng)險險SWOT分析。優(yōu)勢－弱弱勢－機機會－威威脅矩陣陣（SWOT)優(yōu)勢－S優(yōu)勢項目目弱勢－W弱勢項目目12……n12……n12……n12……n機會－O威脅－TSOWOSTWT利用機會會發(fā)揮優(yōu)勢勢利用機會會克服弱勢勢利用優(yōu)勢勢降低威脅脅減少弱勢勢回避威脅脅在內(nèi)部、、外部關(guān)關(guān)鍵要素素確定的基礎(chǔ)礎(chǔ)上，根根據(jù)判斷斷結(jié)果將內(nèi)部部優(yōu)勢與與劣勢、、外部機會與與威脅分分別列出出，有內(nèi)因到到外因兩兩種狀態(tài)態(tài)相匹配，形形成了SO、WO、ST、WT四種不同同組合12……n12……n12……n12……n風(fēng)險管理理風(fēng)險分類類處理建建議E：極度風(fēng)風(fēng)險---要求立即即采取措措施H：高風(fēng)險險-----需要高級級管理部部門的注注意M：中等風(fēng)風(fēng)險---必須規(guī)定定管理責(zé)責(zé)任L:低風(fēng)險-----用日常程程序處理理風(fēng)險處理理方式包包括：降降低、避避免、轉(zhuǎn)轉(zhuǎn)移、接接受制定安全全解決方方案鑒定已有有措施組織安全全策略的的規(guī)范化化安全需求求補充技術(shù)和費費用衡量量風(fēng)險計算算模型輸出結(jié)果果最終報告告《風(fēng)險評估估報告》風(fēng)險評估估范圍資產(chǎn)評估估報告威脅評估估報告脆弱性評評估報告告風(fēng)險分析析報告《安全現(xiàn)狀狀分析報報告》《安全建議議方案》《安全規(guī)劃劃方案》ISMS管理體系系測試及加加固報告告《安全漏洞洞掃描報報告》《網(wǎng)絡(luò)設(shè)備備人工檢檢查報告告》《主機設(shè)備備人工檢檢查報告告》《日志分析析報告》《滲透測試試報告》《安全修補補及加固固方案》建議方案案總體思思路安全組織織體系安全管理理體系安全技術(shù)術(shù)體系建設(shè)全面面的信息息安全保保障體系系安全組織織體系決策層管理層業(yè)務(wù)安全全決策安全戰(zhàn)略略規(guī)劃安全保證證決策信息安全全領(lǐng)導(dǎo)小小組信息安全全管理部部門安全管理理系統(tǒng)安全全工程安全保證證管理信息安全全執(zhí)行部部門實施與運運作運行管理理安全保證證實施執(zhí)行層

建立安全組織三層結(jié)構(gòu)明確部門及崗位安全職責(zé)建立兼職安全管理崗位技術(shù)崗位任職資格規(guī)范建立崗位資格考核制度建立關(guān)鍵崗位審計制度建立適宜安全培訓(xùn)體系組織體系系為核心心！安全管理理體系管理體系系為保障障！安全技術(shù)術(shù)體系技術(shù)體系系為支撐撐！安全規(guī)劃劃方案防病毒安全域劃劃分與邊邊界整合合入侵檢測測系統(tǒng)日志審計計系統(tǒng)設(shè)備安全全加固整體安全全體系技術(shù)體系系建設(shè)補丁分發(fā)發(fā)應(yīng)用系統(tǒng)統(tǒng)代碼審審核抗拒絕服服務(wù)系統(tǒng)統(tǒng)組織體系系建設(shè)管理體系系建設(shè)一期二期三期流量監(jiān)控控系統(tǒng)安全組織織結(jié)構(gòu)組織安全全職責(zé)安全崗位位設(shè)置崗位安全全職責(zé)基礎(chǔ)安全全培訓(xùn)高級安全全培訓(xùn)中級安全全培訓(xùn)崗位考核核管理安全管理理培訓(xùn)安全巡檢檢小組確定總體體方針統(tǒng)一安全全策略體體系基礎(chǔ)制度度管理資產(chǎn)登記記管理主機安全全管理基礎(chǔ)流程程管理安全技術(shù)術(shù)管理網(wǎng)絡(luò)安全全管理應(yīng)用安全全管理數(shù)據(jù)安全全管理應(yīng)急安全全管理工程安全全管理安全審計計管理身份認(rèn)證證訪問控制制（防火火墻，網(wǎng)網(wǎng)絡(luò)設(shè)備備，隔離離設(shè)備））安全通告告漏洞掃描描行為審計計系統(tǒng)終端管理理系統(tǒng)應(yīng)急災(zāi)備備中心無此措施施需要完善善已有措施施VPN遠(yuǎn)景展望望一期：基基礎(chǔ)安全全技術(shù)保保障措施施建設(shè)，，區(qū)、地地州級基基礎(chǔ)安全全管理體體系建設(shè)設(shè)二期：增增強性安安全技術(shù)術(shù)保障措措施，區(qū)、地州州級安全全管理體體系完善善建設(shè)三期：安安全管理理中心建建設(shè)，完完善的安安全技術(shù)術(shù)、安全全管理測測評體系系建設(shè)基線安全中級安全穩(wěn)定運營ISMS體系評估過程程中風(fēng)